Aktiver alle brukerpublikasjoner. Hva er Active Directory, og hvordan du installerer og konfigurerer databasen. Installerer Active Directory

over deltakerne på Mobile World Congress-utstillingen. Selskapets ansatte opprettet tre åpne Wi-Fi-punkter på flyplassen i nærheten av standen for registrering av utstillingsbesøkende og kalte dem med standardnavnene "Starbucks", "MWC Free WiFi" og "Airport_Free_Wifi_AENA". På 4 timer koblet 2000 mennesker seg til disse punktene.

Som et resultat av eksperimentet ble det utarbeidet en rapport der Avast-ansatte analyserte trafikken til alle personer koblet til åpne Wi-Fi-punkter. Personopplysninger til 63 % av de som koblet til ble også avslørt: pålogginger, passord, e-postadresser osv. Hvis det ikke var for rapporten som ble presentert på utstillingen, ville deltakerne i eksperimentet aldri ha skjønt at noen hadde tilgang til dataene deres.

Vi kobler til selskapets nettverk hjemmefra, et hotell eller en kafé og forstår ikke engang skaden vi kan påføre det.

I følge statistiske studier jobber mer enn 40 prosent av selskapets ansatte eksternt minst én dag i uken.

Men det viser seg at en ansatt som jobber eksternt via Internett er mye mer sårbar enn en lokal bruker og utgjør en potensiell trussel for selskapet. Derfor må sikkerheten til eksterne brukere vies spesiell oppmerksomhet.

Trusler

Fjernkontroll arbeidsplass brukeren oppretter, sammenlignet med en lokal kontorarbeidsplass, tre ekstra trusselfaktorer:

1. Den eksterne brukeren er utenfor rekkevidde fysisk kontroll organisasjoner. Det kreves bevis på at det er en bedriftsansatt og ikke en angriper som kobler seg til bedriftsressursen.
2. Eksterne brukerdata distribueres gjennom kanaler som er utenfor organisasjonens kontroll. Disse dataene er gjenstand for avlytting, uautorisert modifikasjon og "blanding" med ekstern trafikk.
3. For en ekstern arbeidsplass kan ikke bedriften selv sørge for fysisk sikkerhet. Det kan også hende at datamaskinen du bruker ikke oppfyller konfigurasjonskravene

Derfor, når du organiserer fjerntilgang Tre grunnleggende prinsipper for informasjonssikkerhet må overholdes:

• konfidensialitet (viktig informasjon bør bare være tilgjengelig for et begrenset antall personer);
• integritet(endringer i informasjon som fører til tap eller forvrengning må være forbudt);
• tilgjengelighet(informasjon bør være tilgjengelig for autoriserte brukere når de trenger det).

Hvordan beskytte ekstern tilgang?

For å organisere arbeidet til eksterne ansatte kan du bruke følgende beskyttelsesmekanismer:

• et pålitelig middel for brukerautentisering (passord, maskinvare, biometriske data, etc.);
• tilgangskontrollsystem (sentralisert tilgangskontroll til selskapets IT-ressurser);
• VPN-organisasjonsverktøy (maskinvareenheter, programvareløsninger, brannmurutvidelser osv.);
• et middel for å motvirke angrep (beskytte det interne nettverket og ansatte mot angrep).

Vi vil snakke om en av beskyttelsesmekanismene - VPN.

Hvorfor trenger du en VPN?

En VPN-tilkobling gir en sikrere tilkobling til bedriftens nettverk og Internett.

Bruksområder for VPN:

• Internettilgang;
• tilgang til bedriftens nettverk utenfra;
• forening av bedriftens nettverkskomponenter.

Din bedrifts nettverksinfrastruktur kan forberedes for VPN-bruk ved hjelp av programvare eller maskinvare.

Finnes et stort nummer av betalte og gratis VPN-tjenester.

Slike tjenester opererer hovedsakelig på 4 protokoller:

1. IPSec, som opererer i transport- og tunnelmodus. Kryptering av meldingene i en datapakke ved bruk av transportmodus kalles nyttelast, mens kryptering av hele pakken kalles tunneling.
2. PPTP er en punkt-til-punkt tunnelprotokoll som bruker en tunnelmetode der data lagres i form av PPP-pakker. De blir på sin side plassert i IP-pakker og sendt til destinasjonen.
3. L2TP- en tunneleringsprotokoll på andre nivå som kjører på to hovednoder: L2TP-tilgangskonsentrator (LAC), L2TP-nettverksserver (LNS). LAC er enheten som avslutter samtalen mens LNS autentiserer PPP-pakker.
4. TLS og SSL- kryptografiske protokoller som bruker en kombinasjon av autentisering og kryptering for å utveksle data mellom en server og en klient.

Det finnes også VPN-tjenester for bedriftsbruk. En av de mest kjente er OpenVPN. Det er en trygg og rimelig tjeneste.

Dens fordeler er:

1. Sikkerhet. Bruken av flere kryptografiske protokoller (HMAC, 3DES, AES, RSA) og en 2048-bits nøkkel gir pålitelig kryptering av alle data.
2. De fleksible mulighetene til OpenVPN lar deg starte en tilkobling gjennom Proxy/Socks, gjennom ulike protokoller og med tvungen blokkering av DHCP-protokollen, samt gjennom brannmurer.
3. Støttes av de fleste enheter, inkludert Apple iOS og Google Android-plattformer.

Er det mulig å organisere VPN-tilkoblinger uten å bruke tredjepartsprogrammer?

Noen ganger er det ingen vits i å bruke tredjepartstjenester hvis lignende funksjoner er innebygd i operativsystemet.

Vi ønsker å demonstrere hvordan du setter opp en sikker SSTP VPN-tilkobling ved å bruke standard Windows-funksjoner.

VPN-tilkoblingen er i dette tilfellet beskyttet gjennom trafikkkrypteringsmekanismer ved hjelp av et digitalt sertifikat (SSL) levert av VPN-serveren. Programvare Når du oppretter en VPN-tilkobling, sjekker klientoperativsystemet VPN-serversertifikatet, spesielt sjekker det om serversertifikatet er tilbakekalt, og sjekker også om rotsertifikatet til sertifiseringsmyndigheten som utstedte sertifikatet for VPN-serveren kan være klarert. Derfor er et av kravene for en vellykket VPN-tilkobling ved bruk av SSTP-protokollen muligheten til automatisk å oppdatere listen over rotsertifikater via Internett.

SSTP er en moderne og sikker protokoll. Ekstra fordel er dens evne til å jobbe over den allestedsnærværende tilgjengelige HTTPS-protokollporten (TCP 443), som brukes til vanlig nettsurfing, det vil si at en SSTP VPN-tilkobling vil fungere over nesten hvilken som helst Internett-tilkobling.

VPN og tofaktorautentisering

Selve VPN-tilkoblingen er kryptert. Men å bruke pålogging og passord for autentisering i en VPN er helt utrygt. Men det er en vei ut – tofaktorautentisering. Det lar brukeren bekrefte sin identitet på to måter. Det anbefales å bruke maskinvare (token eller smartkort) for å konfigurere den. Når du oppretter en VPN-tilkobling, trenger brukeren ikke et passord, men selve enheten og dens PIN-kode.

Den største fordelen med en maskinvareenhet når du bruker en VPN er det unike med den private nøkkelen. Dette skyldes at den private nøkkelen fra enheten ikke kan kopieres og reproduseres. Tross alt, hvis autentiseringsmidlet ikke er unikt, kan du ikke være sikker på at brukeren som har fått tilgang er den samme brukeren som denne tilgangen ble tildelt.

Ved bruk av passord er situasjonen en helt annen. Enhver person som spesifikt eller ved et uhell finner ut passordet ditt kan bruke det uten din viten. Dette betyr at han kan gjøre hva han vil på vegne av passordeieren. Det er ganske vanskelig å spore en slik situasjon, spesielt hvis angriperen er teknisk kunnskapsrik.

Sette opp en VPN-server

Vi begynner å sette opp en VPN-tilkobling ved å distribuere en enkel VPN-server basert på Windows Server 2012 R2.

En slik server, installert på standardutstyr, kan brukes for et lite kontornettverk med behov for å organisere en ekstern tilkobling for flere dusin ansatte (30-50 personer).

VPN-serverkonfigurasjon

La oss åpne Server Manager og klikk på linken Legg til roller og funksjoner.

La oss velge en rolle Fjerntilgang.

La oss velge rolletjenesten DirectAccess og VPN (RAS).

Klikk på knappen [Installere]. Dette vil starte installasjonsprosessen for ekstern tilgangsrolle.

I vinduet Initial Setup Wizard for fjerntilgang velger du Implementer kun VPN.

Etter det legger vi til serveren. I vinduet Ruting og ekstern tilgang velg et menyelement Handling og ledd Legg til server. Deretter vil vi bekrefte tillegget.

Høyreklikk på navnet på den lagt til serveren og velg Konfigurer og aktiver ruting og ekstern tilgang.

La oss velge et element Spesiell konfigurasjon.

Som en tilpasset konfigurasjon angir vi Virtual Private Network (VPN)-tilgang.

La oss starte tjenesten ved å klikke på knappen [Start tjeneste].

Serveren er nesten klar.

For eksempel bruker vi den enkleste og mest åpenbare metoden - vi vil sette en statistisk pool av adresser for 5 brukere.

Åpne egenskapene til serveren som ble lagt til.

La oss velge et element Statistisk adressepool og trykk på knappen [Legg til].

I vinduet Nytt IPv4-adresseområde Vi angir start- og slutt-IP-adressene.

Klikk på knappen [Søke om]

Fjerntilgangsrollen er konfigurert, la oss nå åpne portene i brannmuren.

Åpne brannmurporter

Til TCP-protokoll la oss åpne portene 1723 Og 443 .

Til UDP-protokoll la oss åpne portene 1701 , 500 Og 50 .

På neste trinn vil vi konfigurere den lokale sikkerhetspolicyen.

Sette opp lokal sikkerhetspolicy

Åpne listen over lokale sikkerhetspolicyer og velg elementet Tildeling av brukerrettigheter.

Velg en policy Tillat pålogging via Remote Desktop Service.

Klikk på knappen [Legg til bruker eller gruppe].

Finn avdelingsnavnet Domenebrukere og legg den til.

Vel, det nest siste trinnet vil være å sette opp tilgang for spesifikke brukere.

Sette opp tilgang for en bestemt bruker

Åpen Server Manager, Velg en Fasiliteter og ledd Active Directory-brukere og datamaskiner.

Finn navnet på den nødvendige brukeren, gå til det Egenskaper, på fanen Innkommende anrop velg innstilling Gi tilgang. Klikk på knappen [Søke om].

Og til slutt, la oss sjekke om ekstern tilgang er tillatt i systemegenskapene.

For å gjøre dette, åpne systemegenskaper, velg elementet Sette opp ekstern tilgang og sett bryteren Tillat eksterne tilkoblinger til denne datamaskinen.

Det er alt, serveroppsettet er fullført. La oss nå sette opp en VPN-tilkobling på datamaskinen som skal brukes til ekstern tilgang.

Sette opp en VPN-tilkobling

Det er ekstremt enkelt å sette opp en VPN på en Windows 10-datamaskin. For å implementere det, trenger du kontoinformasjon (pålogging, passord), server-IP-adresse og Internett-tilkobling. For å organisere tofaktorautentisering av maskinvare trenger du et token.

Ingen tilleggsprogrammer Det er ikke nødvendig å installere, selve Windows har allerede alt.

La oss komme i gang med oppsettet. Som et eksempel maskinvare Jeg vil bruke enheten til å lagre nøkler og sertifikater på en sikker måte Rutoken EDS PKI.

For å konfigurere tilkoblingen trenger vi et sertifikat som inneholder retningslinjer for smartkortpålogging og klientautentisering.

Vi har allerede beskrevet prosessen med å lage et slikt sertifikat. Link til beskrivelse.

La oss åpne vinduet. La oss klikke på lenken Opprett og konfigurer en ny tilkobling eller nettverk.

Et vindu åpnes Sette opp en tilkobling eller nettverk. Velg elementet Koble til en arbeidsplass og klikk på knappen [Lengre].

I felt Internett-adresse angi VPN-serverdetaljene.

I felt Destinasjonsnavn angi navnet på VPN-tilkoblingen.

Merk av i boksen Bruk smartkort og trykk på knappen Skape.

VPN-tilkoblingen er opprettet. Men vi må endre parameterne.

La oss åpne vinduet igjen Nettverk og delingssenter og klikk på linken Endre adapterinnstillinger.

I vinduet Nettverkstilkoblinger Høyreklikk på navnet på den opprettede VPN-tilkoblingen og velg Egenskaper.

La oss gå til fanen Sikkerhet og velg følgende alternativer.

Disse VPN-tilkoblingsinnstillingene er nok til å koble til det angitte nettverket via en sikker VPN-protokoll. Men når VPN-tilkoblingen er opprettet, vil all nettverkstrafikk fra datamaskinen som standard gå til gatewayen til det angitte nettverket. Dette kan føre til at mens du er koblet til VPN, vil det ikke være mulig å jobbe med Internett-ressurser. For å ekskludere dette problemet la oss gå til fanen Nett, klikk på linjen IP versjon 4 (TCP/IPv4) og trykk på knappen Egenskaper.

På siden med egenskapene til IP versjon 4 klikker du på knappen [I tillegg].

Fjern merket i boksen Bruk standard gateway på eksternt nettverk.

Vi vil bekrefte alle endringer som er gjort. Konfigurasjonsprosessen er fullført.

La oss nå sjekke tilkoblingen.

Klikk på ikonet på oppgavelinjen på skrivebordet Internettilgang og velg den opprettede VPN-tilkoblingen. Et vindu åpnes Alternativer.

Klikk på navnet på VPN-tilkoblingen og trykk på knappen Koble.

Skriv inn token-PIN-en og klikk på knappen [OK].

Som et resultat vil den opprettede VPN-tilkoblingen opprettes.

For å sjekke statusen til VPN-tilkoblingen, åpne et vindu Nettverkstilkoblinger, finn navnet på den opprettede tilkoblingen. Statusen skal være "Tilkoblet".

For å koble fra VPN-tilkoblingen, finn den opprettede tilkoblingen i samme vindu, høyreklikk på navnet og velg Koble til/Koble fra.

La oss oppsummere

Når VPN-tilkoblingen er etablert, begynner all trafikk å flyte gjennom VPN-serveren.

Påliteligheten til VPN-trafikkbeskyttelse ligger i det faktum at selv om angripere på en eller annen måte fanger opp de overførte dataene, vil de fortsatt ikke være i stand til å bruke dem, siden dataene er kryptert.

Og hvis du også installerer spesielle applikasjoner for å overvåke trafikk og konfigurere dem, vil du kunne filtrere trafikk. Sjekk den for eksempel automatisk for virus.

Jeg håper vi klarte å overbevise deg om at VPN er enkelt, rimelig og viktigst av alt trygt!

Active Directory (AD) er et hjelpeprogram utviklet for Microsoft Server-operativsystemet. Den ble opprinnelig laget som en lett algoritme for tilgang til brukerkataloger. Siden versjonen av Windows Server 2008 har integrasjon med autorisasjonstjenester dukket opp.

Gjør det mulig å overholde gruppepolicy som bruker samme type innstillinger og programvare på alle kontrollerte PC-er som bruker System Center Configuration Manager.

Hvis med enkle ord for nybegynnere er dette en serverrolle som lar deg administrere all tilgang og tillatelser på ditt lokale nettverk fra ett sted

Funksjoner og formål

Microsoft Active Directory – (den såkalte katalogen) en pakke med verktøy som lar deg manipulere brukere og nettverksdata. hovedmål opprettelse – lette arbeidet til systemadministratorer i store nettverk.

Kataloger inneholder forskjellig informasjon relatert til brukere, grupper, nettverksenheter, filressurser - i et ord, objekter. For eksempel bør brukerattributter som er lagret i katalogen være følgende: adresse, pålogging, passord, nummer mobiltelefon etc. Katalogen brukes som autentiseringspunkter, som du kan finne ut nødvendig informasjon om brukeren med.

Grunnleggende begreper man møter under arbeid

Det er en rekke spesialiserte konsepter som brukes når du arbeider med AD:

1. Server er en datamaskin som inneholder alle dataene.
2. Kontrolleren er en server med AD-rollen som behandler forespørsler fra personer som bruker domenet.
3. Et AD-domene er en samling enheter samlet under ett unikt navn, samtidig som de bruker en felles katalogdatabase.
4. Datalageret er den delen av katalogen som er ansvarlig for å lagre og hente data fra enhver domenekontroller.

