Active Directory s preprostimi besedami (Baza). Najboljše prakse Active Directory Kako deluje oglas
Vsak samospoštljiv uporabnik računalnika je moral vsaj enkrat v življenju priključiti tiskalnik na računalnik, morda svojega nimaš, so pa sosedje ali prijatelji prosili, da to storijo. In ste se strinjali, čeprav tega postopka še nikoli niste doživeli. Na fizični ravni ste naredili vse pravilno, a ko poskušate nekaj natisniti, sistem prikaže napako "Domenske storitve Active Directory trenutno niso na voljo." Kaj storiti v tej situaciji, verjetno ne veste. Ta članek je zasnovan tako, da vam pomaga narediti prav to.
Razlogi, zakaj tiskalnik ne deluje
Eden najverjetnejših razlogov je, da se ne izvaja posebna storitev, ki velja samo za tiskalnik Active Directory, kot tudi njegov spremljajoči okačni program. Včasih, zlasti na starejših napravah, je treba to storitev zagnati ročno. Drugi razlog so gonilniki tiskalnika, morda niso pravilno nameščeni, zaradi česar se ustrezne storitve ne zaženejo.
Pomembno je biti pozoren na sam operacijski sistem. Za povezane naprave ima nekaj programske opreme, ki omogoča delo s specifičnimi napravami, v našem primeru s tiskalnikom. Preverite tudi delovanje samega računalnika in njegovih USB vrat.
Pravilno dodajanje tiskalnika
Le malo ljudi je pred tem prebralo navodila, kako pravilno priključiti ali namestiti novo opremo. Mnogi se poskušajo spopasti s svojo intuicijo in pretirano samozavestjo. In k navodilom se običajno zatečemo že, ko se na primer pojavi napaka »Domenske storitve Active Directory trenutno niso na voljo«. Naučimo se od Microsofta, prodajalca operacijskega sistema Windows, kako pravilno dodati tiskalnik napravam operacijskega sistema.
Odpravljanje napake »Domenske storitve niso na voljo« na tiskalniku
Preden razumete napako Active Directory, se prepričajte, da vrata, na katera priključite tiskalnik, delujejo, kot tudi žica, s katero je naprava povezana z računalnikom. Prav tako se morate prepričati, da naprava sama deluje. Če imate možnost, priključite drug tiskalnik na svoj računalnik tako, da si ga izposodite od soseda ali prijateljev. V vsakem primeru morate biti 100% prepričani, da naprave ne potrebujejo popravila in da je težava na ravni programske opreme.
Omogočite storitve Active Directory
Če želite odpraviti našo težavo »AD DS trenutno ni na voljo«, boste morda morali omogočiti ali znova zagnati določene storitve, da bo tiskalnik deloval. Za to:
- Odprite nadzorno ploščo (z desno miškino tipko kliknite ikono "Start" in izberite s seznama).
- Nato poiščite razdelek »Administracija«. Na seznamu izberite "Storitve".
- Tukaj poiščite na seznamu storitev "Samodejna konfiguracija omrežnih naprav". Izberite ga in če je onemogočen, ga omogočite, sicer pa ga znova zaženite s klikom v lastnostih "Onemogoči", "Omogoči".
- Enake korake je treba izvesti za naslednje storitve: "Upravitelj samodejnih povezav za oddaljeni dostop", "Local Device Manager", "Local Session Manager".
Active Directory – razširljiva in razširljiva storitev imenika Active Directory (Active Directory) vam omogoča učinkovito upravljanje omrežnih virov.
Aktivni imenik je hierarhično organiziran repozitorij podatkov o omrežnih objektih, ki zagotavlja priročna sredstva za iskanje in uporabo teh podatkov. Računalnik, ki izvaja Active Directory, se imenuje krmilnik domene. Skoraj vsa administrativna opravila so povezana z Active Directory.
Tehnologija Active Directory temelji na standardnih internetnih protokolih in pomaga jasno opredeliti strukturo omrežja, podrobneje, kako namestiti domeno Active Directory iz nič, preberite tukaj ..
Active Directory in DNS
Active Directory uporablja sistem domenskih imen.
Skrbništvo Active Directory
S pomočjo storitve Active Directory se ustvarijo računalniški računi, se povežejo z domeno ter upravljajo računalniki, krmilniki domen in organizacijske enote (OU).
Za upravljanje Active Directory so na voljo skrbniška in podporna orodja. Spodaj navedena orodja so implementirana kot MMC (Microsoft Management Console) snap-ins:
- Active Directory - uporabniki in računalniki (Active Directory Users and Computers) omogoča upravljanje uporabnikov, skupin, računalnikov in organizacijskih enot (OD);
- Active Directory - domene in zaupanje (Active Directory Domains and Trusts) se uporablja za delo z domenami, domenskimi drevesi in domenskimi gozdovi;
- Active Directory - mesta in storitve (Active Directory Sites and Services) vam omogoča upravljanje spletnih mest in podomrežij;
- Rezultatni nabor pravilnikov se uporablja za ogled trenutnega uporabniškega ali sistemskega pravilnika in za načrtovanje sprememb pravilnika.
- V strežniku Microsoft Windows 2003 lahko do teh vtičnikov dostopate neposredno iz menija Skrbniška orodja.
Drugo administrativno orodje - vtičnik Active Directory Schema - vam omogoča upravljanje in spreminjanje sheme imenika.
Pripomočki ukazne vrstice Active Directory
Za upravljanje predmetov Active Directory obstajajo orodja ukazne vrstice, ki vam omogočajo izvajanje širokega spektra upravnih nalog:
- DSADD - dodaja računalnike, stike, skupine, OP-je in uporabnike v Active Directory.
- DSGET - Prikaže lastnosti računalnikov, stikov, skupin, naročil naročil, uporabnikov, spletnih mest, podomrežij in strežnikov, registriranih v Active Directory.
- DSMOD - spreminja lastnosti računalnikov, stikov, skupin, naročil naročil, uporabnikov in strežnikov, registriranih v Active Directory.
- DSMOVE - premakne en objekt na novo lokacijo znotraj domene ali preimenuje predmet, ne da bi ga premaknil.
- DSQXJERY - išče računalnike, stike, skupine, OP, uporabnike, spletna mesta, podomrežja in strežnike v Active Directory po določenih kriterijih.
- DSRM - Odstrani predmet iz imenika Active Directory.
- NTDSUTIL – omogoča ogled informacij o mestu, domeni ali strežniku, upravljanje glavnih operacij in vzdrževanje baze podatkov Active Directory.
Aktivni imenik
Aktivni imenik(»Aktivni imeniki«, AD) - LDAP- združljiva izvedba imeniške storitve podjetja Microsoft za operacijske sisteme družine Windows NT. Aktivni imenik omogoča skrbnikom uporabo skupinskih pravilnikov za zagotavljanje dosledne nastavitve uporabniške izkušnje, uvajanje programske opreme v več računalnikov prek skupinskih pravilnikov ali prek Upravitelj konfiguracije System Center(prej Microsoftov strežnik za upravljanje sistemov), namestite posodobitve operacijskega sistema, aplikacij in strežniške programske opreme na vse računalnike v omrežju s pomočjo storitve posodabljanja Windows Server . Aktivni imenik shranjuje podatke in nastavitve okolja v centralizirano bazo podatkov. omrežja Aktivni imenik je lahko različnih velikosti: od nekaj deset do več milijonov predmetov.
Izvedba Aktivni imenik potekalo leta 1999, izdelek je bil prvič izdan s Windows 2000 Server, nato pa je bil ob izdaji spremenjen in izboljšan Windows Server 2003. Pozneje Aktivni imenik je bil izboljšan v Windows Server 2003 R2, Windows Server 2008 in Windows Server 2008 R2 in preimenovan v Domenske storitve Active Directory. Imeniška storitev je bila prej imenovana NT Directory Service (NTDS), to ime je še vedno mogoče najti v nekaterih izvedljivih datotekah.
Za razliko od različic Windows prej Windows 2000 ki je uporabljal predvsem protokol NetBIOS za mreženje, servis Aktivni imenik integriran z DNS in TCP/IP. Privzeti protokol za preverjanje pristnosti je Kerberos. Če odjemalec ali aplikacija ne podpira preverjanja pristnosti Kerberos, se uporablja protokol NTLM .
Naprava
Predmeti
Aktivni imenik ima hierarhično strukturo, sestavljeno iz predmetov. Objekti spadajo v tri glavne kategorije: viri (kot so tiskalniki), storitve (kot je e-pošta) ter uporabniški in računalniški računi. Aktivni imenik zagotavlja informacije o predmetih, omogoča organiziranje predmetov, nadzor dostopa do njih in tudi določa varnostna pravila.
Objekti so lahko vsebniki za druge objekte (varnostne in distribucijske skupine). Objekt je enolično identificiran s svojim imenom in ima nabor atributov – značilnosti in podatkov, ki jih lahko vsebuje; slednji pa so odvisni od vrste predmeta. Atributi so osnova strukture predmeta in so definirani v shemi. Shema določa, katere vrste predmetov lahko obstajajo.
Sama shema je sestavljena iz dveh vrst objektov: objektov razreda sheme in objektov atributov sheme. En objekt razreda sheme definira en tip objekta Aktivni imenik(na primer objekt User), en objekt atributa sheme pa definira atribut, ki ga lahko ima objekt.
Vsak atributni objekt se lahko uporablja v več različnih predmetih razreda sheme. Ti predmeti se imenujejo objekti sheme (ali metapodatki) in vam omogočajo, da po potrebi spremenite in dodate shemo. Vendar je vsak objekt sheme del definicij objektov Aktivni imenik, zato ima lahko onemogočanje ali spreminjanje teh objektov resne posledice, saj se bo zaradi teh dejanj struktura spremenila Aktivni imenik. Sprememba predmeta sheme se samodejno razširi na Aktivni imenik. Ko je enkrat ustvarjen, predmeta sheme ni mogoče izbrisati, lahko ga le onemogočite. Običajno so vse spremembe sheme skrbno načrtovane.
Vsebnik podobno predmet v smislu, da ima tudi atribute in pripada imenskemu prostoru, vendar za razliko od predmeta vsebnik ne pomeni ničesar posebnega: lahko vsebuje skupino predmetov ali druge vsebnike.
Struktura
Zgornja raven strukture je gozd - zbirka vseh predmetov, atributov in pravil (sintaksa atributov) v Aktivni imenik. Gozd vsebuje eno ali več dreves, povezanih s prehodom odnose zaupanja . Drevo vsebuje eno ali več domen, ki so tudi povezane v hierarhijo s prehodnimi odnosi zaupanja. Domene so identificirane po njihovih strukturah imen DNS - imenskih prostorih.
Objekte v domeni je mogoče združiti v vsebnike – OU. Organizacijske enote vam omogočajo, da ustvarite hierarhijo znotraj domene, poenostavite njeno administracijo in vam omogočajo modeliranje organizacijske in/ali geografske strukture podjetja v Aktivni imenik. Razdelki lahko vsebujejo druge oddelke. korporacije Microsoft priporoča uporabo čim manj domen v Aktivni imenik, in uporabljajte oddelke za strukturiranje in politike. Politike skupine se pogosto uporabljajo posebej za organizacijske enote. Politike skupine so sami objekti. Oddelek je najnižja raven, na kateri se lahko prenesejo upravna pooblastila.
Drug način delitve Aktivni imenik so strani , ki so način fizičnega (in ne logičnega) združevanja na podlagi segmentov omrežja. Spletna mesta se delijo na tista s povezavami prek nizkohitrostnih kanalov (na primer prek globalnih omrežij, z uporabo virtualnih zasebnih omrežij) in preko hitrih kanalov (na primer prek lokalnega omrežja). Spletno mesto lahko vsebuje eno ali več domen, domena pa lahko vsebuje eno ali več spletnih mest. Pri oblikovanju Aktivni imenik pomembno je upoštevati omrežni promet, ki nastane pri sinhronizaciji podatkov med spletnimi mesti.
Ključna oblikovalska odločitev Aktivni imenik je odločitev o razdelitvi informacijske infrastrukture na hierarhične domene in oddelke najvišje ravni. Tipični modeli, ki se uporabljajo za to ločitev, so modeli delitve po funkcionalnih oddelkih podjetja, po geografski lokaciji in po vlogah v informacijski infrastrukturi podjetja. Pogosto se uporabljajo kombinacije teh modelov.
Fizična struktura in replikacija
Fizično so informacije shranjene na enem ali več enakovrednih krmilnikih domen, ki so nadomestili tiste, ki se uporabljajo v Windows NT primarni in rezervni krmilniki domene, čeprav je za nekatere operacije ohranjen tako imenovani strežnik "single-master operations", ki lahko posnema primarni krmilnik domene. Vsak krmilnik domene hrani bralno/pisno kopijo podatkov. Spremembe, narejene na enem krmilniku, se med podvajanjem sinhronizirajo z vsemi krmilniki domene. Strežniki, kjer je storitev sama Aktivni imenik niso nameščeni, vendar so vključeni v domeno Aktivni imenik, se imenujejo članski strežniki.
replikacijo Aktivni imenik izvedeno na zahtevo. Storitev Preverjevalnik doslednosti znanja ustvari topologijo podvajanja, ki uporablja mesta, definirana v sistemu, za upravljanje prometa. Podvajanje znotraj mesta se izvaja pogosto in samodejno s preverjalnikom doslednosti (z obveščanjem partnerjev za podvajanje o spremembah). Podvajanje med spletnimi mesti je mogoče konfigurirati za vsak kanal spletnega mesta (odvisno od kakovosti kanala) – vsakemu kanalu je lahko dodeljena drugačna "stopnja" (ali "strošek") (npr. DS3, , ISDN itd.) in promet replikacije bo omejen, načrtovan in usmerjen v skladu z dodeljeno oceno povezave. Podatki o podvajanju lahko prehodno potujejo po več mestih prek mostov povezav do spletnih mest, če je "ocena" nizka, čeprav AD samodejno dodeli nižjo oceno za povezave od mesta do mesta kot za prehodne povezave. Podvajanje od mesta do mesta izvajajo mostni strežniki na vsakem mestu, ki nato podvojijo spremembe na vsak krmilnik domene na svojem mestu. Replikacija znotraj domene poteka v skladu s protokolom RPC protokol IP, navzkrižno domeno - lahko uporablja tudi protokol SMTP.
Če je struktura Aktivni imenik vsebuje več domen, se uporablja za reševanje problema iskanja predmetov globalni katalog: krmilnik domene, ki vsebuje vse predmete v gozdu, vendar z omejenim naborom atributov (delna replika). Katalog je shranjen na določenih strežnikih globalnega kataloga in služi meddomenskim zahtevam.
Zmogljivost enega gostitelja omogoča obdelavo zahtev, kadar podvajanje z več gostitelji ni dovoljeno. Obstaja pet vrst takih operacij: emulacija krmilnika domene (emulator PDC), gostitelj relativnega identifikatorja (glavni relativni identifikator ali glavni RID), infrastrukturni gostitelj (glavna infrastruktura), gostitelj sheme (glavna shema) in gostitelj poimenovanja domene (glavnik poimenovanja domene). ). Prve tri vloge so edinstvene znotraj domene, zadnji dve pa edinstvene v celotnem gozdu.
bazo Aktivni imenik lahko razdelimo na tri logične shrambe ali "particije". Shema je predloga za Aktivni imenik in definira vse tipe objektov, njihove razrede in atribute, sintakso atributov (vsa drevesa so v istem gozdu, ker imajo isto shemo). Konfiguracija je struktura gozda in dreves Aktivni imenik. Domena shranjuje vse informacije o predmetih, ustvarjenih v tej domeni. Prvi dve shrambi se replicirata na vse krmilnike domen v gozdu, tretja particija se v celoti replicira med krmilniki replik znotraj vsake domene in delno replicira na strežnike globalnega kataloga.
poimenovanje
Aktivni imenik podpira naslednje oblike poimenovanja objektov: generična imena tipov UNC, URL in URL LDAP. Različica LDAP Format poimenovanja X.500 se uporablja interno Aktivni imenik.
Vsak predmet ima ugledno ime (Angleščina) ugledno ime, DN) . Na primer, predmet tiskalnika z imenom HPLaser3 v OU Marketing in v domeni foo.org bo imel naslednje DN: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , kjer je CN skupno ime, OU je razdelek in DC je domena predmetni razred. Odlikovana imena imajo lahko veliko več delov kot štirje deli v tem primeru. Predmeti imajo tudi kanonična imena. To so razločna imena, napisana v obratnem vrstnem redu, brez identifikatorjev in z uporabo poševnic kot ločil: foo.org/Marketing/HPLaser3 . Če želite definirati predmet v njegovem vsebniku, uporabite relativno ime : CN=HPLaser3 . Vsak predmet ima tudi globalno edinstven identifikator ( GUID) je edinstven in nespremenljiv 128-bitni niz, ki se uporablja v Aktivni imenik za iskanje in replikacijo. Nekateri predmeti imajo tudi glavno ime uporabnika ( UPN, v skladu z RFC 822) v obliki objekt@domena.
Integracija z UNIX
Različne ravni interakcije z Aktivni imenik se lahko izvaja v večini UNIX- kot operacijski sistemi, ki so skladni s standardi LDAP odjemalcev, vendar takšni sistemi običajno ne razumejo večine atributov, povezanih s komponentami Windows kot so pravilniki skupine in podpora za enosmerne sklade.
Ponudniki tretjih oseb ponujajo integracijo Aktivni imenik na platformah UNIX, vključno UNIX, linux, MacOS X in na podlagi številnih aplikacij Java, s paketom izdelkov:
Shematski dodatki so priloženi Windows Server 2003 R2 vključujejo atribute, ki so dovolj tesno povezani z RFC 2307, da so splošno uporabni. Predlagane osnovne izvedbe RFC 2307, nss_ldap in pam_ldap PADL.com, neposredno podpirajo te atribute. Standardna shema za članstvo v skupini sledi RFC 2307bis (predlagano). Windows Server 2003 R2 vključuje Microsoftovo konzolo za upravljanje za ustvarjanje in urejanje atributov.
Druga možnost je uporaba druge imeniške storitve, kot je 389 Imeniški strežnik(prej Imeniški strežnik Fedora, FDS), eB2Bcom ViewDS v7.1 Imenik z omogočeno XML oz Sistemski imeniški strežnik Sun Java od Sun Microsystems, ki izvaja dvosmerno sinhronizacijo z Aktivni imenik, s čimer izvajamo "odraženo" integracijo pri odjemalcih UNIX in linux so overjeni FDS, in stranke Windows so overjeni Aktivni imenik. Druga možnost je uporaba OpenLDAP z možnostjo prosojnega prekrivanja, ki razširi elemente oddaljenega strežnika LDAP dodatni atributi, shranjeni v lokalni bazi podatkov.
Aktivni imenik avtomatizirana uporaba Powershell .
Literatura
- Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka Microsoft Exchange Server 2003. Popoln vodnik = Izdan Microsoft Exchange Server 2003. - M.: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0
Poglej tudi
Povezave
Opombe
| Komponente Microsoft Windows | |
|---|---|
| Glavni | |
| Storitve upravljanje |
|
| Aplikacije |
Obrnite se na DVD Maker Faksiranje in skeniranje internet Explorer Revija Povečevalnik medijsko središče Windows Media Player Program sodelovanja Windows Mobile Device Center Center za mobilnost Barva pripovedovalca Osebni urejevalnik znakov Pomoč na daljavo Prepoznavanje govora besedna ploščica zvezek Stranska plošča zvočni posnetek Koledar Kalkulator Škarje pošta tabelo simbolov zgodovinski: Izdelovalec filmov NetMeeting Outlook Express Programski menedžer Upravitelj datotek Foto album |
| Igre | |
| jedro OS | |
| Storitve | |
| mapa sistemi |
|
| Strežnik |
Aktivni imenik Storitve uvajanja Storitev podvajanja datotek DNS domene Preusmeritev mape Hyper-V IIS Media Services MSMQ Zaščita omrežnega dostopa (NAP) Tiskalne storitve za UNIX Diferencialna kompresija na daljavo Storitve oddaljene namestitve Služba za upravljanje pravic Gostujoči uporabniški profili Točka za deljenje Upravitelj sistemskih virov Oddaljeno namizje WSUS Politika skupine Koordinator porazdeljenih transakcij |
| arhitektura | |
| Varnost | |
| Kompatibilnost | |
| Microsoft | ||
|---|---|---|
| VKLOPLJENO | ||
| Strežniška programska oprema | ||
| Tehnologija | ||
| internet | ||
| Igre | ||
| Strojna oprema varnost |
||
| Izobraževanje | ||
| Licenciranje | ||
| Pododdelki | ||
Active Directory je storitev za upravljanje sistema. So veliko boljša alternativa lokalnim skupinam in vam omogočajo ustvarjanje računalniških omrežij z učinkovitim upravljanjem in zanesljivo zaščito podatkov.
Če še niste naleteli na koncept Active Directory in ne veste, kako takšne storitve delujejo, je ta članek za vas. Poglejmo, kaj ta koncept pomeni, kakšne so prednosti takšnih baz podatkov ter kako jih ustvariti in konfigurirati za začetno uporabo.
Active Directory je zelo priročen način za upravljanje sistemov. Z Active Directory lahko učinkovito upravljate svoje podatke.
Te storitve vam omogočajo, da ustvarite enotno bazo podatkov, ki jo upravljajo krmilniki domen. Če imate podjetje, upravljate pisarno ali na splošno nadzorujete dejavnosti veliko ljudi, ki jih je treba združiti, vam bo ta domena prišla prav.
Vključuje vse predmete – računalnike, tiskalnike, fakse, uporabniške račune itd. Vsota domen, kjer so podatki, se imenuje "gozd". Baza Active Directory je okolje domene, kjer je lahko število predmetov do 2 milijardi. Si predstavljate te lestvice?
To pomeni, da lahko s pomočjo takšnega "gozda" ali baze podatkov povežete veliko število zaposlenih in opreme v pisarni in ne da bi bili vezani na prostor - v storitve se lahko povežejo tudi drugi uporabniki, npr. pisarna podjetja v drugem mestu.
Poleg tega se v okviru storitev Active Directory ustvari in združi več domen - večje kot je podjetje, več sredstev je potrebnih za nadzor njegove tehnologije v bazi podatkov.
Nadalje, pri ustvarjanju takšnega omrežja se določi ena nadzorna domena in tudi ob kasnejši prisotnosti drugih domen izvirna še vedno ostane "nadrejena" - torej le ta ima popoln dostop do upravljanja informacij.
Kje so ti podatki shranjeni in kaj zagotavlja obstoj domen? Krmilniki se uporabljajo za ustvarjanje imenika Active Directory. Običajno sta dva - če se enemu kaj zgodi, bodo podatki shranjeni na drugem krmilniku.
Druga možnost uporabe baze je, če na primer vaše podjetje sodeluje z drugim, vi pa morate dokončati skupen projekt. V tem primeru bo morda treba nepooblaščenim osebam dostopati do datotek domene in tukaj lahko vzpostavite nekakšno »razmerje« med dvema različnima »gozdoma«, odprete dostop do zahtevanih informacij, ne da bi tvegali varnost drugih. podatkov.
Na splošno je Active Directory sredstvo za ustvarjanje baze podatkov znotraj določene strukture, ne glede na njeno velikost. Uporabniki in vsa oprema so združeni v en "gozd", domene so ustvarjene in postavljene na krmilnike.
Priporočljivo je tudi pojasniti - delovanje storitev je možno samo na napravah s strežniškimi sistemi Windows. Poleg tega se na krmilnikih ustvarijo 3-4 strežniki DNS. Služijo glavnemu območju domene, v primeru, da eden od njih odpove, pa ga nadomestijo drugi strežniki.
Po kratkem pregledu Active Directory za lutke se seveda sprašujete – zakaj spremeniti lokalno skupino v celotno bazo podatkov? Seveda je tukaj področje možnosti veliko širše in da bi ugotovili druge razlike med temi storitvami za upravljanje sistema, si oglejmo njihove prednosti podrobneje.
Prednosti Active Directory
Prednosti Active Directory so naslednje:
- Uporaba enega vira za preverjanje pristnosti. V tem scenariju morate v vsak računalnik dodati vse račune, ki zahtevajo dostop do splošnih informacij. Več kot je uporabnikov in opreme, težje je sinhronizirati te podatke med njimi.
Tako se pri uporabi storitev z bazo podatkov računi shranijo na eni točki in spremembe začnejo veljati takoj na vseh računalnikih.
Kako deluje? Vsak zaposleni, ki pride v pisarno, zažene sistem in se prijavi v svoj račun. Zahteva za prijavo bo samodejno poslana strežniku, prek nje pa bo potekala avtentikacija.
Kar zadeva določen vrstni red pri vodenju evidenc, lahko uporabnike vedno razdelite v skupine – »HR« ali »Računovodstvo«.
Še lažje je v tem primeru zagotoviti dostop do informacij - če morate odpreti mapo za zaposlene iz enega oddelka, to storite prek baze podatkov. Skupaj dobijo dostop do zahtevane mape s podatki, medtem ko ostanejo dokumenti zaprti.
- Nadzor nad vsakim članom baze podatkov.
Če je v lokalni skupini vsak član neodvisen, ga je težko nadzorovati z drugega računalnika, potem je mogoče nastaviti določena pravila v domenah, ki ustrezajo politiki podjetja.
Kot skrbnik sistema lahko nastavite nastavitve dostopa in varnosti ter jih nato uporabite za vsako skupino uporabnikov. Seveda je glede na hierarhijo mogoče nekatere skupine določiti strožje nastavitve, drugim pa je mogoče odobriti dostop do drugih datotek in dejanj v sistemu.
Poleg tega, ko nova oseba vstopi v podjetje, bo njen računalnik takoj prejel potreben nabor nastavitev, kjer so vključene komponente za delo.
- Vsestranskost namestitve programske opreme.
Mimogrede, o komponentah - s pomočjo Active Directory lahko dodelite tiskalnike, takoj namestite potrebne programe za vse zaposlene in nastavite nastavitve zasebnosti. Na splošno bo izdelava baze podatkov bistveno optimizirala delo, spremljala varnost in združila uporabnike za največjo učinkovitost.
In če podjetje upravlja ločene pripomočke ali posebne storitve, jih je mogoče sinhronizirati z domenami in olajšati dostop do njih. Kako? Če združite vse izdelke, ki se uporabljajo v podjetju, zaposlenemu za vstop v vsak program ne bo treba vnašati različnih prijav in gesel – ti podatki bodo skupni.
Zdaj, ko so prednosti in pomen uporabe imenika Active Directory jasni, si oglejmo postopek namestitve teh storitev.
Uporaba baze podatkov v sistemu Windows Server 2012
Namestitev in konfiguracija Active Directory ni težka in je tudi enostavnejša, kot se zdi na prvi pogled.
Če želite naložiti storitve, morate najprej narediti naslednje:
- Spremenite ime računalnika: kliknite "Start", odprite nadzorno ploščo, element "Sistem". Izberite "Spremeni nastavitve" in v Lastnosti nasproti vrstice "Ime računalnika" kliknite "Spremeni", vnesite novo vrednost za gostiteljski računalnik.
- Znova zaženite, kot zahteva računalnik.
- Nastavite omrežne nastavitve takole:
- Preko nadzorne plošče odprite meni z omrežji in skupno rabo.
- Pravilne nastavitve adapterja. Z desno tipko miške kliknite "Lastnosti" in odprite zavihek "Omrežje".
- V oknu s seznama kliknite na Internetni protokol na številki 4, ponovno kliknite na "Lastnosti".
- Vnesite zahtevane nastavitve, na primer: IP naslov - 192.168.10.252 , maska podomrežja - 255.255.255.0, glavni podprehod - 192.168.10.1.
- V vrstici "Prednostni strežnik DNS" navedite naslov lokalnega strežnika, v "Alternativno ..." - druge naslove strežnikov DNS.
- Shranite spremembe in zaprite okna.
Namestite vloge Active Directory takole:
- Na začetku odprite "Upravitelj strežnikov".
- V meniju izberite Dodaj vloge in funkcije.
- Čarovnik se bo zagnal, vendar lahko preskočite prvo okno z opisom.
- Preverite vrstico "Namestite vloge in funkcije", nadaljujte.
- Izberite svoj računalnik, da nanj namestite Active Directory.
- Na seznamu preverite vlogo, ki jo želite naložiti – za vaš primer je to »Domenske storitve Active Directory«.
- Prikaže se majhno okno, ki vas prosi, da prenesete komponente, potrebne za storitve - sprejmite to.
- Ko boste pozvani, da namestite druge komponente - če jih ne potrebujete, ta korak preprosto preskočite s klikom na "Naprej".
- Čarovnik za namestitev bo prikazal okno z opisi storitev, ki jih nameščate – preberite in nadaljujte.
- Prikaže se seznam komponent, ki jih bomo namestili - preverite, ali je vse pravilno, in če je tako, kliknite na ustrezen gumb.
- Zaprite okno, ko je postopek končan.
- To je to - storitve so naložene v vaš računalnik.
Konfiguriranje Active Directory
Če želite nastaviti domensko storitev, morate narediti naslednje:
- Zaženite čarovnika za namestitev z istim imenom.
- Kliknite na rumeni kazalec na vrhu okna in izberite "Promote the server to a domain controller".
- Kliknite na dodaj nov "gozd" in ustvarite ime za korensko domeno, nato kliknite "Naprej".
- Določite načine delovanja "gozda" in domene - najpogosteje sovpadata.
- Ustvarite geslo, vendar si ga ne pozabite zapomniti. Pojdi naprej.
- Po tem boste morda videli opozorilo, da domena ni delegirana, in predlog za preverjanje imena domene - te korake lahko preskočite.
- V naslednjem oknu lahko spremenite pot do imenikov baze podatkov - to storite, če vam ne ustrezajo.
- Zdaj boste videli vse možnosti, ki jih boste nastavili - preverite, ali ste jih pravilno izbrali, in nadaljujte.
- Aplikacija bo preverila, ali so predpogoji izpolnjeni, in če ni pripomb ali niso kritični, kliknite »Namesti«.
- Po končani namestitvi se bo računalnik znova zagnal.
Morda se tudi sprašujete, kako dodati uporabnika v bazo podatkov. Če želite to narediti, uporabite meni »Uporabniki ali računalniki Active Directory«, ki ga najdete v razdelku »Administracija« na nadzorni plošči, ali uporabite meni z nastavitvami baze podatkov.
Če želite dodati novega uporabnika, z desno tipko miške kliknite ime domene, izberite "Ustvari" za "Podrazdelitev". Pred vami se prikaže okno, kamor morate vnesti ime novega oddelka – služi kot mapa, kamor lahko zbirate uporabnike iz različnih oddelkov. Na enak način boste kasneje ustvarili še več oddelkov in pravilno razporedili vse zaposlene.
Nato, ko ustvarite ime oddelka, z desno miškino tipko kliknite nanj in izberite "Ustvari", za - "Uporabnik". Zdaj ostane le še vnesti potrebne podatke in nastaviti nastavitve dostopa za uporabnika.
Ko je ustvarjen nov profil, ga kliknite tako, da izberete kontekstni meni in odprete "Lastnosti". Na zavihku "Račun" počistite polje poleg "Blokiraj ...". To je vse.
Splošni zaključek je, da je Active Directory zmogljivo in uporabno orodje za upravljanje sistema, ki bo pomagalo združiti računalnike vseh zaposlenih v eno ekipo. S pomočjo storitev lahko ustvarite varno bazo podatkov in bistveno optimizirate delo in sinhronizacijo informacij med vsemi uporabniki. Če je vaše podjetje in katero koli drugo delovno mesto povezano z elektronskimi računalniki in omrežjem, morate konsolidirati račune ter spremljati delo in zasebnost, bo odlična rešitev namestitev baze podatkov, ki temelji na Active Directory.
Nastavitev Active Directory je dokaj preprost postopek in je zajeta v številnih virih na internetu, vključno z uradnimi. Vendar se na svojem blogu ne morem ne dotakniti te točke, saj bo večina naslednjih člankov tako ali drugače zasnovana na okolju, ki ga nameravam vzpostaviti prav zdaj.
Če vas zanima tema Windows Server, vam priporočam, da se obrnete na oznako na mojem blogu. Priporočam tudi, da preberete glavni članek o Active Directory -
Nameravam umestiti vlogo AD na dveh virtualnih strežnikih (prihodnjih krmilnikih domen) izmenično.
- Prvi korak je, da nastavite ustrezno imena strežnikov, zame bo DC01 in DC02;
- Naprej piši statične omrežne nastavitve(O tej točki bom podrobneje razpravljal spodaj);
- Namestite vse posodobitve sistema, zlasti varnostne posodobitve (za CD je to pomembno kot za katero koli drugo vlogo).
Na tej stopnji se morate odločiti katero ime domene boste imeli. To je izjemno pomembno, saj bo potem sprememba imena domene za vas zelo velika težava, čeprav je skript za preimenovanje uradno podprt in implementiran že dlje časa.
Opomba: n Nekaj sklepanja, pa tudi številne povezave do uporabnega gradiva, lahko najdete v mojem članku. Priporočam, da se seznanite z njim, pa tudi s seznamom uporabljenih virov.
Ker bom uporabljal virtualizirane krmilnike domene, moram spremeniti nekatere nastavitve virtualnega stroja, in sicer onemogoči časovno sinhronizacijo s hipervizorjem. Čas v AD je treba sinhronizirati izključno iz zunanjih virov. Omogočene nastavitve časovne sinhronizacije s hipervizorjem lahko povzročijo ciklično sinhronizacijo in posledično težave pri delovanju celotne domene.
Opomba: onemogočanje sinhronizacije z gostiteljem za virtualizacijo je najpreprostejša in najhitrejša možnost. Vendar to ni najboljša praksa. V skladu s priporočili Microsofta bi morali sinhronizacijo z gostiteljem le delno onemogočiti. Za razumevanje principa dela preberite uradno dokumentacijo, ki je v zadnjih letih korenito poskočila v smislu predstavitve gradiva. .
Na splošno se pristop k upravljanju virtualiziranih krmilnikov domen razlikuje zaradi nekaterih značilnosti delovanja AD DS:
Navidezna okolja predstavljajo poseben izziv za porazdeljene delovne tokove, ki se zanašajo na časovno temelječo logiko podvajanja. Podvajanje AD DS na primer uporablja enakomerno naraščajočo vrednost (imenovano USN ali zaporedna številka posodobitve), dodeljeno transakcijam v vsakem krmilniku domene. Vsak primerek baze podatkov krmilnika domene prejme tudi identifikator, imenovan InvocationID. InvocationID krmilnika domene in njegova zaporedna številka posodobitve skupaj služita kot edinstven identifikator, ki je povezan z vsako transakcijo pisanja, ki se zgodi na vsakem krmilniku domene, in mora biti edinstven v gozdu.
S tem so zaključeni osnovni koraki za pripravo okolja, nadaljujte s fazo namestitve.
Namestitev Active Directory
Namestitev poteka prek upravitelja strežnikov in v njej ni nič zapletenega, vse korake namestitve si lahko podrobno ogledate spodaj:
Sam postopek namestitve je v primerjavi s prejšnjimi različicami OS doživel nekaj sprememb:
Uvajanje domenskih storitev Active Directory (AD DS) v Windows Server 2012 je lažje in hitrejše kot prejšnje različice Windows Server. Namestitev AD DS zdaj temelji na Windows PowerShell in je integrirana z upraviteljem strežnikov. Število korakov, potrebnih za uvedbo krmilnikov domene v obstoječe okolje Active Directory, se je zmanjšalo.
Izbrati morate samo vlogo Domenske storitve Active Directory, dodatnih komponent ni treba namestiti. Postopek namestitve traja malo časa in lahko takoj nadaljujete z nastavitvijo.
Ko je vloga nameščena, boste v zgornjem desnem kotu upravitelja strežnikov videli klicaj – potrebna je konfiguracija po uvedbi. Kliknite Povečajte ta strežnik v krmilnik domene.
Promoviranje strežnika v krmilnik domene
Koraki čarovnika so podrobno opisani v dokumentaciji. Vendar pa pojdimo skozi osnovne korake.
Ker AD uvajamo iz nič, moramo dodati nov gozd. Prepričajte se, da ste varno shranili geslo za način obnovitve imenikov (DSRM). Lokacija baze podatkov AD DS lahko pustite privzeto (kar je priporočeno. Vendar sem zaradi raznolikosti v mojem testnem okolju podal drug imenik).
Čakamo na namestitev.
Strežnik se bo nato znova zagnal.
Ustvarite skrbniške račune domene/podjetja
Kot prej se boste morali prijaviti pod lokalnim skrbniškim računom. Pojdi na posnetek Uporabniki in računalniki Active Directory, ustvarite potrebne račune - na tej točki je to skrbnik domene.
Nastavitev DNS na enem DC v domeni
Med namestitvijo AD je bila nameščena tudi vloga AD DNS, saj v infrastrukturi nisem imel drugih DNS strežnikov. Za pravilno delovanje storitve morate spremeniti nekatere nastavitve. Najprej morate v nastavitvah omrežne kartice preveriti želene strežnike DNS. Uporabiti morate samo en strežnik DNS z naslovom 127.0.0.1. Da, to je lokalni gostitelj. Privzeto se mora registrirati.
Ko se prepričate, da so nastavitve pravilne, odprite DNS snap-in. Z desno tipko miške kliknite ime strežnika in odprite njegove lastnosti, pojdite na zavihek "Posredovalec". Naslov strežnika DNS, ki je bil podan v omrežnih nastavitvah pred namestitvijo vloge AD DS, je bil samodejno registriran kot edini pošiljatelj:
Treba ga je izbrisati in ustvariti novega, zelo zaželeno pa je, da je to strežnik ponudnika, ne pa javni naslov, kot sta znani 8.8.8.8 in 8.8.4.4. Za toleranco napak registrirajte vsaj dva strežnika. Ne počistite potrditvenega polja za uporabo korenskih namigov, če ni na voljo nobenih posredovanj. Korenski namigi so dobro znana skupina strežnikov DNS najvišje ravni.
Dodajanje drugega DC v domeno
Ker sem prvotno govoril o dveh krmilnikih domen, je čas, da začnemo nastavljati drugega. Gremo tudi skozi čarovnika za namestitev, vlogo povišamo na krmilnika domene, samo izberite Dodajte krmilnik domene obstoječi domeni:
Upoštevajte, da je v omrežnih nastavitvah tega strežnika glavna Prvi prej konfiguriran krmilnik domene mora biti izbran kot strežnik DNS! To je obvezno, sicer boste dobili napako.
Po potrebnih nastavitvah se prijavite v strežnik pod skrbniškim računom domene, ki je bil ustvarjen prej.
Nastavitev DNS na več DC-jih v domeni
Da preprečite težave z replikacijo, morate znova spremeniti omrežne nastavitve in to morate storiti na vsakem krmilniku domene (in tudi na že obstoječih) in vsakič, ko dodate nov DC:
Če imate v domeni več kot tri DC-je, morate registrirati strežnike DNS z naprednimi nastavitvami v tem vrstnem redu. Več o DNS si lahko preberete v mojem članku.
Nastavitev časa
Ta korak je obvezen, še posebej, če postavljate resnično okolje v produkciji. Kot se spomnite, sem prej onemogočil časovno sinhronizacijo prek hipervizorja in zdaj jo morate pravilno konfigurirati. Krmilnik z vlogo emulatorja FSMO PDC je odgovoren za porazdelitev točnega časa na celotno domeno (Ne veste, kaj je ta vloga? Preberite članek). V mojem primeru je to seveda prvi krmilnik domene, ki je od samega začetka nosilec vseh vlog FSMO. 
Na krmilnikih domen bomo konfigurirali čas s pravilniki skupine. Naj spomnimo, da so računalniški računi krmilnika domene v ločenem vsebniku in imajo ločen privzeti pravilnik skupine. Tega pravilnika vam ni treba spreminjati, bolje je ustvariti novega.
Poimenujte ga, kot se vam zdi primerno in kako bo predmet ustvarjen, z desno tipko miške kliknite - Spremeni se. Pojdi do Konfiguracija računalnika\Policies\Administrative Templates\System\Windows Time Service\Time Providers. Aktivirajte pravilnike Omogoči odjemalec Windows NTP in Omogoči strežnik Windows NTP, pojdite na lastnosti pravilnika Konfigurirajte odjemalca Windows NTP in nastavite vrsto protokola - NTP, ne dotikajte se ostalih nastavitev:
Čakamo na uporabo pravilnikov (trajalo mi je približno 5-8 minut, kljub zagonu gpupdate/force in nekaj ponovnim zagonom), nakar dobimo:
Na splošno je treba zagotoviti, da samo emulator PDC sinhronizira čas iz zunanjih virov in ne vseh krmilnikov domene zapored, vendar bo tako, saj se pravilnik skupine uporablja za vse predmete v vsebniku. Preusmeriti ga morate na določen predmet računa računalnika, ki je lastnik vloge emulatorja PDC. To se naredi tudi prek skupinskih pravilnikov – v konzoli gpmc.msc z levo miškino tipko kliknite želeni pravilnik in na desni boste videli njegove nastavitve. V varnostne filtre morate dodati račun želenega krmilnika domene:
Več o principu delovanja in nastavitvi časovnega servisa si preberite v uradni dokumentaciji.
S tem je nastavitev časa končana, s tem pa je zaključena začetna konfiguracija imenika Active Directory.
