ჩამოტვირთვები 

ოპერაციული სისტემა აქტიური დირექტორია მხარდაჭერით. Active Directory ჯგუფის პოლიტიკა: პარამეტრები. Active Directory-ის დელეგირება და კონფიგურაცია

ანოტაცია: ეს ლექცია აღწერს Active Directory დირექტორია სერვისების ძირითად კონცეფციებს. მოცემულია ქსელის უსაფრთხოების სისტემის მართვის პრაქტიკული მაგალითები. აღწერილია ჯგუფის პოლიტიკის მექანიზმი. უზრუნველყოფს წვდომას ქსელის ადმინისტრატორის ამოცანების შესახებ დირექტორია სერვისის ინფრასტრუქტურის მართვისას

თანამედროვე ქსელები ხშირად შედგება მრავალი განსხვავებული პროგრამული პლატფორმისგან და ტექნიკისა და პროგრამული უზრუნველყოფის მრავალფეროვნებისგან. მომხმარებლები ხშირად იძულებულნი არიან დაიმახსოვრონ დიდი რაოდენობით პაროლები სხვადასხვა ქსელის რესურსებზე წვდომისთვის. წვდომის უფლებები შეიძლება განსხვავდებოდეს ერთი და იგივე თანამშრომლისთვის იმისდა მიხედვით, თუ რა რესურსებით მუშაობს. ურთიერთობების მთელი ეს სიმრავლე მოითხოვს უზარმაზარ დროს ადმინისტრატორისგან და მომხმარებლისგან ანალიზისთვის, დასამახსოვრებლად და სწავლისთვის.

ასეთი ჰეტეროგენული ქსელის მართვის პრობლემის გადაწყვეტა მოიძებნა დირექტორია სერვისის შემუშავებით. დირექტორია სერვისები იძლევა შესაძლებლობას მართოთ ნებისმიერი რესურსი და სერვისი ნებისმიერი ადგილიდან, მიუხედავად ქსელის ზომის, გამოყენებული ოპერაციული სისტემებისა თუ აპარატურის სირთულისა. მომხმარებლის ინფორმაცია ერთხელ შეიტანება დირექტორია სერვისში, რის შემდეგაც ის ხელმისაწვდომი ხდება ქსელში. ელ. ფოსტის მისამართები, ჯგუფური წევრობები, წვდომის აუცილებელი უფლებები და ანგარიშები სხვადასხვა ოპერაციულ სისტემასთან მუშაობისთვის - ეს ყველაფერი იქმნება და ავტომატურად განახლდება. ადმინისტრატორის მიერ დირექტორიაში შეტანილი ნებისმიერი ცვლილება დაუყოვნებლივ განახლდება ქსელში. ადმინისტრატორებს აღარ უწევთ ფიქრი შეწყვეტილ თანამშრომლებზე - მომხმარებლის ანგარიშის დირექტორიის სერვისიდან უბრალოდ წაშლით, მათ შეუძლიათ უზრუნველყონ, რომ ამ თანამშრომლისთვის ადრე მინიჭებული ქსელის რესურსებზე წვდომის ყველა უფლება ავტომატურად წაიშლება.

ამჟამად, სხვადასხვა კომპანიების დირექტორია სერვისების უმეტესობა ეფუძნება სტანდარტს X.500. პროტოკოლი, როგორც წესი, გამოიყენება დირექტორია სერვისებში შენახულ ინფორმაციაზე წვდომისათვის (LDAP). TCP/IP ქსელების სწრაფი განვითარებით, LDAP ხდება სტანდარტი დირექტორია სერვისებისა და აპლიკაციებისთვის, რომლებიც იყენებენ დირექტორია სერვისებს.

დირექტორია სერვისი Active Directory არის Windows სისტემაზე დაფუძნებული კორპორატიული ქსელების ლოგიკური სტრუქტურის საფუძველი. ტერმინი " კატალოგი"ფართო გაგებით ნიშნავს" დირექტორია“, ა დირექტორია სერვისიკორპორატიული ქსელი არის ცენტრალიზებული კორპორატიული დირექტორია. კორპორატიული დირექტორია შეიძლება შეიცავდეს ინფორმაციას სხვადასხვა ტიპის ობიექტების შესახებ. დირექტორია სერვისი Active Directory შეიცავს ძირითადად ობიექტებს, რომლებზეც დაფუძნებულია Windows ქსელის უსაფრთხოების სისტემა - მომხმარებლის, ჯგუფის და კომპიუტერის ანგარიშები. ანგარიშები ორგანიზებულია ლოგიკურ სტრუქტურებად: დომენი, ხე, ტყე, ორგანიზაციული ერთეულები.

კურსის მასალის შესწავლის კუთხით „ქსელება“ ადმინისტრაცია„სავარჯიშო მასალის გავლის შემდეგი ვარიანტი სავსებით შესაძლებელია: ჯერ შეისწავლეთ ამ განყოფილების პირველი ნაწილი (ძირითადი ცნებებიდან დომენის კონტროლერების დაყენებამდე), შემდეგ გადადით „ფაილისა და ბეჭდვის სერვისზე“ და „ფაილისა და ბეჭდვის სერვისის“ შესწავლის შემდეგ. დაუბრუნდით "Active Directory Service Directory"-ს, რათა შეიტყოთ უფრო მოწინავე დირექტორია სერვისების კონცეფციები.

6.1 ძირითადი ტერმინები და ცნებები (ტყე, ხე, დომენი, ორგანიზაციული ერთეული). AD სახელთა სივრცის დაგეგმვა. დომენის კონტროლერების ინსტალაცია

უსაფრთხოების მართვის მოდელები: სამუშაო ჯგუფის მოდელი და ცენტრალიზებული დომენის მოდელი

როგორც ზემოთ აღინიშნა, დირექტორია სერვისების მთავარი მიზანია ქსელის უსაფრთხოების მართვა. ქსელის უსაფრთხოების საფუძველია მომხმარებლების, მომხმარებელთა ჯგუფებისა და კომპიუტერების ანგარიშების მონაცემთა ბაზა, რომლის დახმარებითაც ხდება ქსელის რესურსებზე წვდომის კონტროლი. სანამ Active Directory დირექტორია სერვისზე ვისაუბრებთ, მოდით შევადაროთ ორი მოდელი დირექტორია სერვისების მონაცემთა ბაზის შესაქმნელად და რესურსებზე წვდომის მართვისთვის.

სამუშაო ჯგუფის მოდელი

ეს კორპორატიული ქსელის უსაფრთხოების მართვის მოდელი ყველაზე პრიმიტიულია. იგი განკუთვნილია მცირე ზომის გამოსაყენებლად peer-to-peer ქსელები(3–10 კომპიუტერი) და ეფუძნება იმ ფაქტს, რომ თითოეულ კომპიუტერს ქსელში Windows NT/2000/XP/2003 ოპერაციული სისტემებით აქვს საკუთარი ლოკალური ანგარიშის მონაცემთა ბაზა და ამ ლოკალური მონაცემთა ბაზის დახმარებით წვდომა აქვს ამ რესურსებზე. კომპიუტერი კონტროლდება. ანგარიშების ადგილობრივ მონაცემთა ბაზას ეწოდება მონაცემთა ბაზა სემ (უსაფრთხოების ანგარიშის მენეჯერი) და ინახება ოპერაციული სისტემის რეესტრში. ცალკეული კომპიუტერების მონაცემთა ბაზები სრულიად იზოლირებულია ერთმანეთისგან და არანაირად არ არის დაკავშირებული ერთმანეთთან.

ამ მოდელის გამოყენებისას წვდომის კონტროლის მაგალითი ნაჩვენებია ნახ. 6.1.


ბრინჯი. 6.1.

ეს მაგალითი გვიჩვენებს ორ სერვერს (SRV-1 და SRV-2) და ორ სამუშაო სადგურს (WS-1 და WS-2). მათი SAM მონაცემთა ბაზები დანიშნულია SAM-1, SAM-2, SAM-3 და SAM-4, შესაბამისად (SAM მონაცემთა ბაზები ნაჩვენებია ოვალური სახით სურათზე). თითოეულ მონაცემთა ბაზას აქვს მომხმარებლის ანგარიშები User1 და User2. SRV-1 სერვერზე User1-ის სრული სახელი იქნება "SRV-1\User1", ხოლო User1-ის სრული სახელი WS-1 სამუშაო სადგურზე იქნება "WS-1\User1". წარმოვიდგინოთ, რომ SRV-1 სერვერზე შეიქმნა Folder საქაღალდე, რომელზეც User1-ს აქვს წვდომა ქსელში - წაკითხვა (R), User2 - წაკითხვა და ჩაწერა (RW). ამ მოდელში მთავარია ის, რომ SRV-1 კომპიუტერმა "არ იცის" არაფერი SRV-2, WS-1, WS-2 კომპიუტერების, ისევე როგორც ქსელის ყველა სხვა კომპიუტერის ანგარიშების შესახებ. თუ მომხმარებელი სახელით User1 ლოკალურად შედის სისტემაში კომპიუტერზე, მაგალითად, WS-2 (ან, როგორც ამბობენ, "შედის ლოკალური სახელით User1 კომპიუტერზე WS-2"), მაშინ როდესაც ამ კომპიუტერიდან SRV-1 სერვერის ქსელის Folder საქაღალდეზე წვდომის მცდელობისას, სერვერი მომხმარებელს მოუწოდებს შეიყვანოს სახელი და პაროლი (გამონაკლისია, თუ იგივე სახელის მქონე მომხმარებლებს აქვთ იგივე პაროლები).

Workgroup მოდელის სწავლა უფრო ადვილია და არ არის საჭირო Active Directory კომპლექსური კონცეფციების შესწავლა. მაგრამ როდესაც გამოიყენება ქსელში დიდი რაოდენობით კომპიუტერებით და ქსელის რესურსებით, ძალიან რთული ხდება მომხმარებლის სახელების და მათი პაროლების მართვა - თქვენ უნდა შექმნათ იგივე ანგარიშები იგივე პაროლებით ხელით თითოეულ კომპიუტერზე (რომელიც იზიარებს თავის რესურსებს ქსელში. ), რომელიც ძალიან შრომატევადია, ან ყველა მომხმარებლისთვის ერთი ანგარიშის შექმნა ყველასთვის ერთი პაროლით (ან პაროლის გარეშე), რაც მნიშვნელოვნად ამცირებს ინფორმაციის უსაფრთხოების დონეს. აქედან გამომდინარე, სამუშაო ჯგუფის მოდელი რეკომენდირებულია მხოლოდ ქსელებისთვის, რომელთა კომპიუტერების რაოდენობა 3-დან 10-მდეა (ან უკეთესია, არაუმეტეს 5-ზე), იმ პირობით, რომ ყველა კომპიუტერს შორის არ არის არც ერთი Windows Server გაშვებული.

დომენის მოდელი

დომენის მოდელში არის ერთი დირექტორია სერვისების მონაცემთა ბაზა, რომელიც ხელმისაწვდომია ქსელის ყველა კომპიუტერისთვის. ამ მიზნით, ქსელში დამონტაჟებულია სპეციალიზებული სერვერები, ე.წ დომენის კონტროლერები, რომლებიც ინახავს ამ მონაცემთა ბაზას მყარ დისკებზე. ნახ. 6.2. აჩვენებს დომენის მოდელის დიაგრამას. სერვერები DC-1 და DC-2 არის დომენის კონტროლერები, ისინი ინახავს დომენის ანგარიშის მონაცემთა ბაზას (თითოეული კონტროლერი ინახავს მონაცემთა ბაზის საკუთარ ასლს, მაგრამ ერთ-ერთ სერვერზე მონაცემთა ბაზაში განხორციელებული ყველა ცვლილება იმეორებს სხვა კონტროლერებს).


ბრინჯი. 6.2.

ასეთ მოდელში, თუ, მაგალითად, SRV-1 სერვერზე, რომელიც არის დომენის წევრი, უზრუნველყოფილია Folder საქაღალდეზე საზიარო წვდომა, მაშინ ამ რესურსზე წვდომის უფლებები შეიძლება მიენიჭოს არა მხოლოდ ანგარიშებს. ამ სერვერის ადგილობრივი SAM მონაცემთა ბაზა, მაგრამ, რაც მთავარია, დომენის მონაცემთა ბაზაში შენახული ანგარიშის ჩანაწერებისთვის. სურათზე, Folder საქაღალდეზე წვდომის უფლებები მოცემულია SRV-1 კომპიუტერის ერთ ლოკალურ ანგარიშზე და რამდენიმე დომენის ანგარიშზე (მომხმარებლისა და მომხმარებლის ჯგუფები). დომენის უსაფრთხოების მართვის მოდელში, მომხმარებელი რეგისტრირდება კომპიუტერზე ("შედის") თავისთან ერთად დომენის ანგარიშიდა, განურჩევლად კომპიუტერისა, რომელზეც განხორციელდა რეგისტრაცია, იღებს წვდომას საჭირო ქსელის რესურსებზე. და არ არის საჭირო თითოეულ კომპიუტერზე დიდი რაოდენობით ადგილობრივი ანგარიშების შექმნა, ყველა ჩანაწერი შეიქმნა ერთხელ დომენის მონაცემთა ბაზაში. და დომენის მონაცემთა ბაზის დახმარებით იგი ხორციელდება ცენტრალიზებული წვდომის კონტროლიქსელის რესურსებზე ქსელში კომპიუტერების რაოდენობის მიუხედავად.

