Моделирование данных: зачем нужно и как реализовать

Разница между группой безопасности и группой рассылки

AD состоит из двух основных групп — групп рассылки и групп безопасности.

Группы рассылки — создаются в первую очередь для распространения электронных писем. Они полезны для таких приложений, как Microsoft Exchange или Outlook, и, как правило, позволяют легко добавлять и удалять контакты из одного из этих списков. Нельзя использовать группу рассылки для фильтрации параметров групповой политики, группа не предназначена для работы с предоставлением доступа на ресурсы. По возможности, пользователей следует назначать в группы рассылки, а не в группы безопасности, поскольку членство в слишком большом количестве групп безопасности может привести к замедлению входа в систему.

Группы безопасности — позволяют ИТ-отделу управлять доступом к общим ресурсам, контролируя доступ пользователей и компьютеров. Группы безопасности можно использовать для назначения прав безопасности в сети AD. (Эти группы также можно использовать для рассылки электронной почты.) Каждой группе безопасности назначается набор прав пользователей, определяющих их возможности в лесу. Например, некоторые группы могут восстанавливать файлы, а другие нет.

Эти группы обеспечивают ИТ-контроль над параметрами групповой политики, что означает, что разрешения могут быть изменены на нескольких компьютерах. Разрешения отличаются от прав — они применяются к общим ресурсам в домене. Некоторые группы могут иметь больше доступа, чем другие, когда дело доходит до общих ресурсов.

Подключение сайтов посредством связи сайтов

Чтобы подключиться к сайтам с помощью связей сайтов, укажите сайты, которые нужно подключить с помощью связи сайтов, создайте объект связи сайтов в соответствующем контейнере Inter-Site транспортом, а затем назовите ссылку на сайт. После создания связи сайтов можно приступить к настройке свойств связи сайтов.

При создании связей сайтов убедитесь, что каждый сайт включен в связь сайтов. Кроме того, убедитесь, что все сайты подключены друг к другу через другие связи сайтов, чтобы изменения можно было реплицировать с контроллеров домена любого сайта на все другие сайты. Если этого не сделать, в журнале службы каталогов будет создано сообщение об ошибке, в Просмотр событий говорится, что топология сайта не подключена.

При добавлении сайтов во вновь созданную связь сайтов определите, является ли добавляемый сайт членом других связей сайтов, и при необходимости измените его принадлежность к сайту. Например, если вы сделаете сайт членом по умолчанию при первоначальном создании сайта, не забудьте удалить сайт из канала по умолчанию-First-Site-Link после добавления сайта в новую связь сайтов. Если не удалить сайт из канала по умолчанию, то средство проверки согласованности знаний будет принимать решения о маршрутизации на основе членства обеих связей сайтов, что может привести к неправильной маршрутизации.

Чтобы узнать, какие сайты-члены необходимо подключить с помощью связи сайтов, используйте список расположений и связанных расположений, записанных на листе «географические расположения и каналы связи» (DSSTOPO_1.doc). Если несколько сайтов имеют одинаковые возможности подключения и доступности друг к другу, их можно подключить к одной связи сайта.

Контейнер транспорта Inter-Site предоставляет средства для сопоставления связей сайтов с транспортом, используемым ссылкой. При создании объекта связи сайтов он создается либо в контейнере IP-адресов, который связывает связь сайта с удаленным вызовом процедур (RPC) через IP-транспорт, либо в контейнере протокола SMTP, который связывает связь сайтов с транспортом SMTP.

Примечание

Репликация SMTP не будет поддерживаться в будущих версиях служб домен Active Directory Services (AD DS); Поэтому не рекомендуется создавать объекты связей сайтов в контейнере SMTP.

При создании объекта связи сайтов в соответствующем контейнере Inter-Site транспортного контейнера AD DS использует RPC через IP для передачи между контроллерами домена как между сайтами, так и внутрисайтовой. Чтобы обеспечить безопасность данных во время передачи, репликация RPC через IP использует как протокол проверки подлинности Kerberos, так и шифрование данных.

Если прямое подключение к IP-адресу недоступно, можно настроить репликацию между сайтами для использования SMTP. Однако функции репликации SMTP ограничены и требуют наличия центра сертификации (ЦС) предприятия. SMTP может реплицировать только разделы каталога конфигурации, схемы и приложения и не поддерживает репликацию разделов каталога домена.

Чтобы назвать связи сайтов, используйте последовательную схему именования, например name_of_site1-name_of_site2. Запишите список сайтов, связанных сайтов и имен связей сайтов, связывающих эти сайты на листе. сведения о том, как записывать имена сайтов и связанные с ними имена связей сайтов, см. в разделе вспомогательные материалы для Windows Server 2003 Deployment Kit, загрузите Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и откройте раздел «сайты и ссылки на связанные сайты» (DSSTOPO_5.doc).

Управленческие решения

Инструменты управления Microsoft Active Directory включают:

  • Центр администрирования Active Directory (введен в Windows Server 2012 и выше),
  • Пользователи и компьютеры Active Directory,
  • Домены и доверие Active Directory,
  • Сайты и службы Active Directory,
  • Редактировать ADSI,
  • Локальные пользователи и группы,
  • Оснастки схемы Active Directory для консоли управления Microsoft (MMC),
  • SysInternals ADExplorer

Эти инструменты управления могут не обеспечивать достаточную функциональность для эффективного рабочего процесса в больших средах. Некоторые сторонние решения расширяют возможности администрирования и управления. Они предоставляют необходимые функции для более удобных процессов администрирования, такие как автоматизация, отчеты, интеграция с другими сервисами и т. Д.

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

Тип установки оставьте «Установка ролей и компонентов».

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

  • Средства удаленного администрирования сервера
  • Средства администрирования ролей
  • Средства AD DS и AD LDS
  • Модуль Active Directory для PowerShell
  • Центр администрирования Active Directory
  • Оснастки и программы командной строки AD DS
  • Управление групповой политикой

Нажимаем «Установить»

Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory

Выгруженная конфигурация, это XML файл с таким вот содержанием.

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

На следующем окне вы должны выбрать параметры:

  • Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
  • Режим работы домена, так же определяет какие функции будут доступны на уровне домена.

Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

  • Папка базы данных — C:\Windows\NTDS
  • Папка файлов журналов — C:\Windows\NTDS
  • Папка SYSVOL — C:\Windows\SYSVOL

Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath «C:\Windows\NTDS» ` -DomainMode «WinThreshold» ` -DomainName «partner.pyatilistnik.info» ` -DomainNetbiosName «PARTNER» ` -ForestMode «WinThreshold» ` -InstallDns:$true ` -LogPath «C:\Windows\NTDS» ` -NoRebootOnCompletion:$false ` -SysvolPath «C:\Windows\SYSVOL» ` -Force:$true

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

После установки вам сообщат:

Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Интеграция с Unix

Различные уровни взаимодействия с Active Directory могут быть достигнуты в большинстве Unix-подобных операционных систем (включая Unix , Linux , Mac OS X или программы на основе Java и Unix) с помощью совместимых со стандартами клиентов LDAP, но эти системы обычно не интерпретируют многие атрибуты. связанные с компонентами Windows, такими как групповая политика и поддержка односторонних доверительных отношений.

Третьи стороны предлагают интеграцию с Active Directory для Unix-подобных платформ, включая:

  • PowerBroker Identity Services , ранее Likewise ( BeyondTrust , ранее Likewise Software) — позволяет клиенту , отличному от Windows, присоединиться к Active Directory.
  • ADmitMac (Программные системы Терсби )
  • Samba ( бесплатное программное обеспечение под GPLv3 ) — может выступать в качестве контроллера домена.

Дополнения схемы, поставляемые с Windows Server 2003 R2, включают атрибуты, которые достаточно близко соответствуют RFC 2307, чтобы их можно было использовать в целом. Эталонная реализация RFC 2307, nss_ldap и pam_ldap, предоставленная PADL.com, напрямую поддерживает эти атрибуты. Схема по умолчанию для членства в группах соответствует RFC 2307bis (предлагается). Windows Server 2003 R2 включает оснастку консоли управления Microsoft, которая создает и редактирует атрибуты.

Альтернативный вариант — использовать другую службу каталогов, поскольку клиенты, отличные от Windows, аутентифицируются в ней, в то время как клиенты Windows аутентифицируются в AD. Клиенты , отличные от Windows, включают 389 Directory Server (ранее Fedora Directory Server, FDS), ViewDS Identity Solutions — ViewDS v7.2 XML Enabled Directory и Sun Microsystems Sun Java System Directory Server . Оба последних могут выполнять двустороннюю синхронизацию с AD и, таким образом, обеспечивать «отклоненную» интеграцию.

Другой вариант — использовать OpenLDAP с его полупрозрачным оверлеем, который может расширять записи на любом удаленном сервере LDAP дополнительными атрибутами, хранящимися в локальной базе данных. Клиенты, указывающие на локальную базу данных, видят записи, содержащие как удаленные, так и локальные атрибуты, в то время как удаленная база данных остается полностью нетронутой.

Администрирование (запросы, изменение и мониторинг) Active Directory можно осуществить с помощью многих языков сценариев, включая PowerShell , VBScript , JScript / JavaScript , Perl , Python и Ruby . Бесплатные и платные инструменты администрирования AD могут помочь упростить и, возможно, автоматизировать задачи управления AD.

С октября 2017 года Amazon AWS предлагает интеграцию с Microsoft Active Directory.

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора. Существуют такие виды содержимого реплик:

  • Реплики данных создаются из всех существующих доменов.
  • Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
  • Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

Инструменты управления Active Directory

Управлять сервером Windows можно как непосредственно сидя за перед ним, так и удалённо. Удалённо сервером можно управлять как с другого сервера, так и с помощью рабочих станций, но для того, чтобы рабочие станции могли использоваться для управления сервером, могут потребоваться дополнительные действия по установке компонентов.

Управление сервером осуществляется через:

  1. Оснастки в Microsoft Management Console (MMC) (Консоли управления Microsoft). На сервере эти инструменты доступны по умолчанию, а на рабочих станциях для получения этой оснастки необходимо предварительно установить средства удалённого администрирования. Сами оснастки перечислены чуть ниже.
  2. Active Directory Administrative Center (Центр администрирования Active Directory), dsac.exe, как показано на скриншоте ниже, является универсальным местом, которое используется для управления службами каталогов Windows Server.
  3. Windows Admin Center. Как на сервере, так и на рабочих станциях необходимо установить сам Windows Admin Center, а затем плагин для Active Directory.
  4. Active Directory Module for Windows PowerShell (Модуль Active Directory для Windows PowerShell). На серверах Windows данный модуль устанавливается автоматически во время развёртывания Active Directory Domain Services. На рабочих станциях Windows требуется его отдельная установка.

Имеются следующие оснастки в Microsoft Management Console (MMC) (консоли управления Microsoft), mmc.exe:

  • Active Directory Users and Computers (Пользователи и компьютеры Active Directory), dsa.msc, используется для управления пользователями, компьютерами, группами, организационными единицами и другими объектами Active Directory.
  • Active Directory Domains and Trusts (Домены и доверие Active Directory), domain.msc, используется для управления доменами, доверительными отношениями между доменами.
  • Active Directory Sites and Services (Сайты и службы Active Directory), dssite.msc, используются для управления репликацией и службами между сайтами.

Всего будет рассмотрено четыре набора инструментов для управления Active Directory. Может показаться, что столько вариантов это избыточно. Особенно если учесть, что Центр администрирования Active Directory и Windows Admin Center это просто графические обёртки для PowerShell, который также доступен в виде Модуля Active Directory для Windows PowerShell. Тем не менее, разница между ними заключается не только в интерфейсе инструментов, между ними есть более значимая практическая разница.

Инструмент Позволяет управлять с компьютера, не являющегося частью домена Подходит для локальной настройки Windows Server Core
Оснастки в Microsoft Management Console (MMC) Нет Нет
Active Directory Administrative Center Нет Нет
Windows Admin Center Да Нет
Active Directory Module for Windows PowerShell Да Да

Одинаковые характеристики в таблице имеют только два инструмента, но они различаются интерфейсом.

Доверительные отношения леса

Доверительные отношения леса являются новой функцией в Windows Server 2003. Они представляют собой двухсторонние транзитивные доверительные отношения между двумя отдельными лесами. С помощью доверительных отношений леса участнику безопасности, принадлежащему одному лесу, можно давать доступ к ресурсам в любом домене совершенно другого леса. Кроме того, пользователи могут входить на любой домен обоих лесов, используя одно и то же имя UPN.

  • Доверительные отношения леса не являются транзитивными по отношению к другим лесам. Например, если Forest 1 имеет доверительные отношения леса с Forest2, и Forest2 имеет доверительные отношения леса с Forest3, то Forestl  не имеет автоматических доверительных отношений леса с Forest3.
  • Доверительные отношения леса делают возможной только идентификацию между лесами, они не обеспечивают другие функциональные возможности. Например, каждый лес будет иметь уникальный каталог GC, схему и раздел конфигурации каталога. Информация между этими двумя лесами не копируется, доверительные отношения леса просто делают возможным назначение доступа к ресурсам между лесами.
  • В некоторых случаях вам потребуется установить доверительные отношения между всеми доменами одного леса и всеми доменами другого леса. Для этого вы можете устанавливать односторонние, не транзитивные доверительные отношения между индивидуальными доменами в двух отдельных лесах.

На рисунке 2-11 показаны доверительные отношения леса компании Contoso.


Рис. 2-11. ДоверительныеотношениялесакомпанииContosoсоединяют доменыContoso.comиNWTraders.com, находящиесявразныхлесах

Создание проекта объекта подсети

Для каждой IP-подсети и маски подсети, связанной с каждым расположением, запланируйте создание объектов подсети в AD DS представляющих все IP-адреса в пределах сайта.

При создании объекта подсети Active Directory сведения о сетевой IP-подсети и маске подсети автоматически преобразуются в формат нотации префикса сети < IP-адрес > / < Длина префикса > . Например, IP-адрес сети версии 4 (IPv4) 172.16.4.0 с маской подсети 255.255.252.0 отображается как 172.16.4.0/22. в дополнение к IPv4-адресам Windows Server 2008 также поддерживает префиксы подсети IP версии 6 (IPv6), например 3FFE: FFFF: 0: C000::/64. Дополнительные сведения о IP-подсетях в каждом расположении см. на листе «расположения и подсети» (DSSTOPO_2.doc) в разделе сбор сведений о сети и приложении A: расположения и префиксы подсети.

Свяжите каждый объект подсети с объектом сайта, обратившись к листу «сопоставление подсетей с сайтами» (DSSTOPO_6.doc) в разделе «Выбор расположений, которые станут сайтами», чтобы определить, какая подсеть должна быть связана с сайтом. Задокументируйте объект подсети Active Directory, связанный с каждым расположением в листе «связывание подсетей с сайтами» (DSSTOPO_6.doc).

Дополнительные сведения о создании объектов подсети см. в статье Создание подсети.

Утилиты командной строки Active Directory

В заключение, дадим несколько средств командной строки, которые позволяют осуществлять широкий спектр административных задач:

  • — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей.
  • — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory.
  • — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory.
  • — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
  • — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
  • — удаляет объект из Active Directory.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Способы удаления корзины с рабочего стола

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Доверительные отношения области

Последний тип доверительных отношений — это доверительные отношения области (RealmTrusts). Они устанавливаются между доменом или лесом Windows Server 2003 и не Windows-реализацией области Kerberos v5. Защита Kerberos основана на открытом стандарте, имеются другие системы сетевой защиты, основанные на протоколе Kerberos. Доверительные отношения области можно создать между любыми Kerberos-облас-тями, которые поддерживают стандарт Kerberos v5. Доверительные отношения области могут быть односторонними или двухсторонними, их можно также сконфигурировать как транзитивные и не транзитивные.

Сходство клиента

Контроллеры домена используют сведения о сайте для информирования Active Directory клиентов о контроллерах домена, находящихся на ближайшем сайте в качестве клиента. Например, рассмотрим клиент на сайте в Сиэтле, который не знает свое назначение сайта и связывает контроллер домена с сайтом Атланта. Основываясь на IP-адресе клиента, контроллер домена в Атланта определяет сайт, на котором находится клиент, и отправляет сведения о сайте обратно клиенту. Контроллер домена также информирует клиента о том, является ли выбранный контроллер домена ближайшим к нему. Клиент кэширует сведения о сайте, предоставляемые контроллером домена в Атланта, запрашивает запись ресурса для конкретного узла (SRV) (запись ресурса службы доменных имен (DNS), используемую для поиска контроллеров домена для AD DS) и находит контроллер домена в пределах одного сайта.

Обнаружив контроллер домена на том же сайте, клиент предотвращает обмен данными через WAN Links. Если на клиентском сайте не расположены контроллеры домена, контроллер домена с наименьшими затратами по отношению к другим подключенным сайтам объявляет себя (регистрирует запись ресурса службы (SRV) в DNS) на сайте, который не имеет контроллера домена. Контроллеры домена, опубликованные в DNS, находятся на ближайшем сайте в соответствии с определением топологии сайта. Этот процесс гарантирует, что каждый сайт имеет предпочитаемый контроллер домена для проверки подлинности.

Дополнительные сведения о процессе поиска контроллера домена см. в разделе Active Directory Collection.

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: