Active Directory დომენების აგების პრინციპები. Active Directory დირექტორია სერვისი

შიგნიდან კარგად ვიცნობ მცირე ბიზნესს, ყოველთვის მაინტერესებდა შემდეგი კითხვები. ახსენით, რატომ უნდა გამოიყენოს თანამშრომელმა ბრაუზერი, რომელიც მოსწონს სისტემის ადმინისტრატორს თავის სამუშაო კომპიუტერზე? ან აიღეთ ნებისმიერი სხვა პროგრამული უზრუნველყოფა, მაგალითად, იგივე არქივატორი, ელ.ფოსტის კლიენტი, მყისიერი შეტყობინების კლიენტი... მე ნაზად მინიშნებით სტანდარტიზაციაზე და არა სისტემის ადმინისტრატორის პირადი სიმპათიიდან გამომდინარე, არამედ ფუნქციონალურობის საკმარისობის საფუძველზე. , ამ პროგრამული პროდუქტების შენარჩუნებისა და მხარდაჭერის ღირებულება. დავიწყოთ IT განხილვა, როგორც ზუსტი მეცნიერება და არა როგორც ხელობა, როცა ყველა აკეთებს იმას, რასაც აკეთებს საუკეთესოდ. ისევ და ისევ, ასევე ბევრი პრობლემაა მცირე ბიზნესში. წარმოიდგინეთ, რომ კომპანიამ კრიზისის რთულ პერიოდში ცვლის რამდენიმე ადმინისტრატორს, რა უნდა გააკეთონ ღარიბმა მომხმარებლებმა ასეთ სიტუაციაში? მუდმივად გადამზადება?

მოდი მეორე მხრიდან შევხედოთ. ნებისმიერ მენეჯერს უნდა ესმოდეს, რა ხდება ამჟამად მის კომპანიაში (მათ შორის IT-ში). ეს აუცილებელია არსებული სიტუაციის მონიტორინგისთვის და სხვადასხვა სახის პრობლემების წარმოშობაზე ოპერატიულად რეაგირებისთვის. მაგრამ ეს გაგება უფრო მნიშვნელოვანია სტრატეგიული დაგეგმვისთვის. ყოველივე ამის შემდეგ, ძლიერი და საიმედო საძირკვლის ქონა, შეგვიძლია 3 ან 5 სართულიანი სახლი ავაშენოთ, სხვადასხვა ფორმის გადახურვა, აივნები ან ზამთრის ბაღი. ანალოგიურად, IT-ში, ჩვენ გვაქვს საიმედო საფუძველი - მოგვიანებით შეგვიძლია გამოვიყენოთ უფრო რთული პროდუქტები და ტექნოლოგიები ბიზნეს პრობლემების გადასაჭრელად.

პირველ სტატიაში ვისაუბრებთ ასეთ ფონდზე - Active Directory სერვისებზე. ისინი შექმნილია იმისთვის, რომ გახდეს ძლიერი საფუძველი ნებისმიერი ზომის და საქმიანობის ნებისმიერი სფეროს კომპანიის IT ინფრასტრუქტურისთვის. რა არის ეს? ასე რომ, მოდით ვისაუბროთ ამაზე ...

დავიწყოთ საუბარი მარტივი ცნებებით - დომენის და Active Directory სერვისებით.

დომენიარის ძირითადი ადმინისტრაციული ერთეული საწარმოს ქსელის ინფრასტრუქტურაში, რომელიც მოიცავს ყველა ქსელის ობიექტს, როგორიცაა მომხმარებლები, კომპიუტერები, პრინტერები, აქციები და სხვა. ასეთი დომენების კოლექციას ტყე ეწოდება.

Active Directory Services (Active Directory Services) არის განაწილებული მონაცემთა ბაზა, რომელიც შეიცავს დომენის ყველა ობიექტს. Active Directory დომენის გარემო უზრუნველყოფს ავთენტიფიკაციისა და ავტორიზაციის ერთ წერტილს მომხმარებლებისთვის და აპლიკაციებისთვის მთელი საწარმოსთვის. სწორედ დომენის ორგანიზებით და Active Directory სერვისების განთავსებით იწყება საწარმოს IT ინფრასტრუქტურის მშენებლობა.

Active Directory მონაცემთა ბაზა ინახება სპეციალურ სერვერებზე - დომენის კონტროლერებზე. Active Directory Services არის Microsoft Windows Server სერვერის ოპერაციული სისტემების როლი. Active Directory Services ძალიან მასშტაბირებადია. Active Directory ტყეში შეიძლება შეიქმნას 2 მილიარდზე მეტი ობიექტი, რაც საშუალებას აძლევს დირექტორია სერვისის დანერგვას ასიათასობით კომპიუტერით და მომხმარებლის მქონე კომპანიებში. დომენების იერარქიული სტრუქტურა საშუალებას გაძლევთ მოქნილად გააფართოვოთ IT ინფრასტრუქტურა კომპანიების ყველა ფილიალსა და რეგიონულ განყოფილებაში. კომპანიის თითოეული ფილიალისთვის ან განყოფილებისთვის შეიძლება შეიქმნას ცალკე დომენი, თავისი პოლიტიკით, საკუთარი მომხმარებლებით და ჯგუფებით. თითოეული ბავშვის დომენისთვის ადმინისტრაციული უფლებამოსილება შეიძლება გადაეცეს ადგილობრივი სისტემის ადმინისტრატორებს. ამავდროულად, ბავშვთა დომენები კვლავ ექვემდებარება მათ მშობლებს.

გარდა ამისა, Active Directory Services გაძლევთ საშუალებას დააკონფიგურიროთ ნდობის ურთიერთობები დომენის ტყეებს შორის. თითოეულ კომპანიას აქვს დომენების საკუთარი ტყე, თითოეულს აქვს საკუთარი რესურსები. მაგრამ ზოგჯერ საჭიროა თქვენი კორპორატიული რესურსების ხელმისაწვდომობის უზრუნველყოფა სხვა კომპანიის თანამშრომლებისთვის - საერთო დოკუმენტებთან და აპლიკაციებთან მუშაობა ერთობლივი პროექტის ფარგლებში. ამისათვის შეიძლება შეიქმნას ნდობის ურთიერთობები ორგანიზაციულ ტყეებს შორის, რაც საშუალებას მისცემს ერთი ორგანიზაციის თანამშრომლებს შევიდნენ მეორის დომენში.

Active Directory სერვისების შეცდომის ტოლერანტობის უზრუნველსაყოფად, თქვენ უნდა განათავსოთ ორი ან მეტი დომენის კონტროლერი თითოეულ დომენში. ყველა ცვლილება ავტომატურად იმეორებს დომენის კონტროლერებს შორის. თუ დომენის ერთ-ერთი კონტროლერი ვერ ხერხდება, ქსელის ფუნქციონირება არ იმოქმედებს, რადგან დანარჩენი აგრძელებს მუშაობას. გამძლეობის დამატებითი დონე უზრუნველყოფილია DNS სერვერების განთავსებით დომენის კონტროლერებზე Active Directory-ში, რაც საშუალებას აძლევს თითოეულ დომენს ჰქონდეს რამდენიმე DNS სერვერი, რომელიც ემსახურება დომენის ძირითად ზონას. და თუ ერთ-ერთი DNS სერვერი ვერ ხერხდება, დანარჩენები გააგრძელებენ მუშაობას. სერიის ერთ-ერთ სტატიაში ვისაუბრებთ DNS სერვერების როლსა და მნიშვნელობაზე IT ინფრასტრუქტურაში.

მაგრამ ეს არის ყველა ტექნიკური ასპექტი Active Directory სერვისების დანერგვისა და შენარჩუნებისთვის. მოდით ვისაუბროთ იმ უპირატესობებზე, რომლებიც კომპანიას იღებს თანატოლებთან ურთიერთობისგან დაშორებით და სამუშაო ჯგუფების გამოყენებით.

1. ავთენტიფიკაციის ერთი წერტილი

სამუშაო ჯგუფში, თითოეულ კომპიუტერზე ან სერვერზე, თქვენ მოგიწევთ ხელით დაამატოთ მომხმარებელთა სრული სია, რომლებიც საჭიროებენ ქსელში წვდომას. თუ მოულოდნელად ერთ-ერთ თანამშრომელს სურს შეცვალოს პაროლი, მაშინ ის უნდა შეიცვალოს ყველა კომპიუტერზე და სერვერზე. კარგია თუ ქსელი შედგება 10 კომპიუტერისგან, მაგრამ თუ მეტია? Active Directory დომენის გამოყენებისას, ყველა მომხმარებლის ანგარიში ინახება ერთ მონაცემთა ბაზაში და ყველა კომპიუტერი მას ავტორიზაციისთვის ეძებს. დომენის ყველა მომხმარებელი შედის შესაბამის ჯგუფებში, მაგალითად, "ბუღალტერია", "ფინანსთა დეპარტამენტი". საკმარისია გარკვეული ჯგუფებისთვის ნებართვების ერთხელ დაყენება და ყველა მომხმარებელს ექნება შესაბამისი წვდომა დოკუმენტებსა და აპლიკაციებზე. თუ ახალი თანამშრომელი შეუერთდება კომპანიას, მისთვის იქმნება ანგარიში, რომელიც შედის შესაბამის ჯგუფში - თანამშრომელი იღებს წვდომას ქსელის ყველა რესურსზე, რომლებზეც მას უნდა მიეცეს წვდომა. თუ თანამშრომელი დატოვებს, უბრალოდ დაბლოკეთ იგი და ის მაშინვე დაკარგავს წვდომას ყველა რესურსზე (კომპიუტერები, დოკუმენტები, აპლიკაციები).

2. პოლიტიკის მართვის ერთი პუნქტი

სამუშაო ჯგუფში ყველა კომპიუტერს აქვს თანაბარი უფლებები. ვერც ერთი კომპიუტერი ვერ აკონტროლებს მეორეს, შეუძლებელია ერთიანი პოლიტიკისა და უსაფრთხოების წესების დაცვა. ერთი Active Directory-ის გამოყენებისას, ყველა მომხმარებელი და კომპიუტერი იერარქიულად ნაწილდება ორგანიზაციულ ერთეულებზე, რომელთაგან თითოეული ექვემდებარება იმავე ჯგუფის პოლიტიკას. პოლიტიკა საშუალებას გაძლევთ დააყენოთ ერთიანი პარამეტრები და უსაფრთხოების პარამეტრები კომპიუტერებისა და მომხმარებლების ჯგუფისთვის. როდესაც დომენს ემატება ახალი კომპიუტერი ან მომხმარებელი, ის ავტომატურად იღებს პარამეტრებს, რომლებიც შეესაბამება მიღებულ კორპორატიულ სტანდარტებს. პოლიტიკის გამოყენებით, შეგიძლიათ ცენტრალიზებულად მიაკუთვნოთ ქსელის პრინტერები მომხმარებლებს, დააინსტალიროთ საჭირო აპლიკაციები, დააყენოთ ბრაუზერის უსაფრთხოების პარამეტრები და დააკონფიგურიროთ Microsoft Office აპლიკაციები.

3. ინფორმაციული უსაფრთხოების დონის ამაღლება

Active Directory სერვისების გამოყენება მნიშვნელოვნად ზრდის ქსელის უსაფრთხოების დონეს. პირველ რიგში, ეს არის ერთი და უსაფრთხო ანგარიშის საცავი. დომენის გარემოში, დომენის მომხმარებლის ყველა პაროლი ინახება სპეციალურ დომენის კონტროლერ სერვერებზე, რომლებიც, როგორც წესი, დაცულია გარე წვდომისგან. მეორეც, დომენის გარემოს გამოყენებისას, ავთენტიფიკაციისთვის გამოიყენება Kerberos პროტოკოლი, რაც ბევრად უფრო უსაფრთხოა ვიდრე NTLM, რომელიც გამოიყენება სამუშაო ჯგუფებში.

4. ინტეგრაცია კორპორატიულ აპლიკაციებთან და აღჭურვილობასთან

Active Directory სერვისების დიდი უპირატესობაა მისი შესაბამისობა LDAP სტანდარტთან, რომელსაც მხარს უჭერს სხვა სისტემები, მაგალითად, ფოსტის სერვერები (Exchange Server), პროქსი სერვერები (ISA Server, TMG). და ეს სულაც არ არის მხოლოდ Microsoft-ის პროდუქტები. ასეთი ინტეგრაციის უპირატესობა ის არის, რომ მომხმარებელს არ სჭირდება შესვლისა და პაროლების დიდი რაოდენობა, რათა წვდომა ჰქონდეს კონკრეტულ აპლიკაციაში, მომხმარებელს აქვს იგივე რწმუნებათა სიგელები - მისი ავთენტიფიკაცია ხდება ერთ Active Directory-ში. Windows Server უზრუნველყოფს RADIUS პროტოკოლს Active Directory-თან ინტეგრაციისთვის, რომელსაც მხარს უჭერს დიდი რაოდენობით ქსელური აღჭურვილობა. ამრიგად, შესაძლებელია, მაგალითად, დომენის მომხმარებლების ავთენტიფიკაციის უზრუნველყოფა VPN-ით გარედან დაკავშირებისას ან კომპანიაში Wi-Fi წვდომის წერტილების გამოყენებისას.

5. ერთიანი აპლიკაციის კონფიგურაციის საცავი

ზოგიერთი აპლიკაცია ინახავს კონფიგურაციას Active Directory-ში, როგორიცაა Exchange Server. ამ აპლიკაციების მუშაობის წინაპირობაა Active Directory დირექტორია სერვისის გამოყენება. აპლიკაციის კონფიგურაციის შენახვა დირექტორია სერვისში გთავაზობთ მოქნილობისა და საიმედოობის სარგებელს. მაგალითად, Exchange სერვერის სრული უკმარისობის შემთხვევაში, მისი მთელი კონფიგურაცია ხელუხლებელი დარჩება. კორპორატიული ფოსტის ფუნქციონირების აღსადგენად საკმარისი იქნება Exchange Server-ის ხელახლა ინსტალაცია აღდგენის რეჟიმში.

რომ შევაჯამოთ, კიდევ ერთხელ მინდა ხაზგასმით აღვნიშნო, რომ Active Directory სერვისები არის საწარმოს IT ინფრასტრუქტურის გული. წარუმატებლობის შემთხვევაში, მთელი ქსელი, ყველა სერვერი და ყველა მომხმარებლის მუშაობა პარალიზდება. ვერავინ შეძლებს კომპიუტერში შესვლას ან მის დოკუმენტებსა და აპლიკაციებს. ამიტომ, დირექტორია სერვისი საგულდაგულოდ უნდა იყოს შემუშავებული და განლაგებული, ყველა შესაძლო ნიუანსის გათვალისწინებით, მაგალითად, არხების გამტარუნარიანობა კომპანიის ფილიალებსა და ოფისებს შორის (მომხმარებლის სისტემაში შესვლის სიჩქარე, აგრეთვე მონაცემთა გაცვლა დომენებს შორის. კონტროლერები, პირდაპირ დამოკიდებულია ამაზე).

Active Directory გთავაზობთ სისტემების მართვის სერვისებს. ისინი ბევრად უკეთესი ალტერნატივაა ადგილობრივი ჯგუფებისთვის და საშუალებას გაძლევთ შექმნათ კომპიუტერული ქსელები ეფექტური მენეჯმენტით და მონაცემთა საიმედო დაცვით.

თუ აქამდე არ შეგხვედრიათ Active Directory-ის კონცეფცია და არ იცით როგორ მუშაობს ასეთი სერვისები, ეს სტატია თქვენთვისაა. მოდით გაერკვნენ, რას ნიშნავს ეს კონცეფცია, რა უპირატესობები აქვს ასეთ მონაცემთა ბაზებს და როგორ შევქმნათ და დავაკონფიგურიროთ ისინი თავდაპირველი გამოყენებისთვის.

Active Directory არის სისტემის მართვის ძალიან მოსახერხებელი გზა. Active Directory-ის გამოყენებით, შეგიძლიათ ეფექტურად მართოთ თქვენი მონაცემები.

ეს სერვისები საშუალებას გაძლევთ შექმნათ ერთიანი მონაცემთა ბაზა, რომელსაც მართავს დომენის კონტროლერები. თუ თქვენ ფლობთ ბიზნესს, მართავთ ოფისს ან ზოგადად აკონტროლებთ მრავალი ადამიანის საქმიანობას, რომლებიც გაერთიანებას საჭიროებენ, ასეთი დომენი გამოგადგებათ.

მასში შედის ყველა ობიექტი - კომპიუტერები, პრინტერები, ფაქსები, მომხმარებლის ანგარიშები და ა.შ. დომენების ჯამს, რომლებზეც განთავსებულია მონაცემები, ეწოდება "ტყე". Active Directory მონაცემთა ბაზა არის დომენის გარემო, სადაც ობიექტების რაოდენობა შეიძლება იყოს 2 მილიარდამდე. წარმოგიდგენიათ ეს სასწორები?

ანუ, ასეთი „ტყის“ ან მონაცემთა ბაზის დახმარებით, თქვენ შეგიძლიათ დააკავშიროთ დიდი რაოდენობით თანამშრომლები და აღჭურვილობა ოფისში და ლოკაციაზე მიბმის გარეშე - სხვა მომხმარებლებიც შეიძლება დაუკავშირდნენ სერვისებს, მაგალითად, კომპანიის ოფისიდან სხვა ქალაქში.

გარდა ამისა, Active Directory სერვისების ფარგლებში იქმნება და გაერთიანებულია რამდენიმე დომენი – რაც უფრო დიდია კომპანია, მით მეტი ინსტრუმენტია საჭირო მონაცემთა ბაზის ფარგლებში მისი აღჭურვილობის გასაკონტროლებლად.

გარდა ამისა, როდესაც ასეთი ქსელი იქმნება, განისაზღვრება ერთი მაკონტროლებელი დომენი და სხვა დომენების შემდგომი არსებობითაც კი, თავდაპირველი მაინც რჩება „მშობელი“ - ანუ მხოლოდ მას აქვს სრული წვდომა ინფორმაციის მართვაზე.

სად ინახება ეს მონაცემები და რა უზრუნველყოფს დომენების არსებობას? Active Directory-ის შესაქმნელად გამოიყენება კონტროლერები. ჩვეულებრივ, ორი მათგანია - თუ ერთს რამე დაემართება, ინფორმაცია შეინახება მეორე კონტროლერზე.

მონაცემთა ბაზის გამოყენების კიდევ ერთი ვარიანტია, თუ, მაგალითად, თქვენი კომპანია თანამშრომლობს სხვასთან და თქვენ უნდა დაასრულოთ საერთო პროექტი. ამ შემთხვევაში, არაუფლებამოსილ პირებს შეიძლება დასჭირდეთ დომენის ფაილებზე წვდომა და აქ შეგიძლიათ შექმნათ ერთგვარი „ურთიერთობა“ ორ განსხვავებულ „ტყეს“ შორის, რაც საშუალებას მოგცემთ მიიღოთ საჭირო ინფორმაცია, დარჩენილი მონაცემების უსაფრთხოების რისკის გარეშე.

ზოგადად, Active Directory არის ინსტრუმენტი მონაცემთა ბაზის შესაქმნელად გარკვეული სტრუქტურის ფარგლებში, მიუხედავად მისი ზომისა. მომხმარებლები და ყველა აღჭურვილობა გაერთიანებულია ერთ „ტყეში“, იქმნება დომენები და განთავსდება კონტროლერებზე.

ასევე მიზანშეწონილია განვმარტოთ, რომ სერვისებს შეუძლიათ მხოლოდ Windows სერვერული სისტემების მქონე მოწყობილობებზე მუშაობა. გარდა ამისა, კონტროლერებზე იქმნება 3-4 DNS სერვერი. ისინი ემსახურებიან დომენის მთავარ ზონას და თუ რომელიმე მათგანი ვერ ხერხდება, მას სხვა სერვერები ცვლის.

Active Directory for Dummies-ის მოკლე მიმოხილვის შემდეგ, ბუნებრივია, გაინტერესებთ კითხვა - რატომ შეცვალოთ ლოკალური ჯგუფი მთელი მონაცემთა ბაზისთვის? ბუნებრივია, აქ შესაძლებლობების სფერო მრავალჯერ უფრო ფართოა და იმისათვის, რომ გავიგოთ სხვა განსხვავებები ამ სერვისებს შორის სისტემის მართვისთვის, მოდით უფრო ახლოს განვიხილოთ მათი უპირატესობები.

Active Directory-ის უპირატესობები

Active Directory-ის უპირატესობებია:

1. ავთენტიფიკაციისთვის ერთი რესურსის გამოყენება. ამ სიტუაციაში, თქვენ უნდა დაამატოთ თითოეულ კომპიუტერზე ყველა ანგარიში, რომელიც მოითხოვს წვდომას ზოგად ინფორმაციას. რაც უფრო მეტი მომხმარებელი და აღჭურვილობაა, მით უფრო რთულია ამ მონაცემების მათ შორის სინქრონიზაცია.

ასე რომ, მონაცემთა ბაზის მქონე სერვისების გამოყენებისას, ანგარიშები ინახება ერთ წერტილში და ცვლილებები ძალაში შედის დაუყოვნებლივ ყველა კომპიუტერზე.

როგორ მუშაობს ეს? თითოეული თანამშრომელი, რომელიც მოდის ოფისში, იწყებს სისტემას და შედის მის ანგარიშში. შესვლის მოთხოვნა ავტომატურად გადაეგზავნება სერვერს და მისი მეშვეობით მოხდება ავთენტიფიკაცია.

რაც შეეხება ჩანაწერების შენახვის გარკვეულ წესრიგს, თქვენ ყოველთვის შეგიძლიათ მომხმარებლები დაყოთ ჯგუფებად - "HR დეპარტამენტი" ან "ბუღალტერია".

ამ შემთხვევაში, კიდევ უფრო ადვილია ინფორმაციის ხელმისაწვდომობის უზრუნველყოფა - თუ ერთი დეპარტამენტის თანამშრომლებისთვის საქაღალდის გახსნა გჭირდებათ, ამას აკეთებთ მონაცემთა ბაზის საშუალებით. ისინი ერთად იღებენ წვდომას საჭირო საქაღალდეზე მონაცემებით, სხვებისთვის კი დოკუმენტები დახურულია.

1. კონტროლი მონაცემთა ბაზის თითოეულ მონაწილეზე.

თუ ადგილობრივ ჯგუფში თითოეული წევრი დამოუკიდებელია და რთულია სხვა კომპიუტერიდან კონტროლი, მაშინ დომენებში შეგიძლიათ დააწესოთ გარკვეული წესები, რომლებიც შეესაბამება კომპანიის პოლიტიკას.

როგორც სისტემის ადმინისტრატორს, შეგიძლიათ დააყენოთ წვდომის პარამეტრები და უსაფრთხოების პარამეტრები და შემდეგ გამოიყენოთ ისინი თითოეულ მომხმარებელთა ჯგუფში. ბუნებრივია, იერარქიიდან გამომდინარე, ზოგიერთ ჯგუფს შეიძლება მიენიჭოს უფრო მკაცრი პარამეტრები, ხოლო ზოგს შეიძლება მიეცეს წვდომა სისტემის სხვა ფაილებზე და მოქმედებებზე.

გარდა ამისა, როდესაც ახალი ადამიანი შეუერთდება კომპანიას, მისი კომპიუტერი დაუყოვნებლივ მიიღებს საჭირო პარამეტრების კომპლექტს, რომელიც მოიცავს სამუშაო კომპონენტებს.

1. პროგრამული უზრუნველყოფის ინსტალაციის მრავალფეროვნება.

კომპონენტებზე საუბრისას, Active Directory-ის გამოყენებით შეგიძლიათ მინიჭოთ პრინტერები, დააინსტალიროთ საჭირო პროგრამები ყველა თანამშრომლისთვის ერთდროულად და დააყენოთ კონფიდენციალურობის პარამეტრები. ზოგადად, მონაცემთა ბაზის შექმნა მნიშვნელოვნად გააუმჯობესებს მუშაობას, მონიტორინგს უკეთებს უსაფრთხოებას და გააერთიანებს მომხმარებლებს მუშაობის მაქსიმალური ეფექტურობისთვის.

და თუ კომპანია ახორციელებს ცალკეულ კომუნალურ ან სპეციალურ სერვისებს, მათი სინქრონიზაცია შესაძლებელია დომენებთან და მათზე წვდომის გამარტივება. როგორ? თუ კომპანიაში გამოყენებულ ყველა პროდუქტს დააკავშირებთ, დასაქმებულს არ დასჭირდება სხვადასხვა ლოგინისა და პაროლის შეყვანა თითოეულ პროგრამაში შესასვლელად - ეს ინფორმაცია იქნება საერთო.

ახლა, როდესაც Active Directory-ის გამოყენების უპირატესობები და მნიშვნელობა ნათელი გახდა, მოდით გადავხედოთ ამ სერვისების ინსტალაციის პროცესს.

ჩვენ ვიყენებთ მონაცემთა ბაზას Windows Server 2012-ზე

Active Directory-ის ინსტალაცია და კონფიგურაცია არ არის რთული ამოცანა და ასევე უფრო ადვილია, ვიდრე ერთი შეხედვით ჩანს.

სერვისების ჩასატვირთად, ჯერ უნდა გააკეთოთ შემდეგი:

1. შეცვალეთ კომპიუტერის სახელი: დააჭირეთ ღილაკს "დაწყება", გახსენით პანელი, აირჩიეთ "სისტემა". აირჩიეთ "პარამეტრების შეცვლა" და თვისებებში, "კომპიუტერის სახელის" ხაზის საპირისპიროდ, დააჭირეთ "შეცვლა", შეიყვანეთ ახალი მნიშვნელობა ძირითადი კომპიუტერისთვის.
2. გადატვირთეთ თქვენი კომპიუტერი, როგორც საჭიროა.
3. დააყენეთ ქსელის პარამეტრები ასე:
   • მართვის პანელის საშუალებით გახსენით მენიუ ქსელებით და გაზიარებით.
   • დაარეგულირეთ ადაპტერის პარამეტრები. დააწკაპუნეთ მარჯვენა ღილაკით "თვისებები" და გახსენით ჩანართი "ქსელი".
   • სიიდან ფანჯარაში დააწკაპუნეთ ინტერნეტ პროტოკოლის ნომერზე 4, კვლავ დააჭირეთ ღილაკს "თვისებები".
   • შეიყვანეთ საჭირო პარამეტრები, მაგალითად: IP მისამართი - 192.168.10.252, ქვექსელის ნიღაბი - 255.255.255.0, მთავარი კარიბჭე - 192.168.10.1.
   • "სასურველი DNS სერვერის" ხაზში მიუთითეთ ლოკალური სერვერის მისამართი, "ალტერნატიულში..." - სხვა DNS სერვერის მისამართები.
   • შეინახეთ ცვლილებები და დახურეთ ფანჯრები.

დააყენეთ Active Directory როლები ასე:

1. Start-ის საშუალებით გახსენით სერვერის მენეჯერი.
2. მენიუდან აირჩიეთ როლების და ფუნქციების დამატება.
3. ოსტატი დაიწყება, მაგრამ შეგიძლიათ გამოტოვოთ პირველი ფანჯარა აღწერილობით.
4. შეამოწმეთ ხაზი "როლებისა და კომპონენტების დაყენება", გააგრძელეთ შემდგომი.
5. აირჩიეთ თქვენი კომპიუტერი მასზე Active Directory-ის დასაყენებლად.
6. სიიდან აირჩიეთ როლი, რომელიც უნდა ჩაიტვირთოს - თქვენს შემთხვევაში ეს არის "Active Directory Domain Services".
7. გამოჩნდება პატარა ფანჯარა, რომელშიც მოგთხოვთ ჩამოტვირთოთ სერვისებისთვის საჭირო კომპონენტები - მიიღეთ იგი.
8. ამის შემდეგ მოგეთხოვებათ დააინსტალიროთ სხვა კომპონენტები - თუ ისინი არ გჭირდებათ, უბრალოდ გამოტოვეთ ეს ნაბიჯი "შემდეგი" დაწკაპუნებით.
9. დაყენების ოსტატი გამოაჩენს ფანჯარას იმ სერვისების აღწერით, რომლებსაც თქვენ დააინსტალირეთ - წაიკითხეთ და გააგრძელეთ.
10. გამოჩნდება კომპონენტების სია, რომელთა ინსტალაციასაც ვაპირებთ - შეამოწმეთ ყველაფერი სწორია და თუ ასეა, დააჭირეთ შესაბამის ღილაკს.
11. როდესაც პროცესი დასრულდება, დახურეთ ფანჯარა.
12. ეს არის ის - სერვისები ჩამოტვირთულია თქვენს კომპიუტერში.

Active Directory-ის დაყენება

დომენის სერვისის კონფიგურაციისთვის თქვენ უნდა გააკეთოთ შემდეგი:

• გაუშვით ამავე სახელწოდების დაყენების ოსტატი.
• დააწკაპუნეთ ყვითელ მაჩვენებელზე ფანჯრის ზედა ნაწილში და აირჩიეთ „სერვერის დაწინაურება დომენის კონტროლერში“.
• დააწკაპუნეთ ახალი ტყის დამატებაზე და შექმენით სახელი root დომენისთვის, შემდეგ დააჭირეთ შემდეგი.
• მიუთითეთ "ტყის" და დომენის მუშაობის რეჟიმები - ყველაზე ხშირად ისინი ემთხვევა.
• შექმენით პაროლი, მაგრამ აუცილებლად გახსოვდეთ. განაგრძეთ შემდგომი.
• ამის შემდეგ, თქვენ შეიძლება იხილოთ გაფრთხილება, რომ დომენი არ არის დელეგირებული და დომენის სახელის შემოწმება - შეგიძლიათ გამოტოვოთ ეს ნაბიჯები.
• შემდეგ ფანჯარაში შეგიძლიათ შეცვალოთ გზა მონაცემთა ბაზის დირექტორიებისკენ - გააკეთეთ ეს, თუ ისინი არ შეესაბამება თქვენ.
• ახლა დაინახავთ ყველა ვარიანტს, რომლის დაყენებასაც აპირებთ - შეამოწმეთ, სწორად შეარჩიეთ თუ არა ისინი და გააგრძელეთ.
• აპლიკაცია შეამოწმებს დაკმაყოფილებულია თუ არა წინაპირობები და თუ კომენტარები არ არის, ან ისინი არ არიან კრიტიკული, დააწკაპუნეთ "ინსტალაციაზე".
• ინსტალაციის დასრულების შემდეგ, კომპიუტერი თავისით გადაიტვირთება.

თქვენ ასევე შეიძლება გაინტერესებთ როგორ დაამატოთ მომხმარებელი მონაცემთა ბაზაში. ამისათვის გამოიყენეთ "Active Directory Users or Computers" მენიუ, რომელსაც ნახავთ მართვის პანელში "Administration" განყოფილებაში, ან გამოიყენეთ მონაცემთა ბაზის პარამეტრების მენიუ.

ახალი მომხმარებლის დასამატებლად დააწკაპუნეთ მაუსის მარჯვენა ღილაკით დომენის სახელზე, აირჩიეთ "შექმნა", შემდეგ "განყოფილება". თქვენს წინაშე გამოჩნდება ფანჯარა, სადაც უნდა შეიყვანოთ ახალი დეპარტამენტის სახელი - ის ემსახურება როგორც საქაღალდე, სადაც შეგიძლიათ შეაგროვოთ მომხმარებლები სხვადასხვა განყოფილებიდან. ანალოგიურად, მოგვიანებით შექმნით კიდევ რამდენიმე განყოფილებას და სწორად განათავსებთ ყველა თანამშრომელს.

შემდეგ, როდესაც შექმნით დეპარტამენტის სახელს, დააწკაპუნეთ მასზე მარჯვენა ღილაკით და აირჩიეთ "შექმნა", შემდეგ "მომხმარებელი". ახლა რჩება მხოლოდ საჭირო მონაცემების შეყვანა და მომხმარებლისთვის წვდომის პარამეტრების დაყენება.

ახალი პროფილის შექმნისას დააწკაპუნეთ მასზე კონტექსტური მენიუს არჩევით და გახსენით "თვისებები". "ანგარიშის" ჩანართში ამოიღეთ ჩამრთველი "დაბლოკვა..." გვერდით. სულ ესაა.

ზოგადი დასკვნა არის ის, რომ Active Directory არის ძლიერი და სასარგებლო სისტემის მართვის ინსტრუმენტი, რომელიც დაეხმარება ყველა თანამშრომლის კომპიუტერის ერთ გუნდში გაერთიანებას. სერვისების გამოყენებით, თქვენ შეგიძლიათ შექმნათ უსაფრთხო მონაცემთა ბაზა და მნიშვნელოვნად გააუმჯობესოთ მუშაობა და ინფორმაციის სინქრონიზაცია ყველა მომხმარებელს შორის. თუ თქვენი კომპანია ან ბიზნესის სხვა ადგილი დაკავშირებულია კომპიუტერებთან და ქსელებთან, საჭიროა ანგარიშების კონსოლიდაცია და მუშაობის და კონფიდენციალურობის მონიტორინგი, Active Directory-ზე დაფუძნებული მონაცემთა ბაზის დაყენება შესანიშნავი გამოსავალი იქნება.

Active Directory (AD) არის სასარგებლო პროგრამა, რომელიც შექმნილია Microsoft Server ოპერაციული სისტემისთვის. იგი თავდაპირველად შეიქმნა, როგორც მსუბუქი ალგორითმი მომხმარებლის დირექტორიებზე წვდომისთვის. Windows Server 2008-ის ვერსიიდან მოყოლებული, გამოჩნდა ავტორიზაციის სერვისებთან ინტეგრაცია.

შესაძლებელს ხდის ჯგუფის პოლიტიკის დაცვას, რომელიც იყენებს იგივე ტიპის პარამეტრებს და პროგრამულ უზრუნველყოფას ყველა კონტროლირებად კომპიუტერზე, სისტემის ცენტრის კონფიგურაციის მენეჯერის გამოყენებით.

დამწყებთათვის მარტივი სიტყვებით, ეს არის სერვერის როლი, რომელიც საშუალებას გაძლევთ მართოთ ყველა წვდომა და ნებართვა ლოკალურ ქსელში ერთი ადგილიდან.

ფუნქციები და მიზნები

Microsoft Active Directory არის (ე.წ. დირექტორია) ხელსაწყოების პაკეტი, რომელიც საშუალებას გაძლევთ მანიპულიროთ მომხმარებლებისა და ქსელის მონაცემებით. მთავარი მიზანიშექმნა - სისტემური ადმინისტრატორების მუშაობის ხელშეწყობა დიდ ქსელებში.

დირექტორიები შეიცავს სხვადასხვა ინფორმაციას, რომელიც დაკავშირებულია მომხმარებლებს, ჯგუფებთან, ქსელურ მოწყობილობებთან, ფაილურ რესურსებთან - ერთი სიტყვით, ობიექტებთან. მაგალითად, დირექტორიაში შენახული მომხმარებლის ატრიბუტები უნდა იყოს შემდეგი: მისამართი, შესვლა, პაროლი, მობილური ტელეფონის ნომერი და ა.შ. დირექტორია გამოიყენება როგორც ავთენტიფიკაციის წერტილები, რომლითაც შეგიძლიათ გაიგოთ საჭირო ინფორმაცია მომხმარებლის შესახებ.

ძირითადი ცნებები, რომლებიც გვხვდება მუშაობის დროს

არსებობს მთელი რიგი სპეციალიზებული კონცეფციები, რომლებიც გამოიყენება AD-თან მუშაობისას:

1. სერვერი არის კომპიუტერი, რომელიც შეიცავს ყველა მონაცემს.
2. კონტროლერი არის სერვერი AD როლით, რომელიც ამუშავებს დომენის მომხმარებელთა მოთხოვნებს.
3. AD დომენი არის ერთი უნიკალური სახელის ქვეშ გაერთიანებული მოწყობილობების კოლექცია, რომელიც ერთდროულად იყენებს საერთო დირექტორიაში მონაცემთა ბაზას.
4. მონაცემთა მაღაზია არის დირექტორიას ნაწილი, რომელიც პასუხისმგებელია ნებისმიერი დომენის კონტროლერიდან მონაცემების შესანახად და მიღებაზე.

როგორ მუშაობს აქტიური დირექტორიები

მუშაობის ძირითადი პრინციპებია:

• ავტორიზაცია, რომლითაც შეგიძლიათ გამოიყენოთ თქვენი კომპიუტერი ქსელში უბრალოდ პირადი პაროლის შეყვანით. ამ შემთხვევაში, ანგარიშიდან ყველა ინფორმაცია გადადის.
• უსაფრთხოება. Active Directory შეიცავს მომხმარებლის ამოცნობის ფუნქციებს. ნებისმიერი ქსელის ობიექტისთვის შეგიძლიათ დისტანციურად, ერთი მოწყობილობიდან, დააყენოთ საჭირო უფლებები, რაც დამოკიდებული იქნება კატეგორიებსა და კონკრეტულ მომხმარებლებზე.
• ქსელის ადმინისტრირებაერთი წერტილიდან. Active Directory-თან მუშაობისას, სისტემის ადმინისტრატორს არ სჭირდება ყველა კომპიუტერის ხელახლა კონფიგურაცია, თუ საჭიროა წვდომის უფლებების შეცვლა, მაგალითად, პრინტერზე. ცვლილებები ხორციელდება დისტანციურად და გლობალურად.
• სრული DNS ინტეგრაცია. მისი დახმარებით, AD-ში არ არის დაბნეულობა, ყველა მოწყობილობა დანიშნულებულია ზუსტად ისე, როგორც მსოფლიო ქსელში.
• ფართომასშტაბიანი. სერვერების ნაკრები შეიძლება კონტროლდებოდეს ერთი Active Directory-ით.
• ძიებაშესრულებულია სხვადასხვა პარამეტრების მიხედვით, მაგალითად, კომპიუტერის სახელი, შესვლა.

ობიექტები და ატრიბუტები

ობიექტი არის ატრიბუტების ერთობლიობა, გაერთიანებული საკუთარი სახელით, რომელიც წარმოადგენს ქსელის რესურსს.

ატრიბუტი - კატალოგში არსებული ობიექტის მახასიათებლები. მაგალითად, ეს მოიცავს მომხმარებლის სრულ სახელს და შესვლას. მაგრამ კომპიუტერის ანგარიშის ატრიბუტები შეიძლება იყოს ამ კომპიუტერის სახელი და მისი აღწერა.

„თანამშრომელი“ არის ობიექტი, რომელსაც აქვს ატრიბუტები „სახელი“, „პოზიცია“ და „ტაბნი“.

LDAP კონტეინერი და სახელი

კონტეინერი არის ობიექტის ტიპი, რომელსაც შეუძლია შედგება სხვა ობიექტებისგან. მაგალითად, დომენი შეიძლება შეიცავდეს ანგარიშის ობიექტებს.

მათი მთავარი მიზანია ობიექტების ორგანიზებანიშნების ტიპების მიხედვით. ყველაზე ხშირად, კონტეინერები გამოიყენება იმავე ატრიბუტების მქონე ობიექტების დასაჯგუფებლად.

თითქმის ყველა კონტეინერი ასახავს ობიექტების კოლექციას, ხოლო რესურსები ასახულია უნიკალურ Active Directory ობიექტზე. AD კონტეინერების ერთ-ერთი ძირითადი ტიპია ორგანიზაციის მოდული, ან OU (ორგანიზაციული ერთეული). ობიექტები, რომლებიც მოთავსებულია ამ კონტეინერში, ეკუთვნის მხოლოდ იმ დომენს, რომელშიც ისინი იქმნება.

Lightweight Directory Access Protocol (LDAP) არის ძირითადი ალგორითმი TCP/IP კავშირებისთვის. იგი შექმნილია იმისათვის, რომ შეამციროს ნიუანსების რაოდენობა დირექტორია სერვისებზე წვდომისას. LDAP ასევე განსაზღვრავს მოქმედებებს, რომლებიც გამოიყენება დირექტორიის მონაცემების მოთხოვნისა და რედაქტირებისთვის.

ხე და საიტი

დომენის ხე არის სტრუქტურა, დომენების კოლექცია, რომლებსაც აქვთ საერთო სქემა და კონფიგურაცია, რომლებიც ქმნიან საერთო სახელთა სივრცეს და დაკავშირებულია ნდობის ურთიერთობებით.

დომენური ტყე არის ერთმანეთთან დაკავშირებული ხეების კოლექცია.

საიტი არის მოწყობილობების კოლექცია IP ქვექსელში, რომელიც წარმოადგენს ქსელის ფიზიკურ მოდელს, რომლის დაგეგმვა ხორციელდება მისი კონსტრუქციის ლოგიკური წარმოდგენის მიუხედავად. Active Directory-ს აქვს შესაძლებლობა შექმნას საიტების n რაოდენობა ან დააკავშიროს დომენების n რაოდენობა ერთი საიტის ქვეშ.

Active Directory-ის ინსტალაცია და კონფიგურაცია

ახლა მოდით პირდაპირ გადავიდეთ Active Directory-ის დაყენებაზე Windows Server 2008-ის გამოყენებით, როგორც მაგალითი (პროცედურა იდენტურია სხვა ვერსიებში):

დააჭირეთ ღილაკს "OK". აღსანიშნავია, რომ ასეთი მნიშვნელობები არ არის საჭირო. შეგიძლიათ გამოიყენოთ IP მისამართი და DNS თქვენი ქსელიდან.

• შემდეგი, თქვენ უნდა გადახვიდეთ მენიუში "დაწყება", აირჩიეთ "ადმინისტრაცია" და "".
  
• გადადით "როლები" პუნქტზე, აირჩიეთ " როლების დამატება”.
  
• აირჩიეთ "Active Directory Domain Services", დააწკაპუნეთ "შემდეგი" ორჯერ და შემდეგ "ინსტალაცია".
  
• დაელოდეთ ინსტალაციის დასრულებას.
  
• გახსენით მენიუ "დაწყება" -" შეასრულეთ" შეიყვანეთ dcpromo.exe ველში.
  
• დააჭირეთ "შემდეგი".
  
• აირჩიეთ ” შექმენით ახალი დომენი ახალ ტყეში"და კვლავ დააჭირეთ "შემდეგი".
  
• შემდეგ ფანჯარაში შეიყვანეთ სახელი და დააჭირეთ "შემდეგი".
  
• აირჩიეთ თავსებადობის რეჟიმი(Windows Server 2008).
  
• შემდეგ ფანჯარაში დატოვეთ ყველაფერი ნაგულისხმევად.
  
• დაიწყება კონფიგურაციის ფანჯარაDNS. ვინაიდან ის ადრე არ იყო გამოყენებული სერვერზე, დელეგაცია არ შექმნილა.
  
• აირჩიეთ ინსტალაციის დირექტორია.
  
• ამ ნაბიჯის შემდეგ თქვენ უნდა დააყენოთ ადმინისტრაციის პაროლი.

იმისთვის, რომ პაროლი იყოს დაცული, უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:

მას შემდეგ, რაც AD დაასრულებს კომპონენტის კონფიგურაციის პროცესს, თქვენ უნდა გადატვირთოთ სერვერი.

დაყენება დასრულებულია, snap-in და როლი დაინსტალირებულია სისტემაში. თქვენ შეგიძლიათ დააინსტალიროთ AD მხოლოდ Windows Server-ის რეგულარულ ვერსიებზე, მაგალითად 7 ან 10, შეიძლება მხოლოდ მართვის კონსოლის დაყენების საშუალებას მოგცემთ.

ადმინისტრაცია Active Directory-ში

ნაგულისხმევად, Windows Server-ში Active Directory Users and Computers კონსოლი მუშაობს იმ დომენთან, რომელსაც ეკუთვნის კომპიუტერი. ამ დომენის კომპიუტერზე და მომხმარებლის ობიექტებზე წვდომა შეგიძლიათ კონსოლის ხის მეშვეობით ან სხვა კონტროლერთან დაკავშირება.

ინსტრუმენტები იმავე კონსოლში საშუალებას გაძლევთ ნახოთ დამატებითი პარამეტრებიობიექტები და მოძებნეთ ისინი, შეგიძლიათ შექმნათ ახალი მომხმარებლები, ჯგუფები და შეცვალოთ ნებართვები.

სხვათა შორის, არსებობს 2 ტიპის ჯგუფიაქტივების დირექტორიაში - უსაფრთხოება და განაწილება. უსაფრთხოების ჯგუფები პასუხისმგებელნი არიან ობიექტებზე წვდომის უფლებების დელიმიტაციაზე;

სადისტრიბუციო ჯგუფებს არ შეუძლიათ განასხვავონ უფლებები და გამოიყენება ძირითადად ქსელში შეტყობინებების გასავრცელებლად.

რა არის AD დელეგაცია

თავად დელეგაციაა ნებართვების ნაწილის გადაცემა და კონტროლიმშობლიდან სხვა პასუხისმგებელი მხარისკენ.

ცნობილია, რომ ყველა ორგანიზაციას ჰყავს რამდენიმე სისტემის ადმინისტრატორი თავის შტაბ-ბინაში. სხვადასხვა დავალებები უნდა დაეკისროს სხვადასხვა მხრებს. ცვლილებების გამოსაყენებლად, თქვენ უნდა გქონდეთ უფლებები და ნებართვები, რომლებიც იყოფა სტანდარტულ და სპეციალურად. კონკრეტული ნებართვები ვრცელდება კონკრეტულ ობიექტზე, ხოლო სტანდარტული ნებართვები არის არსებული ნებართვების ერთობლიობა, რომელიც კონკრეტულ ფუნქციებს ხელმისაწვდომს ან მიუწვდომელს ხდის.

ნდობის დამკვიდრება

AD-ში ნდობის ურთიერთობის ორი ტიპი არსებობს: „ცალმხრივი“ და „ორმხრივი“. პირველ შემთხვევაში, ერთი დომენი ენდობა მეორეს, მაგრამ არა პირიქით, პირველს აქვს წვდომა მეორის რესურსებზე, მაგრამ მეორეს არ აქვს წვდომა. მეორე ტიპში ნდობა არის „ურთიერთობრივი“. ასევე არსებობს "გამავალი" და "შემომავალი" ურთიერთობები. გამავალში, პირველი დომენი ენდობა მეორეს, რითაც მეორეს მომხმარებლებს პირველის რესურსების გამოყენების საშუალებას აძლევს.

ინსტალაციის დროს უნდა დაიცვან შემდეგი პროცედურები:

• შეამოწმეთქსელური კავშირები კონტროლერებს შორის.
• შეამოწმეთ პარამეტრები.
• მორგებასახელის გარჩევადობა გარე დომენებისთვის.
• შექმენით კავშირისანდო დომენიდან.
• შექმენით კავშირი კონტროლერის მხრიდან, რომელსაც მიმართავს ნდობა.
• შეამოწმეთ შექმნილი ცალმხრივი ურთიერთობები.
• თუ საჭიროება ჩნდებაორმხრივი ურთიერთობების დამყარებისას - ინსტალაცია.

გლობალური კატალოგი

ეს არის დომენის კონტროლერი, რომელიც ინახავს ტყეში არსებული ყველა ობიექტის ასლებს. ის აძლევს მომხმარებლებს და პროგრამებს შესაძლებლობას მოიძიონ ობიექტები მიმდინარე ტყის ნებისმიერ დომენში გამოყენებით ატრიბუტების აღმოჩენის ინსტრუმენტებიშედის გლობალურ კატალოგში.

გლობალური კატალოგი (GC) მოიცავს ატრიბუტების შეზღუდულ კომპლექტს თითოეული ტყის ობიექტისთვის თითოეულ დომენში. ის იღებს მონაცემებს ტყის ყველა დომენის დირექტორიას ტიხრებიდან და კოპირდება სტანდარტული Active Directory რეპლიკაციის პროცესის გამოყენებით.

სქემა განსაზღვრავს, იქნება თუ არა ატრიბუტის კოპირება. არის შესაძლებლობა დამატებითი ფუნქციების კონფიგურაცია, რომელიც ხელახლა შეიქმნება გლობალურ კატალოგში "Active Directory Schema"-ს გამოყენებით. გლობალურ კატალოგში ატრიბუტის დასამატებლად, თქვენ უნდა აირჩიოთ რეპლიკაციის ატრიბუტი და გამოიყენოთ "ასლი". ეს შექმნის ატრიბუტის რეპლიკაციას გლობალურ კატალოგში. ატრიბუტის პარამეტრის მნიშვნელობა isMemberOfPartialAttributeSetგახდება ჭეშმარიტი.

იმისათვის რომ გაირკვეს ადგილმდებარეობაგლობალური კატალოგი, თქვენ უნდა შეიყვანოთ ბრძანების ხაზზე:

Dsquery სერვერი –isgc

მონაცემთა რეპლიკაცია Active Directory-ში

რეპლიკაცია არის კოპირების პროცედურა, რომელიც ხორციელდება მაშინ, როდესაც საჭიროა თანაბრად მიმდინარე ინფორმაციის შენახვა, რომელიც არსებობს ნებისმიერ კონტროლერზე.

იწარმოება ოპერატორის მონაწილეობის გარეშე. არსებობს რეპლიკა შინაარსის შემდეგი ტიპები:

• მონაცემთა რეპლიკა იქმნება ყველა არსებული დომენიდან.
• მონაცემთა სქემების ასლები. ვინაიდან მონაცემთა სქემა ერთნაირია Active Directory ტყის ყველა ობიექტისთვის, მისი ასლები ინახება ყველა დომენში.
• კონფიგურაციის მონაცემები. აჩვენებს ასლების კონსტრუქციას კონტროლერებს შორის. ინფორმაცია ვრცელდება ტყეში არსებულ ყველა დომენზე.

რეპლიკების ძირითადი ტიპებია შიდა და კვანძთაშორისი.

პირველ შემთხვევაში, ცვლილებების შემდეგ, სისტემა ელოდება, შემდეგ აცნობებს პარტნიორს, რომ შექმნას რეპლიკა ცვლილებების დასასრულებლად. ცვლილებების არარსებობის შემთხვევაშიც კი, რეპლიკაციის პროცესი ავტომატურად ხდება გარკვეული პერიოდის შემდეგ. მას შემდეგ, რაც არღვევს ცვლილებები ვრცელდება დირექტორიაში, რეპლიკაცია ხდება დაუყოვნებლივ.

რეპლიკაციის პროცედურა კვანძებს შორის შუაში ხდებამინიმალური დატვირთვა ქსელში, ეს თავიდან აიცილებს ინფორმაციის დაკარგვას.

აქტიური დირექტორია

აქტიური დირექტორია("აქტიური დირექტორიები", ახ.წ) - LDAP-კორპორაციის დირექტორია სერვისის თავსებადი განხორციელება მაიკროსოფტისაოჯახო ოპერაციული სისტემებისთვის Windows NT. აქტიური დირექტორიასაშუალებას აძლევს ადმინისტრატორებს გამოიყენონ ჯგუფური პოლიტიკა მომხმარებლის სამუშაო გარემოს ერთიანი კონფიგურაციის უზრუნველსაყოფად, განათავსონ პროგრამული უზრუნველყოფა მრავალ კომპიუტერზე ჯგუფური პოლიტიკის მეშვეობით ან სისტემის ცენტრის კონფიგურაციის მენეჯერი(ადრე Microsoft Systems მართვის სერვერი), დააინსტალირეთ ოპერაციული სისტემის, აპლიკაციისა და სერვერის პროგრამული უზრუნველყოფის განახლებები ქსელის ყველა კომპიუტერზე განახლების სერვისის გამოყენებით Windows სერვერი . აქტიური დირექტორიაინახავს მონაცემებს და გარემოს პარამეტრებს ცენტრალიზებულ მონაცემთა ბაზაში. ქსელები აქტიური დირექტორიაშეიძლება იყოს სხვადასხვა ზომის: რამდენიმე ათეულიდან რამდენიმე მილიონამდე ობიექტი.

შესრულება აქტიური დირექტორიაშედგა 1999 წელს, პროდუქტი პირველად გამოვიდა Windows 2000 სერვერი, და მოგვიანებით შეიცვალა და გაუმჯობესდა გამოშვებისთანავე Windows Server 2003. შემდგომში აქტიური დირექტორიაგაუმჯობესდა Windows Server 2003 R2, Windows Server 2008და Windows Server 2008 R2და გადაერქვა Active Directory დომენის სერვისები. დირექტორია სერვისი ადრე იყო დარეკილი NT დირექტორია სერვისი (NTDS), ეს სახელი მაინც შეიძლება მოიძებნოს ზოგიერთ შესრულებად ფაილში.

ვერსიებისგან განსხვავებით ფანჯრებირომ Windows 2000, რომელიც ძირითადად პროტოკოლს იყენებდა NetBIOSქსელური კომუნიკაციისთვის, სერვისისთვის აქტიური დირექტორიაინტეგრირებული DNSდა TCP/IP. ნაგულისხმევი ავტორიზაციის პროტოკოლი არის კერბეროსი. თუ კლიენტი ან აპლიკაცია მხარს არ უჭერს ავთენტიფიკაციას კერბეროსი, პროტოკოლი გამოიყენება NTLM .

მოწყობილობა

ობიექტები

აქტიური დირექტორიააქვს იერარქიული სტრუქტურა, რომელიც შედგება ობიექტებისგან. ობიექტები იყოფა სამ ძირითად კატეგორიად: რესურსები (როგორიცაა პრინტერები), სერვისები (როგორიცაა ელექტრონული ფოსტა) და მომხმარებლის და კომპიუტერის ანგარიშები. აქტიური დირექტორიაუზრუნველყოფს ინფორმაციას ობიექტების შესახებ, საშუალებას გაძლევთ მოაწყოთ ობიექტები, აკონტროლოთ მათზე წვდომა და ასევე დაამყაროთ უსაფრთხოების წესები.

ობიექტები შეიძლება იყოს კონტეინერები სხვა ობიექტებისთვის (უსაფრთხოება და განაწილების ჯგუფები). ობიექტი ცალსახად იდენტიფიცირებულია მისი სახელით და აქვს ატრიბუტების ერთობლიობა - მახასიათებლები და მონაცემები - რომლებიც შეიძლება შეიცავდეს; ეს უკანასკნელი, თავის მხრივ, დამოკიდებულია ობიექტის ტიპზე. ატრიბუტები ქმნიან ობიექტის სტრუქტურის საფუძველს და განისაზღვრება სქემაში. სქემა განსაზღვრავს თუ რა ტიპის ობიექტები შეიძლება არსებობდეს.

თავად სქემა შედგება ორი ტიპის ობიექტისგან: სქემის კლასის ობიექტები და სქემის ატრიბუტების ობიექტები. ერთი სქემის კლასის ობიექტი განსაზღვრავს ერთი ობიექტის ტიპს აქტიური დირექტორია(როგორიცაა მომხმარებლის ობიექტი) და ერთი სქემის ატრიბუტის ობიექტი განსაზღვრავს ატრიბუტს, რომელიც შეიძლება ჰქონდეს ობიექტს.

თითოეული ატრიბუტის ობიექტი შეიძლება გამოყენებულ იქნას რამდენიმე სხვადასხვა სქემის კლასის ობიექტში. ამ ობიექტებს უწოდებენ სქემის ობიექტებს (ან მეტამონაცემებს) და საშუალებას გაძლევთ შეცვალოთ და გააფართოვოთ სქემა საჭიროებისამებრ. თუმცა, ყველა სქემის ობიექტი ობიექტის განმარტებების ნაწილია აქტიური დირექტორიაასე რომ, ამ ობიექტების გამორთვა ან შეცვლა შეიძლება გამოიწვიოს სერიოზული შედეგები, რადგან ამ ქმედებების შედეგად შეიცვლება სტრუქტურა აქტიური დირექტორია. სქემის ობიექტში ცვლილებები ავტომატურად ვრცელდება აქტიური დირექტორია. შექმნის შემდეგ, სქემის ობიექტის წაშლა შეუძლებელია, მისი მხოლოდ გამორთვაა შესაძლებელი. როგორც წესი, სქემის ყველა ცვლილება საგულდაგულოდ არის დაგეგმილი.

კონტეინერიმსგავსი ობიექტიიმ გაგებით, რომ მას ასევე აქვს ატრიბუტები და ეკუთვნის სახელთა სივრცეს, მაგრამ, ობიექტისგან განსხვავებით, კონტეინერი არ ნიშნავს რაიმე კონკრეტულს: მას შეუძლია შეიცავდეს ობიექტების ჯგუფს ან სხვა კონტეინერებს.

სტრუქტურა

სტრუქტურის ზედა დონე არის ტყე - ყველა ობიექტის, ატრიბუტისა და წესის კოლექცია (ატრიბუტის სინტაქსი) აქტიური დირექტორია. ტყე შეიცავს ერთ ან მეტ ხეს, რომლებიც დაკავშირებულია ტრანზიტით ნდობის ურთიერთობები . ხე შეიცავს ერთ ან მეტ დომენს, რომლებიც ასევე დაკავშირებულია იერარქიაში გარდამავალი ნდობის ურთიერთობებით. დომენები იდენტიფიცირებულია მათი DNS სახელების სტრუქტურებით - სახელთა სივრცეებით.

დომენის ობიექტები შეიძლება დაჯგუფდეს კონტეინერებად - განყოფილებებად. განყოფილებები საშუალებას გაძლევთ შექმნათ იერარქია დომენის ფარგლებში, გაამარტივოთ მისი ადმინისტრირება და საშუალებას მოგცემთ მოდელოთ კომპანიის ორგანიზაციული და/ან გეოგრაფიული სტრუქტურა. აქტიური დირექტორია. განყოფილებები შეიძლება შეიცავდეს სხვა განყოფილებებს. კორპორაცია მაიკროსოფტიგირჩევთ გამოიყენოთ რაც შეიძლება ნაკლები დომენები აქტიური დირექტორიადა გამოიყენეთ განყოფილებები სტრუქტურისა და პოლიტიკისთვის. ხშირად ჯგუფის პოლიტიკა გამოიყენება სპეციალურად დეპარტამენტებისთვის. ჯგუფის პოლიტიკა თავად არის ობიექტი. განყოფილება არის ყველაზე დაბალი დონე, რომელზედაც შესაძლებელია ადმინისტრაციული უფლებამოსილების დელეგირება.