Active Directory დირექტორია სერვისის მიზანი

დირექტორიაში (დირექციას) შეუძლია შეინახოს სხვადასხვა ინფორმაცია, რომელიც დაკავშირებულია მომხმარებლებთან, ჯგუფებთან, კომპიუტერებთან, ქსელურ პრინტერებთან, ფაილების გაზიარებასთან და ა.შ. - მოდით მოვუწოდებთ ყველა ამ ობიექტს. დირექტორია ასევე ინახავს ინფორმაციას თავად ობიექტის ან მისი თვისებების შესახებ, რომელსაც ეწოდება ატრიბუტები. მაგალითად, მომხმარებლის შესახებ დირექტორიაში შენახული ატრიბუტები შეიძლება იყოს მისი მენეჯერის სახელი, ტელეფონის ნომერი, მისამართი, შესვლის სახელი, პაროლი, ჯგუფები, რომლებსაც ის ეკუთვნის და მრავალი სხვა. იმისათვის, რომ დირექტორია მაღაზია სასარგებლო იყოს მომხმარებლებისთვის, უნდა არსებობდეს სერვისები, რომლებიც ურთიერთქმედებენ დირექტორიასთან. მაგალითად, შეგიძლიათ გამოიყენოთ დირექტორია, როგორც ინფორმაციის საცავი, რომელიც შეიძლება გამოყენებულ იქნას მომხმარებლის ავთენტიფიკაციისთვის, ან როგორც ადგილი, სადაც შეგიძლიათ გაგზავნოთ მოთხოვნა ობიექტის შესახებ ინფორმაციის მოსაძებნად.

Active Directory პასუხისმგებელია არა მხოლოდ ამ მცირე ობიექტების შექმნასა და ორგანიზებაზე, არამედ დიდ ობიექტებზე, როგორიცაა დომენები, OU (ორგანიზაციული ერთეულები) და საიტები.

წაიკითხეთ ქვემოთ Active Directory დირექტორია სერვისის კონტექსტში გამოყენებული ძირითადი ტერმინების შესახებ.

დირექტორია სერვისი Active Directory (შემოკლებით AD) უზრუნველყოფს რთული კორპორატიული გარემოს ეფექტურ მუშაობას შემდეგი შესაძლებლობების მიწოდებით:

  • ერთჯერადი შესვლა ქსელში; მომხმარებლებს შეუძლიათ შევიდნენ ქსელში ერთი მომხმარებლის სახელით და პაროლით და მიიღონ წვდომა ქსელის ყველა რესურსსა და სერვისზე (ქსელის ინფრასტრუქტურის სერვისები, ფაილების და ბეჭდვის სერვისები, აპლიკაციებისა და მონაცემთა ბაზის სერვერები და ა.შ.);
  • ინფორმაციის უსაფრთხოება. Active Directory-ში ჩაშენებული ავთენტიფიკაცია და რესურსებზე წვდომის კონტროლი უზრუნველყოფს ქსელის ცენტრალიზებულ უსაფრთხოებას;
  • ცენტრალიზებული მენეჯმენტი. ადმინისტრატორებს შეუძლიათ ცენტრალიზებული მართვა ყველა კორპორატიული რესურსით;
  • ადმინისტრაცია ჯგუფის პოლიტიკის გამოყენებით. როდესაც კომპიუტერი ჩატვირთულია ან მომხმარებელი სისტემაში შედის, ჯგუფის პოლიტიკის მოთხოვნები დაკმაყოფილებულია; მათი პარამეტრები ინახება ჯგუფის პოლიტიკის ობიექტები(GPO ) და ვრცელდება ყველა მომხმარებლის და კომპიუტერის ანგარიშზე, რომელიც მდებარეობს საიტებზე, დომენებში ან ორგანიზაციულ ერთეულებში;
  • DNS ინტეგრაცია. დირექტორია სერვისები მთლიანად დამოკიდებულია DNS სერვისზე ფუნქციონირებაზე. DNS სერვერებს, თავის მხრივ, შეუძლიათ შეინახონ ზონის ინფორმაცია Active Directory მონაცემთა ბაზაში;
  • დირექტორიის გაფართოება. ადმინისტრატორებს შეუძლიათ დაამატონ ახალი ობიექტების კლასები კატალოგის სქემაში ან დაამატონ ახალი ატრიბუტები არსებულ კლასებში;
  • მასშტაბურობა. Active Directory სერვისს შეუძლია მოიცავდეს ან ერთ დომენს ან რამდენიმე დომენს, რომელიც გაერთიანებულია დომენის ხეში, ხოლო ტყე შეიძლება აშენდეს რამდენიმე დომენის ხედან;
  • ინფორმაციის რეპლიკაცია. Active Directory იყენებს სერვისის ინფორმაციის რეპლიკაციას მრავალ სამაგისტრო სქემაში ( მრავალ ოსტატი), რომელიც საშუალებას გაძლევთ შეცვალოთ Active Directory მონაცემთა ბაზა ნებისმიერ დომენის კონტროლერზე. დომენში რამდენიმე კონტროლერის არსებობა უზრუნველყოფს შეცდომების ტოლერანტობას და ქსელის დატვირთვის განაწილების შესაძლებლობას;
  • კატალოგის შეკითხვის მოქნილობა. Active Directory მონაცემთა ბაზა შეიძლება გამოყენებულ იქნას ნებისმიერი AD ობიექტის სწრაფად მოსაძიებლად მისი თვისებების გამოყენებით (მაგალითად, მომხმარებლის სახელი ან ელექტრონული ფოსტის მისამართი, პრინტერის ტიპი ან მდებარეობა და ა.შ.);
  • სტანდარტული პროგრამირების ინტერფეისები. პროგრამული უზრუნველყოფის შემქმნელებისთვის, დირექტორია სერვისი უზრუნველყოფს წვდომას დირექტორიას ყველა მახასიათებელზე და მხარს უჭერს ინდუსტრიის სტანდარტებს და პროგრამირების ინტერფეისებს (API).

Active Directory-ში შეიძლება შეიქმნას სხვადასხვა ობიექტების ფართო სპექტრი. ობიექტი არის უნიკალური ერთეული დირექტორიაში და, როგორც წესი, აქვს მრავალი ატრიბუტი, რომელიც ეხმარება მის აღწერასა და ამოცნობას. მომხმარებლის ანგარიში არის ობიექტის მაგალითი. ობიექტის ამ ტიპს შეიძლება ჰქონდეს მრავალი ატრიბუტი, როგორიცაა სახელი, გვარი, პაროლი, ტელეფონის ნომერი, მისამართი და მრავალი სხვა. ანალოგიურად, გაზიარებული პრინტერი ასევე შეიძლება იყოს ობიექტი Active Directory-ში და მისი ატრიბუტებია მისი სახელი, მდებარეობა და ა.შ. ობიექტის ატრიბუტები არა მხოლოდ გეხმარებათ ობიექტის განსაზღვრაში, არამედ საშუალებას გაძლევთ მოძებნოთ ობიექტები დირექტორიაში.

ტერმინოლოგია

დირექტორია სერვისი Windows Server სისტემები აგებულია ზოგადად მიღებულ ტექნოლოგიურ სტანდარტებზე. დირექტორია სერვისების თავდაპირველი სტანდარტი იყო X.500, რომელიც გამიზნული იყო იერარქიული ხის მსგავსი მასშტაბური დირექტორიების ასაგებად, რომელთაც შეუძლიათ გააფართოვონ როგორც ობიექტების კლასები, ასევე თითოეული ცალკეული კლასის ატრიბუტების (თვისებების) ნაკრები. თუმცა, ამ სტანდარტის პრაქტიკული განხორციელება არაეფექტური აღმოჩნდა შესრულების თვალსაზრისით. შემდეგ, X.500 სტანდარტზე დაყრდნობით, შემუშავდა დირექტორიას მშენებლობის სტანდარტის გამარტივებული (მსუბუქი) ვერსია, ე.წ. LDAP (მსუბუქი დირექტორიაში წვდომის პროტოკოლი). LDAP პროტოკოლი ინარჩუნებს X.500-ის ყველა ძირითად თვისებას (იერარქიული დირექტორიის აგების სისტემა, მასშტაბურობა, გაფართოებადობა), მაგრამ ამავე დროს ამ სტანდარტის პრაქტიკაში საკმაოდ ეფექტური დანერგვის საშუალებას იძლევა. ტერმინი " მსუბუქი " (" მსუბუქი") სახელით LDAP ასახავს პროტოკოლის შემუშავების მთავარ მიზანს: შექმნას ინსტრუმენტარიუმის შექმნა დირექტორია სერვისის შესაქმნელად, რომელსაც აქვს საკმარისი ფუნქციონალური ძალა ძირითადი პრობლემების გადასაჭრელად, მაგრამ არ არის გადატვირთული რთული ტექნოლოგიებით, რომლებიც ახორციელებენ დირექტორია სერვისების განხორციელებას. არაეფექტური ამჟამად, LDAP არის სტანდარტული მეთოდი ინფორმაციის ონლაინ დირექტორიების წვდომისთვის და თამაშობს ძირითად როლს ბევრ პროდუქტში, როგორიცაა. ავთენტიფიკაციის სისტემები, ელექტრონული ფოსტის პროგრამები და ელექტრონული კომერციის აპლიკაციები. დღეს ბაზარზე 60-ზე მეტი კომერციული LDAP სერვერია, მათგან დაახლოებით 90% არის დამოუკიდებელი LDAP დირექტორია სერვერები, დანარჩენი კი სხვა აპლიკაციების კომპონენტებად არის შემოთავაზებული.

LDAP პროტოკოლი ნათლად განსაზღვრავს დირექტორია ოპერაციების დიაპაზონს, რომლის შესრულებაც კლიენტის აპლიკაციას შეუძლია. ეს ოპერაციები იყოფა ხუთ ჯგუფად:

  • კატალოგთან კავშირის დამყარება;
  • მასში ინფორმაციის მოძიება;
  • მისი შინაარსის მოდიფიკაცია;
  • ობიექტის დამატება;
  • ობიექტის წაშლა.

გარდა LDAP პროტოკოლისა დირექტორია სერვისი Active Directory ასევე იყენებს ავტორიზაციის პროტოკოლს კერბეროსიდა DNS სერვისი ქსელში დირექტორია სერვისის კომპონენტების საძიებლად (დომენის კონტროლერები, გლობალური კატალოგის სერვერები, Kerberos სერვისი და ა.შ.).

დომენი

Active Directory უსაფრთხოების ძირითადი ერთეულია დომენი. დომენი ქმნის ადმინისტრაციული პასუხისმგებლობის არეალს. დომენის მონაცემთა ბაზა შეიცავს ანგარიშებს მომხმარებლები, ჯგუფებიდა კომპიუტერები. დირექტორია სერვისის მართვის ფუნქციების უმეტესობა მოქმედებს დომენის დონეზე (მომხმარებლის ავთენტიფიკაცია, რესურსებზე წვდომის კონტროლი, სერვისების მართვა, რეპლიკაციის მართვა, უსაფრთხოების პოლიტიკა).

Active Directory დომენური სახელები იქმნება ისევე, როგორც სახელები DNS სახელთა სივრცეში. და ეს შემთხვევითი არ არის. DNS სერვისი არის დომენის კომპონენტების პოვნის საშუალება - პირველ რიგში დომენის კონტროლერები.

დომენის კონტროლერები- სპეციალური სერვერები, რომლებიც ინახავს Active Directory მონაცემთა ბაზის ნაწილს, რომელიც შეესაბამება მოცემულ დომენს. დომენის კონტროლერების ძირითადი ფუნქციები:

  • Active Directory მონაცემთა ბაზის შენახვა(კატალოგში შემავალი ინფორმაციის ხელმისაწვდომობის ორგანიზაცია, ამ ინფორმაციის მართვისა და მისი მოდიფიკაციის ჩათვლით);
  • AD-ში ცვლილებების სინქრონიზაცია(AD მონაცემთა ბაზაში ცვლილებების შეტანა შესაძლებელია დომენის ნებისმიერ კონტროლერზე, ერთ-ერთ კონტროლერზე განხორციელებული ნებისმიერი ცვლილება სინქრონიზებული იქნება სხვა კონტროლერებზე შენახულ ასლებთან);
  • მომხმარებლის ავტორიზაცია(დომენის ნებისმიერი კონტროლერი ამოწმებს კლიენტის სისტემებზე დარეგისტრირებულ მომხმარებლების უფლებამოსილებას).

მკაცრად რეკომენდირებულია მინიმუმ ორი დომენის კონტროლერის დაყენება თითოეულ დომენში - პირველ რიგში, Active Directory მონაცემთა ბაზის დაკარგვისგან დაცვის მიზნით რომელიმე კონტროლერის გაუმართაობის შემთხვევაში და მეორეც, დატვირთვის განაწილება controllers.it.company.ru-ს შორის. არსებობს ქვედომენი dev.it.company.ru, რომელიც შექმნილია IT სერვისის პროგრამული უზრუნველყოფის განვითარების განყოფილებისთვის.

  • დირექტორია სერვისების ადმინისტრირების დეცენტრალიზაცია (მაგალითად, იმ შემთხვევაში, როდესაც კომპანიას აქვს ერთმანეთისგან გეოგრაფიულად დაშორებული ფილიალები და ტექნიკური მიზეზების გამო რთულია ცენტრალიზებული მართვა);
  • პროდუქტიულობის გაზრდის მიზნით (მომხმარებლებისა და სერვერების დიდი რაოდენობის მქონე კომპანიებისთვის აქტუალურია დომენის კონტროლერების მუშაობის გაზრდის საკითხი);
  • რეპლიკაციის უფრო ეფექტური მართვისთვის (თუ დომენის კონტროლერები ერთმანეთისგან დაშორებულია, მაშინ ერთში რეპლიკაციას შეიძლება მეტი დრო დასჭირდეს და არასინქრონიზებული მონაცემების გამოყენებით პრობლემები შექმნას);
    • ტყის ძირეული დომენი ( ტყის ფესვების დომენი), ამ დომენის წაშლა შეუძლებელია (ის ინახავს ინფორმაციას ტყის კონფიგურაციისა და დომენის ხეების შესახებ, რომლებიც ქმნიან მას).

ორგანიზაციული ერთეულები (OU).

ორგანიზაციული განყოფილებები (ორგანიზაციული ერთეულები, OU) - კონტეინერები AD-ში, რომლებიც შექმნილია ობიექტების მიზნებისთვის გაერთიანებისთვის ადმინისტრაციული უფლებების დელეგირებადა ჯგუფის პოლიტიკის გამოყენებადომენში. OP არსებობს მხოლოდ დომენებშიდა შეიძლება გაერთიანდეს მხოლოდ ობიექტები თქვენი დომენიდან. OP-ები შეიძლება იყოს ჩადებული ერთმანეთში, რაც საშუალებას გაძლევთ შექმნათ რთული ხის მსგავსი კონტეინერების იერარქია დომენში და განახორციელოთ უფრო მოქნილი ადმინისტრაციული კონტროლი. გარდა ამისა, OPs შეიძლება შეიქმნას კომპანიის ადმინისტრაციული იერარქიისა და ორგანიზაციული სტრუქტურის ასახვისთვის.

გლობალური კატალოგი

გლობალური კატალოგიარის სია ყველა ობიექტი, რომლებიც არსებობს Active Directory ტყეში. ნაგულისხმევად, დომენის კონტროლერები შეიცავს ინფორმაციას მხოლოდ მათი დომენის ობიექტების შესახებ. გლობალური კატალოგის სერვერიარის დომენის კონტროლერი, რომელიც შეიცავს ინფორმაციას მოცემულ ტყეში ნაპოვნი ყველა ობიექტის (თუმცა არა ამ ობიექტების ყველა ატრიბუტის) შესახებ.

Active Directory - გაფართოებადი და მასშტაბირებადი Active Directory დირექტორია სერვისი საშუალებას გაძლევთ ეფექტურად მართოთ ქსელის რესურსები.
აქტიური დირექტორიაარის იერარქიულად ორგანიზებული მონაცემთა საცავი ქსელის ობიექტების შესახებ, რომელიც უზრუნველყოფს ამ მონაცემების ძიებისა და გამოყენების მოსახერხებელ საშუალებებს. კომპიუტერს, რომელიც მუშაობს Active Directory-ს, ეწოდება დომენის კონტროლერი. თითქმის ყველა ადმინისტრაციული ამოცანა დაკავშირებულია Active Directory-თან.
Active Directory ტექნოლოგია ეფუძნება სტანდარტულ ინტერნეტ პროტოკოლებს და გვეხმარება მკაფიოდ განსაზღვროს ქსელის სტრუქტურა, წაიკითხეთ მეტი, თუ როგორ უნდა განათავსოთ Active Directory დომენი ნულიდან აქ.

Active Directory და DNS

Active Directory იყენებს დომენის სახელების სისტემას.

Active Directory სერვისის გამოყენებით, კომპიუტერული ანგარიშები იქმნება, დაკავშირებულია დომენთან და იმართება კომპიუტერები, დომენის კონტროლერები და ორგანიზაციული ერთეულები (OU).

ადმინისტრაცია და დამხმარე ინსტრუმენტები მოწოდებულია Active Directory-ის სამართავად. ქვემოთ ჩამოთვლილი ინსტრუმენტები ასევე დანერგილია როგორც snap-ის სახით MMC კონსოლში (Microsoft Management Console):

Active Directory Users and Computers გაძლევთ საშუალებას მართოთ მომხმარებლები, ჯგუფები, კომპიუტერები და ორგანიზაციული ერთეულები (OU);

Active Directory - დომენები და ტრასტები (Active Directory Domains and Trusts) გამოიყენება დომენებთან, დომენის ხეებთან და დომენის ტყეებთან სამუშაოდ;

Active Directory Sites and Services გაძლევთ საშუალებას მართოთ საიტები და ქვექსელები;

პოლიტიკის შედეგიანი ნაკრები გამოიყენება მომხმარებლის ან სისტემის მიმდინარე პოლიტიკის სანახავად და პოლიტიკაში ცვლილებების დასაგეგმად.

Microsoft Windows 2003 Server-ში ამ სნეპ-ინებზე წვდომა შეგიძლიათ პირდაპირ ადმინისტრაციული ხელსაწყოების მენიუდან.

კიდევ ერთი ადმინისტრაციული ინსტრუმენტი, Active Directory Schema snap-in, გაძლევთ საშუალებას მართოთ და შეცვალოთ დირექტორიას სქემა.

Active Directory ობიექტების სამართავად, არსებობს ბრძანების ხაზის ინსტრუმენტები, რომლებიც საშუალებას გაძლევთ შეასრულოთ ადმინისტრაციული ამოცანების ფართო სპექტრი:

DSADD - ამატებს კომპიუტერებს, კონტაქტებს, ჯგუფებს, OU-ებს და მომხმარებლებს Active Directory-ში.

DSGET - აჩვენებს Active Directory-ში რეგისტრირებული კომპიუტერების, კონტაქტების, ჯგუფების, OU-ების, მომხმარებლების, საიტების, ქვექსელების და სერვერების თვისებებს.

DSMOD - ცვლის Active Directory-ში რეგისტრირებული კომპიუტერების, კონტაქტების, ჯგუფების, OP-ების, მომხმარებლებისა და სერვერების თვისებებს.

DSMOVE - გადააქვს ერთი ობიექტი ახალ მდებარეობაზე დომენში ან გადარქმევს ობიექტს გადატანის გარეშე.

DSQXJERY - ეძებს კომპიუტერებს, კონტაქტებს, ჯგუფებს, OP-ებს, მომხმარებლებს, საიტებს, ქვექსელებსა და სერვერებს Active Directory-ში მითითებული კრიტერიუმების მიხედვით.

DSRM - შლის ობიექტს Active Directory-დან.

NTDSUTIL - საშუალებას გაძლევთ ნახოთ ინფორმაცია საიტის, დომენის ან სერვერის შესახებ, მართოთ ოპერაციების მასტერები და შეინახოთ Active Directory მონაცემთა ბაზა.

ანოტაცია: ეს ლექცია აღწერს Active Directory დირექტორია სერვისების ძირითად კონცეფციებს. მოცემულია ქსელის უსაფრთხოების სისტემის მართვის პრაქტიკული მაგალითები. აღწერილია ჯგუფის პოლიტიკის მექანიზმი. უზრუნველყოფს წვდომას ქსელის ადმინისტრატორის ამოცანების შესახებ დირექტორია სერვისის ინფრასტრუქტურის მართვისას

თანამედროვე ქსელები ხშირად შედგება მრავალი განსხვავებული პროგრამული პლატფორმისგან და ტექნიკისა და პროგრამული უზრუნველყოფის მრავალფეროვნებისგან. მომხმარებლები ხშირად იძულებულნი არიან დაიმახსოვრონ დიდი რაოდენობით პაროლები სხვადასხვა ქსელის რესურსებზე წვდომისთვის. წვდომის უფლებები შეიძლება განსხვავდებოდეს ერთი და იგივე თანამშრომლისთვის იმისდა მიხედვით, თუ რა რესურსებით მუშაობს. ურთიერთობების მთელი ეს სიმრავლე მოითხოვს უზარმაზარ დროს ადმინისტრატორისგან და მომხმარებლისგან ანალიზისთვის, დასამახსოვრებლად და სწავლისთვის.

ასეთი ჰეტეროგენული ქსელის მართვის პრობლემის გადაწყვეტა მოიძებნა დირექტორია სერვისის შემუშავებით. დირექტორია სერვისები იძლევა შესაძლებლობას მართოთ ნებისმიერი რესურსი და სერვისი ნებისმიერი ადგილიდან, მიუხედავად ქსელის ზომის, გამოყენებული ოპერაციული სისტემებისა თუ აპარატურის სირთულისა. მომხმარებლის ინფორმაცია ერთხელ შეიტანება დირექტორია სერვისში, რის შემდეგაც ის ხელმისაწვდომი ხდება ქსელში. ელ. ფოსტის მისამართები, ჯგუფური წევრობები, წვდომის აუცილებელი უფლებები და ანგარიშები სხვადასხვა ოპერაციულ სისტემასთან მუშაობისთვის - ეს ყველაფერი იქმნება და ავტომატურად განახლდება. ადმინისტრატორის მიერ დირექტორიაში შეტანილი ნებისმიერი ცვლილება დაუყოვნებლივ განახლდება ქსელში. ადმინისტრატორებს აღარ უწევთ ფიქრი შეწყვეტილ თანამშრომლებზე - მომხმარებლის ანგარიშის დირექტორიის სერვისიდან უბრალოდ წაშლით, მათ შეუძლიათ უზრუნველყონ, რომ ამ თანამშრომლისთვის ადრე მინიჭებული ქსელის რესურსებზე წვდომის ყველა უფლება ავტომატურად წაიშლება.

ამჟამად, სხვადასხვა კომპანიების დირექტორია სერვისების უმეტესობა ეფუძნება სტანდარტს X.500. პროტოკოლი, როგორც წესი, გამოიყენება დირექტორია სერვისებში შენახულ ინფორმაციაზე წვდომისათვის (LDAP). TCP/IP ქსელების სწრაფი განვითარებით, LDAP ხდება სტანდარტი დირექტორია სერვისებისა და აპლიკაციებისთვის, რომლებიც იყენებენ დირექტორია სერვისებს.

დირექტორია სერვისი Active Directory არის Windows სისტემაზე დაფუძნებული კორპორატიული ქსელების ლოგიკური სტრუქტურის საფუძველი. ტერმინი " კატალოგი"ფართო გაგებით ნიშნავს" დირექტორია“, ა დირექტორია სერვისიკორპორატიული ქსელი არის ცენტრალიზებული კორპორატიული დირექტორია. კორპორატიული დირექტორია შეიძლება შეიცავდეს ინფორმაციას სხვადასხვა ტიპის ობიექტების შესახებ. დირექტორია სერვისი Active Directory შეიცავს ძირითადად ობიექტებს, რომლებზეც დაფუძნებულია Windows ქსელის უსაფრთხოების სისტემა - მომხმარებლის, ჯგუფის და კომპიუტერის ანგარიშები. ანგარიშები ორგანიზებულია ლოგიკურ სტრუქტურებად: დომენი, ხე, ტყე, ორგანიზაციული ერთეულები.

კურსის მასალის შესწავლის კუთხით „ქსელება“ ადმინისტრაცია„სავარჯიშო მასალის გავლის შემდეგი ვარიანტი სავსებით შესაძლებელია: ჯერ შეისწავლეთ ამ განყოფილების პირველი ნაწილი (ძირითადი ცნებებიდან დომენის კონტროლერების დაყენებამდე), შემდეგ გადადით „ფაილისა და ბეჭდვის სერვისზე“ და „ფაილისა და ბეჭდვის სერვისის“ შესწავლის შემდეგ. დაუბრუნდით "Active Directory Service Directory"-ს, რათა შეიტყოთ უფრო მოწინავე დირექტორია სერვისების კონცეფციები.

6.1 ძირითადი ტერმინები და ცნებები (ტყე, ხე, დომენი, ორგანიზაციული ერთეული). AD სახელთა სივრცის დაგეგმვა. დომენის კონტროლერების ინსტალაცია

უსაფრთხოების მართვის მოდელები: სამუშაო ჯგუფის მოდელი და ცენტრალიზებული დომენის მოდელი

როგორც ზემოთ აღინიშნა, დირექტორია სერვისების მთავარი მიზანია ქსელის უსაფრთხოების მართვა. ქსელის უსაფრთხოების საფუძველია მომხმარებლების, მომხმარებელთა ჯგუფებისა და კომპიუტერების ანგარიშების მონაცემთა ბაზა, რომლის დახმარებითაც ხდება ქსელის რესურსებზე წვდომის კონტროლი. სანამ Active Directory დირექტორია სერვისზე ვისაუბრებთ, მოდით შევადაროთ ორი მოდელი დირექტორია სერვისების მონაცემთა ბაზის შესაქმნელად და რესურსებზე წვდომის მართვისთვის.

სამუშაო ჯგუფის მოდელი

ეს კორპორატიული ქსელის უსაფრთხოების მართვის მოდელი ყველაზე პრიმიტიულია. იგი განკუთვნილია მცირე ზომის გამოსაყენებლად peer-to-peer ქსელები(3–10 კომპიუტერი) და ეფუძნება იმ ფაქტს, რომ თითოეულ კომპიუტერს ქსელში Windows NT/2000/XP/2003 ოპერაციული სისტემებით აქვს საკუთარი ლოკალური ანგარიშის მონაცემთა ბაზა და ამ ლოკალური მონაცემთა ბაზის დახმარებით წვდომა აქვს ამ რესურსებზე. კომპიუტერი კონტროლდება. ანგარიშების ადგილობრივ მონაცემთა ბაზას ეწოდება მონაცემთა ბაზა სემ (უსაფრთხოების ანგარიშის მენეჯერი) და ინახება ოპერაციული სისტემის რეესტრში. ცალკეული კომპიუტერების მონაცემთა ბაზები სრულიად იზოლირებულია ერთმანეთისგან და არანაირად არ არის დაკავშირებული ერთმანეთთან.

ამ მოდელის გამოყენებისას წვდომის კონტროლის მაგალითი ნაჩვენებია ნახ. 6.1.


ბრინჯი. 6.1.

ეს მაგალითი გვიჩვენებს ორ სერვერს (SRV-1 და SRV-2) და ორ სამუშაო სადგურს (WS-1 და WS-2). მათი SAM მონაცემთა ბაზები დანიშნულია SAM-1, SAM-2, SAM-3 და SAM-4, შესაბამისად (SAM მონაცემთა ბაზები ნაჩვენებია ოვალური სახით სურათზე). თითოეულ მონაცემთა ბაზას აქვს მომხმარებლის ანგარიშები User1 და User2. SRV-1 სერვერზე User1-ის სრული სახელი იქნება "SRV-1\User1", ხოლო User1-ის სრული სახელი WS-1 სამუშაო სადგურზე იქნება "WS-1\User1". წარმოვიდგინოთ, რომ SRV-1 სერვერზე შეიქმნა Folder საქაღალდე, რომელზეც User1-ს აქვს წვდომა ქსელში - წაკითხვა (R), User2 - წაკითხვა და ჩაწერა (RW). ამ მოდელში მთავარია ის, რომ SRV-1 კომპიუტერმა "არ იცის" არაფერი SRV-2, WS-1, WS-2 კომპიუტერების, ისევე როგორც ქსელის ყველა სხვა კომპიუტერის ანგარიშების შესახებ. თუ მომხმარებელი სახელით User1 ლოკალურად შედის სისტემაში კომპიუტერზე, მაგალითად, WS-2 (ან, როგორც ამბობენ, "შედის ლოკალური სახელით User1 კომპიუტერზე WS-2"), მაშინ როდესაც ამ კომპიუტერიდან SRV-1 სერვერის ქსელის Folder საქაღალდეზე წვდომის მცდელობისას, სერვერი მომხმარებელს მოუწოდებს შეიყვანოს სახელი და პაროლი (გამონაკლისია, თუ იგივე სახელის მქონე მომხმარებლებს აქვთ იგივე პაროლები).

Workgroup მოდელის სწავლა უფრო ადვილია და არ არის საჭირო Active Directory კომპლექსური კონცეფციების შესწავლა. მაგრამ როდესაც გამოიყენება ქსელში დიდი რაოდენობით კომპიუტერებით და ქსელის რესურსებით, ძალიან რთული ხდება მომხმარებლის სახელების და მათი პაროლების მართვა - თქვენ უნდა შექმნათ იგივე ანგარიშები იგივე პაროლებით ხელით თითოეულ კომპიუტერზე (რომელიც იზიარებს თავის რესურსებს ქსელში. ), რომელიც ძალიან შრომატევადია, ან ყველა მომხმარებლისთვის ერთი ანგარიშის შექმნა ყველასთვის ერთი პაროლით (ან პაროლის გარეშე), რაც მნიშვნელოვნად ამცირებს ინფორმაციის უსაფრთხოების დონეს. აქედან გამომდინარე, სამუშაო ჯგუფის მოდელი რეკომენდირებულია მხოლოდ ქსელებისთვის, რომელთა კომპიუტერების რაოდენობა 3-დან 10-მდეა (ან უკეთესია, არაუმეტეს 5-ზე), იმ პირობით, რომ ყველა კომპიუტერს შორის არ არის არც ერთი Windows Server გაშვებული.

დომენის მოდელი

დომენის მოდელში არის ერთი დირექტორია სერვისების მონაცემთა ბაზა, რომელიც ხელმისაწვდომია ქსელის ყველა კომპიუტერისთვის. ამ მიზნით, ქსელში დამონტაჟებულია სპეციალიზებული სერვერები, ე.წ დომენის კონტროლერები, რომლებიც ინახავს ამ მონაცემთა ბაზას მყარ დისკებზე. ნახ. 6.2. აჩვენებს დომენის მოდელის დიაგრამას. სერვერები DC-1 და DC-2 არის დომენის კონტროლერები, ისინი ინახავს დომენის ანგარიშის მონაცემთა ბაზას (თითოეული კონტროლერი ინახავს მონაცემთა ბაზის საკუთარ ასლს, მაგრამ ერთ-ერთ სერვერზე მონაცემთა ბაზაში განხორციელებული ყველა ცვლილება იმეორებს სხვა კონტროლერებს).


ბრინჯი. 6.2.

ასეთ მოდელში, თუ, მაგალითად, SRV-1 სერვერზე, რომელიც არის დომენის წევრი, უზრუნველყოფილია Folder საქაღალდეზე საზიარო წვდომა, მაშინ ამ რესურსზე წვდომის უფლებები შეიძლება მიენიჭოს არა მხოლოდ ანგარიშებს. ამ სერვერის ადგილობრივი SAM მონაცემთა ბაზა, მაგრამ, რაც მთავარია, დომენის მონაცემთა ბაზაში შენახული ანგარიშის ჩანაწერებისთვის. სურათზე, Folder საქაღალდეზე წვდომის უფლებები მოცემულია SRV-1 კომპიუტერის ერთ ლოკალურ ანგარიშზე და რამდენიმე დომენის ანგარიშზე (მომხმარებლისა და მომხმარებლის ჯგუფები). დომენის უსაფრთხოების მართვის მოდელში, მომხმარებელი რეგისტრირდება კომპიუტერზე ("შედის") თავისთან ერთად დომენის ანგარიშიდა, განურჩევლად კომპიუტერისა, რომელზეც განხორციელდა რეგისტრაცია, იღებს წვდომას საჭირო ქსელის რესურსებზე. და არ არის საჭირო თითოეულ კომპიუტერზე დიდი რაოდენობით ადგილობრივი ანგარიშების შექმნა, ყველა ჩანაწერი შეიქმნა ერთხელ დომენის მონაცემთა ბაზაში. და დომენის მონაცემთა ბაზის დახმარებით იგი ხორციელდება ცენტრალიზებული წვდომის კონტროლიქსელის რესურსებზე ქსელში კომპიუტერების რაოდენობის მიუხედავად.

Active Directory დირექტორია სერვისის მიზანი

დირექტორიაში (დირექციას) შეუძლია შეინახოს სხვადასხვა ინფორმაცია, რომელიც დაკავშირებულია მომხმარებლებთან, ჯგუფებთან, კომპიუტერებთან, ქსელურ პრინტერებთან, ფაილების გაზიარებასთან და ა.შ. - მოდით მოვუწოდებთ ყველა ამ ობიექტს. დირექტორია ასევე ინახავს ინფორმაციას თავად ობიექტის ან მისი თვისებების შესახებ, რომელსაც ეწოდება ატრიბუტები. მაგალითად, მომხმარებლის შესახებ დირექტორიაში შენახული ატრიბუტები შეიძლება იყოს მისი მენეჯერის სახელი, ტელეფონის ნომერი, მისამართი, შესვლის სახელი, პაროლი, ჯგუფები, რომლებსაც ის ეკუთვნის და მრავალი სხვა. იმისათვის, რომ დირექტორია მაღაზია სასარგებლო იყოს მომხმარებლებისთვის, უნდა არსებობდეს სერვისები, რომლებიც ურთიერთქმედებენ დირექტორიასთან. მაგალითად, შეგიძლიათ გამოიყენოთ დირექტორია, როგორც ინფორმაციის საცავი, რომელიც შეიძლება გამოყენებულ იქნას მომხმარებლის ავთენტიფიკაციისთვის, ან როგორც ადგილი, სადაც შეგიძლიათ გაგზავნოთ მოთხოვნა ობიექტის შესახებ ინფორმაციის მოსაძებნად.

Active Directory პასუხისმგებელია არა მხოლოდ ამ მცირე ობიექტების შექმნასა და ორგანიზებაზე, არამედ დიდ ობიექტებზე, როგორიცაა დომენები, OU (ორგანიზაციული ერთეულები) და საიტები.

წაიკითხეთ ქვემოთ Active Directory დირექტორია სერვისის კონტექსტში გამოყენებული ძირითადი ტერმინების შესახებ.

დირექტორია სერვისი Active Directory (შემოკლებით AD) უზრუნველყოფს რთული კორპორატიული გარემოს ეფექტურ მუშაობას შემდეგი შესაძლებლობების მიწოდებით:

  • ერთჯერადი შესვლა ქსელში; მომხმარებლებს შეუძლიათ შევიდნენ ქსელში ერთი მომხმარებლის სახელით და პაროლით და მიიღონ წვდომა ქსელის ყველა რესურსსა და სერვისზე (ქსელის ინფრასტრუქტურის სერვისები, ფაილების და ბეჭდვის სერვისები, აპლიკაციებისა და მონაცემთა ბაზის სერვერები და ა.შ.);
  • ინფორმაციის უსაფრთხოება. Active Directory-ში ჩაშენებული ავთენტიფიკაცია და რესურსებზე წვდომის კონტროლი უზრუნველყოფს ქსელის ცენტრალიზებულ უსაფრთხოებას;
  • ცენტრალიზებული მენეჯმენტი. ადმინისტრატორებს შეუძლიათ ცენტრალიზებული მართვა ყველა კორპორატიული რესურსით;
  • ადმინისტრაცია ჯგუფის პოლიტიკის გამოყენებით. როდესაც კომპიუტერი ჩატვირთულია ან მომხმარებელი სისტემაში შედის, ჯგუფის პოლიტიკის მოთხოვნები დაკმაყოფილებულია; მათი პარამეტრები ინახება ჯგუფის პოლიტიკის ობიექტები(GPO ) და ვრცელდება ყველა მომხმარებლის და კომპიუტერის ანგარიშზე, რომელიც მდებარეობს საიტებზე, დომენებში ან ორგანიზაციულ ერთეულებში;
  • DNS ინტეგრაცია. დირექტორია სერვისები მთლიანად დამოკიდებულია DNS სერვისზე ფუნქციონირებაზე. DNS სერვერებს, თავის მხრივ, შეუძლიათ შეინახონ ზონის ინფორმაცია Active Directory მონაცემთა ბაზაში;
  • დირექტორიის გაფართოება. ადმინისტრატორებს შეუძლიათ დაამატონ ახალი ობიექტების კლასები კატალოგის სქემაში ან დაამატონ ახალი ატრიბუტები არსებულ კლასებში;
  • მასშტაბურობა. Active Directory სერვისს შეუძლია მოიცავდეს ან ერთ დომენს ან რამდენიმე დომენს, რომელიც გაერთიანებულია დომენის ხეში, ხოლო ტყე შეიძლება აშენდეს რამდენიმე დომენის ხედან;
  • ინფორმაციის რეპლიკაცია. Active Directory იყენებს სერვისის ინფორმაციის რეპლიკაციას მრავალ სამაგისტრო სქემაში ( მრავალ ოსტატი), რომელიც საშუალებას გაძლევთ შეცვალოთ Active Directory მონაცემთა ბაზა ნებისმიერ დომენის კონტროლერზე. დომენში რამდენიმე კონტროლერის არსებობა უზრუნველყოფს შეცდომების ტოლერანტობას და ქსელის დატვირთვის განაწილების შესაძლებლობას;
  • კატალოგის შეკითხვის მოქნილობა. Active Directory მონაცემთა ბაზა შეიძლება გამოყენებულ იქნას ნებისმიერი AD ობიექტის სწრაფად მოსაძიებლად მისი თვისებების გამოყენებით (მაგალითად, მომხმარებლის სახელი ან ელექტრონული ფოსტის მისამართი, პრინტერის ტიპი ან მდებარეობა და ა.შ.);
  • სტანდარტული პროგრამირების ინტერფეისები. პროგრამული უზრუნველყოფის შემქმნელებისთვის, დირექტორია სერვისი უზრუნველყოფს წვდომას დირექტორიას ყველა მახასიათებელზე და მხარს უჭერს ინდუსტრიის სტანდარტებს და პროგრამირების ინტერფეისებს (API).

Active Directory-ში შეიძლება შეიქმნას სხვადასხვა ობიექტების ფართო სპექტრი. ობიექტი არის უნიკალური ერთეული დირექტორიაში და, როგორც წესი, აქვს მრავალი ატრიბუტი, რომელიც ეხმარება მის აღწერასა და ამოცნობას. მომხმარებლის ანგარიში არის ობიექტის მაგალითი. ობიექტის ამ ტიპს შეიძლება ჰქონდეს მრავალი ატრიბუტი, როგორიცაა სახელი, გვარი, პაროლი, ტელეფონის ნომერი, მისამართი და მრავალი სხვა. ანალოგიურად, გაზიარებული პრინტერი ასევე შეიძლება იყოს ობიექტი Active Directory-ში და მისი ატრიბუტებია მისი სახელი, მდებარეობა და ა.შ. ობიექტის ატრიბუტები არა მხოლოდ გეხმარებათ ობიექტის განსაზღვრაში, არამედ საშუალებას გაძლევთ მოძებნოთ ობიექტები დირექტორიაში.

ტერმინოლოგია

დირექტორია სერვისი Windows Server სისტემები აგებულია ზოგადად მიღებულ ტექნოლოგიურ სტანდარტებზე. დირექტორია სერვისების თავდაპირველი სტანდარტი იყო X.500, რომელიც გამიზნული იყო იერარქიული ხის მსგავსი მასშტაბური დირექტორიების ასაგებად, რომელთაც შეუძლიათ გააფართოვონ როგორც ობიექტების კლასები, ასევე თითოეული ცალკეული კლასის ატრიბუტების (თვისებების) ნაკრები. თუმცა, ამ სტანდარტის პრაქტიკული განხორციელება არაეფექტური აღმოჩნდა შესრულების თვალსაზრისით. შემდეგ, X.500 სტანდარტზე დაყრდნობით, შემუშავდა დირექტორიას მშენებლობის სტანდარტის გამარტივებული (მსუბუქი) ვერსია, ე.წ. LDAP (მსუბუქი დირექტორიაში წვდომის პროტოკოლი). LDAP პროტოკოლი ინარჩუნებს X.500-ის ყველა ძირითად თვისებას (იერარქიული დირექტორიის აგების სისტემა, მასშტაბურობა, გაფართოებადობა), მაგრამ ამავე დროს ამ სტანდარტის პრაქტიკაში საკმაოდ ეფექტური დანერგვის საშუალებას იძლევა. ტერმინი " მსუბუქი " (" მსუბუქი") სახელით LDAP ასახავს პროტოკოლის შემუშავების მთავარ მიზანს: შექმნას ინსტრუმენტარიუმის შექმნა დირექტორია სერვისის შესაქმნელად, რომელსაც აქვს საკმარისი ფუნქციონალური ძალა ძირითადი პრობლემების გადასაჭრელად, მაგრამ არ არის გადატვირთული რთული ტექნოლოგიებით, რომლებიც ახორციელებენ დირექტორია სერვისების განხორციელებას. არაეფექტური ამჟამად, LDAP არის სტანდარტული მეთოდი ინფორმაციის ონლაინ დირექტორიების წვდომისთვის და თამაშობს ძირითად როლს ბევრ პროდუქტში, როგორიცაა. ავთენტიფიკაციის სისტემები, ელექტრონული ფოსტის პროგრამები და ელექტრონული კომერციის აპლიკაციები. დღეს ბაზარზე 60-ზე მეტი კომერციული LDAP სერვერია, მათგან დაახლოებით 90% არის დამოუკიდებელი LDAP დირექტორია სერვერები, დანარჩენი კი სხვა აპლიკაციების კომპონენტებად არის შემოთავაზებული.

LDAP პროტოკოლი ნათლად განსაზღვრავს დირექტორია ოპერაციების დიაპაზონს, რომლის შესრულებაც კლიენტის აპლიკაციას შეუძლია. ეს ოპერაციები იყოფა ხუთ ჯგუფად:

  • კატალოგთან კავშირის დამყარება;
  • მასში ინფორმაციის მოძიება;
  • მისი შინაარსის მოდიფიკაცია;
  • ობიექტის დამატება;
  • ობიექტის წაშლა.

გარდა LDAP პროტოკოლისა დირექტორია სერვისი Active Directory ასევე იყენებს ავტორიზაციის პროტოკოლს კერბეროსიდა DNS სერვისი ქსელში დირექტორია სერვისის კომპონენტების საძიებლად (დომენის კონტროლერები, გლობალური კატალოგის სერვერები, Kerberos სერვისი და ა.შ.).

დომენი

Active Directory უსაფრთხოების ძირითადი ერთეულია დომენი. დომენი ქმნის ადმინისტრაციული პასუხისმგებლობის არეალს. დომენის მონაცემთა ბაზა შეიცავს ანგარიშებს მომხმარებლები, ჯგუფებიდა კომპიუტერები. დირექტორია სერვისის მართვის ფუნქციების უმეტესობა მოქმედებს დომენის დონეზე (მომხმარებლის ავთენტიფიკაცია, რესურსებზე წვდომის კონტროლი, სერვისების მართვა, რეპლიკაციის მართვა, უსაფრთხოების პოლიტიკა).

Active Directory დომენური სახელები იქმნება ისევე, როგორც სახელები DNS სახელთა სივრცეში. და ეს შემთხვევითი არ არის. DNS სერვისი არის დომენის კომპონენტების პოვნის საშუალება - პირველ რიგში დომენის კონტროლერები.

დომენის კონტროლერები- სპეციალური სერვერები, რომლებიც ინახავს Active Directory მონაცემთა ბაზის ნაწილს, რომელიც შეესაბამება მოცემულ დომენს. დომენის კონტროლერების ძირითადი ფუნქციები:

  • Active Directory მონაცემთა ბაზის შენახვა(კატალოგში შემავალი ინფორმაციის ხელმისაწვდომობის ორგანიზაცია, ამ ინფორმაციის მართვისა და მისი მოდიფიკაციის ჩათვლით);
  • AD-ში ცვლილებების სინქრონიზაცია(AD მონაცემთა ბაზაში ცვლილებების შეტანა შესაძლებელია დომენის ნებისმიერ კონტროლერზე, ერთ-ერთ კონტროლერზე განხორციელებული ნებისმიერი ცვლილება სინქრონიზებული იქნება სხვა კონტროლერებზე შენახულ ასლებთან);
  • მომხმარებლის ავტორიზაცია(დომენის ნებისმიერი კონტროლერი ამოწმებს კლიენტის სისტემებზე დარეგისტრირებულ მომხმარებლების უფლებამოსილებას).

მკაცრად რეკომენდირებულია მინიმუმ ორი დომენის კონტროლერის დაყენება თითოეულ დომენში - პირველ რიგში, Active Directory მონაცემთა ბაზის დაკარგვისგან დაცვის მიზნით რომელიმე კონტროლერის გაუმართაობის შემთხვევაში და მეორეც, დატვირთვის განაწილება controllers.it.company.ru-ს შორის. არსებობს ქვედომენი dev.it.company.ru, რომელიც შექმნილია IT სერვისის პროგრამული უზრუნველყოფის განვითარების განყოფილებისთვის.

  • დირექტორია სერვისების ადმინისტრირების დეცენტრალიზაცია (მაგალითად, იმ შემთხვევაში, როდესაც კომპანიას აქვს ერთმანეთისგან გეოგრაფიულად დაშორებული ფილიალები და ტექნიკური მიზეზების გამო რთულია ცენტრალიზებული მართვა);
  • პროდუქტიულობის გაზრდის მიზნით (მომხმარებლებისა და სერვერების დიდი რაოდენობის მქონე კომპანიებისთვის აქტუალურია დომენის კონტროლერების მუშაობის გაზრდის საკითხი);
  • რეპლიკაციის უფრო ეფექტური მართვისთვის (თუ დომენის კონტროლერები ერთმანეთისგან დაშორებულია, მაშინ ერთში რეპლიკაციას შეიძლება მეტი დრო დასჭირდეს და არასინქრონიზებული მონაცემების გამოყენებით პრობლემები შექმნას);
    • ტყის ძირეული დომენი ( ტყის ფესვების დომენი), ამ დომენის წაშლა შეუძლებელია (ის ინახავს ინფორმაციას ტყის კონფიგურაციისა და დომენის ხეების შესახებ, რომლებიც ქმნიან მას).

ორგანიზაციული ერთეულები (OU).

ორგანიზაციული განყოფილებები (ორგანიზაციული ერთეულები, OU) - კონტეინერები AD-ში, რომლებიც შექმნილია ობიექტების მიზნებისთვის გაერთიანებისთვის ადმინისტრაციული უფლებების დელეგირებადა ჯგუფის პოლიტიკის გამოყენებადომენში. OP არსებობს მხოლოდ დომენებშიდა შეიძლება გაერთიანდეს მხოლოდ ობიექტები თქვენი დომენიდან. OP-ები შეიძლება იყოს ჩადებული ერთმანეთში, რაც საშუალებას გაძლევთ შექმნათ რთული ხის მსგავსი კონტეინერების იერარქია დომენში და განახორციელოთ უფრო მოქნილი ადმინისტრაციული კონტროლი. გარდა ამისა, OPs შეიძლება შეიქმნას კომპანიის ადმინისტრაციული იერარქიისა და ორგანიზაციული სტრუქტურის ასახვისთვის.

გლობალური კატალოგი

გლობალური კატალოგიარის სია ყველა ობიექტი, რომლებიც არსებობს Active Directory ტყეში. ნაგულისხმევად, დომენის კონტროლერები შეიცავს ინფორმაციას მხოლოდ მათი დომენის ობიექტების შესახებ. გლობალური კატალოგის სერვერიარის დომენის კონტროლერი, რომელიც შეიცავს ინფორმაციას მოცემულ ტყეში ნაპოვნი ყველა ობიექტის (თუმცა არა ამ ობიექტების ყველა ატრიბუტის) შესახებ.


დომენი არის ძირითადი ადმინისტრაციული ერთეული საწარმოს ქსელის ინფრასტრუქტურაში, რომელიც მოიცავს ყველა ქსელის ობიექტს, როგორიცაა მომხმარებლები, კომპიუტერები, პრინტერები, აქციები და ა.შ. დომენების კოლექციას (იერარქიას) უწოდებენ ტყეს. თითოეულ კომპანიას შეიძლება ჰქონდეს გარე და შიდა დომენი.