Hvordan aktive kataloger fungerer

De viktigste driftsprinsippene er:

• Autorisasjon, som du kan bruke PC-en med på nettverket ved å skrive inn ditt personlige passord. I dette tilfellet overføres all informasjon fra kontoen.
• Sikkerhet. Active Directory inneholder funksjoner for brukergjenkjenning. For ethvert nettverksobjekt kan du eksternt, fra én enhet, angi de nødvendige rettighetene, som vil avhenge av kategoriene og spesifikke brukere.
• Nettverksadministrasjon fra ett punkt. Når du arbeider med Active Directory, trenger ikke systemadministratoren å rekonfigurere alle PC-er hvis det er nødvendig å endre tilgangsrettigheter, for eksempel til en skriver. Endringer utføres eksternt og globalt.
• Full DNS-integrasjon. Med dens hjelp er det ingen forvirring i AD; alle enheter er utpekt nøyaktig det samme som på World Wide Web.
• Stor skala. Et sett med servere kan kontrolleres av én Active Directory.
• Søk utføres i henhold til ulike parametere, for eksempel datamaskinnavn, pålogging.

Objekter og attributter

Et objekt er et sett med attributter, samlet under sitt eget navn, som representerer en nettverksressurs.

Attributt - egenskaper ved et objekt i katalogen. Disse inkluderer for eksempel brukerens fulle navn og pålogging. Men attributtene til en PC-konto kan være navnet på denne datamaskinen og dens beskrivelse.

"Ansatt" er et objekt som har attributtene "Navn", "Posisjon" og "TabN".

LDAP-beholder og navn

Container er en type objekt som kan består av andre gjenstander. Et domene kan for eksempel inneholde kontoobjekter.

Hovedformålet deres er organisere objekter etter type skilt. Oftest brukes containere til å gruppere objekter med de samme attributtene.

Nesten alle containere kartlegger en samling av objekter, og ressurser tilordnes til et unikt Active Directory-objekt. En av hovedtypene AD-beholdere er organisasjonsmodulen, eller OU (organisasjonsenhet). Objekter som er plassert i denne beholderen tilhører bare domenet de er opprettet i.

Lightweight Directory Access Protocol (LDAP) er den grunnleggende algoritmen for TCP/IP-tilkoblinger. Den er designet for å redusere mengden nyanser når du får tilgang til katalogtjenester. LDAP definerer også handlingene som brukes til å spørre og redigere katalogdata.

Tre og sted

Et domenetre er en struktur, en samling av domener som har generelt diagram og konfigurasjon, som danner et felles navneområde og er bundet av tillitsforhold.

En domeneskog er en samling trær knyttet til hverandre.

Et nettsted er en samling enheter i IP-undernett, som representerer en fysisk modell av nettverket, hvis planlegging utføres uavhengig av den logiske representasjonen av konstruksjonen. Active Directory har muligheten til å opprette et n-antall nettsteder eller kombinere et n-antall domener under ett nettsted.

Installere og konfigurere Active Directory

La oss nå gå direkte til å sette opp Active Directory ved å bruke Windows Server 2008 som et eksempel (prosedyren er identisk på andre versjoner):

Klikk på "OK"-knappen. Det er verdt å merke seg at slike verdier ikke er nødvendige. Du kan bruke IP-adressen og DNS fra nettverket ditt.

• Deretter må du gå til "Start"-menyen, velg "Administrasjon" og "".
  
• Gå til «Roller»-elementet, velg « Legg til roller”.
  
• Velg "Active Directory Domain Services", klikk "Neste" to ganger, og deretter "Installer".
  
• Vent til installasjonen er fullført.
  
• Åpne "Start"-menyen-" Henrette" Skriv inn dcpromo.exe i feltet.
  
• Klikk "Neste".
  
• Plukke ut " Opprett et nytt domene i en ny skog" og klikk "Neste" igjen.
  
• I det neste vinduet, skriv inn et navn og klikk "Neste".
  
• Velge Kompatibilitetsmodus(Windows Server 2008).
  
• La alt stå som standard i neste vindu.
  
• Vil starte konfigurasjonsvinduDNS. Siden det ikke hadde vært brukt på serveren før, ble det ikke opprettet noen delegering.
  
• Velg installasjonskatalogen.
  
• Etter dette trinnet må du stille inn administrasjonspassord.

For å være sikkert må passordet oppfylle følgende krav:

Etter at AD har fullført, må du starte serveren på nytt.

Oppsettet er fullført, snapin-modulen og rollen er installert på systemet. AD kan bare installeres på Windows Server-familien, vanlige versjoner, for eksempel 7 eller 10, kan bare tillate installasjon av administrasjonskonsollen.

Administrasjon i Active Directory

Som standard, i Windows Server, fungerer Active Directory-brukere og datamaskiner-konsollen med domenet som datamaskinen tilhører. Du kan få tilgang til datamaskin- og brukerobjekter i dette domenet gjennom konsolltreet eller koble til en annen kontroller.

Verktøyene i samme konsoll lar deg se Ekstra alternativer objekter og søke etter dem, kan du opprette nye brukere, grupper og endre tillatelser.

Det er det forresten 2 typer grupper i Asset Directory - sikkerhet og distribusjon. Sikkerhetsgrupper er ansvarlige for å avgrense tilgangsrettigheter til objekter, de kan brukes som distribusjonsgrupper.

Distribusjonsgrupper kan ikke skille rettigheter og brukes primært til å distribuere meldinger på nettverket.

Hva er AD-delegasjon

Delegasjonen selv er overføring av deler av tillatelser og kontroll fra forelder til en annen ansvarlig part.

Det er kjent at hver organisasjon har flere systemadministratorer ved sitt hovedkvarter. Diverse oppgaver skal plasseres på forskjellige skuldre. For å bruke endringer må du ha rettigheter og tillatelser, som er delt inn i standard og spesiell. Spesifikke tillatelser gjelder for et bestemt objekt, mens standardtillatelser er et sett med eksisterende tillatelser som gjør spesifikke funksjoner tilgjengelige eller utilgjengelige.

Å etablere tillit

Det er to typer tillitsforhold i AD: "enveis" og "toveis". I det første tilfellet stoler det ene domenet på det andre, men ikke omvendt; følgelig har det første tilgang til ressursene til det andre, men det andre har ikke tilgang. I den andre typen er tillit "gjensidig". Det er også "utgående" og "innkommende" relasjoner. Ved utgående, stoler det første domenet på det andre, og lar dermed brukere av det andre bruke ressursene til det første.

Under installasjonen bør følgende prosedyrer følges:

• Kryss av nettverksforbindelser mellom kontrollere.
• Sjekk innstillingene.
• Melodi navneoppløsning for eksterne domener.
• Opprett en forbindelse fra det tillitsfulle domenet.
• Opprett en forbindelse fra siden av kontrolleren som tilliten er adressert til.
• Sjekk de opprettede enveisrelasjonene.
• Hvis behovet oppstår i å etablere bilaterale relasjoner - lage en installasjon.

Global katalog

Dette er en domenekontroller som lagrer kopier av alle objekter i skogen. Det gir brukere og programmer muligheten til å søke etter objekter i hvilket som helst domene i den nåværende skogen ved hjelp av verktøy for attributtoppdagelse inkludert i den globale katalogen.

Den globale katalogen (GC) inkluderer et begrenset sett med attributter for hvert skogobjekt i hvert domene. Den mottar data fra alle domenekatalogpartisjoner i skogen, og den kopieres ved hjelp av standard Active Directory-replikeringsprosessen.

Skjemaet bestemmer om attributtet skal kopieres. Det er en mulighet konfigurere tilleggsfunksjoner, som vil bli gjenskapt i den globale katalogen ved hjelp av "Active Directory Schema". For å legge til et attributt til den globale katalogen, må du velge replikeringsattributtet og bruke alternativet "Kopier". Dette vil skape replikering av attributtet til den globale katalogen. Attributtparameterverdi isMemberOfPartialAttributeSet vil bli sann.

For å finne ut plassering global katalog, må du skrive inn på kommandolinjen:

Dsquery server –isgc

Datareplikering i Active Directory

Replikering er en kopieringsprosedyre som utføres når det er nødvendig å lagre like aktuell informasjon som finnes på en kontroller.

Den er produsert uten operatørmedvirkning. Det finnes følgende typer replikainnhold:

• Datareplikaer opprettes fra alle eksisterende domener.
• Replikaer av dataskjemaer. Siden dataskjemaet er det samme for alle objekter i Active Directory-skogen, vedlikeholdes replikaer av det på tvers av alle domener.
• Konfigurasjonsdata. Viser konstruksjonen av kopier blant kontrollere. Informasjonen distribueres til alle domener i skogen.

Hovedtypene av replikaer er intra-node og inter-node.

I det første tilfellet, etter endringene, venter systemet og varsler deretter partneren om å opprette en replika for å fullføre endringene. Selv i fravær av endringer, skjer replikeringsprosessen automatisk etter en viss tidsperiode. Etter at bruddendringer er brukt på kataloger, skjer replikering umiddelbart.

Replikeringsprosedyre mellom noder skjer i mellom minimal belastning på nettverket, unngår dette tap av informasjon.

Active Directory er en Microsoft katalogtjeneste for Windows NT-familien av operativsystemer.

Denne tjenesten lar administratorer bruke gruppepolicyer for å sikre enhetlige arbeidsmiljøinnstillinger, programvareinstallasjoner, oppdateringer osv.

Hva er essensen av Active Directory og hvilke problemer løser det? Les videre.

Prinsipper for organisering av peer-to-peer og multi-peer-nettverk

Men et annet problem oppstår, hva om bruker2 på PC2 bestemmer seg for å endre passordet sitt? Så hvis bruker1 endrer kontopassordet, vil ikke bruker2 på PC1 få tilgang til ressursen.

Et annet eksempel: vi har 20 arbeidsstasjoner med 20 kontoer som vi ønsker å gi tilgang til en viss . For å gjøre dette må vi opprette 20 kontoer på filserveren og gi tilgang til nødvendig ressurs.

Hva om det ikke er 20, men 200 av dem?

Som du forstår, blir nettverksadministrasjon med denne tilnærmingen til et absolutt helvete.

Derfor er arbeidsgruppetilnærmingen egnet for små kontornettverk med ikke mer enn 10 PC-er.

Hvis det er mer enn 10 arbeidsstasjoner i nettverket, blir tilnærmingen der én nettverksnode delegeres rettighetene til å utføre autentisering og autorisasjon rasjonelt begrunnet.

Denne noden er domenekontrolleren - Active Directory.

Domenekontroller

Kontrolløren lagrer en database med kontoer, dvs. den lagrer kontoer for både PC1 og PC2.

Nå er alle kontoer registrert én gang på kontrolleren, og behovet for lokale kontoer blir meningsløst.

Nå, når en bruker logger på en PC, skriver inn brukernavn og passord, overføres disse dataene til lukket til domenekontrolleren, som utfører autentiserings- og autorisasjonsprosedyrer.

Etterpå utsteder kontrolløren brukeren som har logget på noe som et pass, som han senere jobber med på nettverket og som han på forespørsel fra andre nettverksdatamaskiner presenterer, servere hvis ressurser han ønsker å koble seg til.

Viktig! En domenekontroller er en datamaskin som kjører Active Directory som kontrollerer brukertilgang til nettverksressurser. Den lagrer ressurser (f.eks. skrivere, delte mapper), tjenester (f.eks. e-post), personer (bruker- og brukergruppekontoer), datamaskiner (datakontoer).

Antallet slike lagrede ressurser kan nå millioner av objekter.

Følgende versjoner av MS Windows kan fungere som en domenekontroller: Windows Server 2000/2003/2008/2012 unntatt Web-Edition.

Domenekontrolleren er, i tillegg til å være autentiseringssenteret for nettverket, også kontrollsenteret for alle datamaskiner.

Umiddelbart etter at den er slått på, begynner datamaskinen å kontakte domenekontrolleren, lenge før autentiseringsvinduet vises.

Dermed blir ikke bare brukeren som skriver inn pålogging og passord autentisert, men også klientdatamaskinen er autentisert.

Installerer Active Directory

La oss se på et eksempel på installasjon av Active Directory på Windows Server 2008 R2. Så for å installere Active Directory-rollen, gå til "Server Manager":

Legg til rollen "Legg til roller":

Velg Active Directory Domain Services-rollen:

Og la oss starte installasjonen:

Deretter mottar vi et varselvindu om den installerte rollen:

Etter å ha installert domenekontrollerrollen, la oss fortsette med å installere selve kontrolleren.

Klikk "Start" i programsøkefeltet, skriv inn navnet på DCPromo-veiviseren, start den og merk av i boksen for avanserte installasjonsinnstillinger:

Klikk "Neste" og velg å opprette et nytt domene og skog fra alternativene som tilbys.

Skriv inn domenenavnet, for eksempel eksempel.net.

Vi skriver NetBIOS-domenenavn, uten sone:

Velg funksjonsnivå for domenet vårt:

På grunn av særegenhetene ved funksjonen til domenekontrolleren, installerer vi også en DNS-server.

Plasseringene til databasen, loggfilen og systemvolumet forblir uendret:

Skriv inn domeneadministratorpassordet:

Vi sjekker riktigheten av fyllingen, og hvis alt er i orden, klikk på "Neste".

Etter dette vil installasjonsprosessen begynne, på slutten av denne vil et vindu vises som informerer deg om at installasjonen var vellykket:

Introduksjon til Active Directory

Rapporten diskuterer to typer datanettverk som kan opprettes ved hjelp av operativsystemer Microsoft: arbeidsgruppe og Active Directory-domene.

Active Directory - Utvidbar og skalerbar Active Directory-katalogtjeneste lar deg administrere nettverksressurser effektivt.
Active Directory er et hierarkisk organisert arkiv med data om nettverksobjekter, som gir praktiske midler for å søke og bruke disse dataene. Datamaskinen som kjører Active Directory kalles en domenekontroller. Nesten alle administrative oppgaver er relatert til Active Directory.
Active Directory-teknologi er basert på standard Internett-protokoller og bidrar til å tydelig definere strukturen til nettverket; les mer om hvordan du distribuerer et Active Directory-domene fra bunnen av her.

Active Directory og DNS

Active Directory bruker domenenavnsystemet.

Active Directory-administrasjon

Ved å bruke Active Directory-tjenesten opprettes datamaskinkontoer, kobles til domenet, og datamaskiner, domenekontrollere og organisasjonsenheter administreres.

Administrasjons- og støtteverktøy er tilgjengelig for å administrere Active Directory. Verktøyene som er oppført nedenfor er også implementert som snap-ins i MMC-konsollen (Microsoft Management Console):

• Active Directory - brukere og datamaskiner (Active Directory-brukere og datamaskiner) lar deg administrere brukere, grupper, datamaskiner og organisasjonsenheter (OU);
• Active Directory – domener og truster (Active Directory Domains and Trusts) brukes til å jobbe med domener, domenetrær og domeneskoger;
• Active Directory-nettsteder og -tjenester lar deg administrere nettsteder og undernett;
• Det resulterende settet med policyer brukes til å vise gjeldende policy for en bruker eller system og til å planlegge endringer i policyen.
• I Microsoft Windows 2003 Server kan du få tilgang til disse snapin-modulene direkte fra Administrative Tools-menyen.

Et annet administrativt verktøy, snapin-modulen Active Directory Schema, lar deg administrere og endre katalogskjemaet.

Active Directory Command Line Utilities

For å administrere Active Directory-objekter finnes det kommandolinjeverktøy som lar deg bred rekkevidde administrative oppgaver:

• DSADD - legger til datamaskiner, kontakter, grupper, OUer og brukere til Active Directory.
• DSGET – viser egenskapene til datamaskiner, kontakter, grupper, OUer, brukere, nettsteder, undernett og servere registrert i Active Directory.
• DSMOD - endrer egenskapene til datamaskiner, kontakter, grupper, OP-er, brukere og servere registrert i Active Directory.
• DSMOVE - Flytter et enkelt objekt til et nytt sted innenfor et domene eller gir nytt navn til objektet uten å flytte det.
• DSQXJERY - søker etter datamaskiner, kontakter, grupper, OP-er, brukere, nettsteder, undernett og servere i Active Directory i henhold til spesifiserte kriterier.
• DSRM - fjerner et objekt fra Active Directory.
• NTDSUTIL - lar deg se informasjon om et nettsted, et domene eller en server, administrere operasjonsmastere og vedlikeholde Active Directory-databasen.

Active Directory tilbyr systemadministrasjonstjenester. De er mye det beste alternativet lokale grupper og lar deg opprette datanettverk med effektiv ledelse Og pålitelig beskyttelse data.

Hvis du ikke tidligere har støtt på konseptet Active Directory og ikke vet hvordan slike tjenester fungerer, er denne artikkelen for deg. La oss finne ut hva det betyr dette konseptet, hva er fordelene med slike databaser og hvordan du oppretter og konfigurerer dem for førstegangsbruk.

Active Directory er veldig praktisk måte systemadministrasjon. Ved å bruke Active Directory kan du effektivt administrere dataene dine.

Disse tjenestene lar deg lage en enkelt database administrert av domenekontrollere. Hvis du eier en bedrift, administrerer et kontor eller generelt kontrollerer aktivitetene til mange mennesker som trenger å forenes, vil et slikt domene være nyttig for deg.

Det inkluderer alle objekter - datamaskiner, skrivere, fakser, brukerkontoer, etc. Summen av domener som data ligger på kalles en "skog". Active Directory-databasen er et domenemiljø hvor antall objekter kan være opptil 2 milliarder. Kan du forestille deg disse vektene?

Det vil si at ved hjelp av en slik "skog" eller database kan du koble et stort antall ansatte og utstyr på et kontor, og uten å være bundet til et sted - andre brukere kan også kobles til i tjenestene, for eksempel, fra et firmakontor i en annen by.

I tillegg, innenfor rammen av Active Directory-tjenester, opprettes og kombineres flere domener – jo større selskapet er, desto flere verktøy trengs for å kontrollere utstyret i databasen.

Videre, når du oppretter et slikt nettverk, bestemmes ett kontrollerende domene, og selv med påfølgende tilstedeværelse av andre domener, forblir det opprinnelige "forelder" - det vil si at bare det har full tilgang til informasjonshåndtering.

Hvor lagres disse dataene, og hva sikrer eksistensen av domener? For å lage Active Directory brukes kontrollere. Vanligvis er det to av dem - hvis noe skjer med den ene, vil informasjonen lagres på den andre kontrolleren.

Et annet alternativ for å bruke databasen er hvis for eksempel din bedrift samarbeider med en annen, og du må prestere generelt prosjekt. I dette tilfellet kan uautoriserte personer trenge tilgang til domenefiler, og her kan du sette opp et slags "forhold" mellom to forskjellige "skoger", som gir tilgang til nødvendig informasjon uten å risikere sikkerheten til de gjenværende dataene.

Generelt er Active Directory et verktøy for å lage en database innenfor en bestemt struktur, uavhengig av størrelsen. Brukere og alt utstyr samles til én "skog", domener opprettes og plasseres på kontrollere.

Det er også tilrådelig å presisere at tjenester kun kan operere på enheter med server Windows-systemer. I tillegg opprettes 3-4 DNS-servere på kontrollerene. De betjener hovedsonen til domenet, og hvis en av dem svikter, erstatter andre servere den.

Etter kort overblikk Active Directory for dummies, du er naturligvis interessert i spørsmålet - hvorfor endre en lokal gruppe for en hel database? Naturligvis er mulighetene her mange ganger bredere, og for å finne ut andre forskjeller mellom disse tjenestene for systemadministrasjon, la oss se nærmere på fordelene deres.

Fordeler med Active Directory

Fordelene med Active Directory er:

1. Bruke én enkelt ressurs for autentisering. I denne situasjonen må du legge til på hver PC alle kontoer som krever tilgang til generell informasjon. Jo flere brukere og utstyr det er, jo vanskeligere er det å synkronisere disse dataene mellom dem.

Og så, når du bruker tjenester med en database, lagres kontoer i ett punkt, og endringer trer i kraft umiddelbart på alle datamaskiner.

Hvordan det fungerer? Hver ansatt som kommer til kontoret, starter systemet og logger på kontoen sin. Påloggingsforespørselen sendes automatisk til serveren og autentisering vil finne sted gjennom den.

Når det gjelder en viss rekkefølge i å føre journaler, kan du alltid dele brukerne inn i grupper - "HR-avdelingen" eller "Regnskap".

I dette tilfellet er det enda enklere å gi tilgang til informasjon – skal du åpne en mappe for ansatte fra én avdeling, gjør du dette gjennom databasen. Sammen får de tilgang til den nødvendige mappen med data, mens for andre forblir dokumentene lukket.

1. Kontroll over hver databasedeltaker.

Hvis i en lokal gruppe hvert medlem er uavhengig og vanskelig å kontrollere fra en annen datamaskin, kan du i domener sette visse regler som samsvarer med selskapets retningslinjer.

Som systemadministrator kan du angi tilgangsinnstillinger og sikkerhetsinnstillinger, og deretter bruke dem på hver brukergruppe. Naturligvis, avhengig av hierarkiet, kan enkelte grupper gis strengere innstillinger, mens andre kan gis tilgang til andre filer og handlinger i systemet.

I tillegg, når en ny person blir med i selskapet, vil datamaskinen hans umiddelbart motta det nødvendige settet med innstillinger, som inkluderer komponenter for arbeid.

1. Allsidighet i programvareinstallasjon.

Når vi snakker om komponenter, ved hjelp av Active Directory kan du tilordne skrivere, installere de nødvendige programmene for alle ansatte samtidig og angi personverninnstillinger. Generelt vil opprettelse av en database betydelig optimere arbeidet, overvåke sikkerheten og forene brukerne for maksimal arbeidseffektivitet.

Og hvis et selskap driver et eget verktøy eller spesielle tjenester, kan de synkroniseres med domener og forenkle tilgangen til dem. Hvordan? Hvis du kombinerer alle produktene som brukes i bedriften, trenger ikke den ansatte å skrive inn ulike pålogginger og passord for å komme inn på hvert program – denne informasjonen vil være felles.

Nå som fordelene og meningen med å bruke Active Directory blir tydelige, la oss se på prosessen med å installere disse tjenestene.

Vi bruker en database på Windows Server 2012

Installere og konfigurere Active Directory er ikke en vanskelig oppgave, og er også enklere enn det ser ut ved første øyekast.

For å laste inn tjenester, må du først gjøre følgende:

1. Endre datamaskinens navn: klikk på "Start", åpne Kontrollpanel, velg "System". Velg "Endre innstillinger" og i Egenskaper, overfor linjen "Datamaskinnavn", klikk "Endre", skriv inn en ny verdi for hoved-PCen.
2. Start PC-en på nytt etter behov.
3. Angi nettverksinnstillingene slik:
   • Gjennom kontrollpanelet åpner du menyen med nettverk og deling.
   • Juster adapterinnstillingene. Høyreklikk på "Egenskaper" og åpne fanen "Nettverk".
   • I vinduet fra listen, klikk på Internett-protokoll nummer 4, klikk igjen på "Egenskaper".
   • Angi de nødvendige innstillingene, for eksempel: IP-adresse - 192.168.10.252, nettverksmaske - 255.255.255.0, hovedgateway - 192.168.10.1.
   • I linjen "Foretrukket DNS-server" angir du adressen til den lokale serveren, i "Alternativ..." - andre DNS-serveradresser.
   • Lagre endringene og lukk vinduene.

Sett opp Active Directory-roller slik:

1. Åpne Server Manager gjennom Start.
2. Fra menyen velger du Legg til roller og funksjoner.
3. Veiviseren starter, men du kan hoppe over det første vinduet med en beskrivelse.
4. Sjekk linjen "Installere roller og komponenter", fortsett videre.
5. Velg datamaskinen din for å installere Active Directory på den.
6. Fra listen velger du rollen som må lastes - i ditt tilfelle er det "Active Directory Domain Services".
7. Et lite vindu vil dukke opp som ber deg laste ned komponentene som kreves for tjenestene - godta det.
8. Du vil da bli bedt om å installere andre komponenter - hvis du ikke trenger dem, hopper du over dette trinnet ved å klikke "Neste".
9. Oppsettsveiviseren vil vise et vindu med beskrivelser av tjenestene du installerer – les og gå videre.
10. En liste over komponenter som vi skal installere vil vises - sjekk om alt er riktig, og i så fall trykk på den aktuelle knappen.
11. Når prosessen er fullført, lukk vinduet.
12. Det er det - tjenestene lastes ned til datamaskinen din.

Sette opp Active Directory

For å konfigurere en domenetjeneste må du gjøre følgende:

• Start oppsettsveiviseren med samme navn.
• Klikk på den gule pekeren øverst i vinduet og velg "Forfre serveren til en domenekontroller."
• Klikk på legg til en ny skog og opprett et navn for rotdomenet, og klikk deretter på Neste.
• Spesifiser driftsmodusene til "skogen" og domenet - oftest sammenfaller de.
• Lag et passord, men husk det. Fortsett videre.
• Etter dette kan du se en advarsel om at domenet ikke er delegert og en melding om å sjekke domenenavnet – du kan hoppe over disse trinnene.
• I neste vindu kan du endre banen til databasekatalogene - gjør dette hvis de ikke passer deg.
• Du vil nå se alle alternativene du er i ferd med å angi – sjekk om du har valgt dem riktig og gå videre.
• Applikasjonen vil sjekke om forutsetningene er oppfylt, og hvis det ikke er noen kommentarer, eller de ikke er kritiske, klikker du på "Installer".
• Etter at installasjonen er fullført, starter PC-en på nytt av seg selv.

Du lurer kanskje også på hvordan du legger til en bruker i databasen. For å gjøre dette, bruk "Active Directory-brukere eller datamaskiner"-menyen, som du finner i "Administrasjon"-delen i kontrollpanelet, eller bruk menyen for databaseinnstillinger.

For å legge til en ny bruker, høyreklikk på domenenavnet, velg "Opprett" og deretter "Divisjon". Et vindu vil dukke opp foran deg hvor du må skrive inn navnet på den nye avdelingen - det fungerer som en mappe hvor du kan samle brukere pr. ulike avdelinger. På samme måte vil du senere opprette flere divisjoner og plassere alle ansatte riktig.

Deretter, når du har opprettet et avdelingsnavn, høyreklikker du på det og velger "Opprett" og deretter "Bruker". Nå gjenstår det bare å legge inn nødvendige data og angi tilgangsinnstillingene for brukeren.

Når den nye profilen er opprettet, klikk på den ved å velge kontekstmenyen og åpne "Egenskaper". I "Konto"-fanen fjerner du avmerkingsboksen ved siden av "Blokker...". Det er alt.

Den generelle konklusjonen er at Active Directory er et kraftig og nyttig systemadministrasjonsverktøy som vil bidra til å forene alle ansattes datamaskiner i ett team. Ved hjelp av tjenester kan du lage en sikker database og betydelig optimalisere arbeidet og synkroniseringen av informasjon mellom alle brukere. Hvis aktivitetene til din bedrift eller et annet arbeidssted er relatert til elektronisk datamaskiner og nettverk, må du konsolidere kontoer og overvåke ytelse og personvern. Installering av en Active Directory-basert database vil være en flott løsning.