Activ toate publicațiile utilizatorilor. Ce este Active Directory și cum se instalează și se configurează baza de date. Instalarea Active Directory

peste participanții la expoziția Mobile World Congress. Angajații companiei au creat trei puncte Wi-Fi deschise la aeroport în apropierea standului pentru înregistrarea vizitatorilor expoziției și le-au numit cu denumiri standard „Starbucks”, „MWC Free WiFi” și „Airport_Free_Wifi_AENA”. În 4 ore, 2.000 de persoane s-au conectat la aceste puncte.

În urma experimentului, a fost întocmit un raport în care angajații Avast au analizat traficul tuturor persoanelor conectate la punctele Wi-Fi deschise. Au fost dezvăluite și informații personale ale a 63% dintre cei care s-au conectat: date de conectare, parole, adrese de e-mail etc. Dacă nu ar fi fost raportul prezentat la expoziție, participanții la experiment nu și-ar fi dat seama niciodată că cineva are acces la datele lor.

Ne conectăm la rețeaua companiei noastre de acasă, de la un hotel sau de la o cafenea și nici măcar nu înțelegem daunele pe care le putem provoca.

Potrivit studiilor statistice, peste 40% dintre angajații companiei lucrează de la distanță cel puțin o zi pe săptămână.

Dar se dovedește că un angajat care lucrează de la distanță prin internet este mult mai vulnerabil decât un utilizator local și reprezintă o potențială amenințare pentru companie. Prin urmare, securității utilizatorilor de la distanță trebuie să i se acorde o atenție deosebită.

Amenințări

la distanta la locul de muncă utilizatorul creează, în comparație cu un loc de muncă de birou local, trei factori suplimentari de amenințare:

1. Utilizatorul de la distanță este în afara razei de acoperire control fizic organizatii. Este necesară dovada că este un angajat al companiei și nu un atacator care se conectează la resursa corporativă.
2. Datele utilizatorilor de la distanță sunt distribuite prin canale care sunt în afara controlului organizației. Aceste date sunt supuse interceptării, modificării neautorizate și „amestecării” cu traficul extern.
3. Pentru un loc de muncă la distanță, compania în sine nu poate oferi securitate fizică. De asemenea, este posibil ca computerul pe care îl utilizați să nu îndeplinească cerințele de configurare

Prin urmare, la organizare acces de la distanță Trei principii de bază ale securității informațiilor trebuie respectate:

• confidențialitatea (Informații importante ar trebui să fie disponibil doar unui număr limitat de persoane);
• integritate(trebuie interzise modificările aduse informațiilor care conduc la pierderea sau denaturarea acestora);
• disponibilitate(informațiile ar trebui să fie disponibile utilizatorilor autorizați atunci când au nevoie de ele).

Cum se protejează accesul la distanță?

Pentru a organiza munca angajaților la distanță, puteți utiliza următoarele mecanisme de protecție:

• un mijloc fiabil de autentificare a utilizatorului (parole, hardware, date biometrice etc.);
• sistem de control acces (controlul acces centralizat la resursele IT ale companiei);
• Instrument de organizare VPN (dispozitive hardware, soluții software, extensii de firewall etc.);
• un mijloc de contracarare a atacurilor (protejarea rețelei interne și a angajaților de atacuri).

Vom vorbi despre unul dintre mecanismele de protecție - VPN.

De ce ai nevoie de un VPN?

O conexiune VPN oferă o conexiune mai sigură la rețeaua companiei și la internet.

Domenii de aplicare a VPN:

• Acces la internet;
• acces la rețeaua corporativă din exterior;
• unificarea componentelor rețelei corporative.

Infrastructura de rețea a companiei dumneavoastră poate fi pregătită pentru utilizarea VPN utilizând software sau hardware.

Există un numar mare de servicii VPN plătite și gratuite.

Astfel de servicii funcționează în principal pe 4 protocoale:

1. IPSec, care operează în modurile de transport și tunel. Criptarea mesajelor dintr-un pachet de date folosind modul de transport se numește sarcină utilă, în timp ce criptarea întregului pachet se numește tunel.
2. PPTP este un protocol de tunel punct la punct care utilizează o metodă de tunel în care datele sunt stocate sub formă de pachete PPP. Ele, la rândul lor, sunt plasate în pachete IP și transmise la destinație.
3. L2TP- un protocol de tunel de nivel al doilea care rulează pe două noduri principale: concentrator de acces L2TP (LAC), server de rețea L2TP (LNS). LAC este dispozitivul care termină apelul în timp ce LNS autentifică pachetele PPP.
4. TLS și SSL- protocoale criptografice care folosesc o combinație de autentificare și criptare pentru a face schimb de date între un server și un client.

Există și servicii VPN pentru uz corporativ. Unul dintre cele mai faimoase este OpenVPN. Este un serviciu sigur și ieftin.

Avantajele sale sunt:

1. Siguranță. Utilizarea mai multor protocoale criptografice (HMAC, 3DES, AES, RSA) și a unei chei de 2048 de biți permite criptarea fiabilă a tuturor datelor.
2. Capacitățile flexibile ale OpenVPN vă permit să lansați o conexiune prin Proxy/Socks, prin diverse protocoale și cu blocarea forțată a protocolului DHCP, precum și prin firewall-uri.
3. Acceptat de majoritatea dispozitivelor, inclusiv de platformele Apple iOS și Google Android.

Este posibil să organizați conexiuni VPN fără a utiliza programe terțe?

Uneori, nu are rost să folosiți servicii de la terți dacă în sistemul de operare sunt încorporate capacități similare.