მაგალითად, ვებსაიტი არის გარე დომენი ინტერნეტში, რომელიც შეძენილია სახელების რეგისტრატორისგან. ეს დომენი მასპინძლობს ჩვენს ვებ საიტს და ფოსტის სერვერს. lankey.local არის Active Directory დირექტორია სერვისის შიდა დომენი, რომელიც მასპინძლობს მომხმარებლის, კომპიუტერის, პრინტერის, სერვერის და კორპორატიული აპლიკაციის ანგარიშებს. ზოგჯერ გარე და შიდა დომენური სახელები მზადდება ერთნაირად.

Microsoft Active Directory გახდა სტანდარტი საწარმოთა ერთიანი დირექტორია სისტემებისთვის. Active Directory-ზე დაფუძნებული დომენი დანერგილია მსოფლიოს თითქმის ყველა კომპანიაში და Microsoft-ს პრაქტიკულად არ ჰყავს კონკურენტები ამ ბაზარზე, იგივე Novell Directory Service (NDS) წილი უმნიშვნელოა, ხოლო დანარჩენი კომპანიები თანდათან გადადიან აქტიური დირექტორია.

Active Directory (Directory Service) არის განაწილებული მონაცემთა ბაზა, რომელიც შეიცავს დომენის ყველა ობიექტს. Active Directory დომენის გარემო უზრუნველყოფს ავთენტიფიკაციისა და ავტორიზაციის ერთ წერტილს მომხმარებლებისთვის და აპლიკაციებისთვის მთელი საწარმოსთვის. სწორედ დომენის ორგანიზებით და Active Directory-ის განლაგებით იწყება საწარმოს IT ინფრასტრუქტურის მშენებლობა. Active Directory მონაცემთა ბაზა ინახება სპეციალურ სერვერებზე - დომენის კონტროლერებზე. Active Directory არის როლი Microsoft Windows Server სერვერის ოპერაციულ სისტემებში. LanKey ამჟამად ახორციელებს Active Directory დომენებს Windows Server 2008 R2 ოპერაციული სისტემის საფუძველზე.

Active Directory-ის დანერგვა სამუშაო ჯგუფზე უზრუნველყოფს შემდეგ სარგებელს:

  • ავთენტიფიკაციის ერთი წერტილი. როდესაც კომპიუტერები მუშაობენ სამუშაო ჯგუფში, მათ არ აქვთ ერთი მომხმარებლის მონაცემთა ბაზა. ამიტომ, ნაგულისხმევად, არცერთ მომხმარებელს არ აქვს ქსელური წვდომა სხვა მომხმარებლის კომპიუტერზე ან სერვერზე. და, როგორც მოგეხსენებათ, ქსელის წერტილი არის ზუსტად ის, რომ მომხმარებლებს შეუძლიათ ურთიერთქმედება. თანამშრომლებმა უნდა გაიზიარონ დოკუმენტები ან განაცხადები. სამუშაო ჯგუფში, თითოეულ კომპიუტერზე ან სერვერზე, თქვენ მოგიწევთ ხელით დაამატოთ მომხმარებელთა სრული სია, რომლებიც საჭიროებენ ქსელში წვდომას. თუ მოულოდნელად ერთ-ერთ თანამშრომელს სურს შეცვალოს პაროლი, მაშინ ის უნდა შეიცვალოს ყველა კომპიუტერზე და სერვერზე. კარგია, თუ ქსელი შედგება 10 კომპიუტერისგან, მაგრამ თუ მათგან 100 ან 1000 იქნება, მაშინ სამუშაო ჯგუფის გამოყენება მიუღებელია. Active Directory დომენის გამოყენებისას, ყველა მომხმარებლის ანგარიში ინახება ერთ მონაცემთა ბაზაში და ყველა კომპიუტერი მას ავტორიზაციისთვის ეძებს. დომენის ყველა მომხმარებელი შედის შესაბამის ჯგუფებში, მაგალითად, "ბუღალტერია", "ადამიანური რესურსები", "ფინანსთა დეპარტამენტი" და ა.შ. საკმარისია გარკვეული ჯგუფებისთვის ნებართვების ერთხელ დაყენება და ყველა მომხმარებელს ექნება შესაბამისი წვდომა დოკუმენტებსა და აპლიკაციებზე. თუ კომპანიაში ახალი თანამშრომელი შემოდის, მისთვის ექაუნთი იქმნება, რომელიც შედის შესაბამის ჯგუფში და ეს არის! რამდენიმე წუთის შემდეგ, ახალი თანამშრომელი იღებს წვდომას ყველა ქსელურ რესურსზე, რომლებზეც მას უნდა მიეცეს წვდომა, ყველა სერვერზე და კომპიუტერზე. თუ თანამშრომელი დატოვებს, მაშინ საკმარისია მისი ანგარიშის დაბლოკვა ან წაშლა და ის მაშინვე დაკარგავს წვდომას ყველა კომპიუტერზე, დოკუმენტსა და აპლიკაციაზე.
  • პოლიტიკის მართვის ერთი წერტილი. Peer-to-peer ქსელში (სამუშაო ჯგუფში) ყველა კომპიუტერს აქვს თანაბარი უფლებები. არცერთ კომპიუტერს არ შეუძლია მართოს მეორე, ყველა კომპიუტერი სხვაგვარად არის კონფიგურირებული და შეუძლებელია ერთიანი პოლიტიკის ან უსაფრთხოების წესების დაცვის მონიტორინგი. ერთი Active Directory-ის გამოყენებისას, ყველა მომხმარებელი და კომპიუტერი იერარქიულად ნაწილდება ორგანიზაციულ ერთეულებზე, რომელთაგან თითოეული ექვემდებარება იმავე ჯგუფის პოლიტიკას. პოლიტიკა საშუალებას გაძლევთ დააყენოთ ერთიანი პარამეტრები და უსაფრთხოების პარამეტრები კომპიუტერებისა და მომხმარებლების ჯგუფისთვის. როდესაც დომენს ემატება ახალი კომპიუტერი ან მომხმარებელი, ის ავტომატურად იღებს პარამეტრებს, რომლებიც შეესაბამება მიღებულ კორპორატიულ სტანდარტებს. ასევე, პოლიტიკის გამოყენებით, შეგიძლიათ ცენტრალიზებულად მიაკუთვნოთ ქსელის პრინტერები მომხმარებლებს, დააინსტალიროთ საჭირო აპლიკაციები, დააყენოთ ინტერნეტ ბრაუზერის უსაფრთხოების პარამეტრები, დააკონფიგურიროთ Microsoft Office აპლიკაციები და ა.შ.
  • ინტეგრაცია კორპორატიულ აპლიკაციებთან და აღჭურვილობასთან. Active Directory-ის დიდი უპირატესობა არის მისი შესაბამისობა LDAP სტანდარტთან, რომელსაც მხარს უჭერს ასობით აპლიკაცია, როგორიცაა ფოსტის სერვერები (Exchange, Lotus, Mdaemon), ERP სისტემები (Dynamics, CRM), პროქსი სერვერები (ISA Server, Squid) და ა.შ. უფრო მეტიც, ეს არის არა მხოლოდ აპლიკაციები Microsoft Windows-ისთვის, არამედ Linux-ზე დაფუძნებული სერვერებიც. ასეთი ინტეგრაციის უპირატესობებია ის, რომ მომხმარებელს არ სჭირდება შესვლისა და პაროლების დიდი რაოდენობის დამახსოვრება კონკრეტულ აპლიკაციაში წვდომისათვის, მომხმარებელს აქვს იგივე სერთიფიკატები, რადგან მისი ავთენტიფიკაცია ხდება ერთ Active Directory-ში. გარდა ამისა, დასაქმებულს არ სჭირდება მომხმარებლის სახელის და პაროლის რამდენჯერმე შეყვანა, საკმარისია კომპიუტერის გაშვებისას ერთხელ შევიდეს სისტემაში, ხოლო მომავალში მომხმარებელი ავტომატურად დამოწმებული იქნება ყველა აპლიკაციაში. Windows Server უზრუნველყოფს RADIUS პროტოკოლს Active Directory-თან ინტეგრაციისთვის, რომელსაც მხარს უჭერს დიდი რაოდენობით ქსელური აღჭურვილობა. ამ გზით შეგიძლიათ, მაგალითად, უზრუნველყოთ ავთენტიფიკაცია დომენის მომხმარებლებისთვის CISCO როუტერთან VPN-ით დაკავშირებისას.
  • ერთიანი აპლიკაციის კონფიგურაციის საცავი. ზოგიერთი აპლიკაცია ინახავს მათ კონფიგურაციას Active Directory-ში, როგორიცაა Exchange Server ან Office Communications Server. ამ აპლიკაციების მუშაობის წინაპირობაა Active Directory დირექტორია სერვისის გამოყენება. თქვენ ასევე შეგიძლიათ შეინახოთ DNS დომენის სახელის სერვერის კონფიგურაცია დირექტორია სერვისში. აპლიკაციის კონფიგურაციის შენახვა დირექტორია სერვისში გთავაზობთ მოქნილობისა და საიმედოობის სარგებელს. მაგალითად, Exchange სერვერის სრული უკმარისობის შემთხვევაში, მისი მთელი კონფიგურაცია ხელუხლებელი დარჩება, რადგან ინახება Active Directory-ში. და კორპორატიული ფოსტის ფუნქციონირების აღსადგენად, საკმარისი იქნება Exchange სერვერის ხელახლა ინსტალაცია აღდგენის რეჟიმში.
  • ინფორმაციული უსაფრთხოების დონის ამაღლება. Active Directory-ის გამოყენება მნიშვნელოვნად ზრდის ქსელის უსაფრთხოების დონეს. პირველ რიგში, ეს არის ერთი და უსაფრთხო ანგარიშის საცავი. Peer-to-peer ქსელში მომხმარებლის რწმუნებათა სიგელები ინახება ლოკალური ანგარიშის მონაცემთა ბაზაში (SAM), რომელიც თეორიულად შეიძლება გატეხილი იყოს კომპიუტერის ხელში ჩაგდებით. დომენის გარემოში, დომენის მომხმარებლის ყველა პაროლი ინახება სპეციალურ დომენის კონტროლერ სერვერებზე, რომლებიც, როგორც წესი, დაცულია გარე წვდომისგან. მეორეც, დომენის გარემოს გამოყენებისას, ავთენტიფიკაციისთვის გამოიყენება Kerberos პროტოკოლი, რაც ბევრად უფრო უსაფრთხოა ვიდრე NTLM, რომელიც გამოიყენება სამუშაო ჯგუფებში. თქვენ ასევე შეგიძლიათ გამოიყენოთ ორფაქტორიანი ავთენტიფიკაცია ჭკვიანი ბარათების გამოყენებით მომხმარებლების სისტემაში შესვლისთვის. იმათ. იმისათვის, რომ თანამშრომელმა შეძლოს კომპიუტერზე წვდომა, მას დასჭირდება შესვლა და პაროლი, ასევე სმარტ ბარათის ჩასმა.

Active Directory მასშტაბურობა და გამძლეობა

Microsoft Active Directory დირექტორია სერვისი ძალიან მასშტაბირებადია. Active Directory-ის ტყეში შეიძლება შეიქმნას 2 მილიარდზე მეტი ობიექტი, რაც საშუალებას აძლევს დირექტორია სერვისის დანერგვას ასიათასობით კომპიუტერით და მომხმარებლის მქონე კომპანიებში. დომენების იერარქიული სტრუქტურა საშუალებას გაძლევთ მოქნილად გააფართოვოთ IT ინფრასტრუქტურა კომპანიების ყველა ფილიალსა და რეგიონულ განყოფილებაში. კომპანიის თითოეული ფილიალისთვის ან განყოფილებისთვის შეიძლება შეიქმნას ცალკე დომენი, თავისი პოლიტიკით, საკუთარი მომხმარებლებით და ჯგუფებით. თითოეული ბავშვის დომენისთვის ადმინისტრაციული უფლებამოსილება შეიძლება გადაეცეს ადგილობრივი სისტემის ადმინისტრატორებს. ამავდროულად, ბავშვთა დომენები კვლავ ექვემდებარება მათ მშობლებს.

გარდა ამისა, Active Directory გაძლევთ საშუალებას დააკონფიგურიროთ ნდობის ურთიერთობები დომენის ტყეებს შორის. თითოეულ კომპანიას აქვს დომენების საკუთარი ტყე, თითოეულს აქვს საკუთარი რესურსები. მაგრამ ზოგჯერ თქვენ გჭირდებათ თქვენი კორპორატიული რესურსების წვდომა პარტნიორი კომპანიების თანამშრომლებისთვის. მაგალითად, ერთობლივ პროექტებში მონაწილეობისას, პარტნიორი კომპანიების თანამშრომლებს შეიძლება დასჭირდეთ ერთად მუშაობა საერთო დოკუმენტებზე ან განაცხადებზე. ამისათვის შეიძლება შეიქმნას ნდობის ურთიერთობები ორგანიზაციულ ტყეებს შორის, რაც საშუალებას მისცემს ერთი ორგანიზაციის თანამშრომლებს შევიდნენ მეორის დომენში.