გაყოფის კიდევ ერთი გზა აქტიური დირექტორიაარიან საიტები , რომლებიც წარმოადგენს ქსელის სეგმენტებზე დაფუძნებული ფიზიკური (და არა ლოგიკური) დაჯგუფების მეთოდს. საიტები იყოფა მათზე, რომლებსაც აქვთ კავშირები დაბალი სიჩქარის არხებით (მაგალითად, გლობალური ქსელის არხებით, ვირტუალური კერძო ქსელების გამოყენებით) და მაღალსიჩქარიანი არხებით (მაგალითად, ლოკალური ქსელის საშუალებით). ვებსაიტი შეიძლება შეიცავდეს ერთ ან მეტ დომენს, ხოლო დომენი შეიძლება შეიცავდეს ერთ ან მეტ ვებსაიტს. დიზაინის დროს აქტიური დირექტორიამნიშვნელოვანია გავითვალისწინოთ ქსელის ტრაფიკი, რომელიც შეიქმნა მონაცემთა საიტებს შორის სინქრონიზაციის დროს.

მთავარი დიზაინის გადაწყვეტილება აქტიური დირექტორიაარის გადაწყვეტილება ინფორმაციული ინფრასტრუქტურის იერარქიულ დომენებად და ზედა დონის ერთეულებად დაყოფის შესახებ. ასეთი განცალკევებისთვის გამოყენებული ტიპიური მოდელებია გამოყოფის მოდელები კომპანიის ფუნქციური განყოფილებების, გეოგრაფიული მდებარეობისა და როლების მიხედვით კომპანიის საინფორმაციო ინფრასტრუქტურაში. ხშირად გამოიყენება ამ მოდელების კომბინაციები.

ფიზიკური სტრუქტურა და რეპლიკაცია

ფიზიკურად, ინფორმაცია ინახება დომენის ერთ ან მეტ ეკვივალენტურ კონტროლერზე, რომელიც ანაცვლებს მათ Windows NTპირველადი და სარეზერვო დომენის კონტროლერები, თუმცა ეგრეთ წოდებული "ერთი ძირითადი ოპერაციების" სერვერი შენარჩუნებულია ზოგიერთი ოპერაციისთვის, რომელსაც შეუძლია პირველადი დომენის კონტროლერის ემულაცია. დომენის თითოეული კონტროლერი ინახავს მონაცემების წაკითხვა-ჩაწერის ასლს. ერთ კონტროლერზე განხორციელებული ცვლილებები სინქრონიზებულია დომენის ყველა კონტროლერთან რეპლიკაციის საშუალებით. სერვერები, რომლებზეც თავად სერვისი აქტიური დირექტორიაარ არის დაინსტალირებული, მაგრამ რომლებიც დომენის ნაწილია აქტიური დირექტორია, ეწოდება წევრი სერვერები.

რეპლიკაცია აქტიური დირექტორიაშესრულებულია მოთხოვნით. სერვისი ცოდნის თანმიმდევრულობის შემმოწმებელიქმნის რეპლიკაციის ტოპოლოგიას, რომელიც იყენებს სისტემაში განსაზღვრულ საიტებს ტრაფიკის გასაკონტროლებლად. შიდა რეპლიკაცია ხდება ხშირად და ავტომატურად თანმიმდევრულობის შემმოწმებლის გამოყენებით (რეპლიკაციის პარტნიორების შეტყობინება ცვლილებების შესახებ). ჯვარედინი რეპლიკაციის კონფიგურაცია შესაძლებელია თითოეული საიტის არხისთვის (დამოკიდებულია არხის ხარისხზე) - თითოეულ არხს შეიძლება მიენიჭოს განსხვავებული „ქულა“ (ან „ფასი“) (მაგ. DS3, , ISDNდა ა.შ.), და რეპლიკაციის ტრაფიკი შეზღუდული, დაგეგმილი და მარშრუტირებული იქნება მინიჭებული ბმულის შეფასებით. რეპლიკაციის მონაცემები შეიძლება ტრანზიციულად მიედინება მრავალ საიტზე საიტის ბმულების ხიდების საშუალებით, თუ "ქულა" დაბალია, თუმცა AD ავტომატურად ანიჭებს უფრო დაბალ ქულას საიტიდან საიტის ბმულებს, ვიდრე გარდამავალ ბმულებს. საიტიდან საიტის რეპლიკაცია ხორციელდება ხიდის სერვერების მიერ თითოეულ საიტზე, რომლებიც შემდეგ იმეორებენ ცვლილებებს თითოეულ დომენის კონტროლერში მის საიტზე. დომენის შიდა რეპლიკაცია მიჰყვება პროტოკოლს RPCპროტოკოლის მიხედვით IP, ინტერდომენი - ასევე შეუძლია პროტოკოლის გამოყენება SMTP.

თუ სტრუქტურა აქტიური დირექტორიაშეიცავს რამდენიმე დომენს, იგი გამოიყენება ობიექტების ძიების პრობლემის გადასაჭრელად გლობალური კატალოგი: დომენის კონტროლერი, რომელიც შეიცავს ტყეში არსებულ ყველა ობიექტს, მაგრამ ატრიბუტების შეზღუდული ნაკრებით (ნაწილობრივი რეპლიკა). კატალოგი ინახება მითითებულ გლობალური კატალოგის სერვერებზე და ემსახურება დომენებს შორის მოთხოვნებს.

ერთჯერადი მასპინძლის შესაძლებლობა იძლევა მოთხოვნის დამუშავების საშუალებას, როდესაც მრავალჰოსტის რეპლიკაცია შეუძლებელია. ასეთი ოპერაციების ხუთი ტიპი არსებობს: ძირითადი დომენის კონტროლერის ემულაცია (PDC ემულატორი), ფარდობითი იდენტიფიკატორის მთავარი (შედარებითი იდენტიფიკატორის ოსტატი ან RID master), ინფრასტრუქტურის ოსტატი (ინფრასტრუქტურის ოსტატი), სქემის ოსტატი (სქემის ოსტატი) და დომენის დასახელების მთავარი (დომენი). დასახელების ოსტატი). პირველი სამი როლი უნიკალურია დომენში, ბოლო ორი უნიკალურია მთელ ტყეში.

ბაზა აქტიური დირექტორიაშეიძლება დაიყოს სამ ლოგიკურ მაღაზიად ან "პარტიციად". დიაგრამა არის შაბლონი აქტიური დირექტორიადა განსაზღვრავს ყველა ტიპის ობიექტს, მათ კლასებს და ატრიბუტებს, ატრიბუტების სინტაქსს (ყველა ხე ერთსა და იმავე ტყეშია, რადგან მათ აქვთ იგივე სქემა). კონფიგურაცია არის ტყის და ხეების სტრუქტურა აქტიური დირექტორია. დომენი ინახავს ყველა ინფორმაციას ამ დომენში შექმნილი ობიექტების შესახებ. პირველი ორი მაღაზია იმეორებს ტყის ყველა დომენის კონტროლერს, მესამე დანაყოფი სრულად იმეორებს რეპლიკა კონტროლერებს შორის თითოეულ დომენში და ნაწილობრივ იმეორებს გლობალური კატალოგის სერვერებს.

დასახელება

აქტიური დირექტორიამხარს უჭერს ობიექტების დასახელების შემდეგ ფორმატებს: ზოგადი ტიპის სახელები UNC, URLდა LDAP URL. ვერსია LDAP X.500 დასახელების ფორმატი გამოიყენება შიდა აქტიური დირექტორია.

თითოეულ ობიექტს აქვს გამორჩეული სახელი (ინგლისური) გამორჩეული სახელი, DN) . მაგალითად, პრინტერის ობიექტი სახელად HPLaser3მარკეტინგის OU-ში და დომენში foo.org ექნება შემდეგი გამორჩეული სახელი: CN=HPLaser3,OU=Marketing,DC=foo,DC=org, სადაც CN არის საერთო სახელი, OU არის განყოფილება, DC არის დომენი. ობიექტის კლასი. გამორჩეულ სახელებს შეიძლება ჰქონდეთ ბევრად მეტი ნაწილი, ვიდრე ამ მაგალითში მოცემული ოთხი ნაწილი. ობიექტებს ასევე აქვთ კანონიკური სახელები. ეს არის გამორჩეული სახელები, რომლებიც დაწერილია საპირისპირო თანმიმდევრობით, იდენტიფიკატორების გარეშე და წინა ხაზების გამოყენებით, როგორც განმსაზღვრელი: foo.org/Marketing/HPLaser3. მისი კონტეინერის შიგნით ობიექტის დასადგენად გამოიყენეთ ნათესავი გამორჩეული სახელი : CN=HPLaser3. თითოეულ ობიექტს ასევე აქვს გლობალურად უნიკალური იდენტიფიკატორი ( GUID) არის უნიკალური და უცვლელი 128-ბიტიანი სტრიქონი, რომელიც გამოიყენება აქტიური დირექტორიაძებნისა და რეპლიკაციისთვის. ზოგიერთ ობიექტს ასევე აქვს UPN ( UPN, შესაბამისად RFC 822) ფორმატში object@domain.

UNIX ინტეგრაცია

ურთიერთქმედების სხვადასხვა დონესთან აქტიური დირექტორიაშეიძლება განხორციელდეს უმეტესობაში UNIX- მოსწონს ოპერაციული სისტემები სტანდარტების შესაბამისი LDAPკლიენტებს, მაგრამ ასეთი სისტემები, როგორც წესი, არ აღიქვამენ კომპონენტებთან დაკავშირებულ ატრიბუტების უმეტესობას ფანჯრები, როგორიცაა ჯგუფური პოლიტიკა და ცალმხრივი მინდობილობის მხარდაჭერა.

მესამე მხარის მომწოდებლები გთავაზობთ ინტეგრაციას აქტიური დირექტორიაპლატფორმებზე UNIX, მათ შორის UNIX, Linux, Mac OS Xდა რამდენიმე განაცხადის საფუძველზე ჯავაპროდუქციის პაკეტით:

სქემის დამატებები შედის Windows Server 2003 R2მოიცავს ატრიბუტებს, რომლებიც საკმარისად მჭიდროდ არის დაკავშირებული RFC 2307-თან ზოგადად გამოსაყენებლად. RFC 2307, nss_ldap და pam_ldap-ის ძირითადი იმპლემენტაციები, შემოთავაზებული PADL.com, პირდაპირ მხარს უჭერს ამ ატრიბუტებს. ჯგუფის წევრობის სტანდარტული სქემა მიჰყვება RFC 2307bis (შემოთავაზებული). Windows Server 2003 R2მოიცავს Microsoft Management Console ატრიბუტების შესაქმნელად და რედაქტირებისთვის.

ალტერნატივა არის სხვა დირექტორია სერვისის გამოყენება, როგორიცაა 389 დირექტორია სერვერი(ადრე Fedora დირექტორია სერვერი, FDS), eB2Bcom ViewDS v7.1 XML ჩართული დირექტორიაან Sun Java სისტემის დირექტორია სერვერისაწყისი Sun Microsystems, რომელიც ახორციელებს ორმხრივ სინქრონიზაციას აქტიური დირექტორია, რითაც აცნობიერებენ „ასახულ“ ინტეგრაციას, როდესაც კლიენტები UNIXდა Linuxავთენტიფიცირებულია FDSდა კლიენტებს ფანჯრებიავთენტიფიცირებულია აქტიური დირექტორია. კიდევ ერთი ვარიანტია გამოყენება OpenLDAPდისტანციური სერვერის ელემენტების გაფართოების გამჭვირვალე გადაფარვის შესაძლებლობით LDAPდამატებითი ატრიბუტები ინახება ადგილობრივ მონაცემთა ბაზაში.

აქტიური დირექტორიაავტომატიზირებულია გამოყენებით Powershell .

ლიტერატურა

• რენდ მორიმოტო, კენტონ გარდინიერი, მაიკლ ნოელი, ჯო კოკა Microsoft Exchange Server 2003. სრული სახელმძღვანელო = Microsoft Exchange Server 2003 გამოუშვა. - M.: “Williams”, 2006. - გვ. 1024. - ISBN 0-672-32581-0

აგრეთვე იხილეთ

ბმულები

შენიშვნები

Microsoft Windows კომპონენტები
ძირითადი
სერვისები მენეჯმენტი
აპლიკაციები	DVD Maker კონტაქტები ფაქსები და სკანირება Internet Explorerჟურნალი ლუპა მედია ცენტრი Windows Media Player თანამშრომლობის პროგრამა Windows Mobile Device Center მობილობის ცენტრიმთხრობელი საღებავი პერსონალური სიმბოლოების რედაქტორი დისტანციური დახმარება მეტყველების ამოცნობა WordPad ნოუთბუქი გვერდითი ზოლი ხმის ჩაწერაკალენდარი კალკულატორი მაკრატელი ფოსტა სიმბოლოების ცხრილი ისტორიული: კინო მწარმოებელი NetMeeting Outlook Express პროგრამის მენეჯერი ფაილების მენეჯერი ფოტო ალბომი
თამაშები
OS ბირთვი
სერვისები
ფაილი სისტემები
სერვერი	აქტიური დირექტორია განლაგების სერვისები ფაილების რეპლიკაციის სერვისი DNS დომენები საქაღალდის გადამისამართება Hyper-V IIS მედია სერვისები MSMQ ქსელში წვდომის დაცვა (NAP) ბეჭდვის სერვისები UNIX-ისთვის დისტანციური დიფერენციალური შეკუმშვა დისტანციური ინსტალაციის სერვისები უფლებების მართვის სამსახური როუმინგული მომხმარებლის პროფილები SharePoint სისტემის რესურსების მენეჯერი დისტანციური სამუშაო მაგიდა WSUS ჯგუფის პოლიტიკა განაწილებული ტრანზაქციის კოორდინატორი
არქიტექტურა
უსაფრთხოება
თავსებადობა

მაიკროსოფტი
BY
სერვერის პროგრამული უზრუნველყოფა
ტექნოლოგიები
ინტერნეტი
თამაშები
აპარატურა უსაფრთხოება
განათლება
ლიცენზირება
განყოფილებები

Active Directory საფუძვლები

სერვისი აქტიური დირექტორია

გაფართოებადი და მასშტაბირებადი დირექტორია სერვისი აქტიური დირექტორიასაშუალებას გაძლევთ ეფექტურად მართოთ ქსელის რესურსები.

აქტიური დირექტორია არის იერარქიულად ორგანიზებული მონაცემთა საცავი ქსელის ობიექტების შესახებ, რომელიც უზრუნველყოფს ამ მონაცემების მოსაძებნად და გამოსაყენებლად მოსახერხებელ საშუალებებს.. კომპიუტერი გაშვებულია აქტიურიდირექტორია, ე.წ დომენის კონტროლერი . თან აქტიური დირექტორიათითქმის ყველა ადმინისტრაციული ამოცანა დაკავშირებულია.

Active Directory ტექნოლოგია დაფუძნებულია სტანდარტზე ინტერნეტ პროტოკოლებიდა ეხმარება ნათლად განსაზღვროს ქსელის სტრუქტურა.

Active Directory და DNS

IN აქტიური დირექტორიწგამოიყენება დომენური სახელების სისტემა.

დომენისახელი სისტემა (DNS) არის სტანდარტული ინტერნეტ სერვისი, რომელიც აწყობს კომპიუტერების ჯგუფებს დომენებად.DNS დომენებს აქვთ იერარქიული სტრუქტურა, რომელიც ქმნის ინტერნეტის საფუძველს. ამ იერარქიის სხვადასხვა დონე იდენტიფიცირებს კომპიუტერებს, ორგანიზაციულ დომენებს და ზედა დონის დომენებს. DNS ასევე ემსახურება ჰოსტების სახელების გადაჭრას, მაგ. ზ eta.webatwork.com ციფრული IP მისამართებისთვის, როგორიცაა 192.168.19.2. DNS-ის გამოყენებით Active Directory დომენის იერარქია შეიძლება იყოს ინტეგრირებული ინტერნეტ სივრცეში ან დარჩეს დამოუკიდებელი და იზოლირებული გარე წვდომისგან.

რესურსებზე წვდომისთვის დომენი იყენებს სრულად კვალიფიციურ ჰოსტის სახელს, მაგალითად zeta.webatwork.com. აქზდა- ინდივიდუალური კომპიუტერის სახელი, webwork - ორგანიზაციის დომენი და com - უმაღლესი დონის დომენი. ზედა დონის დომენები ქმნიან DNS იერარქიის საფუძველს და, შესაბამისად, უწოდებენ root დომენები (root domains). ისინი ორგანიზებულია გეოგრაფიულად, სახელებით, რომლებიც ეფუძნება ორასოიან ქვეყნის კოდებს (ruრუსეთისთვის), ორგანიზაციის ტიპის მიხედვით (ასობითკომერციული ორგანიზაციებისთვის) და დანიშნულებისამებრ (მლნ სამხედრო ორგანიზაციებისთვის).

რეგულარული დომენები, როგორიცაა microsoft.com, ეძახიან მშობლები (მშობელი დომენი), რადგან ისინი ქმნიან ორგანიზაციული სტრუქტურის საფუძველს. მშობელი დომენები შეიძლება დაიყოს სხვადასხვა ფილიალების ქვედომენებად ან დისტანციურ ფილიალებად. მაგალითად, Microsoft-ის სიეტლის ოფისში კომპიუტერის სრული სახელი შეიძლება იყოს jacob.seattle.microsoft.com , სად ჯაკობი- კომპიუტერის სახელი, სეალტლე - ქვედომენი, ხოლო microsoft.com არის მთავარი დომენი. ქვედომენის სხვა სახელია ბავშვის დომენი (ბავშვის დომენი).

კომპონენტები აქტიური დირექტორია

Active Directory აერთიანებს ფიზიკურ და ლოგიკურ სტრუქტურას ქსელის კომპონენტებისთვის. Active Directory ლოგიკური სტრუქტურები დაგეხმარებათ დირექტორია ობიექტების ორგანიზებაში და ქსელის ანგარიშებისა და გაზიარებების მართვაში. ლოგიკური სტრუქტურა მოიცავს შემდეგ ელემენტებს:

ორგანიზაციული ერთეული - კომპიუტერების ქვეჯგუფი, რომელიც ჩვეულებრივ ასახავს კომპანიის სტრუქტურას;

დომენი ( დომენი) - კომპიუტერების ჯგუფი, რომლებიც იზიარებენ საერთო კატალოგის მონაცემთა ბაზას;

დომენის ხე (დომენი ხე) - ერთი ან მეტი დომენი, რომლებიც იზიარებენ მომიჯნავე სახელთა სივრცეს;

დომენის ტყე - ერთი ან მეტი ხე, რომელიც აზიარებს დირექტორიას ინფორმაციას.

ფიზიკური ელემენტები ხელს უწყობს ქსელის რეალური სტრუქტურის დაგეგმვას. ფიზიკურ სტრუქტურებზე დაყრდნობით იქმნება ქსელური კავშირები და ქსელის რესურსების ფიზიკური საზღვრები. ფიზიკური სტრუქტურა მოიცავს შემდეგ ელემენტებს:

ქვექსელი ( ქვექსელი) - ქსელის ჯგუფი მითითებული IP მისამართის არეალით და ქსელის ნიღბით;

საიტი ( საიტი) - ერთი ან მეტი ქვექსელი. საიტი გამოიყენება დირექტორიაში წვდომის კონფიგურაციისთვის და რეპლიკაციისთვის.

ორგანიზაციული განყოფილებები

ორგანიზაციული ერთეულები (OU) არის ქვეჯგუფები დომენებში, რომლებიც ხშირად ასახავს ორგანიზაციის ფუნქციურ სტრუქტურას. OU არის ერთგვარი ლოგიკური კონტეინერი, რომელშიც განთავსებულია ანგარიშები, აქციები და სხვა OU. მაგალითად, შეგიძლიათ შექმნათ დომენში მიკროსოფტ. comგანყოფილებები რესურსები, IT, მარკეტინგი. შემდეგ ეს სქემა შეიძლება გაფართოვდეს და შეიცავდეს შვილობილ ერთეულებს.

OP-ში დასაშვებია მხოლოდ ძირითადი დომენის ობიექტების განთავსება. მაგალითად, OU დომენიდან Seattle.microsoft.com შეიცავს მხოლოდ ამ დომენის ობიექტებს. დაამატეთ ობიექტები იქიდანმწ. მicrosoft.com დაუშვებელია. OP ძალიან მოსახერხებელია ფუნქციური ან ფორმირებისას ბიზნეს სტრუქტურებიორგანიზაციებს.მაგრამ ეს არ არის მათი გამოყენების ერთადერთი მიზეზი.

OP-ები საშუალებას გაძლევთ განსაზღვროთ ჯგუფური პოლიტიკა დომენის რესურსების მცირე ნაკრებისთვის მისი მთელ დომენზე გამოყენების გარეშე. OP ქმნის დომენის დირექტორია ობიექტების კომპაქტურ და უფრო მართვადი ხედებს, რაც დაგეხმარებათ რესურსების უფრო ეფექტურად მართვაში.

OP-ები გაძლევთ უფლებას დელეგირებას და აკონტროლოთ ადმინისტრაციული წვდომა დომენის რესურსებზე, რაც გეხმარებათ დომენში ადმინისტრატორის უფლებამოსილების ლიმიტების დაყენებაში. შესაძლებელია A მომხმარებლისთვის ადმინისტრაციული უფლებების გადაცემა მხოლოდ ერთი OU-სთვის და ამავე დროს B მომხმარებლისთვის ადმინისტრაციული უფლებების გადაცემა დომენის ყველა OU-სთვის.

დომენები

დომენი Active Directory არის კომპიუტერების ჯგუფი, რომლებიც იზიარებენ საერთო კატალოგის მონაცემთა ბაზას. Active Directory დომენური სახელები უნდა იყოს უნიკალური. მაგალითად, არ შეიძლება იყოს ორი დომენი მicrosoft.com, მაგრამ შეიძლება არსებობდეს მთავარი დომენი microsoft.com საბავშვო დომენებით seattle.microsoft.com და მy.microsoft.com. თუ დომენი არის დახურული ქსელის ნაწილი, ახალ დომენს მინიჭებული სახელი არ უნდა ეწინააღმდეგებოდეს ამ ქსელში არსებულ დომენურ სახელებს. თუ დომენი არის გლობალური ინტერნეტის ნაწილი, მაშინ მისი სახელი არ უნდა ეწინააღმდეგებოდეს ინტერნეტში არსებულ დომენის რომელიმე სახელს. იმის უზრუნველსაყოფად, რომ სახელები უნიკალურია ინტერნეტში, მთავარი დომენის სახელი უნდა დარეგისტრირდეს ნებისმიერი ავტორიზებული სარეგისტრაციო ორგანიზაციის მეშვეობით.

თითოეულ დომენს აქვს საკუთარი უსაფრთხოების პოლიტიკა და ნდობის ურთიერთობები სხვა დომენებთან. ხშირად, დომენები ნაწილდება რამდენიმე ფიზიკურ ადგილას, ანუ ისინი შედგება რამდენიმე საიტისგან და საიტები აერთიანებს რამდენიმე ქვექსელს. დომენის კატალოგის მონაცემთა ბაზა ინახავს ობიექტებს, რომლებიც განსაზღვრავენ მომხმარებლების, ჯგუფებისა და კომპიუტერების ანგარიშებს, ასევე საზიარო რესურსებს, როგორიცაა პრინტერები და საქაღალდეები.

დომენის ფუნქციები შეზღუდულია და რეგულირდება მისი მუშაობის რეჟიმით. დომენის ოთხი ფუნქციონალური რეჟიმია:

შერეული რეჟიმი Windows 2000 (შერეული რეჟიმი) - მხარს უჭერს დომენის კონტროლერებს Windows-ზე NT 4.0, ვი ინდოუსს 2000 და ფანჯრები სერვერი 2003;

Windows 2000 მშობლიური რეჟიმი - მხარს უჭერს დომენის კონტროლერებს, რომლებიც მუშაობენ Windows 2000 და ფანჯრები სერვერი 2003;

შუალედური რეჟიმი ფანჯრები სერვერი 2003 ( შუალედური რეჟიმი) - მხარს უჭერს დომენის კონტროლერების გაშვებას ფანჯრები NT 4.0 და ფანჯრები სერვერი 2003;

რეჟიმი Windows Server 2003 - მხარს უჭერს დომენის კონტროლერებს, რომლებიც მუშაობენ Windows Server 2003.

ტყეები და ხეები

ყველა დომენი აქტიური დირექტორიააქვს DNS- დაწერეთ სახელი მიკროსოფტი.com. დომენები, რომლებიც იზიარებენ დირექტორიაში მონაცემებს, ქმნიან ტყეს. ტყის დომენური სახელები DNS სახელების იერარქიაში არის არამიმართული(შეწყვეტილი) ან მიმდებარე(მიმდებარე).

დომენებს, რომლებსაც აქვთ მომიჯნავე დასახელების სტრუქტურა, ეწოდება დომენის ხე. თუ ტყის დომენებს აქვთ არამიმდევრული DNS სახელები, ისინი ქმნიან ცალკეულ დომენის ხეებს ტყეში. ტყე შეიძლება შეიცავდეს ერთ ან მეტ ხეს. კონსოლი გამოიყენება დომენის სტრუქტურებზე წვდომისთვისაქტიური დირექტორია- დომენები და ნდობა (აქტიურიდირექტორია დომენებიდა ენდობა).

ტყეების ფუნქციები შეზღუდულია და რეგულირდება ტყის ფუნქციური რეჟიმით. არსებობს სამი ასეთი რეჟიმი:

Windows 2000 - მხარს უჭერს დომენის კონტროლერებს, რომლებიც მუშაობენ Windows NT 4.0, Windows 2000 და Windows სერვერი 2003;

შუალედური ( შუალედური) ფანჯრები სერვერი 2003 - მხარს უჭერს დომენის კონტროლერებს, რომლებიც მუშაობენ Windows NT 4.0 და Windows Server 2003;

Windows Server 2003 - მხარს უჭერს დომენის კონტროლერებს, რომლებიც მუშაობენ Windows Server 2003.

Active Directory-ის უახლესი ფუნქციები ხელმისაწვდომია Windows Server 2003 რეჟიმში, თუ ტყის ყველა დომენი მუშაობს ამ რეჟიმში, შეგიძლიათ ისარგებლოთ გაუმჯობესებული გლობალური კატალოგის რეპლიკაციით და Active Directory მონაცემების უფრო ეფექტური რეპლიკაციით. თქვენ ასევე შეგიძლიათ გამორთოთ სქემის კლასები და ატრიბუტები, გამოიყენოთ დინამიური დამხმარე კლასები, გადარქმევა დომენები და შექმნათ ცალმხრივი, ორმხრივი და გარდამავალი ნდობის ურთიერთობები ტყეში.

საიტები და ქვექსელები

საიტი არის კომპიუტერების ჯგუფი ერთ ან მეტ IP ქვექსელზე, რომელიც გამოიყენება ქსელის ფიზიკური სტრუქტურის დასაგეგმად. საიტის დაგეგმვა ხდება დომენის ლოგიკური სტრუქტურის მიუხედავად. Active Directory გაძლევთ საშუალებას შექმნათ მრავალი საიტი ერთ დომენში ან ერთ საიტზე, რომელიც მოიცავს მრავალ დომენს.

საიტებისგან განსხვავებით, რომლებსაც შეუძლიათ მრავალი IP მისამართის ფარგლები, ქვექსელებს აქვთ განსაზღვრული IP მისამართის ფარგლები და ქსელის ნიღაბი. ქვექსელის სახელები მითითებულია ფორმატში ქსელი/ბიტმასკი, მაგალითად 192.168.19.0/24, სადაც ქსელის მისამართი 192.168.19.0 და ქსელის ნიღაბი 255.255.255.0 გაერთიანებულია ქვექსელის სახელში 192.168.19.0/24.

კომპიუტერები ენიჭება საიტებს მათი მდებარეობის მიხედვით ქვექსელში ან ქვექსელების კომპლექტში. თუ ქვექსელებზე მყოფ კომპიუტერებს შეუძლიათ საკმარისად მაღალი სიჩქარით კომუნიკაცია, მათ უწოდებენ კარგად დაკავშირებული (კარგად არის დაკავშირებული).

იდეალურ შემთხვევაში, საიტები შედგება კარგად დაკავშირებული ქვექსელებისგან და კომპიუტერებისგან, თუ ტრეფიკი ქვექსელებსა და კომპიუტერებს შორის ნელია, შეიძლება დაგჭირდეთ მრავალი საიტის შექმნა. კარგი კავშირი საიტებს გარკვეულ უპირატესობებს აძლევს.

როდესაც კლიენტი შედის დომენში, ავტორიზაციის პროცესი პირველად ეძებს ლოკალური დომენის კონტროლერს კლიენტის საიტზე, რაც ნიშნავს, რომ ლოკალური კონტროლერები პირველად იკითხება, როდესაც ეს შესაძლებელია, რაც ზღუდავს ქსელის ტრაფიკს და აჩქარებს ავტორიზაციას.

დირექტორიის ინფორმაცია უფრო ხშირად მეორდება შიგნით საიტები ვიდრე შორის საიტები. ეს ამცირებს რეპლიკაციით გამოწვეულ ქსელთაშორის ტრაფიკს და უზრუნველყოფს, რომ ადგილობრივი დომენის კონტროლერები სწრაფად მიიღებენ განახლებულ ინფორმაციას.

თქვენ შეგიძლიათ დააკონფიგურიროთ თანმიმდევრობა, რომლითაც ხდება დირექტორიაში მონაცემების რეპლიკაცია საიტის ბმულები (საიტის ბმულები). მაგალითად, განსაზღვრეთ ხიდის სერვერი (ხიდი) საიტებს შორის რეპლიკაციისთვის.

საიტის ჯვარედინი რეპლიკაციის დატვირთვის უმეტესი ნაწილი დაეცემა ამ ერთგულ სერვერზე, ვიდრე რომელიმე ხელმისაწვდომი საიტის სერვერზე. ვებსაიტებიდა ქვექსელები კონფიგურირებულია კონსოლში აქტიური დირექტორია -საიტები და სერვისები(Active Directory საიტები და სერვისები).

დომენებთან მუშაობა აქტიური დირექტორია

ონლაინ ფანჯრები სერვერი 2003 წლის სერვისი აქტიურიდირექტორიაკონფიგურირებულია ერთდროულადDNS. თუმცა, Active Directory დომენებს და DNS დომენებს განსხვავებული დანიშნულება აქვთ. Active Directory დომენები გვეხმარება ანგარიშების, რესურსების და უსაფრთხოების მართვაში.

DNS დომენის იერარქია შექმნილია ძირითადად სახელის გადაწყვეტისთვის.

კომპიუტერებს, რომლებიც მუშაობენ Windows XP Professional და Windows 2000-ით, შეუძლიათ სრულად ისარგებლონ Active Directory-ით, ისინი მუშაობენ ქსელში, როგორც Active Directory კლიენტები და აქვთ წვდომა გარდამავალ ნდობაზე, რომელიც არსებობს დომენების ხეში ან ტყეში. ეს ურთიერთობები უფლებამოსილ მომხმარებლებს აძლევს წვდომის რესურსებს ტყეში არსებულ ნებისმიერ დომენში.

სისტემა Windows Server 2003 ფუნქციონირებს როგორც დომენის კონტროლერი ან როგორც წევრი სერვერი. წევრი სერვერები ხდება კონტროლერები Active Directory-ის დაინსტალირების შემდეგ; კონტროლერები დაქვეითებულია წევრების სერვერებზე Active Directory-ის წაშლის შემდეგ.

ორივე პროცესი ხორციელდება Active Directory ინსტალაციის ოსტატი. დომენში შეიძლება იყოს მრავალი კონტროლერი. ისინი იმეორებენ დირექტორიაში მონაცემებს ერთმანეთში მრავალმასტერ რეპლიკაციის მოდელის გამოყენებით, რომელიც თითოეულ კონტროლერს საშუალებას აძლევს დაამუშავოს დირექტორიაში ცვლილებები და შემდეგ გაავრცელოს ისინი სხვა კონტროლერებზე. მრავალფუნქციური სტრუქტურით, ყველა კონტროლერს ნაგულისხმევად თანაბარი პასუხისმგებლობა აქვს. თუმცა, თქვენ შეგიძლიათ მიანიჭოთ დომენის ზოგიერთ კონტროლერს პრიორიტეტი სხვებთან შედარებით გარკვეული ამოცანებისთვის, როგორიცაა ხიდის სერვერის შექმნა, რომელსაც აქვს პრიორიტეტი დირექტორია მონაცემების სხვა საიტებზე რეპლიკაციისას.

გარდა ამისა, ზოგიერთი დავალება უკეთესად არის შესრულებული გამოყოფილი სერვერზე. სერვერს, რომელიც ამუშავებს კონკრეტული ტიპის დავალებას, ეწოდება ოპერაციების ოსტატი (ოპერაციების ოსტატი).

ანგარიშები იქმნება ყველა Windows 2000, Windows XP Professional და Windows Server 2003 კომპიუტერისთვის, რომლებიც დაკავშირებულია დომენთან და, სხვა რესურსების მსგავსად, ისინი ინახება როგორც Active Directory ობიექტები. კომპიუტერული ანგარიშები გამოიყენება ქსელთან და მის რესურსებზე წვდომის გასაკონტროლებლად, სანამ კომპიუტერი შეძლებს დომენზე წვდომას თავისი ანგარიშის გამოყენებით, მან უნდა გაიაროს ავტორიზაციის პროცედურა.

დირექტორია სტრუქტურა

დირექტორიის მონაცემები ხელმისაწვდომია მომხმარებლებისთვის და კომპიუტერებისთვის მონაცემთა საწყობი (მონაცემთა მაღაზიები) და გლობალური დირექტორიები (გლობალურიკატალოგები). მიუხედავად იმისა, რომ უმეტესი მახასიათებლებიაქტიურიდირექტორიაგავლენას ახდენს მონაცემთა შენახვაზე, გლობალური კატალოგები (GC) არანაკლებ მნიშვნელოვანია, რადგან ისინი გამოიყენება სისტემაში შესვლისა და ინფორმაციის საძიებლად. თუ GC არ არის ხელმისაწვდომი, რეგულარული მომხმარებლები ვერ შეძლებენ დომენში შესვლას.ამ მდგომარეობის თავიდან აცილების ერთადერთი გზა არის წევრობის ლოკალურად ქეშირება უნივერსალური ჯგუფები.

Active Directory მონაცემების წვდომა და განაწილება უზრუნველყოფილია საშუალებებით დირექტორიაში წვდომის პროტოკოლები (ცნობარი წვდომაპროტოკოლები) და რეპლიკაცია (რეპლიკაცია).

რეპლიკაცია საჭიროა განახლებული მონაცემების კონტროლერებზე გასავრცელებლად. განახლებების გავრცელების მთავარი მეთოდია მრავალმასტერ რეპლიკაცია, მაგრამ ზოგიერთი ცვლილება მუშავდება მხოლოდ სპეციალიზებული კონტროლერების მიერ - ოპერაციების ოსტატები (ოპერაციების ოსტატები).

Windows Server 2003-ში მულტი-მასტერ რეპლიკაციის შესრულების მეთოდი ასევე შეიცვალა დანერგვით. კატალოგის სექციები აპლიკაციები (განაცხადიდირექტორიატიხრები). მათი მეშვეობით, სისტემის ადმინისტრატორებს შეუძლიათ შექმნან რეპლიკაციის ტიხრები დომენის ტყეში, რომლებიც არის ლოგიკური სტრუქტურები, რომლებიც გამოიყენება დომენის ტყეში რეპლიკაციის სამართავად. მაგალითად, შეგიძლიათ შექმნათ დანაყოფი, რომელიც გაუმკლავდება DNS ინფორმაციის რეპლიკაციას დომენში. დომენის სხვა სისტემებს დაუშვებელია DNS ინფორმაციის გამეორება.

განაცხადის დირექტორიას ტიხრები შეიძლება იყოს დომენის შვილი, სხვა განაცხადის დანაყოფის შვილი ან ახალი ხე დომენების ტყეში. დანაყოფების ასლები შეიძლება განთავსდეს Active Directory დომენის ნებისმიერ კონტროლერზე, მათ შორის გლობალურ კატალოგებზე. მიუხედავად იმისა, რომ აპლიკაციების დირექტორიას ტიხრები სასარგებლოა დიდ დომენებსა და ტყეებში, ისინი ზრდის დაგეგმვის, ადმინისტრირებისა და ტექნიკური ხარჯებს.

მონაცემთა შენახვა

საცავი შეიცავს ინფორმაციას Active Directory დირექტორია სერვისის ყველაზე მნიშვნელოვანი ობიექტების შესახებ - ანგარიშები, გაზიარებული რესურსები, OP და ჯგუფის პოლიტიკა. ზოგჯერ მონაცემთა საწყობს უბრალოდ უწოდებენ კატალოგი (ცნობარი). დომენის კონტროლერზე დირექტორია ინახება NTDS.DIT ​​ფაილში, რომლის მდებარეობა განისაზღვრება Active Directory-ის დაყენებისას (ეს უნდა იყოს NTFS დისკი). ზოგიერთი კატალოგის მონაცემები ასევე შეიძლება შეინახოს ძირითადი მაღაზიისგან განცალკევებით, როგორიცაა ჯგუფის პოლიტიკა, სკრიპტები და სხვა ინფორმაცია, რომელიც ინახება SYSVOL სისტემის გაზიარებაში.

დირექტორია ინფორმაციის გაზიარებას ე.წ გამოცემა (გამოქვეყნება). მაგალითად, როდესაც პრინტერი იხსნება ქსელში გამოსაყენებლად, ის ქვეყნდება; გაზიარებული საქაღალდის ინფორმაცია ქვეყნდება და ა.შ. დომენის კონტროლერები ახდენენ მეხსიერების უმეტეს ცვლილებებს მულტი-მასტერ რეჟიმში. მცირე ან საშუალო ზომის ორგანიზაციის ადმინისტრატორი იშვიათად მართავს შენახვის რეპლიკაციას, რადგან ის ავტომატურია, მაგრამ მისი კონფიგურაცია შესაძლებელია ქსელის არქიტექტურის სპეციფიკის შესაბამისად.

დირექტორიის ყველა მონაცემი არ არის გამეორებული, მხოლოდ:

დომენის მონაცემები - ინფორმაცია დომენის ობიექტების შესახებ, მათ შორის ანგარიშების ობიექტები, გაზიარებული რესურსები, OP და ჯგუფის პოლიტიკა;

კონფიგურაციის მონაცემები - ინფორმაცია დირექტორია ტოპოლოგიის შესახებ: ყველა დომენის, ხეების და ტყეების სია, ასევე კონტროლერების და GC სერვერების მდებარეობა;

სქემის მონაცემები - ინფორმაცია ყველა ობიექტისა და მონაცემთა ტიპების შესახებ, რომლებიც შეიძლება ინახებოდეს დირექტორიაში; სტანდარტული Windows Server 2003 სქემა აღწერს ანგარიშის ობიექტებს, საერთო რესურსის ობიექტებს და ა.შ. და შეიძლება გაფართოვდეს ახალი ობიექტებისა და ატრიბუტების განსაზღვრით ან არსებული ობიექტებისთვის ატრიბუტების დამატებით.

გლობალური კატალოგი

თუ ადგილობრივი წევრობის ქეშირება უნივერსალური ჯგუფები არ ხორციელდება ქსელში შესვლა უნივერსალური ჯგუფის წევრობის შესახებ სამოქალაქო კოდექსით გათვალისწინებულ ინფორმაციას.

ის ასევე უზრუნველყოფს დირექტორიაში ძიებას ტყეში ყველა დომენში. კონტროლერი, როლური თამაში GK სერვერი ინახავს ყველა დირექტორიის ობიექტის სრულ ასლს მის დომენში და ობიექტების ნაწილობრივ ასლს ტყის სხვა დომენებში.

შესვლისა და ძიებისთვის საჭიროა მხოლოდ რამდენიმე ობიექტის თვისება, ამიტომ ნაწილობრივი ასლების გამოყენება შესაძლებელია. ნაწილობრივი ასლის შესაქმნელად, რეპლიკაცია მოითხოვს ნაკლები მონაცემების გადაცემას, რაც ამცირებს ქსელის ტრაფიკს.

ნაგულისხმევად, პირველი დომენის კონტროლერი ხდება მთავარი დომენის კონტროლერი. ამიტომ, თუ დომენში მხოლოდ ერთი კონტროლერია, მაშინ მთავარი დომენის სერვერი და დომენის კონტროლერი ერთი და იგივე სერვერია. თქვენ შეგიძლიათ განათავსოთ GC სხვა კონტროლერზე, რათა შეამციროთ პასუხის მოლოდინის დრო სისტემაში შესვლისას და დააჩქაროთ ძებნა. რეკომენდირებულია შექმნათ ერთი GC თითოეულ დომენის საიტზე.

ამ პრობლემის მოგვარების რამდენიმე გზა არსებობს. რა თქმა უნდა, შეგიძლიათ შექმნათ GC სერვერი დომენის ერთ-ერთ კონტროლერზე დისტანციურ ოფისში. ამ მეთოდის მინუსი არის ის, რომ ის ზრდის დატვირთვას GK სერვერზე, რასაც შეიძლება დასჭირდეს დამატებითი რესურსები და ამ სერვერის მუშაობის დროის ფრთხილად დაგეგმვა.

კიდევ ერთი გამოსავალი არის უნივერსალური ჯგუფის წევრობების ადგილობრივად ქეშირება. ამ შემთხვევაში, დომენის ნებისმიერ კონტროლერს შეუძლია შესვლის მოთხოვნები ადგილობრივად, მთავარ დომენის სერვერთან დაკავშირების გარეშე. ეს აჩქარებს შესვლის პროცედურას და აადვილებს სიტუაციას GK სერვერის უკმარისობის შემთხვევაში. გარდა ამისა, ეს ამცირებს რეპლიკაციის ტრაფიკს.

მთელი ჯგუფის პერიოდულად განახლების ნაცვლად მთელ ქსელში, საკმარისია ქეშირებული ინფორმაციის განახლება უნივერსალური ჯგუფის წევრობის შესახებ. ნაგულისხმევად, განახლება ხდება ყოველ რვა საათში ყოველ დომენის კონტროლერზე, რომელიც იყენებს ადგილობრივი უნივერსალური ჯგუფის წევრობის ქეშირებას.

წევრობა უნივერსალური ჯგუფი ინდივიდუალურად თითოეული საიტისთვის. შეგახსენებთ, რომ საიტი არის ფიზიკური სტრუქტურა, რომელიც შედგება ერთი ან მეტი ქვექსელისგან, რომლებსაც აქვთ IP მისამართების ინდივიდუალური ნაკრები და ქსელის ნიღაბი. დომენის კონტროლერები ფანჯრებისერვერი 2003 და GC მათზე წვდომა უნდა იყოს იმავე საიტზე. თუ რამდენიმე საიტია, მოგიწევთ თითოეულ მათგანზე ადგილობრივი ქეშირების კონფიგურაცია. გარდა ამისა, საიტზე შესული მომხმარებლები უნდა იყვნენ Windows Server 2003 დომენის ნაწილი, რომელიც მუშაობს Windows Server 2003 ტყის რეჟიმში.

რეპლიკაცია Active Directory-ში

დირექტორიაში ინახება სამი სახის ინფორმაცია: დომენის მონაცემები, სქემის მონაცემები და კონფიგურაციის მონაცემები. დომენის მონაცემები იმეორებს ყველა დომენის კონტროლერს. დომენის ყველა კონტროლერს აქვს თანაბარი უფლებები, ე.ი. ნებისმიერი დომენის კონტროლერიდან განხორციელებული ყველა ცვლილება განმეორდება ყველა სხვა დომენის კონტროლერზე. გარდა ამისა, ცალკეული დომენის ყველა ობიექტი და ტყის ობიექტების ზოგიერთი თვისება მრავლდება GC-ში. ეს ნიშნავს, რომ დომენის კონტროლერი ინახავს და იმეორებს ხის ან ტყის სქემას, კონფიგურაციის ინფორმაციას ხეში ან ტყეში ყველა დომენისთვის და ყველა დირექტორიაში ობიექტს და თვისებას საკუთარი დომენისთვის.

დომენის კონტროლერი, რომელზედაც ინახება GC შეიცავს და იმეორებს სქემის ინფორმაციას ფორესტისთვის, კონფიგურაციის ინფორმაციას ფორესტის ყველა დომენისთვის და თვისებების შეზღუდულ კომპლექტს ფორესტის ყველა დირექტორიას ობიექტისთვის (ის იმეორებს მხოლოდ GC სერვერებს შორის). ისევე როგორც ყველა დირექტორია ობიექტი და თვისება თქვენი დომენისთვის.

რეპლიკაციის არსის გასაგებად, განიხილეთ ეს სცენარი ახალი ქსელის დასაყენებლად.

1. დომენში დაინსტალირებულია პირველი კონტროლერი. ეს სერვერი ერთადერთი დომენის კონტროლერია. ის ასევე არის GK სერვერი. რეპლიკაცია არ ხდება ასეთ ქსელში, რადგან არ არსებობს სხვა კონტროლერები.

2. დომენში და დამონტაჟებულია მეორე კონტროლერი და იწყება რეპლიკაცია. თქვენ შეგიძლიათ დანიშნოთ ერთი კონტროლერი, როგორც ინფრასტრუქტურის მთავარი, ხოლო მეორე, როგორც GC სერვერი. ინფრასტრუქტურის მფლობელი აკონტროლებს და ითხოვს GL განახლებებს შეცვლილი ობიექტებისთვის. ორივე ეს კონტროლერი ასევე იმეორებს სქემისა და კონფიგურაციის მონაცემებს.

3. დომენში და დამონტაჟებულია მესამე კონტროლერი, რომელსაც არ აქვს მთავარი მართვის განყოფილება. ინფრასტრუქტურის მასტერი აკონტროლებს GC განახლებებს, ითხოვს მათ შეცვლილ ობიექტებს და შემდეგ იმეორებს ცვლილებებს მესამე დომენის კონტროლერზე. სამივე კონტროლერი ასევე იმეორებს სქემისა და კონფიგურაციის მონაცემებს.

4. იქმნება ახალი დომენი B და მას ემატება კონტროლერები. GC სერვერები დომენში A და B დომენში იმეორებენ ყველა სქემასა და კონფიგურაციის მონაცემს, ისევე როგორც დომენის მონაცემების ქვეჯგუფს თითოეული დომენიდან. რეპლიკაცია A დომენში გრძელდება ისე, როგორც ზემოთ იყო აღწერილი, პლუს იწყება რეპლიკაცია B დომენში.

აქტიურიდირექტორიადა LDAP

Lightweight Directory Access Protocol (LDAP) არის სტანდარტული პროტოკოლი ინტერნეტ კავშირებისთვის TCP/IP ქსელებში. LDAP შექმნილია სპეციალურად დირექტორია სერვისებზე წვდომისათვის მინიმალური ზედნადებით. LDAP ასევე განსაზღვრავს ოპერაციებს, რომლებიც გამოიყენება დირექტორიის ინფორმაციის მოთხოვნისა და შესაცვლელად.

კლიენტები Active Directory იყენებს LDAP-ს, რათა დაუკავშირდეს კომპიუტერებს, რომლებიც მუშაობენ Active Directory-ში, როდესაც ისინი შედიან ქსელში ან ეძებენ საერთო რესურსებს. LDAP ამარტივებს დირექტორიათა ურთიერთკავშირს და მიგრაციას Active Directory-ში სხვა დირექტორია სერვისებიდან. თავსებადობის გასაუმჯობესებლად, შეგიძლიათ გამოიყენოთ Active Directory Services ინტერფეისები (აქტიურიდირექტორია სერვისი- ინტერფეისები, ADSI).

ოპერაციების მთავარი როლები

ოპერაციების მასტერი ამუშავებს ამოცანებს, რომლებიც არასასიამოვნოა მრავალმასტერ რეპლიკაციის მოდელში შესასრულებლად. არსებობს ხუთი ოპერაციების მთავარი როლი, რომლებიც შეიძლება მიენიჭოს დომენის ერთ ან მეტ კონტროლერს. ზოგიერთი როლი უნიკალური უნდა იყოს ტყის დონეზე, ზოგი კი უნდა იყოს უნიკალური დომენის დონეზე. შემდეგი როლები უნდა არსებობდეს Active Directory-ის თითოეულ ტყეში:

სქემის ოსტატი) - მართავს განახლებებს და ცვლილებებს დირექტორიას სქემში. დირექტორიას სქემის განახლებისთვის, თქვენ უნდა გქონდეთ წვდომა სქემის მთავარზე. იმის დასადგენად, რომელი სერვერია ამჟამად დომენში სქემის ოსტატი, უბრალოდ გახსენით ბრძანების ხაზის ფანჯარა და შეიყვანეთ: dsquery server -აქვსვsmo სქემა.

დომენის დასახელების ოსტატი - მართავს ტყეში დომენების დამატებას და ამოღებას. დომენის დასამატებლად ან წასაშლელად გჭირდებათ წვდომა დომენის დასახელების მთავარზე. იმის დასადგენად, თუ რომელი სერვერია ამჟამად დომენის დასახელების მთავარი, უბრალოდ შეიყვანეთ ბრძანების ხაზის ფანჯარაში: dsquery server -აქვსვsmo სახელი.

ეს როლები, საერთო ტყისთვის მთლიანობაში, მისთვის უნიკალური უნდა იყოს.

შემდეგი როლები საჭიროა Active Directory-ის ყველა დომენში.

ნათესავი ID ოსტატი - გამოყოფს შედარებით იდენტიფიკატორებს დომენის კონტროლერებს. ყოველ ჯერზე, როდესაც ქმნით მომხმარებლის, ჯგუფის ობიექტს ან კომპიუტერის კონტროლერები ანიჭებენ ობიექტს უსაფრთხოების უნიკალურ იდენტიფიკატორს, რომელიც შედგება დომენის უსაფრთხოების იდენტიფიკატორისა და უნიკალური იდენტიფიკატორისგან, რომელიც გამოყოფილია ფარდობითი იდენტიფიკატორის მასტერის მიერ. იმის დასადგენად, თუ რომელი სერვერია ამჟამად დომენში შედარებითი იდენტიფიკატორების მფლობელი, უბრალოდ შეიყვანეთ ბრძანების ხაზის ფანჯარაში: dsqueryსერვერი -აქვსვsmoგათავისუფლდეს.

PDC ემულატორი - შერეული ან შუალედური დომენის რეჟიმში, მოქმედებს როგორც Windows NT მთავარი დომენის კონტროლერი. ის ამოწმებს Windows NT შესვლას, ამუშავებს პაროლის ცვლილებებს და იმეორებს განახლებებს P DC-ში. იმის დასადგენად, თუ რომელი სერვერია ამჟამად PDC ემულატორი დომენში, უბრალოდ შეიყვანეთ ბრძანების ხაზის ფანჯარაში dsquery სერვერი - ჰასფსმო პდკ.

ინფრასტრუქტურის მფლობელი ოსტატი ) - განაახლებს ობიექტის ბმულებს მისი კატალოგის მონაცემების GK მონაცემებთან შედარებით. თუ მონაცემები მოძველებულია, ის ითხოვს განახლებებს GC-დან და იმეორებს მათ დომენის დარჩენილ კონტროლერებზე. იმის დასადგენად, თუ რომელი სერვერია ამჟამად დომენის ინფრასტრუქტურის მფლობელი, უბრალოდ ბრძანების ხაზის ფანჯარაში და შედით dsqueryსერვერი -hasfsmo infr.

ეს როლები, რომლებიც საერთოა მთელი დომენისთვის, უნიკალური უნდა იყოს დომენში. სხვა სიტყვებით რომ ვთქვათ, თქვენ შეგიძლიათ დააკონფიგურიროთ მხოლოდ ერთი ფარდობითი იდენტიფიკაციის მასტერი, ერთი PDC ემულატორი და ერთი ინფრასტრუქტურის მასტერი თითო დომენზე.

ოპერაციების მთავარი როლები, როგორც წესი, ენიჭება ავტომატურად, მაგრამ მათი ხელახლა მინიჭება შესაძლებელია. ახალი ქსელის დაყენებისას, პირველი დომენის პირველი დომენის კონტროლერი იღებს ყველა ოპერაციების მთავარ როლს. თუ ახალი შვილობილი დომენი ან root დომენი მოგვიანებით შეიქმნება ახალ ხეში, ოპერაციების მთავარი როლები ასევე ავტომატურად ენიჭება პირველ დომენის კონტროლერს. დომენის ახალ ტყეში დომენის კონტროლერს ენიჭება ოპერაციების ყველა მთავარი როლი. თუ ახალი დომენი იქმნება იმავე ტყეში, მის კონტროლერს ენიჭება Relative ID Master, Emulator P.დგ და ინფრასტრუქტურის მფლობელი. სქემის ოსტატის და დომენის დასახელების მასტერის როლები რჩება პირველ დომენთან ტყეში.

თუ დომენში მხოლოდ ერთი კონტროლერია, ის ასრულებს ყველა ოპერაციის მთავარ როლს. თუ ქსელში მხოლოდ ერთი საიტია, ოპერაციების ოსტატების სტანდარტული მდებარეობა ოპტიმალურია. მაგრამ დომენის კონტროლერებისა და დომენების დამატებისას, ზოგჯერ საჭიროა ოპერაციების ძირითადი როლების გადატანა სხვა დომენის კონტროლერებზე.

თუ დომენში არის ორი ან მეტი დომენის კონტროლერი, რეკომენდებულია, რომ ორი დომენის კონტროლერი იყოს კონფიგურირებული ოპერაციების მთავარ როლებად. მაგალითად, დანიშნეთ ერთი დომენის კონტროლერი, როგორც ოპერაციების პირველადი ოსტატი, ხოლო მეორე, როგორც სარეზერვო, რომელიც საჭირო იქნება, თუ მთავარი ვერ მოხერხდება.

ადმინისტრაცია აქტიური დირექტორია

CActive Directory სერვისის გამოყენებით იქმნება კომპიუტერული ანგარიშები, ისინი დაკავშირებულია დომენთან და იმართება კომპიუტერები, დომენის კონტროლერები და ორგანიზაციული ერთეულები (OU).

ადმინისტრაცია და დამხმარე ინსტრუმენტები მოწოდებულია Active Directory-ის სამართავად. ქვემოთ ჩამოთვლილი ხელსაწყოები ასევე დანერგილია როგორც MMC კონსოლის სნეპ-ინები (მაიკროსოფტი მენეჯმენტიკონსოლი):

Active Directory - მომხმარებლები და კომპიუტერები (Active Directory მომხმარებლები და კომპიუტერები) საშუალებას გაძლევთ მართოთ მომხმარებლები, ჯგუფები, კომპიუტერები და ორგანიზაციული ერთეულები (OU);

აქტიური დირექტორია- დომენები და ნდობა ( აქტიური დირექტორია დომენებიდა ნდობა ) ემსახურება დომენებთან, დომენის ხეებთან და დომენის ტყეებთან მუშაობას;

აქტიური დირექტორია - საიტები დამომსახურება (Active Directory საიტები და სერვისები) საშუალებას გაძლევთ მართოთ საიტები და ქვექსელები;

შედეგიანი პოლიტიკა (პოლიტიკის შედეგის ნაკრები) გამოიყენება მომხმარებლის ან სისტემის მიმდინარე პოლიტიკის სანახავად და პოლიტიკაში ცვლილებების დასაგეგმად.

IN Microsoft Windows 2003 Server-ში ამ სნეპ-ინებზე წვდომა შეგიძლიათ პირდაპირ ადმინისტრაციული ხელსაწყოების მენიუდან.

კიდევ ერთი ადმინისტრაციული ინსტრუმენტი არის snap-in სქემა აქტიურიდირექტორია (აქტიური დირექტორია სქემა) - გაძლევთ საშუალებას მართოთ და შეცვალოთ დირექტორიას სქემა.

Command Line Utilities აქტიური დირექტორია

ობიექტების მართვა აქტიური დირექტორიაარსებობს ბრძანების ხაზის ინსტრუმენტები, რომლებიც საშუალებას გაძლევთ შეასრულოთ ადმინისტრაციული ამოცანების ფართო სპექტრი:

DSADD - დასძენს აქტიური დირექტორიაკომპიუტერები, კონტაქტები, ჯგუფები, OP და მომხმარებლები.

DSGET - აჩვენებს კომპიუტერების, კონტაქტების, ჯგუფების, OP-ების, მომხმარებლების, საიტების, ქვექსელების და სერვერების თვისებებს, რომლებიც რეგისტრირებულია აქტიური დირექტორია.

DSMOD - ცვლის კომპიუტერების, კონტაქტების, ჯგუფების, OP-ების, მომხმარებლებისა და სერვერების თვისებებს, რომლებიც რეგისტრირებულნი არიან აქტიური დირექტორია.

DSMOVE - გადააქვს ერთი ობიექტი ახალ ადგილას დომენში ან გადარქმევს ობიექტს გადატანის გარეშე.

DSQXJERY - ეძებს კომპიუტერებს, კონტაქტებს, ჯგუფებს, OP-ებს, მომხმარებლებს, საიტებს, ქვექსელებსა და სერვერებს აქტიური დირექტორიაგანსაზღვრული კრიტერიუმების მიხედვით.

DSRM - შლის საგანს აქტიური დირექტორია.

NTDSUTIL - საშუალებას გაძლევთ ნახოთ ინფორმაცია საიტის, დომენის ან სერვერის შესახებ, მართოთ ოპერაციების ოსტატები (ოპერაციები ოსტატები) და მონაცემთა ბაზის შენარჩუნებააქტიური დირექტორია.