Dorim să demonstrăm cum să configurați o conexiune VPN SSTP securizată folosind funcțiile standard Windows.

Conexiunea VPN este protejată în acest caz prin mecanisme de criptare a traficului folosind un certificat digital (SSL) furnizat de serverul VPN. Software La stabilirea unei conexiuni VPN, sistemul de operare client verifică certificatul serverului VPN, în special, verifică dacă certificatul serverului a fost revocat și, de asemenea, verifică dacă certificatul rădăcină al autorității de certificare care a emis certificatul pentru serverul VPN poate fi de încredere. De aceea, una dintre cerințele pentru o conexiune VPN de succes folosind protocolul SSTP este capacitatea de a actualiza automat lista de certificate rădăcină prin Internet.

SSTP este un protocol modern și sigur. Beneficiu suplimentar este capacitatea sa de a lucra prin portul de protocol HTTPS accesibil omniprezent (TCP 443), utilizat pentru navigarea obișnuită pe web, adică o conexiune VPN SSTP va funcționa peste aproape orice conexiune la Internet.

VPN și autentificare cu doi factori

Conexiunea VPN în sine este criptată. Dar utilizarea unei date de conectare și a unei parole pentru autentificare într-un VPN este complet nesigură. Dar există o cale de ieșire - autentificarea cu doi factori. Acesta permite utilizatorului să-și confirme identitatea în două moduri. Este recomandabil să utilizați hardware (token sau smart card) pentru a-l configura. Apoi, atunci când stabilește o conexiune VPN, utilizatorul nu va avea nevoie de o parolă, ci de dispozitivul însuși și de codul său PIN.

Principalul avantaj al unui dispozitiv hardware atunci când se utilizează un VPN este unicitatea cheii private. Acest lucru se datorează faptului că cheia privată de pe dispozitiv nu poate fi copiată și reprodusă. La urma urmei, dacă mijlocul de autentificare nu este unic, atunci nu puteți fi sigur că utilizatorul care a primit acces este același utilizator căruia i-a fost atribuit acest acces.

În cazul utilizării unei parole, situația este complet diferită. Orice persoană care vă află în mod specific sau accidental parola o poate folosi fără știrea dvs. Aceasta înseamnă că poate face tot ce dorește în numele proprietarului parolei. Este destul de dificil de urmărit o astfel de situație, mai ales dacă atacatorul este priceput din punct de vedere tehnic.

Configurarea unui server VPN

Vom începe configurarea unei conexiuni VPN prin implementarea unui server VPN simplu bazat pe Windows Server 2012 R2.

Un astfel de server, instalat pe echipamente standard, poate fi folosit pentru o rețea de birouri mici cu necesitatea organizării unei conexiuni la distanță pentru câteva zeci de angajați (30-50 de persoane).

Configurare server VPN

Să deschidem Manager serverși faceți clic pe link Adăugați roluri și funcții.

Să alegem un rol Acces de la distanță.

Să selectăm serviciul de rol DirectAccess și VPN (RAS).

Faceți clic pe butonul [Instalare]. Aceasta va începe procesul de instalare a rolului de acces la distanță.

În fereastra Remote Access Initial Setup Wizard, selectați Implementați numai VPN.

După aceea vom adăuga serverul. La fereastră Rutare și acces la distanță selectați un element de meniu Acțiuneși subparagraf Adauga server. În continuare, vom confirma adăugarea.

Faceți clic dreapta pe numele serverului adăugat și selectați Configurați și activați rutarea și accesul de la distanță.

Să selectăm un articol Configurație specială.

Ca o configurație personalizată indicăm Acces la rețeaua privată virtuală (VPN)..

Să începem serviciul făcând clic pe butonul [Începe serviciul].

Serverul este aproape gata.

De exemplu, folosim cea mai simplă și mai evidentă metodă - vom seta un grup statistic de adrese pentru 5 utilizatori.

Deschideți proprietățile serverului adăugat.

Să selectăm un articol Pool de adrese statisticeși apăsați butonul [Adăuga].

La fereastră Nou interval de adrese IPv4 Indicăm adresele IP de început și de sfârșit.

Faceți clic pe butonul [Aplica]

Rolul de acces la distanță este configurat, acum să deschidem porturile din firewall.

Deschiderea porturilor firewall

Pentru Protocolul TCP hai sa deschidem porturile 1723 Și 443 .

Pentru Protocolul UDP hai sa deschidem porturile 1701 , 500 Și 50 .

În etapa următoare, vom configura politica locală de securitate.

Configurarea politicii locale de securitate

Deschideți lista politicilor locale de securitate și selectați elementul Atribuirea drepturilor utilizatorului.

Selectați o politică Permiteți conectarea prin serviciul Desktop la distanță.

Faceți clic pe butonul [Adăugați utilizator sau grup].

Găsiți numele departamentului Utilizatorii domeniului si adauga-l.

Ei bine, penultimul pas va fi configurarea accesului pentru anumiți utilizatori.

Configurarea accesului pentru un anumit utilizator

Deschis Manager server, selectați elementul Facilităţiși subparagraf Utilizatori și computere Active Directory.

Găsiți numele utilizatorului dorit, accesați-l Proprietăți, pe fila Apeluri primite selectați setarea Permite accesul. Faceți clic pe butonul [Aplica].

Și, în sfârșit, să verificăm dacă accesul la distanță este permis în proprietățile sistemului.

Pentru a face acest lucru, deschideți proprietățile sistemului, selectați elementul Configurarea accesului de la distanțăși setați comutatorul Permiteți conexiuni la distanță la acest computer.

Asta e tot, configurarea serverului este completă. Acum să configuram o conexiune VPN pe computer care va fi folosită pentru accesul de la distanță.

Configurarea unei conexiuni VPN

Configurarea unui VPN pe un computer cu Windows 10 este extrem de simplă. Pentru a-l implementa, veți avea nevoie de informații despre cont (login, parolă), adresa IP a serverului și conexiune la Internet. Pentru a organiza autentificarea hardware cu doi factori, veți avea nevoie de un token.

Nici unul programe suplimentare Nu este nevoie să instalați, Windows însuși are deja totul.

Să începem cu configurarea. Ca exemplu hardware Voi folosi dispozitivul pentru a stoca în siguranță cheile și certificatele Rutoken EDS PKI.

Pentru a configura conexiunea, avem nevoie de un certificat care să conțină politicile de conectare cu Smart Card și de autentificare client.

Am descris deja procesul de creare a unui astfel de certificat. Link către descriere.

Să deschidem fereastra. Hai să facem clic pe link Creați și configurați o nouă conexiune sau rețea.

Se va deschide o fereastră Configurarea unei conexiuni sau a unei rețele. Selectați elementul Conectați-vă la un loc de muncă și faceți clic pe butonul [Mai departe].

În câmp adresa internet indicați detaliile serverului VPN.

În câmp Numele destinației indicați numele conexiunii VPN.

Bifeaza casuta Utilizați cardul inteligentși apăsați butonul Crea.

Conexiunea VPN a fost creată. Dar trebuie să-i schimbăm parametrii.

Să deschidem din nou fereastra Centrul de rețea și partajareși faceți clic pe link Schimbă setările adaptorului.

La fereastră Conexiuni de retea Faceți clic dreapta pe numele conexiunii VPN create și selectați Proprietăți.

Să mergem la filă Siguranțăși selectați următoarele opțiuni.

Aceste setări de conexiune VPN sunt suficiente pentru a se conecta cu succes printr-un protocol VPN securizat la rețeaua specificată. Cu toate acestea, odată ce conexiunea VPN este realizată, tot traficul de rețea de la computer va ajunge implicit la gateway-ul rețelei specificate. Acest lucru poate duce la faptul că, în timp ce sunteți conectat la VPN, nu va fi posibilă lucrul cu resursele de internet. Pentru a exclude această problemă hai sa mergem la fila Net, faceți clic pe linie IP versiunea 4 (TCP/IPv4)și apăsați butonul Proprietăți.

Pe pagina cu proprietățile versiunii IP 4, faceți clic pe butonul [În plus].

Debifați caseta Utilizați gateway-ul implicit în rețeaua de la distanță.

Vom confirma toate modificările făcute. Procesul de configurare este finalizat.

Acum să verificăm conexiunea.

În bara de activități de pe desktop, faceți clic pe pictogramă acces la internetși selectați conexiunea VPN creată. Se va deschide o fereastră Opțiuni.

Faceți clic pe numele conexiunii VPN și apăsați butonul Conectați.

Introduceți PIN-ul simbolului și faceți clic pe butonul [BINE].

Ca rezultat, conexiunea VPN creată va fi stabilită.

Pentru a verifica starea conexiunii VPN, deschideți o fereastră Conexiuni de retea, găsiți numele conexiunii create. Starea sa ar trebui să fie „Conectat”.

Pentru a deconecta conexiunea VPN, în aceeași fereastră, găsiți conexiunea creată, faceți clic dreapta pe numele acesteia și selectați Conectare/Deconectare.

Să rezumam

Odată ce conexiunea VPN este stabilită, tot traficul începe să circule prin serverul VPN.

Fiabilitatea protecției traficului VPN constă în faptul că, chiar dacă atacatorii interceptează cumva datele transmise, ei tot nu le vor putea folosi, deoarece datele sunt criptate.

Iar dacă instalați și aplicații speciale pentru monitorizarea traficului și le configurați, veți putea filtra cu succes traficul. De exemplu, verificați-l automat pentru viruși.

Sper că am reușit să vă convingem că VPN este simplu, accesibil și, cel mai important, sigur!

Active Directory (AD) este un program utilitar conceput pentru sistemul de operare Microsoft Server. A fost creat inițial ca un algoritm ușor pentru accesarea directoarelor utilizatorilor. De la versiunea Windows Server 2008, a apărut integrarea cu serviciile de autorizare.

Face posibilă respectarea politicii de grup care aplică același tip de setări și software pe toate computerele controlate folosind System Center Configuration Manager.

Dacă în cuvinte simple pentru începători, acesta este un rol de server care vă permite să gestionați toate accesul și permisiunile din rețeaua locală dintr-un singur loc

Funcții și scopuri

Microsoft Active Directory – (așa-numitul director) un pachet de instrumente care vă permite să manipulați utilizatorii și datele din rețea. obiectivul principal creare – facilitarea muncii administratorilor de sistem în rețele mari.

Directoarele conțin diverse informații legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului care sunt stocate în director ar trebui să fie următoarele: adresă, autentificare, parolă, număr telefon mobil etc. Directorul este folosit ca puncte de autentificare, cu ajutorul căruia puteți afla informațiile necesare despre utilizator.

Concepte de bază întâlnite în timpul lucrului

Există o serie de concepte specializate care sunt utilizate atunci când lucrați cu AD:

1. Serverul este un computer care conține toate datele.
2. Controlerul este un server cu rol AD ​​care procesează cererile de la persoanele care folosesc domeniul.
3. Un domeniu AD este o colecție de dispozitive unite sub un nume unic, folosind simultan o bază de date de directoare comună.
4. Magazinul de date este partea din director responsabilă cu stocarea și preluarea datelor de la orice controler de domeniu.

Cum funcționează directoarele active

Principalele principii de funcționare sunt:

• Autorizare, cu care vă puteți folosi computerul în rețea prin simpla introducere a parolei personale. În acest caz, toate informațiile din cont sunt transferate.
• Securitate. Active Directory conține funcții de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți seta de la distanță, de pe un singur dispozitiv, drepturile necesare, care vor depinde de categorii și utilizatori specifici.
• Administrarea rețelei dintr-un punct. Când lucrează cu Active Directory, administratorul de sistem nu trebuie să reconfigureze toate PC-urile dacă este necesar să schimbe drepturile de acces, de exemplu, la o imprimantă. Schimbările sunt efectuate de la distanță și la nivel global.
• Deplin Integrare DNS. Cu ajutorul acestuia, nu există confuzie în AD; toate dispozitivele sunt desemnate exact la fel ca pe World Wide Web.
• La scară largă. Un set de servere poate fi controlat de un Active Directory.
• Căutare efectuată în funcție de diferiți parametri, de exemplu, numele computerului, autentificare.

Obiecte și atribute

Un obiect este un set de atribute, unite sub propriul nume, reprezentând o resursă de rețea.

Atribut - caracteristicile unui obiect din catalog. De exemplu, acestea includ numele complet și datele de conectare ale utilizatorului. Dar atributele unui cont de PC pot fi numele acestui computer și descrierea acestuia.

„Angajat” este un obiect care are atributele „Nume”, „Poziție” și „TabN”.

Container LDAP și nume

Containerul este un tip de obiect care poate constau din alte obiecte. Un domeniu, de exemplu, poate include obiecte de cont.

Scopul lor principal este organizarea obiectelor după tipuri de semne. Cel mai adesea, containerele sunt folosite pentru a grupa obiecte cu aceleași atribute.

Aproape toate containerele mapează o colecție de obiecte, iar resursele sunt mapate la un obiect Active Directory unic. Unul dintre principalele tipuri de containere AD este modulul de organizare sau OU (unitatea organizațională). Obiectele care sunt plasate în acest container aparțin numai domeniului în care sunt create.

Protocolul ușor de acces la director (LDAP) este algoritmul de bază pentru conexiunile TCP/IP. Este conceput pentru a reduce cantitatea de nuanțe atunci când accesați serviciile de directoare. LDAP definește, de asemenea, acțiunile utilizate pentru a interoga și edita datele directorului.

Arborele și site-ul

Un arbore de domenii este o structură, o colecție de domenii care au diagrama generalași configurație, care formează un spațiu de nume comun și sunt legate de relații de încredere.

O pădure de domeniu este o colecție de copaci conectați între ei.

Un site este o colecție de dispozitive în subrețele IP, reprezentând un model fizic al rețelei, a cărui planificare se realizează indiferent de reprezentarea logică a construcției acesteia. Active Directory are capacitatea de a crea un număr n de site-uri sau de a combina un număr n de domenii sub un singur site.

Instalarea și configurarea Active Directory

Acum să trecem direct la configurarea Active Directory folosind Windows Server 2008 ca exemplu (procedura este identică pentru alte versiuni):

Faceți clic pe butonul „OK”. Este de remarcat faptul că astfel de valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

• Apoi, trebuie să mergeți la meniul „Start”, selectați „Administrare” și „”.
  
• Accesați elementul „Roluri”, selectați „ Adăugați roluri”.
  
• Selectați „Active Directory Domain Services”, faceți clic pe „Next” de două ori, apoi pe „Install”.
  
• Așteptați finalizarea instalării.
  
• Deschideți meniul „Start”-“ A executa" Introduceți dcpromo.exe în câmp.
  
• Faceți clic pe „Următorul”.
  
• Selectați " Creați un domeniu nou într-o pădure nouă” și faceți clic din nou pe „Următorul”.
  
• În fereastra următoare, introduceți un nume și faceți clic pe „Următorul”.
  
• Alege Mod de compatibilitate(Windows Server 2008).
  
• În fereastra următoare, lăsați totul ca implicit.
  
• O sa inceapa fereastra de configurareDNS. Deoarece nu a mai fost folosit pe server, nu a fost creată nicio delegație.
  
• Selectați directorul de instalare.
  
• După acest pas trebuie să setați parola de administrare.

Pentru a fi sigură, parola trebuie să îndeplinească următoarele cerințe:

După ce AD ​​finalizează procesul de configurare a componentelor, trebuie să reporniți serverul.

Configurarea este completă, snap-in-ul și rolul sunt instalate pe sistem. AD poate fi instalat numai pe familia Windows Server, versiuni obișnuite, cum ar fi 7 sau 10, poate permite doar instalarea consolei de management.

Administrare în Active Directory

În mod implicit, în Windows Server, consola Active Directory Users and Computers funcționează cu domeniul căruia îi aparține computerul. Puteți accesa computer și obiecte utilizator din acest domeniu prin arborele consolei sau vă puteți conecta la un alt controler.

Instrumentele din aceeași consolă vă permit să vizualizați Opțiuni suplimentare obiecte și căutați-le, puteți crea utilizatori noi, grupuri și puteți modifica permisiunile.

Apropo, există 2 tipuri de grupuriîn Asset Directory - securitate și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte; acestea pot fi folosite ca grupuri de distribuție.

Grupurile de distribuție nu pot diferenția drepturile și sunt utilizate în principal pentru distribuirea mesajelor în rețea.

Ce este delegarea AD

Delegarea în sine este transferul unei părți din permisiuni și control de la părinte la o altă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem la sediul său. Sarcini diverse trebuie așezat pe umeri diferiți. Pentru a aplica modificări, trebuie să aveți drepturi și permisiuni, care sunt împărțite în standard și speciale. Permisiunile specifice se aplică unui anumit obiect, în timp ce permisiunile standard sunt un set de permisiuni existente care fac anumite funcții disponibile sau indisponibile.

Stabilirea încrederii

Există două tipuri de relații de încredere în AD: „unidirecționale” și „bidirecționale”. În primul caz, un domeniu are încredere în celălalt, dar nu invers; în consecință, primul are acces la resursele celui de-al doilea, dar al doilea nu are acces. În al doilea tip, încrederea este „reciprocă”. Există, de asemenea, relații „de ieșire” și „de intrare”. În outgoing, primul domeniu are încredere în al doilea, permițând astfel utilizatorilor celui de-al doilea să utilizeze resursele primului.

În timpul instalării, trebuie urmate următoarele proceduri:

• Verifica conexiuni de rețea între controlere.
• Verificați setările.
• Ton rezoluție de nume pentru domenii externe.
• Creați o conexiune din domeniul de încredere.
• Creați o conexiune din partea controlerului căreia îi este adresată încrederea.
• Verificați relațiile unidirecționale create.
• Dacă apare nevoiaîn stabilirea relaţiilor bilaterale – faceţi o instalaţie.

Catalog global

Acesta este un controler de domeniu care stochează copii ale tuturor obiectelor din pădure. Oferă utilizatorilor și programelor posibilitatea de a căuta obiecte în orice domeniu al pădurii curente instrumente de descoperire a atributelor incluse în catalogul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Acesta primește date de la toate partițiile de director de domeniu din pădure și este copiat utilizând procesul standard de replicare Active Directory.

Schema determină dacă atributul va fi copiat. Există o posibilitate configurați caracteristici suplimentare, care va fi recreat în catalogul global folosind „Schema Active Directory”. Pentru a adăuga un atribut la catalogul global, trebuie să selectați atributul de replicare și să utilizați opțiunea „Copiere”. Aceasta va crea replicarea atributului în catalogul global. Valoarea parametrului atribut isMemberOfPartialAttributeSet va deveni adevărat.

Pentru a afla locatia catalog global, trebuie să introduceți pe linia de comandă:

Server Dsquery –isgc

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere care se realizează atunci când este necesar să se stocheze informații la fel de actuale care există pe orice controler.

Este produs fără participarea operatorului. Există următoarele tipuri de conținut replicat:

• Replicile de date sunt create din toate domeniile existente.
• Replici ale schemelor de date. Deoarece schema de date este aceeași pentru toate obiectele din pădurea Active Directory, replici ale acesteia sunt menținute în toate domeniile.
• Date de configurare. Afișează construcția de copii între controlere. Informațiile sunt distribuite în toate domeniile din pădure.

Principalele tipuri de replici sunt intra-nod și inter-nod.

În primul caz, după modificări, sistemul așteaptă, apoi notifică partenerul să creeze o replică pentru a finaliza modificările. Chiar și în absența modificărilor, procesul de replicare are loc automat după o anumită perioadă de timp. După ce modificările de ruptură sunt aplicate directoarelor, replicarea are loc imediat.

Procedura de replicare între noduri se întâmplă între ele sarcină minimă în rețea, aceasta evită pierderea de informații.

Active Directory este un serviciu de directoare Microsoft pentru familia de sisteme de operare Windows NT.

Acest serviciu permite administratorilor să utilizeze politicile de grup pentru a asigura uniformitatea setărilor mediului de lucru al utilizatorului, instalărilor de software, actualizărilor etc.

Care este esența Active Directory și ce probleme rezolvă? Citește mai departe.

Principii de organizare a rețelelor peer-to-peer și multi-peer

Dar apare o altă problemă, ce se întâmplă dacă user2 pe PC2 decide să-și schimbe parola? Apoi, dacă user1 schimbă parola contului, user2 pe PC1 nu va putea accesa resursa.

Un alt exemplu: avem 20 de stații de lucru cu 20 de conturi la care dorim să le oferim acces la un anumit .Pentru aceasta, trebuie să creăm 20 de conturi pe serverul de fișiere și să oferim acces la resursa necesară.

Dacă nu sunt 20, ci 200?

După cum înțelegeți, administrarea rețelei cu această abordare se transformă într-un iad absolut.

Prin urmare, abordarea grupului de lucru este potrivită pentru rețelele de birouri mici, cu cel mult 10 computere.

Dacă există mai mult de 10 stații de lucru în rețea, abordarea în care unui nod de rețea este delegat dreptul de a efectua autentificare și autorizare devine rațional justificată.

Acest nod este controlerul de domeniu - Active Directory.

Controlor de domeniu

Controlorul stochează o bază de date de conturi, de ex. stochează conturi atât pentru PC1, cât și pentru PC2.

Acum toate conturile sunt înregistrate o dată pe controler, iar nevoia de conturi locale devine lipsită de sens.

Acum, atunci când un utilizator se conectează la un computer, introducând numele de utilizator și parola, aceste date sunt transferate închis către controlerul de domeniu, care efectuează procedurile de autentificare și autorizare.

Ulterior, controlorul emite utilizatorului care s-a autentificat ceva de genul unui pașaport, cu care ulterior lucrează în rețea și pe care îl prezintă la solicitarea altor calculatoare din rețea, servere la ale căror resurse dorește să se conecteze.

Important! Un controler de domeniu este un computer care rulează Active Directory care controlează accesul utilizatorilor la resursele rețelei. Stochează resurse (de exemplu, imprimante, foldere partajate), servicii (de exemplu, e-mail), persoane (conturi de utilizator și grup de utilizatori), computere (conturi de computer).

Numărul acestor resurse stocate poate ajunge la milioane de obiecte.

Următoarele versiuni de MS Windows pot acționa ca un controler de domeniu: Windows Server 2000/2003/2008/2012, cu excepția ediției Web.

Controlerul de domeniu, pe lângă faptul că este centrul de autentificare pentru rețea, este și centrul de control pentru toate computerele.

Imediat după pornire, computerul începe să contacteze controlerul de domeniu, cu mult înainte ca fereastra de autentificare să apară.

Astfel, nu numai utilizatorul care introduce login și parola este autentificat, ci și computerul client.

Instalarea Active Directory

Să ne uităm la un exemplu de instalare a Active Directory pe Windows Server 2008 R2. Deci, pentru a instala rolul Active Directory, accesați „Manager server”:

Adăugați rolul „Adăugați roluri”:

Selectați rolul Serviciilor de domeniu Active Directory:

Și să începem instalarea:

După care primim o fereastră de notificare despre rolul instalat:

După instalarea rolului de controler de domeniu, să trecem la instalarea controlerului în sine.

Faceți clic pe „Start” în câmpul de căutare a programului, introduceți numele vrăjitorului DCPromo, lansați-l și bifați caseta pentru setări avansate de instalare:

Faceți clic pe „Următorul” și alegeți să creați un domeniu și o pădure nouă din opțiunile oferite.

Introduceți numele domeniului, de exemplu, example.net.

Scriem nume de domeniu NetBIOS, fără zonă:

Selectați nivelul funcțional al domeniului nostru:

Datorită particularităților funcționării controlerului de domeniu, instalăm și un server DNS.

Locațiile bazei de date, fișierului jurnal și volumului sistemului rămân neschimbate:

Introduceți parola administratorului de domeniu:

Verificăm corectitudinea umplerii și dacă totul este în ordine, faceți clic pe „Următorul”.

După aceasta, va începe procesul de instalare, la sfârșitul căruia va apărea o fereastră care vă informează că instalarea a avut succes:

Introducere în Active Directory

Raportul discută două tipuri de rețele de calculatoare care pot fi create folosind sisteme de operare Microsoft: grup de lucru și domeniu Active Directory.

Active Directory - Serviciul de directoare Active Directory extensibil și scalabil vă permite să gestionați eficient resursele rețelei.
Director activ este un depozit organizat ierarhic de date despre obiectele din rețea, oferind mijloace convenabile pentru căutarea și utilizarea acestor date. Computerul care rulează Active Directory se numește controler de domeniu. Aproape toate sarcinile administrative sunt legate de Active Directory.
Tehnologia Active Directory se bazează pe protocoale standard de Internet și ajută la definirea clară a structurii rețelei; citiți mai multe despre cum să implementați un domeniu Active Directory de la zero aici.

Active Directory și DNS

Active Directory folosește sistemul de nume de domeniu.

Administrare Active Directory

Folosind serviciul Active Directory, conturile de computer sunt create, conectate la domeniu, iar computerele, controlerele de domeniu și unitățile organizaționale (OU) sunt gestionate.

Sunt furnizate instrumente de administrare și asistență pentru a gestiona Active Directory. Instrumentele enumerate mai jos sunt, de asemenea, implementate ca componente snap-in în consola MMC (Microsoft Management Console):

• Active Directory - utilizatori și computere (Active Directory Users and Computers) vă permite să gestionați utilizatori, grupuri, computere și unități organizaționale (OU);
• Active Directory - domenii și trusturi (Active Directory Domains and Trusts) este folosit pentru a lucra cu domenii, arbori de domenii și păduri de domenii;
• Site-uri și servicii Active Directory vă permite să gestionați site-uri și subrețele;
• Setul de politici rezultat este utilizat pentru a vizualiza politica curentă a unui utilizator sau a unui sistem și pentru a programa modificări ale politicii.
• În Microsoft Windows 2003 Server, puteți accesa aceste componente snap-in direct din meniul Instrumente administrative.

Un alt instrument administrativ, snap-in Schema Active Directory, vă permite să gestionați și să modificați schema de director.

Utilitare pentru linia de comandă Active Directory

Pentru a gestiona obiectele Active Directory, există instrumente de linie de comandă care vă permit gamă largă sarcini administrative:

• DSADD - adaugă computere, contacte, grupuri, OU și utilizatori la Active Directory.
• DSGET - afișează proprietățile computerelor, contactelor, grupurilor, OU-urilor, utilizatorilor, site-urilor, subrețelelor și serverelor înregistrate în Active Directory.
• DSMOD - modifică proprietățile computerelor, contactelor, grupurilor, OP-urilor, utilizatorilor și serverelor înregistrate în Active Directory.
• DSMOVE - Mută ​​un singur obiect într-o nouă locație dintr-un domeniu sau redenumește obiectul fără a-l muta.
• DSQXJERY - caută computere, contacte, grupuri, OP-uri, utilizatori, site-uri, subrețele și servere în Active Directory conform criteriilor specificate.
• DSRM - elimină un obiect din Active Directory.
• NTDSUTIL - vă permite să vizualizați informații despre un site, domeniu sau server, să gestionați operațiunile master și să mențineți baza de date Active Directory.

Active Directory oferă servicii de gestionare a sistemelor. Sunt multe cea mai bună alternativă grupuri locale și vă permit să creați rețele de computere cu management eficientȘi protecţie fiabilă date.

Dacă nu ați întâlnit anterior conceptul de Active Directory și nu știți cum funcționează astfel de servicii, acest articol este pentru dvs. Să ne dăm seama ce înseamnă acest concept, care sunt avantajele unor astfel de baze de date și cum să le creați și să le configurați pentru utilizarea inițială.

Active Directory este foarte mod convenabil managementul sistemului. Folosind Active Directory, vă puteți gestiona eficient datele.

Aceste servicii vă permit să creați o singură bază de date gestionată de controlori de domeniu. Dacă dețineți o afacere, gestionați un birou sau, în general, controlați activitățile multor oameni care trebuie să fie uniți, un astfel de domeniu vă va fi util.

Include toate obiectele - computere, imprimante, faxuri, conturi de utilizator etc. Suma domeniilor pe care se află datele se numește „pădure”. Baza de date Active Directory este un mediu de domeniu în care numărul de obiecte poate fi de până la 2 miliarde. Vă puteți imagina aceste cântare?

Adică, cu ajutorul unei astfel de „păduri” sau baze de date, puteți conecta un număr mare de angajați și echipamente într-un birou și fără a fi legați de o locație - și alți utilizatori pot fi conectați în servicii, de exemplu, dintr-un birou al companiei din alt oraș.

În plus, în cadrul serviciilor Active Directory, sunt create și combinate mai multe domenii - cu cât compania este mai mare, cu atât sunt necesare mai multe instrumente pentru a-și controla echipamentul în baza de date.

În plus, atunci când se creează o astfel de rețea, se determină un domeniu de control și, chiar și cu prezența ulterioară a altor domenii, cel original rămâne încă „părinte” - adică doar el are acces complet la managementul informaţiei.

Unde sunt stocate aceste date și ce asigură existența domeniilor? Pentru a crea Active Directory, se folosesc controlere. De obicei, sunt două dintre ele - dacă se întâmplă ceva cu unul, informațiile vor fi salvate pe al doilea controler.

O altă opțiune de utilizare a bazei de date este dacă, de exemplu, compania dumneavoastră cooperează cu alta și trebuie să faceți proiect general. În acest caz, persoanele neautorizate pot avea nevoie de acces la fișierele de domeniu, iar aici puteți stabili un fel de „relație” între două „păduri” diferite, permițând accesul la informațiile necesare fără a risca securitatea datelor rămase.

În general, Active Directory este un instrument de creare a unei baze de date în cadrul unei anumite structuri, indiferent de dimensiunea acesteia. Utilizatorii și toate echipamentele sunt unite într-o singură „pădure”, domeniile sunt create și plasate pe controlere.

De asemenea, este recomandabil să clarificați că serviciile pot funcționa numai pe dispozitive cu server sisteme Windows. În plus, pe controlere sunt create 3-4 servere DNS. Acestea deservesc zona principală a domeniului, iar dacă unul dintre ei eșuează, alte servere îl înlocuiesc.

După prezentare scurta Active Directory pentru manechine, sunteți în mod natural interesat de întrebarea - de ce să schimbați un grup local pentru o întreagă bază de date? Desigur, câmpul posibilităților de aici este de multe ori mai larg, iar pentru a afla și alte diferențe între aceste servicii pentru managementul sistemului, să aruncăm o privire mai atentă la avantajele acestora.

Beneficiile Active Directory

Avantajele Active Directory sunt:

1. Utilizarea unei singure resurse pentru autentificare. În această situație, trebuie să adăugați pe fiecare PC toate conturile care necesită acces la Informații generale. Cu cât sunt mai mulți utilizatori și echipamente, cu atât este mai dificilă sincronizarea acestor date între ei.

Și astfel, atunci când utilizați servicii cu o bază de date, conturile sunt stocate într-un singur punct, iar modificările intră în vigoare imediat pe toate computerele.

Cum functioneaza? Fiecare angajat, venind la birou, lansează sistemul și se loghează în contul său. Cererea de autentificare va fi transmisă automat la server și autentificarea va avea loc prin intermediul acestuia.

În ceea ce privește o anumită ordine în păstrarea evidențelor, puteți oricând împărți utilizatorii în grupuri - „Departamentul de resurse umane” sau „Contabilitate”.

În acest caz, este și mai ușor să oferiți acces la informații - dacă trebuie să deschideți un folder pentru angajații dintr-un departament, faceți acest lucru prin baza de date. Împreună obțin acces la folderul necesar cu date, în timp ce pentru alții documentele rămân închise.

1. Control asupra fiecărui participant la baza de date.

Dacă într-un grup local fiecare membru este independent și greu de controlat de pe un alt computer, atunci în domenii puteți seta anumite reguli care respectă politica companiei.

În calitate de administrator de sistem, puteți seta setările de acces și setările de securitate și apoi le puteți aplica fiecărui grup de utilizatori. Desigur, în funcție de ierarhie, unor grupuri li se pot da setări mai stricte, în timp ce altora li se poate da acces la alte fișiere și acțiuni din sistem.

În plus, atunci când o persoană nouă se alătură companiei, computerul său va primi imediat setul necesar de setări, care include componente pentru muncă.

1. Versatilitate în instalarea software-ului.

Apropo de componente, folosind Active Directory puteți aloca imprimante, puteți instala simultan programele necesare pentru toți angajații și puteți seta setările de confidențialitate. În general, crearea unei baze de date va optimiza semnificativ munca, va monitoriza securitatea și va uni utilizatorii pentru o eficiență maximă a muncii.

Și dacă o companie operează o utilitate separată sau servicii speciale, acestea pot fi sincronizate cu domenii și acces simplificat la acestea. Cum? Dacă combinați toate produsele folosite în companie, angajatul nu va trebui să introducă diferite date de conectare și parole pentru a intra în fiecare program - aceste informații vor fi comune.

Acum că beneficiile și semnificația utilizării Active Directory devin clare, să ne uităm la procesul de instalare a acestor servicii.

Folosim o bază de date pe Windows Server 2012

Instalarea și configurarea Active Directory nu este o sarcină dificilă și este, de asemenea, mai ușoară decât pare la prima vedere.

Pentru a încărca serviciile, mai întâi trebuie să faceți următoarele:

1. Schimbați numele computerului: faceți clic pe „Start”, deschideți Panoul de control, selectați „Sistem”. Selectați „Modificați setările” și în Proprietăți, vizavi de linia „Nume computer”, faceți clic pe „Schimbați”, introduceți o nouă valoare pentru computerul principal.
2. Reporniți computerul după cum este necesar.
3. Setați setările de rețea astfel:
   • Prin panoul de control, deschideți meniul cu rețele și partajare.
   • Reglați setările adaptorului. Faceți clic dreapta pe „Proprietăți” și deschideți fila „Rețea”.
   • În fereastra din listă, faceți clic pe protocolul Internet numărul 4, faceți din nou clic pe „Proprietăți”.
   • Introduceți setările necesare, de exemplu: adresa IP - 192.168.10.252, masca de subrețea - 255.255.255.0, gateway principal - 192.168.10.1.
   • În linia „Server DNS preferat”, specificați adresa serverului local, în „Alternative...” - alte adrese de server DNS.
   • Salvați modificările și închideți ferestrele.

Configurați roluri Active Directory astfel:

1. Prin Start, deschideți Server Manager.
2. Din meniu, selectați Adăugați roluri și funcții.
3. Vrăjitorul se va lansa, dar puteți sări peste prima fereastră cu o descriere.
4. Verificați linia „Instalarea rolurilor și componentelor”, continuați.
5. Selectați computerul pentru a instala Active Directory pe el.
6. Din listă, selectați rolul care trebuie încărcat - în cazul dvs. este „Active Directory Domain Services”.
7. Va apărea o mică fereastră care vă va cere să descărcați componentele necesare pentru servicii - acceptați-o.
8. Apoi vi se va solicita să instalați alte componente - dacă nu aveți nevoie de ele, săriți peste acest pas făcând clic pe „Următorul”.
9. Expertul de configurare va afișa o fereastră cu descrieri ale serviciilor pe care le instalați - citiți și continuați.
10. Va apărea o listă de componente pe care urmează să le instalăm - verificați dacă totul este corect și, dacă da, apăsați butonul corespunzător.
11. Când procesul este finalizat, închideți fereastra.
12. Asta este - serviciile sunt descărcate pe computer.

Configurarea Active Directory

Pentru a configura un serviciu de domeniu trebuie să faceți următoarele:

• Lansați vrăjitorul de configurare cu același nume.
• Faceți clic pe indicatorul galben din partea de sus a ferestrei și selectați „Promovați serverul la un controler de domeniu”.
• Faceți clic pe adăugați o pădure nouă și creați un nume pentru domeniul rădăcină, apoi faceți clic pe Următorul.
• Specificați modurile de funcționare ale „pădurii” și domeniul - cel mai adesea acestea coincid.
• Creați o parolă, dar asigurați-vă că o amintiți. Continuați mai departe.
• După aceasta, este posibil să vedeți un avertisment că domeniul nu este delegat și o solicitare pentru a verifica numele domeniului - puteți sări peste acești pași.
• În fereastra următoare puteți schimba calea către directoarele bazei de date - faceți acest lucru dacă acestea nu vă convin.
• Acum veți vedea toate opțiunile pe care urmează să le setați - verificați dacă le-ați selectat corect și continuați.
• Aplicația va verifica dacă sunt îndeplinite cerințele preliminare și, dacă nu există comentarii sau nu sunt critice, faceți clic pe „Instalare”.
• După finalizarea instalării, computerul se va reporni singur.

S-ar putea să vă întrebați și cum să adăugați un utilizator la baza de date. Pentru a face acest lucru, utilizați meniul „Utilizatori sau computere Active Directory”, pe care îl veți găsi în secțiunea „Administrare” din panoul de control, sau utilizați meniul de setări a bazei de date.

Pentru a adăuga un utilizator nou, faceți clic dreapta pe numele domeniului, selectați „Creare”, apoi „Diviziune”. În fața dvs. va apărea o fereastră în care trebuie să introduceți numele noului departament - servește ca un dosar în care puteți colecta utilizatori prin diferite departamente. În același mod, mai târziu vei crea mai multe divizii și vei plasa corect toți angajații.

Apoi, când ați creat un nume de departament, faceți clic dreapta pe el și selectați „Creare”, apoi „Utilizator”. Acum nu mai rămâne decât să introduceți datele necesare și să setați setările de acces pentru utilizator.

Când noul profil este creat, faceți clic pe el selectând meniul contextual și deschideți „Proprietăți”. În fila „Cont”, eliminați caseta de selectare de lângă „Blocați...”. Asta e tot.

Concluzia generală este că Active Directory este un instrument puternic și util de gestionare a sistemului, care va ajuta la unirea tuturor computerelor angajaților într-o singură echipă. Folosind servicii, puteți crea o bază de date sigură și puteți optimiza semnificativ munca și sincronizarea informațiilor între toți utilizatorii. Dacă activitățile companiei dumneavoastră sau ale oricărui alt loc de muncă sunt legate de electronică calculatoareși rețea, trebuie să consolidați conturile și să monitorizați performanța și confidențialitatea, instalarea unei baze de date bazate pe Active Directory va fi o soluție excelentă.