დირექტორია სერვისის შეცდომების ტოლერანტობა უზრუნველყოფილია 2 ან მეტი სერვერის - დომენის კონტროლერების განლაგებით თითოეულ დომენში. ყველა ცვლილება ავტომატურად იმეორებს დომენის კონტროლერებს შორის. თუ დომენის ერთ-ერთი კონტროლერი ვერ ხერხდება, ქსელის ფუნქციონირება არ იმოქმედებს, რადგან დანარჩენები აგრძელებენ მუშაობას. გამძლეობის დამატებითი დონე უზრუნველყოფილია DNS სერვერების განთავსებით დომენის კონტროლერებზე Active Directory-ში, რაც საშუალებას აძლევს თითოეულ დომენს ჰქონდეს რამდენიმე DNS სერვერი, რომელიც ემსახურება დომენის ძირითად ზონას. და თუ ერთ-ერთი DNS სერვერი ვერ მოხერხდება, დანარჩენი გააგრძელებს მუშაობას და ისინი ხელმისაწვდომი იქნება როგორც კითხვისთვის, ასევე წერისთვის, რაც შეუძლებელია, მაგალითად, BIND DNS სერვერების გამოყენებით Linux-ზე დაფუძნებული.

Windows Server 2008 R2-ზე განახლების უპირატესობები

მაშინაც კი, თუ თქვენს კომპანიას უკვე აქვს Active Directory კატალოგის სერვისი, რომელიც მუშაობს Windows Server 2003-ზე, შეგიძლიათ მიიღოთ მრავალი სარგებელი Windows Server 2008 R2-ზე განახლებით. Windows Server 2008 R2 გთავაზობთ შემდეგ დამატებით ფუნქციებს:

    მხოლოდ წაკითხვადი დომენის კონტროლერი RODC (მხოლოდ წაკითხვადი დომენის კონტროლერი). დომენის კონტროლერები ინახავენ მომხმარებლის ანგარიშებს, სერთიფიკატებს და ბევრ სხვა მგრძნობიარე ინფორმაციას. თუ სერვერები განლაგებულია დაცულ მონაცემთა ცენტრებში, მაშინ შეგიძლიათ მშვიდად იყოთ ამ ინფორმაციის უსაფრთხოებასთან დაკავშირებით, მაგრამ რა უნდა გააკეთოთ, თუ დომენის კონტროლერი მდებარეობს ფილიალში, საჯაროდ ხელმისაწვდომ ადგილას. ამ შემთხვევაში, არსებობს შესაძლებლობა, რომ სერვერი მოიპაროს თავდამსხმელებმა და გატეხონ. და შემდეგ ისინი იყენებენ ამ მონაცემებს თქვენს კორპორატიულ ქსელზე თავდასხმის ორგანიზებისთვის, რათა მოიპარონ ან გაანადგურონ ინფორმაცია. ასეთი შემთხვევების თავიდან ასაცილებლად ფილიალები აყენებენ მხოლოდ წაკითხვის დომენის კონტროლერებს (RODC). ჯერ ერთი, RODC კონტროლერები არ ინახავენ მომხმარებლის პაროლებს, არამედ მხოლოდ ქეშირებენ მათ წვდომის დასაჩქარებლად და მეორეც, ისინი იყენებენ ცალმხრივ რეპლიკაციას, მხოლოდ ცენტრალური სერვერებიდან ფილიალამდე, მაგრამ არა უკან. და მაშინაც კი, თუ თავდამსხმელები აიღებენ RODC დომენის კონტროლერს, ისინი არ მიიღებენ მომხმარებლის პაროლებს და ვერ შეძლებენ ზიანი მიაყენონ მთავარ ქსელს.

    წაშლილი Active Directory ობიექტების აღდგენა. თითქმის ყველა სისტემის ადმინისტრატორს შეექმნა შემთხვევით წაშლილი მომხმარებლის ანგარიშის ან მომხმარებელთა მთელი ჯგუფის აღდგენის აუცილებლობა. Windows 2003-ში ეს მოითხოვდა დირექტორია სერვისის აღდგენას სარეზერვო ასლიდან, რომელიც ხშირად არ არსებობდა, მაგრამ ასეთიც რომ ყოფილიყო, აღდგენას დიდი დრო დასჭირდა. Windows Server 2008 R2-მა გააცნო Active Directory Recycle Bin. ახლა, როდესაც თქვენ წაშლით მომხმარებელს ან კომპიუტერს, ის მიდის გადასამუშავებელ ურნაში, საიდანაც შესაძლებელია მისი აღდგენა რამდენიმე წუთში 180 დღის განმავლობაში, ყველა ორიგინალური ატრიბუტის შენარჩუნებით.

    გამარტივებული მენეჯმენტი. Windows Server 2008 R2 მოიცავს მთელ რიგ ცვლილებებს, რომლებიც მნიშვნელოვნად ამცირებს დატვირთვას სისტემის ადმინისტრატორებზე და აადვილებს IT ინფრასტრუქტურის მართვას. მაგალითად, გამოჩნდა ისეთი ინსტრუმენტები, როგორიცაა: Active Directory ცვლილებების აუდიტი, რომელიც აჩვენებს ვინ რა და როდის შეცვალა; პაროლის სირთულის პოლიტიკის კონფიგურაცია შესაძლებელია მომხმარებელთა ჯგუფის დონეზე, ადრე ეს შესაძლებელი იყო მხოლოდ დომენის დონეზე; ახალი მომხმარებლის და კომპიუტერული მართვის ინსტრუმენტები; პოლიტიკის შაბლონები; მართვა PowerShell ბრძანების ხაზის გამოყენებით და ა.შ.

Active Directory-ის დანერგვა

Active Directory დირექტორიას სერვისი წარმოადგენს საწარმოს IT ინფრასტრუქტურის გულს. თუ ის ვერ მოხერხდება, მთელი ქსელი, ყველა სერვერი და ყველა მომხმარებლის მუშაობა პარალიზდება. ვერავინ შეძლებს კომპიუტერში შესვლას ან მის დოკუმენტებსა და აპლიკაციებს. ამიტომ, დირექტორია სერვისი ყურადღებით უნდა იყოს შემუშავებული და განლაგებული, ყველა შესაძლო ნიუანსის გათვალისწინებით. მაგალითად, საიტების სტრუქტურა უნდა აშენდეს ქსელის ფიზიკური ტოპოლოგიისა და არხების სიმძლავრის საფუძველზე კომპანიის ფილიალებსა და ოფისებს შორის, რადგან ეს პირდაპირ გავლენას ახდენს მომხმარებლის შესვლის სიჩქარეზე, ასევე დომენის კონტროლერებს შორის რეპლიკაციაზე. გარდა ამისა, საიტის ტოპოლოგიაზე დაყრდნობით, Exchange Server 2007/2010 ასრულებს ფოსტის მარშრუტიზაციას. თქვენ ასევე გჭირდებათ სწორად გამოთვალოთ გლობალური კატალოგის სერვერების რაოდენობა და განლაგება, რომლებიც ინახავენ უნივერსალურ ჯგუფების სიებს და ბევრ სხვა ჩვეულებრივ გამოყენებულ ატრიბუტს ტყეში ყველა დომენში. ამიტომ კომპანიები აკისრებენ Active Directory დირექტორია სერვისის დანერგვას, რეორგანიზაციას ან მიგრაციას სისტემის ინტეგრატორებს. თუმცა, არ უნდა დაუშვათ შეცდომა სისტემური ინტეგრატორის არჩევისას, უნდა დარწმუნდეთ, რომ ის არის სერთიფიცირებული ამ ტიპის სამუშაოს შესასრულებლად და აქვს შესაბამისი კომპეტენციები.

LanKey არის სერტიფიცირებული სისტემის ინტეგრატორი და აქვს Microsoft Gold Certified Partner-ის სტატუსი. LanKey-ს აქვს მონაცემთა ცენტრის პლატფორმის (Advanced Infrastructure Solutions) კომპეტენცია, რაც ადასტურებს ჩვენს გამოცდილებას და კვალიფიკაციას Active Directory-ის დანერგვასთან და Microsoft-ის სერვერული გადაწყვეტილებების დანერგვასთან დაკავშირებულ საკითხებში.


პროექტებში ყველა სამუშაოს ასრულებენ Microsoft-ის სერტიფიცირებული ინჟინრები MCSE, MCITP, რომლებსაც აქვთ დიდი გამოცდილება დიდ და რთულ პროექტებში IT ინფრასტრუქტურის ასაშენებლად და Active Directory დომენების დანერგვის მიზნით.

LanKey განავითარებს IT ინფრასტრუქტურას, განათავსებს Active Directory დირექტორია სერვისს და უზრუნველყოფს ყველა არსებული საწარმოს რესურსების გაერთიანებას ერთ საინფორმაციო სივრცეში. Active Directory-ის დანერგვა ხელს შეუწყობს საინფორმაციო სისტემის საკუთრების მთლიანი ღირებულების შემცირებას, ასევე გაზრდის საერთო რესურსების გაზიარების ეფექტურობას. LanKey ასევე გთავაზობთ სერვისებს დომენის მიგრაციისთვის, IT ინფრასტრუქტურის კონსოლიდაციისა და გამოყოფისთვის შერწყმისა და შესყიდვის დროს, საინფორმაციო სისტემების შენარჩუნებასა და მხარდაჭერაზე.

LanKey-ის მიერ განხორციელებული Active Directory განხორციელების პროექტის მაგალითები:

დამკვეთი ხსნარის აღწერა

2011 წლის დეკემბერში კომპანია OJSC SIBUR-Minudobreniya (მოგვიანებით ეწოდა OJSC SDS-Azot) ჰოლდინგი ციმბირის ბიზნეს კავშირის 100% აქციების შესყიდვის ტრანზაქციასთან დაკავშირებით, გაჩნდა საჭიროება OJSC SDS-ის IT ინფრასტრუქტურის გამოყოფა - აზოტი“ SIBUR Holding ქსელიდან.

კომპანია LanKey-მ გადაიტანა SIBUR-Minudobreniya განყოფილების Active Directory დირექტორია სერვისი SIBUR ჰოლდინგის ქსელიდან ახალ ინფრასტრუქტურაში. ასევე მოხდა მომხმარებლის ანგარიშების, კომპიუტერების და აპლიკაციების მიგრაცია. პროექტის შედეგებიდან გამომდინარე, დამკვეთისგან მიღებული იქნა მადლობის წერილი.
ბიზნესის რესტრუქტურიზაციასთან დაკავშირებით, Active Directory დირექტორია სერვისი განლაგდა ცენტრალურ ოფისში და 50 მოსკოვის და რეგიონულ მაღაზიაში. დირექტორია სერვისი უზრუნველყოფდა საწარმოს ყველა რესურსის ცენტრალიზებულ მართვას, ასევე ყველა მომხმარებლის ავთენტიფიკაციას და ავტორიზაციას.
როგორც საწარმოს IT ინფრასტრუქტურის შექმნის ყოვლისმომცველი პროექტის ნაწილი, LanKey-მ განათავსა Active Directory დომენი მმართველი კომპანიისთვის და 3 რეგიონალური განყოფილებისთვის. თითოეული ფილიალისთვის შეიქმნა ცალკე საიტი; ასევე განთავსდა სერტიფიცირების სერვისები. ყველა სერვისი განლაგებული იყო ვირტუალურ მანქანებზე, რომლებიც მუშაობენ Microsoft Hyper-V-ზე. მიმოხილვით აღინიშნა LanKey კომპანიის მუშაობის ხარისხი.
კორპორატიული საინფორმაციო სისტემის შექმნის ყოვლისმომცველი პროექტის ფარგლებში, Active Directory დირექტორია სერვისი განლაგდა Windows Server 2008 R2-ის საფუძველზე. სისტემა განლაგდა სერვერის ვირტუალიზაციის ტექნოლოგიის გამოყენებით, რომელიც მუშაობს Microsoft Hyper-V. დირექტორია სერვისი უზრუნველყოფდა ერთიან ავთენტიფიკაციას და ავტორიზაციას საავადმყოფოს ყველა თანამშრომლისთვის, ასევე უზრუნველყოფდა ისეთი აპლიკაციების ფუნქციონირებას, როგორიცაა Exchange, TMG, SQL და ა.შ.



Active Directory დირექტორია სერვისი განლაგდა Windows Server 2008 R2-ზე. ხარჯების შემცირების მიზნით, ინსტალაცია განხორციელდა სერვერის ვირტუალიზაციის სისტემაში, რომელიც დაფუძნებულია Microsoft Hyper-V-ზე.
როგორც საწარმოს IT ინფრასტრუქტურის შექმნის ყოვლისმომცველი პროექტის ნაწილი, განლაგდა Windows Server 2008 R2-ზე დაფუძნებული დირექტორია სერვისი. დომენის ყველა კონტროლერი განლაგდა Microsoft Hyper-V სერვერის ვირტუალიზაციის სისტემის გამოყენებით. სამუშაოს ხარისხი დასტურდება მომხმარებლისგან მიღებული გამოხმაურებით.


Active Directory დირექტორია სერვისის ფუნქციონირება აღდგა უმოკლეს დროში კრიტიკულ ბიზნეს სიტუაციაში. LanKey-ის სპეციალისტებმა სიტყვასიტყვით აღადგინეს root დომენის ფუნქციონირება სულ რაღაც რამდენიმე საათში და დაწერეს ინსტრუქციები 80 ფილიალის რეპლიკაციის აღდგენისთვის. ჩვენ მივიღეთ მომხმარებლისგან გამოხმაურება სამუშაოს ეფექტურობისა და ხარისხის შესახებ.
IT ინფრასტრუქტურის შექმნის ყოვლისმომცველი პროექტის ფარგლებში, Active Directory დომენი განლაგდა Windows Server 2008 R2-ზე დაფუძნებული. დირექტორია სერვისის ფუნქციონირება უზრუნველყოფილი იყო 5 დომენის კონტროლერის გამოყენებით, რომლებიც განლაგებულია ვირტუალური მანქანების კლასტერზე. დირექტორია სერვისის სარეზერვო ასლი შეიქმნა Microsoft Data Protection Manager 2010-ის გამოყენებით და განიხილება ხარისხზე.

კორპორატიული საინფორმაციო სისტემის აგების ყოვლისმომცველი პროექტის ფარგლებში, Active Directory ერთიანი დირექტორია სერვისი განლაგდა Windows Server 2008-ზე დაყრდნობით. IT ინფრასტრუქტურა აშენდა Hyper-V ვირტუალიზაციის გამოყენებით. პროექტის დასრულების შემდეგ დაიდო ხელშეკრულება საინფორმაციო სისტემის შემდგომი მოვლა-პატრონობის შესახებ. სამუშაოს ხარისხი დასტურდება მიმოხილვით.
ნავთობისა და გაზის ტექნოლოგიები როგორც IT ინფრასტრუქტურის შექმნის ყოვლისმომცველი პროექტის ნაწილი, განლაგდა ერთი Active Directory დირექტორია Windows Server 2008 R2-ზე დაფუძნებული. პროექტი 1 თვეში დასრულდა. პროექტის დასრულების შემდეგ დაიდო ხელშეკრულება სისტემის შემდგომი მოვლა-პატრონობის შესახებ. სამუშაოს ხარისხი დასტურდება მიმოხილვით.
Active Directory განლაგდა Windows Server 2008-ზე, როგორც Exchange Server 2007 განხორციელების პროექტის ნაწილი.
რეორგანიზაცია Active Directory დირექტორია Windows Server 2003-ზე დაფუძნებული Exchange Server 2007-ის დანერგვამდე. მუშაობის ხარისხი დადასტურდა გამოხმაურებით.
Active Directory დირექტორიას სერვისი განლაგდა Windows Server 2003 R2-ზე. პროექტის დასრულების შემდეგ გაფორმდა ხელშეკრულება სისტემის შემდგომი მოვლა-პატრონობის შესახებ. სამუშაოს ხარისხი დასტურდება მიმოხილვით.

Active Directory განლაგდა Windows Server 2003-ზე. პროექტის დასრულების შემდეგ ხელი მოეწერა ხელშეკრულებას სისტემის შემდგომი მხარდაჭერისთვის.

Active Directory (AD) ტექნოლოგია არის Microsoft-ის მიერ შექმნილი დირექტორია სერვისი. დირექტორია სერვისი შეიცავს მონაცემებს ორგანიზებულ ფორმატში და უზრუნველყოფს მასზე ორგანიზებულ წვდომას. Active Directory არ არის Microsoft-ის გამოგონება, არამედ არსებული ინდუსტრიული მოდელის (კერძოდ X.500), საკომუნიკაციო პროტოკოლის (LDAP - Lightweight Directory Access Protocol) და მონაცემთა აღდგენის ტექნოლოგიის (DNS სერვისები) დანერგვა.

თქვენ უნდა დაიწყოთ Active Directory-ის შესახებ სწავლა ამ ტექნოლოგიის მიზნის გაგებით. ზოგადად, დირექტორია არის კონტეინერი მონაცემების შესანახად.

სატელეფონო დირექტორია არის დირექტორია სერვისის კარგი მაგალითი, რადგან ის შეიცავს მონაცემთა ერთობლიობას და იძლევა შესაძლებლობას მოიპოვოს საჭირო ინფორმაცია დირექტორიადან. დირექტორია შეიცავს სხვადასხვა ჩანაწერს, რომელთაგან თითოეულს აქვს თავისი მნიშვნელობა, მაგალითად, აბონენტების სახელი და გვარი, მათი სახლის მისამართი და, ფაქტობრივად, ტელეფონის ნომერი. გაფართოებულ დირექტორიაში ჩანაწერები დაჯგუფებულია გეოგრაფიული მდებარეობის, ტიპის ან ორივეს მიხედვით. ამ გზით, თითოეული გეოგრაფიული ადგილისთვის შეიძლება ჩამოყალიბდეს ჩანაწერების ტიპების იერარქია. გარდა ამისა, სატელეფონო ოპერატორი ასევე აკმაყოფილებს დირექტორია სერვისის განმარტებას, რადგან მას აქვს წვდომა მონაცემებზე. ამიტომ, თუ თქვენ ითხოვთ რაიმე დირექტორიაში მონაცემების მოპოვებას, ოპერატორი გასცემს საჭირო პასუხს მიღებულ მოთხოვნაზე.

Active Directory დირექტორია სერვისი შექმნილია ინფორმაციის შესანახად ქსელის ყველა რესურსის შესახებ. კლიენტებს აქვთ შესაძლებლობა, მოითხოვონ Active Directory, რომ მიიღონ ინფორმაცია ქსელის ნებისმიერი ობიექტის შესახებ. Active Directory მახასიათებლები მოიცავს შემდეგს:

  • მონაცემთა უსაფრთხო შენახვა. Active Directory-ის თითოეულ ობიექტს აქვს საკუთარი წვდომის კონტროლის სია (ACL), რომელიც შეიცავს რესურსების სიას, რომლებსაც მინიჭებული აქვთ წვდომა ობიექტზე, ისევე როგორც ამ ობიექტზე წვდომის წინასწარ განსაზღვრულ დონეს.
  • ფუნქციებით მდიდარი შეკითხვის სისტემა, რომელიც დაფუძნებულია Active Directory-ის მიერ შექმნილ გლობალურ კატალოგზე (GC). ყველა კლიენტს, რომელიც მხარს უჭერს Active Directory-ს, შეუძლია ამ დირექტორიაში წვდომა.
  • კატალოგის მონაცემების ყველა დომენის კონტროლერთან გამეორება ამარტივებს ინფორმაციაზე წვდომას, აუმჯობესებს ხელმისაწვდომობას და აუმჯობესებს მთლიანი სერვისის საიმედოობას.
  • მოდულური გაფართოების კონცეფცია, რომელიც საშუალებას გაძლევთ დაამატოთ ახალი ობიექტების ტიპები ან გააფართოვოთ არსებული ობიექტები. მაგალითად, შეგიძლიათ დაამატოთ "ხელფასი" ატრიბუტი "მომხმარებლის" ობიექტს.
  • ქსელური კომუნიკაცია მრავალი პროტოკოლის გამოყენებით. Active Directory დაფუძნებულია X.500 მოდელზე, რომელიც მხარს უჭერს სხვადასხვა ქსელის პროტოკოლებს, როგორიცაა LDAP 2, LDAP 3 და HTTP.
  • DNS სერვისი გამოიყენება NetBIOS-ის ნაცვლად დომენის კონტროლერის სახელების სერვისის განსახორციელებლად და ქსელის მისამართების მოსაძიებლად.

დირექტორიის ინფორმაცია ნაწილდება მთელ დომენზე, რითაც თავიდან აიცილებს მონაცემთა გადაჭარბებულ დუბლირებას.

მიუხედავად იმისა, რომ Active Directory ავრცელებს დირექტორიას ინფორმაციას სხვადასხვა მაღაზიებში, მომხმარებლებს აქვთ შესაძლებლობა მოითხოვონ Active Directory სხვა დომენების შესახებ ინფორმაციის მისაღებად. გლობალური კატალოგიშეიცავს ინფორმაციას საწარმოს ტყეში არსებული ყველა ობიექტის შესახებ, რომელიც დაგეხმარებათ მოიძიოთ მონაცემები მთელ ტყეში.

როდესაც თქვენ გაშვებთ DCPROMO (დომენის კონტროლერის ხელშეწყობის პროგრამა) პროგრამას Windows კომპიუტერზე ახალი დომენის შესაქმნელად, პროგრამა ქმნის დომენს DNS სერვერზე. შემდეგ კლიენტი დაუკავშირდება DNS სერვერს, რათა მოიპოვოს ინფორმაცია მისი დომენის შესახებ. DNS სერვერი გვაწვდის ინფორმაციას არა მხოლოდ დომენის, არამედ უახლოესი დომენის კონტროლერის შესახებ. კლიენტის სისტემა, თავის მხრივ, უკავშირდება Active Directory დომენის მონაცემთა ბაზას უახლოეს დომენის კონტროლერზე, რათა მოიძიოს საჭირო ობიექტები (პრინტერები, ფაილების სერვერები, მომხმარებლები, ჯგუფები, ორგანიზაციული ერთეულები), რომლებიც დომენის ნაწილია. იმის გამო, რომ თითოეული დომენის კონტროლერი ინახავს მითითებებს ხეში სხვა დომენებზე, კლიენტს შეუძლია მოძებნოს მთელი დომენის ხე.

Active Directory-ის არომატი, რომელიც ჩამოთვლის ყველა ობიექტს დომენის ტყეში, ხელმისაწვდომია, როდესაც თქვენ გჭირდებათ მონაცემების პოვნა კლიენტის დომენის ხის გარეთ. ამ ვერსიას გლობალურ კატალოგს უწოდებენ. გლობალური კატალოგი შეიძლება ინახებოდეს ნებისმიერ დომენის კონტროლერზე AD ტყეში.

გლობალური კატალოგი უზრუნველყოფს სწრაფ წვდომას ყველა ობიექტზე, რომელიც მდებარეობს დომენის ტყეში, მაგრამ შეიცავს მხოლოდ რამდენიმე ობიექტის პარამეტრს. ყველა ატრიბუტის მისაღებად, თქვენ უნდა დაუკავშირდეთ სამიზნე დომენის Active Directory სერვისს (საინტერესო დომენის კონტროლერი). გლობალური კატალოგი შეიძლება კონფიგურირებული იყოს ობიექტის საჭირო თვისებების უზრუნველსაყოფად.

Active Directory ობიექტების შექმნის პროცესის გასამარტივებლად, დომენის კონტროლერი ინახავს ასლს და კლასის იერარქიას მთელი ტყისთვის. Active Directory შეიცავს კლასების სტრუქტურებს გაფართოებულ სქემაში, რომელსაც შეიძლება დაემატოს ახალი კლასები.

სქემაარის Windows-ის კონფიგურაციის სახელთა სივრცის ნაწილი, რომელსაც მხარს უჭერს ტყის ყველა დომენის კონტროლერი. Windows-ის კონფიგურაციის სახელთა სივრცე შედგება რამდენიმე სტრუქტურული ელემენტისგან, როგორიცაა ფიზიკური მდებარეობა, Windows საიტები და ქვექსელები.

საიტიშეიცავს ტყეში და შეუძლია კომპიუტერების გაერთიანება ნებისმიერი დომენიდან, ხოლო საიტის ყველა კომპიუტერს უნდა ჰქონდეს სწრაფი და საიმედო ქსელური კავშირები დომენის კონტროლერის მონაცემების სარეზერვო ასლისთვის.

ქვექსელიარის საიტისთვის გამოყოფილი IP მისამართების ჯგუფი. ქვექსელები საშუალებას გაძლევთ დააჩქაროთ Active Directory მონაცემების რეპლიკაცია დომენის კონტროლერებს შორის.



რაიმე შეკითხვა?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა