Activ всі публікації користувача. Що таке Active Directory і як встановити і налаштувати базу даних. Встановлення Active Directory

над учасниками виставки Mobile World Congress Співробітники компанії створили три відкриті Wi-Fi точки в аеропорту біля стенду для реєстрації відвідувачів виставки та назвали їх стандартними іменами «Starbucks», «MWC Free WiFi» та «Airport_Free_Wifi_AENA». За 4 години до цих точок підключилися 2000 людей.

В результаті експерименту було складено доповідь, в якій співробітники компанії Avast проаналізували трафік всіх людей, що підключилися до відкритих Wi-Fi. Також було розкрито особисту інформацію 63% тих, хто підключився: логіни, паролі, адреси електронної пошти тощо. Якби не представлена ​​на виставці доповідь, то учасники експерименту ніколи не зрозуміли б того, що хтось отримав доступ до їхніх даних.

Ми підключаємося до мережі своєї компанії з дому, готелю чи кафе і навіть не розуміємо, яких збитків можемо їй завдати.

Згідно зі статистичними дослідженнями, понад 40 відсотків співробітників компаній працюють віддалено хоча б один день на тиждень.

Адже виходить, що співробітник, який працює віддалено через Інтернет, набагато вразливіший за локального користувача і становить потенційну загрозу для компанії. Тому безпеці віддалених користувачів необхідно приділяти особливу увагу.

Чинники загроз

Віддалене робоче місцекористувача породжує, у порівнянні з локальним офісним робочим місцем, три додаткові фактори загроз:

1. Віддалений користувач знаходиться поза зоною фізичного контролюорганізації. Потрібний доказ того, що до корпоративного ресурсу підключається саме співробітник компанії, а не зловмисник.
2. Дані віддаленого користувача розповсюджуються каналами, які знаходяться поза зоною контролю організації. Ці дані схильні до перехоплення, несанкціонованої зміни та «підмішування» стороннього трафіку.
3. Для віддаленого робочого місця сама компанія не може забезпечити фізичну безпеку. Також комп'ютер може не відповідати вимогам конфігурації

Тому при організації віддаленого доступуповинні дотримуватися трьох основних принципів інформаційної безпеки:

• конфіденційність (важлива інформаціямає бути доступна лише обмеженому колу осіб);
• цілісність(зміни інформації, що призводять до її втрати чи спотворення, мають бути заборонені);
• доступність(інформація має бути доступна авторизованим користувачам, коли вона їм потрібна).

Як захистити віддалений доступ?

Для роботи віддалених співробітників можна використовувати такі механізми захисту:

• надійний засіб аутентифікації користувачів (паролі, апаратні засоби, біометричні дані та ін.);
• систему управління доступом (централізоване управління доступом до ІТ-ресурсів компанії);
• засіб організації VPN (апаратні пристрої, програмні рішення, розширення брандмауера та ін.);
• засіб протистояння атакам (захист внутрішньої мережі та співробітників від атак).

Ми розповімо про один із механізмів захисту - це VPN.

Навіщо потрібний VPN?

Підключення VPN забезпечує більш безпечне з'єднання з корпоративною мережею та Інтернетом.

Сфери застосування VPN:

• вихід в Інтернет;
• доступ до корпоративної мережі зовні;
• поєднання компонентів корпоративної мережі.

Мережева інфраструктура компанії може бути підготовлена ​​до використання VPN за допомогою програмного або апаратного забезпечення.

Існує велика кількістьплатних та безкоштовних сервісів VPN.

Такі послуги в основному працюють на 4 протоколах:

1. IPSec, що функціонує у транспортному та тунельному режимах. Шифрування повідомлень у пакеті даних за допомогою транспортного режиму називається корисним навантаженням, а зашифрування всього пакета – тунелюванням.
2. PPTP- це тунельний протокол «точка-точка», який використовує тунельний метод, у якому дані зберігаються як PPP-пакетів. Вони, у свою чергу, розміщуються в IP-пакетах і передаються до місця призначення.
3. L2TP- Протокол тунелювання другого рівня, що працює на двох основних вузлах: концентраторі доступу L2TP (LAC), мережевому сервері L2TP (LNS). LAC являє собою пристрій, який завершує виклик, тоді як LNS аутентифікує PPP-пакети.
4. TLS та SSL- криптографічні протоколи, що використовують поєднання аутентифікації та шифрування для обміну даними між сервером та клієнтом.

Також є сервіси VPN для корпоративного використання. Один з найвідоміших – це OpenVPN. Він є безпечним та недорогим сервісом.

Його плюсами є:

1. Безпека. Використання кількох криптографічних протоколів (HMAC, 3DES, AES, RSA) та 2048-бітного ключа дозволяють здійснити надійне шифрування всіх даних.
2. Гнучкі можливості OpenVPN дозволяють запускати з'єднання через Proxy/Socks, за різними протоколами та при примусовому блокуванні DHCP-протоколу, а також крізь файрволи.
3. Підтримується більшістю пристроїв, у тому числі на платформах Apple iOS та Google Android.

Чи можна організувати підключення VPN без використання інших програм?

Іноді немає сенсу використовувати сторонні послуги, якщо аналогічні можливості вбудовані в операційну систему.

Ми хочемо продемонструвати, як налаштувати безпечне підключення VPN за протоколом SSTP, використовуючи стандартні можливості Windows.

Захист VPN-з'єднання в такому випадку виконується за допомогою механізмів шифрування трафіку за допомогою цифрового сертифіката (SSL), що надається з VPN-сервера. Програмне забезпеченняклієнтської операційної системи в процесі встановлення VPN-з'єднання виконує перевірку сертифіката VPN-сервера, зокрема, перевіряє, чи не відкликаний сертифікат сервера, а також перевіряється, чи варто довіряти кореневому сертифікату Центру сертифікації, який видав сертифікат для VPN-сервера. Саме тому однією з вимог для успішної роботи VPN-підключення за протоколом SSTP є можливість автоматичного оновлення списку кореневих сертифікатів через Інтернет.

Протокол SSTP є сучасним та безпечним протоколом. Додатковою перевагоює його можливість роботи через доступний порт протоколу HTTPS (TCP 443), що використовується для звичайного веб-браузингу, тобто VPN-з'єднання за протоколом SSTP буде працювати практично через будь-яке Інтернет-з'єднання.

VPN та двофакторна автентифікація

Саме собою VPN-з'єднання є зашифрованим. А ось використання логіну та пароля для аутентифікації в VPN зовсім небезпечно. Але є вихід – це двофакторна автентифікація. Вона дозволяє користувачеві підтвердити свою особу двома способами. Бажано використовувати для налаштування апаратний засіб (токен або смарт-карту). Тоді під час встановлення VPN-з'єднання користувачеві знадобиться не пароль, а сам пристрій та його PIN-код.

Основна перевага апаратного пристрою при використанні VPN – це унікальність закритого ключа. Вона обумовлена ​​тим, що закритий ключ із пристрою не можна скопіювати та відтворити. Адже якщо засіб аутентифікації не має унікальності, то не можна бути впевненим у тому, що користувач, який отримав доступ, є тим користувачем, якому цей доступ був призначений.

У разі використання пароля ситуація зовсім інша. Будь-яка людина, яка спеціально або випадково дізналася ваш пароль, може ним скористатися без вашого відома. А це означає, що він може робити від імені власника пароля все, що забажає. Відстежити таку ситуацію досить складно, особливо якщо зловмисник технічно підкований.

Налаштування VPN-сервера

Налаштування VPN-підключення ми почнемо з розгортання простого VPN-сервера на базі Windows Server 2012 R2.

Такий сервер, встановлений на стандартному обладнанні, можна використовувати для невеликої офісної мережі з потребою організації віддаленого підключення для декількох десятків співробітників (30-50 осіб).

Конфігурація VPN-сервера

Відкриємо Диспетчер серверіві натисніть на посилання Додати ролі та компоненти.

Виберемо роль Віддалений доступ.

Виберемо службу ролей DirectAccess та VPN (RAS).

Натисніть кнопку [Встановити]. В результаті запуститься процес встановлення ролі віддаленого доступу.

У вікні майстра початкового налаштування віддаленого доступу виберемо Розгорнути тільки VPN.

Після цього додамо сервер. У вікні Маршрутизація та віддалений доступвиберемо пункт меню Діята підпункт Додати сервер. Далі підтвердимо додавання.

Клацніть за назвою доданого сервера правою кнопкою миші та оберемо Налаштувати та увімкнути маршрутизацію та віддалений доступ.

Виберемо пункт Особлива конфігурація.

Як конфігурацію, що настроюється, вкажемо Доступ до віртуальної приватної мережі (VPN).

Запустимо службу, для цього натисніть кнопку [Запустити службу].

Сервер майже готовий.

Для прикладу ми використовуємо найпростіший і очевидніший спосіб - задамо статистичний пул адрес для 5 користувачів.

Відкриємо властивості доданого сервера.

Виберемо пункт Статистичний пул адреста натиснемо на кнопку [Додати].

У вікні Новий діапазон IPv4-адресвкажемо початкову та кінцеву IP-адресу.

Натисніть кнопку [Застосувати]

Роль віддаленого доступу налаштована, тепер відкриємо порти в брандмауері.

Відкриття портів брандмауера

Для протоколу TCPвідкриємо порти 1723 і 443 .

Для протоколу UDPвідкриємо порти 1701 , 500 і 50 .

На наступному етапі налаштуємо локальну безпекову політику.

Налаштування локальної політики безпеки

Відкриємо список локальних політик безпеки та оберемо пункт Призначення прав користувача.

Виберіть політику Дозволити вхід до системи через службу віддалених робочих столів.

Натисніть на кнопку [Додати користувача або групу].

Знайдіть ім'я підрозділу Користувачі доменуі додайте його.

Ну і передостаннім кроком буде налаштування доступу для конкретних користувачів.

Настроювання доступу для конкретного користувача

Відкрийте Диспетчер серверів, виберіть пункт Засобита підпункт Користувачі та комп'ютери Active Directory.

Знайдіть ім'я необхідного користувача, зайдіть до нього Властивості, на вкладці Вхідні дзвінкивиберіть налаштування Дозволити доступ. Натисніть на кнопку [Застосувати].

І наостанок перевіримо чи дозволений віддалений доступ у властивостях системи.

Для цього відкриємо властивості системи, виберемо пункт Налаштування віддаленого доступуі встановимо перемикач Дозволити віддалені підключення до цього комп'ютера.

Ось і все, налаштування сервера на цьому завершено. Тепер налаштуємо з'єднання VPN на комп'ютері, який буде використовуватися для віддаленого доступу.

Налаштування з'єднання VPN

Налаштування VPN на комп'ютері з Windows 10 дуже проста. Для її реалізації знадобляться дані облікового запису (логін, пароль), IP-адреса сервера та з'єднання з Інтернетом. Для організації апаратної двофакторної автентифікації знадобиться токен.

Жодних додаткових програмвстановлювати не потрібно, у самій Windows вже є.

Давай приступимо до налаштування. В якості прикладу апаратного засобуя використовуватиму пристрій для безпечного зберігання ключів і сертифікатів Рутокен ЕЦП PKI .

Для налаштування підключення нам знадобиться сертифікат, який містить політики Smart Card Logon та Client Authentication.

Процес створення такого сертифікату ми вже раніше описували. Посилання на опис.

Відкриємо вікно. Клацніть на посилання Створення та налаштування нового підключення або мережі.

Відкриється вікно Налаштування підключення або мережі. Виберемо пункт Підключення до робочого місця та натисніть на кнопку [Далі].

В полі Адреса в Інтернетівкажемо дані VPN-сервера.

В полі Ім'я призначеннявкажемо назву VPN-підключення.

Встановимо прапорець Використовувати смарт-карткута натиснемо на кнопку Створити.

Підключення VPN створено. Але нам потрібно змінити його параметри.

Знову відкриємо вікно Центр управління мережами та спільним доступомі натисніть на посилання Зміна параметрів адаптера.

У вікні Мережеві підключенняклацніть правою кнопкою миші за назвою створеного VPN-підключення та виберемо пункт Властивості.

Перейдемо на вкладку Безпеката виберемо наступні параметри.

Таких налаштувань VPN-підключення достатньо для того, щоб успішно підключитися безпечним VPN-протоколом до вказаної мережі. Проте після того, як VPN-підключення виконано, весь мережевий трафік з комп'ютера буде за промовчанням спрямовуватися на шлюз вказаної мережі. Це може призвести до неможливості роботи з ресурсами Інтернету під час підключення до VPN. Для того, щоб виключити цю проблемуперейдемо на вкладку Мережа, клацніть по рядку IP версії 4 (TCP/IPv4)та натиснемо на кнопку Властивості.

На сторінці з властивостями IP версії 4 натисніть кнопку [Додатково].

Знімемо прапорець Використовувати основний шлюз у віддаленій мережі.

Підтвердимо усі внесені зміни. Процес налаштування завершено.

Тепер перевіримо підключення.

На панелі завдань на робочому столі клацніть по значку Доступ до Інтернетута виберемо створене VPN-підключення. Відкриється вікно Параметри.

Клацніть за назвою VPN-підключення та натисніть на кнопку Підключитися.

Введіть PIN-код токена і натисніть кнопку [ОК].

В результаті створене VPN-з'єднання буде встановлено.

Для перевірки статусу VPN-з'єднання відкриємо вікно Мережеві підключеннязнайдемо назву створеного підключення. Його статус має бути «Підключено».

Щоб розірвати VPN-з'єднання в тому ж вікні знайдемо створене підключення, клацніть його назвою правою кнопкою миші і виберемо пункт Підключити/Вимкнути.

Резюмуємо

Коли підключено VPN, весь трафік починає проходити через VPN-сервер.

Надійність захисту VPN-трафіку полягає в тому, що навіть якщо зловмисники якимось чином перехоплять дані, що передаються, то їм все одно не вдасться ними скористатися, оскільки дані зашифровані.

А якщо встановити ще й спеціальні додатки для контролю за трафіком та налаштувати їх, то можна буде успішно фільтрувати трафік. Наприклад, автоматично перевірятиме його на наявність вірусів.

Сподіваюся, нам вдалося переконати вас, що VPN це просто, доступно, а головне безпечно!

Active Directory (AD) – це службові програми, розроблені для операційної системи Microsoft Server. Спочатку створювалася як полегшений алгоритм доступу до каталогів користувачів. З версії Windows Server 2008 з'явилася інтеграція із сервісами авторизації.

Дозволяє дотримуватися групової політики, що застосовує однотипність параметрів та ПЗ на всіх підконтрольних ПК за допомогою System Center Configuration Manager.

Якщо простими словамидля початківців – це роль сервера, яка дозволяє з одного місця керувати всіма доступами та дозволами у локальній мережі

Функції та призначення

Microsoft Active Directory - (так званий каталог) пакет засобів, що дозволяє проводити маніпуляції з користувачами та даними мережі. основна цільстворення – полегшення роботи системних адміністраторів у великих мережах.

Каталоги містять у собі різну інформацію, що відноситься до користувачів, груп, пристроїв мережі, файлових ресурсів - одним словом, об'єктів. Наприклад, атрибути користувача, які зберігаються в каталозі, мають бути такими: адреса, логін, пароль, номер мобільного телефонаі т.д. Каталог використовується як точки аутентифікації, за допомогою якої можна дізнатися потрібну інформацію про користувача.

Основні поняття, що зустрічаються під час роботи

Існує ряд спеціалізованих понять, які застосовуються під час роботи з AD:

1. Сервер – комп'ютер, що містить усі дані.
2. Контролер – сервер із участю AD, який обробляє запити від людей, які використовують домен.
3. Домен AD - сукупність пристроїв, об'єднаних під одним унікальним ім'ям, що одночасно використовують загальну базу даних каталогу.
4. Сховище даних — частина каталогу, що відповідає за зберігання та вилучення даних із будь-якого контролера домену.

Як працюють активні директорії

Основними принципами роботи є:

• Авторизація, за допомогою якої з'являється можливість скористатися ПК у мережі, просто ввівши особистий пароль. При цьому вся інформація з облікового запису переноситься.
• Захищеність. Active Directory містить функції розпізнавання користувача. Для будь-якого об'єкта мережі можна віддалено, з одного пристрою, виставити необхідні права, які будуть залежати від категорій та конкретних користувачів.
• Адміністрація мережіз однієї точки. Під час роботи з Актив Директори сісадміну не потрібно знову налаштовувати всі ПК, якщо потрібно змінити права на доступ, наприклад, до принтера. Зміни проводяться віддалено та глобально.
• Повна інтеграція з DNS. З його допомогою в AD не виникає плутаниць, всі пристрої позначаються так само, як і у всесвітньому павутинні.
• Великі масштаби. Сукупність серверів здатна контролюватись однією Active Directory.
• Пошукпроводиться за різними параметрами, наприклад ім'я комп'ютера, логін.

Об'єкти та атрибути

Об'єкт - сукупність атрибутів, об'єднаних під власною назвою, що є ресурсом мережі.

Атрибут - характеристики об'єкта в каталозі. Наприклад, до таких відносяться ПІБ користувача, його логін. А ось атрибутами облікового запису ПК можуть бути ім'я цього комп'ютера та його опис.

“Співробітник” – об'єкт, який має атрибути “ПІБ”, “Посада” та “ТабN”.

Контейнер та ім'я LDAP

Контейнер – тип об'єктів, які можуть складатися з інших об'єктів. Домен, наприклад, може включати об'єкти облікових записів.

Основне їх призначення - упорядкування об'єктівза видами ознак. Найчастіше контейнери застосовують для угруповання об'єктів з однаковими атрибутами.

Багато контейнерів відображають сукупність об'єктів, а ресурси відображаються унікальним об'єктом Active Directory. Один з головних видів контейнерів AD – модуль організації, або OU (organizational unit). Об'єкти, які містяться в контейнері, належать лише домену, в якому вони створені.

Спрощений протокол доступу до каталогів (Lightweight Directory Access Protocol, LDAP) - основний алгоритм підключень TCP/IP. Він створений з метою зниження кількості нюансів під час доступу до служб каталогу. Також, в LDAP встановлено дії, що використовуються для запиту та редагування даних каталогу.

Дерево та сайт

Дерево доменів – це структура, сукупність доменів, що мають загальні схемута конфігурацію, які утворюють загальний простір імен та пов'язані довірчими відносинами.

Ліс доменів – сукупність дерев, пов'язаних між собою.

Сайт - сукупність пристроїв в IP-підмережах, що представляє фізичну модель мережі, планування якої відбувається незалежно від логічного уявлення його побудови. Active Directory має можливість створення n-ної кількості сайтів або об'єднання n-ної кількості доменів під одним сайтом.

Встановлення та налаштування Active Directory

Тепер перейдемо безпосередньо до налаштування Active Directory на прикладі Windows Server 2008 (на інших версіях процедура ідентична):

Натиснути кнопку “ОК”. Варто зауважити, що такі значення не є обов'язковими. Можна використовувати IP-адресу та DNS зі своєї мережі.

• Далі потрібно зайти в меню "Пуск", вибрати "Адміністрування" та "".
  
• Перейти до пункту “Ролі”, вибрати поле “ Додати ролі”.
  
• Виберіть “Домові служби Active Directory” двічі натиснути “Далі”, а потім “Встановити”.
  
• Дочекайтеся закінчення установки.
  
• Відкрити меню “Пуск”-“ Виконати”. У полі введіть dcpromo.exe.
  
• Натисніть "Далі".
  
• Вибрати пункт “ Створити новий домен у новому лісі” і знову натиснути “Далі”.
  
• У наступному вікні ввести назву, натиснути "Далі".
  
• Вибрати режим сумісності(Windows Server 2008).
  
• У наступному вікні залишити все за замовчуванням.
  
• Запуститься вікно конфігураціїDNS. Оскільки на сервері він не використовувався до цього, делегування не було створено.
  
• Вибрати директорію для встановлення.
  
• Після цього кроку потрібно задати пароль адміністрування.

Для надійності пароль повинен відповідати таким вимогам:

Після того, як AD завершить процес налаштування компонентів, необхідно перезавантажити сервер.

Налаштування завершено, оснащення та роль встановлені в систему. Встановити AD можна лише на Windows сімейства Server, звичайні версії, наприклад 7 або 10, можуть дозволити встановити лише консоль керування.

Адміністрація в Active Directory

За промовчанням у Windows Server консоль Active Directory Users and Computers працює з доменом, до якого належить комп'ютер. Можна отримати доступ до об'єктів комп'ютерів та користувачів у цьому домені через дерево консолі або підключитися до іншого контролера.

Засоби цієї консолі дозволяють переглядати Додаткові параметриоб'єктів та здійснювати їх пошук, можна створювати нових користувачів, групи та змінювати з дозволу.

До речі, існує 2 типи групв Актив Директори – безпеки та розповсюдження. Групи безпеки відповідають за розмежування прав доступу до об'єктів, вони можуть використовуватися як групи розповсюдження.

Групи розповсюдження не можуть розмежовувати права, а використовуються переважно для розсилки повідомлень у мережі.

Що таке делегування AD

Саме делегування – це передача частини дозволів та контролювід батьківського об'єкта іншій відповідальній стороні.

Відомо, кожна організація має у своєму штабі кілька системних адміністраторів. Різні завданняповинні покладатися різні плечі. Для того, щоб застосовувати зміни, необхідно мати права та дозволи, які поділяються на стандартні та особливі. Особливі — застосовні до певного об'єкта, а стандартні є набір, що з існуючих дозволів, які роблять доступними чи недоступними окремі функції.

Встановлення довірчих відносин

У AD є два види довірчих відносин: «односпрямовані» та «двоспрямовані». У першому випадку один домен довіряє іншому, але з навпаки, відповідно перший має доступом до ресурсів другого, а другий немає доступу. У другому вигляді довіра "взаємна". Також існують «вихідні» та «вхідні» відносини. У вихідних – перший домен довіряє другому, дозволяючи користувачам другого використовувати ресурси першого.

Під час встановлення слід провести такі процедури:

• Перевіритимережеві зв'язки між котролерами.
• Перевірити налаштування.
• Налаштуватидозволу імен для зовнішніх доменів.
• Створити зв'язокз боку довіряючого домену.
• Створити зв'язок із боку контролера, якого адресовано довіру.
• Перевірити створені односторонні відносини.
• Якщо виникає потребау встановленні двосторонніх відносин – провести встановлення.

Глобальний каталог

Це контролер домену, який зберігає копії всіх лісових об'єктів. Він пропонує користувачам і програмам здатність шукати об'єкти в будь-якому домені поточного лісу за допомогою засобів виявлення атрибутів, включених до глобального каталогу.

Глобальний каталог (ГК) включає обмежений набір атрибутів для кожного об'єкта лісу в кожному домені. Дані він отримує з усіх розділів каталогу доменів у лісі, вони копіюються за допомогою стандартного процесу реплікації служби Active Directory.

Схема визначає, чи буде скопійовано атрибут. Існує можливість конфігурування додаткових характеристик, які будуть створюватися повторно у глобальному каталозі за допомогою “Схеми Active Directory”. Щоб додати атрибут у глобальний каталог, потрібно вибрати атрибут реплікації та скористатися опцією "Копіювати". Після цього створиться реплікація атрибуту до глобального каталогу. Значення параметра атрибута isMemberOfPartialAttributeSetстане істиною.

Для того щоб дізнатися про місце розташуванняглобального каталогу, потрібно в командному рядку ввести:

Dsquery server –isgc

Реплікація даних у Active Directory

Реплікація — це процедура копіювання, яку проводять у разі необхідності зберігання однаково актуальних відомостей, що існують на будь-якому контролері.

Вона виробляється без участі оператора. Існують такі види вмісту реплік:

• Репліки даних створюються з усіх наявних доменів.
• Репліки схеми даних. Оскільки схема даних є єдиною для всіх об'єктів лісу Активних Директорій, її репліки зберігаються на всіх доменах.
• Дані конфігурації. Показує побудову копій серед контролерів. Дані поширюються на всі домени лісу.

Основними типами реплік є внутрішньовузлова та міжвузлова.

У першому випадку, після змін система перебуває в очікуванні, потім повідомляє партнера про створення репліки для завершення змін. Навіть за відсутності змін процес реплікації відбувається через певний проміжок часу автоматично. Після застосування критичних змін до каталогів реплікація відбувається одразу.

Процедура реплікації між вузлами відбувається у проміжкахмінімального навантаження на мережу, це дозволяє уникнути втрат інформації.

Active Directory – служба каталогів корпорації Microsoft для ОС сімейства Windows NT.

Дана служба дозволяє адміністраторам використання групових політик для забезпечення однаковості налаштувань користувача робочого середовища, установки ПЗ, оновлень та ін.

У чому полягає суть роботи Active Directory і які завдання вона вирішує? Читайте далі.

Принципи організації однорангових та багаторангових мереж

Але виникає інша проблема, що якщо користувач user2 на PC2 вирішить змінити свій пароль? Тоді, якщо користувач user1 змінить пароль облікового запису, доступ user2 на РС1 до ресурсу буде неможливим.

Ще один приклад: у нас є 20 робочих станцій з 20 обліковими записами, яким ми хочемо надати доступ до якогось , для цього ми повинні створити 20 облікових записів на файловому сервері і надати доступ до необхідного ресурсу.

А якщо їх буде не 20, а 200?

Як ви розумієте адміністрування мережі при такому підході перетворюється на відмінне пекло.

Тому підхід із використанням робочих груп підходить для невеликих офісних мереж із кількістю ПК не більше 10 одиниць.

За наявності в сітці більше 10 робочих станцій раціонально виправданим стає підхід, при якому одному вузлу мережі делегують права виконання аутентифікації та авторизації.

Цим вузлом і виступає контролер домену Active Directory.

Контролер домену

Контролер зберігає базу даних облікових записів, тобто. він зберігає облік і для РС1 і для РС2.

Тепер усі облікові записи прописуються один раз на контролері, а потреба в локальних облікових записах втрачає сенс.

Тепер, коли користувач заходить на ПК, вводячи свій логін та пароль, ці дані передаються в закритому виглядіна контролер домену, який виконує процедури автентифікації та авторизації.

Після цього контролер видає користувачеві, що здійснив вхід, щось на кшталт паспорта, з яким він надалі працює в мережі і який він пред'являє на запит інших комп'ютерів сітки, серверів до ресурсів яких він хоче підключитися.

Важливо! Контролер домену - це комп'ютер із піднятою службою Active Directory, який керує доступом користувачів до ресурсів мережі. Він зберігає ресурси (наприклад, принтери, папки із спільним доступом), служби (наприклад, електронна пошта), людей (облікові записи користувачів та груп користувачів), комп'ютери (облікові записи комп'ютерів).

Число таких збережених ресурсів може досягати мільйонів об'єктів.

Як контролер домену можуть виступати такі версії MS Windows: Windows Server 2000/2003/2008/2012 крім редакцій Web-Edition.

Контролер домену, крім того, що є центром автентифікації мережі, також є центром керування всіма комп'ютерами.

Відразу після увімкнення комп'ютер починає звертатися до контролера домену, задовго до появи вікна автентифікації.

Таким чином, виконується аутентифікація не тільки користувача, що вводить логін та пароль, а й аутентифікація клієнтського комп'ютера.

Встановлення Active Directory

Розглянемо приклад інсталяції Active Directory на Windows Server 2008 R2. Отже для встановлення ролі Active Directory, заходимо до «Server Manager»:

Додаємо роль "Add Roles":

Вибираємо роль Active Directory Domain Services:

І приступаємо до встановлення:

Після чого отримуємо вікно повідомлення про встановлену роль:

Після встановлення ролі контролера домену, приступимо до встановлення самого контролера.

Натискаємо «Пуск» у полі пошуку програм вводимо назву майстра DCPromo, запускаємо його та ставимо галочку для розширених налаштувань установки:

Тиснемо «Next» із запропонованих варіантів вибираємо створення нового домену та лісу.

Вводимо ім'я домену, наприклад example.net.

Пишемо NetBIOS ім'я домену, без зони:

Вибираємо функціональний рівень нашого домену:

Зважаючи на особливості функціонування контролера домену, встановлюємо також DNS-сервер .

Розташування бази даних, файлу логів, системного тому залишаємо без змін:

Вводимо пароль адміністратора домену:

Перевіряємо правильність заповнення і якщо все гаразд тиснемо «Next».

Після цього піде процес установки, наприкінці якого з'явиться вікно, яке повідомляє, про успішне встановлення:

Вступ до Active Directory

У доповіді розглядаються два типи комп'ютерних мереж, які можна створити за допомогою операційних систем Microsoft: робоча група (workgroup) та домен Active Directory.

Служба Active Directory-Розширювана та масштабована служба каталогів Active Directory (Активний каталог) дозволяє ефективно керувати мережевими ресурсами.
Active Directory- це ієрархічно організоване сховище даних про об'єкти мережі, що забезпечує зручні засоби для пошуку та використання цих даних. Комп'ютер, на якому працює Active Directory, називається контролером домену. З Active Directory пов'язані майже всі адміністративні завдання.
Технологія Active Directory заснована на стандартних Інтернет-протоколах і допомагає чітко визначати структуру мережі, детальніше як розгорнути з нуля домен Active Directory читайте тут.

Active Directory та DNS

У Active Directory використовується доменна система імен.

Адміністрація Active Directory

За допомогою служби Active Directory створюються облікові записи комп'ютерів, здійснюється підключення до домену, здійснюється управління комп'ютерами, контролерами домену та організаційними підрозділами (ОП).

Для керування Active Directory призначені засоби адміністрування та підтримки. Наведені нижче інструменти реалізовані і у вигляді оснасток консолі ММС (Microsoft Management Console):

• Active Directory - користувачі та комп'ютери (Active Directory Users and Computers) дозволяє керувати користувачами, групами, комп'ютерами та організаційними підрозділами (ОП);
• Active Directory - домени та довіра (Active Directory Domains and Trusts) служить для роботи з доменами, деревами доменів та лісами доменів;
• Active Directory - сайти та служби (Active Directory Sites and Services) дозволяє керувати сайтами та підмережами;
• Результуюча політика (Resultant Set of Policy) використовується для перегляду поточної політики користувача або системи та планування змін у політиці.
• У Microsoft Windows 2003 Server можна отримати доступ до цих оснасток безпосередньо з меню Administrative Tools.

Ще один засіб адміністрування – оснащення Схема Active Directory (Active Directory Schema) – дозволяє керувати та модифікувати схему каталогу.

Утиліти командного рядка Active Directory

Для керування об'єктами Active Directory існують засоби командного рядка, які дозволяють здійснювати широкий спектр адміністративних завдань:

• DSADD - додає до Active Directory комп'ютери, контакти, групи, ОП та користувачів.
• DSGET – відображає властивості комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів, зареєстрованих у Active Directory.
• DSMOD – змінює властивості комп'ютерів, контактів, груп, ОП, користувачів та серверів, зареєстрованих у Active Directory.
• DSMOVE – переміщує одиночний об'єкт у нове розташування в межах домену або перейменовує об'єкт без переміщення.
• DSQXJERY - здійснює пошук комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів в Active Directory за заданими критеріями.
• DSRM – видаляє об'єкт із Active Directory.
• NTDSUTIL - дозволяє переглядати інформацію про сайт, домен або сервер, керувати господарями операцій (operations masters) та обслуговувати базу даних Active Directory.

Active Directory є службами для системного управління. Вони є набагато найкращою альтернативоюлокальним групам і дозволяють створити комп'ютерні мережі з ефективним управліннямі надійним захистомданих.

Якщо ви не стикалися з поняттям Active Directory і не знаєте, як працюють такі служби, ця стаття для вас. Давайте розберемося, що означає дане поняття, в чому переваги подібних баз даних і як створити та налаштувати їх для початкового користування.

Active Directory – це дуже зручний спосібсистемного керування. За допомогою Active Directory можна ефективно керувати даними.

Вказані служби дозволяють створити єдину базу даних під керуванням контролерів домену. Якщо ви володієте підприємством, керуєте офісом, загалом контролюєте діяльність багатьох людей, яких потрібно об'єднати, вам знадобиться такий домен.

До нього включаються всі об'єкти - комп'ютери, принтери, факси, облікові записи користувачів та інше. Сума доменів, у яких розташовані дані, називається «лісом». База Active Directory – це доменне середовище, де кількість об'єктів може становити до 2 мільярдів. Уявляєте ці масштаби?

Тобто, за допомогою такого «лісу» або бази даних можна поєднати велику кількість співробітників та обладнання в офісі, причому без прив'язки до місця – в службах можуть бути з'єднані й інші користувачі, наприклад, з офісу компанії в іншому місті.

Крім того, в рамках служб Active Directory створюються та об'єднуються кілька доменів - чим більше компанія, тим більше коштів необхідно контролю її техніки в рамках бази даних .

Далі, при створенні такої мережі визначається один контролюючий домен, і навіть за наступної наявності інших доменів початковий, як і раніше, залишається «батьківським» - тобто тільки він має повний доступдо управління інформацією.

Де зберігаються ці дані і чим забезпечується існування доменів? Для створення Active Directory використовуються контролери. Зазвичай їх ставиться два - якщо з одним щось станеться, інформацію буде збережено на другому контролері.

Ще один варіант використання бази - якщо, наприклад, ваша компанія співпрацює з іншою, і вам належить виконати спільний проект. У такому разі може знадобитися доступ сторонніх осіб до файлів домену, і тут можна налаштувати своєрідні «відносини» між двома різними «лісами», відкрити доступ до необхідної інформації, не ризикуючи безпекою інших даних.

Загалом, Active Directory є засобом створення бази даних у межах певної структури, незалежно від її розмірів. Користувачі та вся техніка поєднуються в один «ліс», створюються домени, які розміщуються на контролерах.

Ще доцільно уточнити - робота служб можлива виключно на пристроях із серверними системами Windows. Крім цього, на контролерах створюється 3-4 сервери DNS. Вони обслуговують основну зону домену, а якщо один з них виходить з ладу, його замінюють інші сервери.

Після короткого огляду Active Directory для чайників вас закономірно цікавить питання - навіщо змінювати локальну групу на цілу базу даних? Природно, тут поле можливостей у рази ширше, а щоб з'ясувати інші відмінності даних служб для системного управління, розглянемо детальніше їх переваги.

Переваги Active Directory

Плюси Active Directory такі:

1. Використання одного ресурсу для автентифікації. При такому розкладі вам потрібно на кожному ПК додати всі облікові записи, які потребують доступу загальної інформації. Чим більше користувачів і техніки, тим складніше синхронізувати з-поміж них ці дані.

І ось при використанні служб з базою даних облікові записи зберігаються в одній точці, а зміни набирають чинності відразу ж на всіх комп'ютерах.

Як це працює? Кожен співробітник, приходячи до офісу, запускає систему та виконує вхід до свого облікового запису. Запит на вхід буде автоматично подаватися до сервера, і автентифікація відбуватиметься через нього.

Що ж до певного порядку у веденні записів, ви можете розділити користувачів на групи - «Відділ кадрів» чи «Бухгалтерія».

Ще простіше в такому разі надавати доступ до інформації – якщо потрібно відкрити папку для працівників з одного відділу, ви робите це через базу даних. Вони разом отримують доступ до потрібної папки з даними, причому для інших документи так і залишаються закритими.

1. Контроль за кожним учасником бази даних.

Якщо локальній групі кожен учасник незалежний, його важко контролювати з іншого комп'ютера, то доменах можна встановити певні правила, відповідні політиці компанії.

Ви, як системний адміністратор, можете встановити параметри доступу та параметри безпеки, а потім застосувати їх для кожної групи користувачів. Звичайно, в залежності від ієрархії, одним групам можна визначити більш жорсткі налаштування, іншим надати доступ до інших файлів та дій у системі.

Крім того, коли в компанію потрапляє нова людина, її комп'ютер відразу отримає потрібний набір налаштувань, де включені компоненти для роботи.

1. Універсальність у встановленні програмного забезпечення.

До речі, про компоненти - за допомогою Active Directory ви можете призначати принтери, встановлювати необхідні програми відразу всім співробітникам, задавати параметри конфіденційності. Загалом, створення бази даних дозволить значно оптимізувати роботу, стежити за безпекою та об'єднати користувачів для максимальної ефективності роботи.

А якщо на фірмі експлуатується окрема утиліта або спеціальні служби, їх можна синхронізувати з доменами та спростити доступ до них. Яким чином? Якщо об'єднати всі продукти, що використовуються в компанії, співробітнику не потрібно буде вводити різні логіни та паролі для входу в кожну програму - ці відомості будуть спільними.

Тепер, коли стають зрозумілими переваги та сенс використання Active Directory, давайте розглянемо процес встановлення зазначених служб.

Використовуємо базу даних на Windows Server 2012

Встановлення та налаштування Active Directory - дуже неважка справа, а також виконується простіше, ніж це здається на перший погляд.

Щоб завантажити служби, спочатку потрібно виконати наступне:

1. Змінити назву комп'ютера: натисніть на "Пуск", відкрийте Панель керування, пункт "Система". Виберіть команду «Змінити параметри» і у Властивості навпроти рядка «Ім'я комп'ютера» клацніть «Змінити», впишіть нове значення для головного ПК.
2. Виконайте перезавантаження на вимогу ПК.
3. Вкажіть налаштування мережі так:
   • За допомогою панелі керування відкрийте меню з мережами та спільним доступом.
   • Відкоригуйте налаштування адаптера. Клацніть правою клавішею «Властивості» та відкрийте вкладку «Мережа».
   • У вікні зі списку натисніть на протокол інтернету під номером 4, знову натисніть на «Властивості».
   • Впишіть необхідні налаштування, наприклад: IP-адреса - 192.168.10.252, маска підмережі - 255.255.255.0, основний підшлюз - 192.168.10.1.
   • У рядку "Переважний DNS-сервер" вкажіть адресу локального сервера, в "Альтернативному ..." - інші адреси DNS-серверів.
   • Збережіть зміни та закрийте вікна.

Встановіть ролі Active Directory так:

1. Через пуск відкрийте "Диспетчер сервера".
2. У меню виберіть додавання ролей та компонентів.
3. Запуститься майстер, але перше вікно з описом можна пропустити.
4. Позначте рядок "Встановлення ролей та компонентів", перейдіть далі.
5. Виберіть комп'ютер, щоб поставити на нього Active Directory.
6. Зі списку позначте роль, яку потрібно завантажити – для вашого випадку це «Доменні служби Active Directory».
7. З'явиться невелике вікно з пропозицією завантаження необхідних служб компонентів - прийміть його.
8. Після цього вам запропонують встановити інші компоненти - якщо вони вам не потрібні, просто пропустіть цей крок, натиснувши «Далі».
9. Майстер налаштування виведе вікно з описами встановлюваних вами служб - прочитайте та рухайтеся далі.
10. З'явиться перелік компонентів, які ми збираємося встановити - перевірте, чи все правильно, і якщо так, натисніть на відповідну клавішу.
11. Після завершення процесу закрийте вікно.
12. Ось і все – служби завантажені на ваш комп'ютер.

Налаштування Active Directory

Для налаштування доменної служби вам потрібно зробити таке:

• Запустіть однойменний майстер налаштування.
• Клацніть на жовтий покажчик у верхній частині вікна і виберіть «Підвищити роль сервера до рівня контролера домену».
• Натисніть на додавання нового «лісу» та створіть ім'я для кореневого домену, потім клацніть «Далі».
• Вкажіть режими роботи «лісу» та домену – найчастіше вони збігаються.
• Придумайте пароль, але обов'язково запам'ятайте його. Перейдіть далі.
• Після цього ви можете побачити попередження про те, що домен не делегований і пропозиція перевірити ім'я домену - можете пропустити ці кроки.
• У наступному вікні можна змінити шлях до каталогів із базами даних - зробіть це, якщо вони вам не підходять.
• Тепер ви побачите всі параметри, які маєте намір встановити - перегляньте, чи правильно вибрали їх, і йдіть далі.
• Програма перевірить, чи виконуються попередні вимоги, і якщо зауважень немає, або вони некритичні, натисніть «Встановити».
• Після закінчення інсталяції ПК самостійно перевантажиться.

Ще вам може бути цікаво, як додати користувача в базу даних. Для цього скористайтеся меню «Користувачі або комп'ютери Active Directory», яке ви знайдете в розділі «Адміністрування» на панелі керування, або скористайтеся меню налаштувань бази даних.

Щоб додати нового користувача, натисніть правою кнопкою за назвою домену, виберіть «Створити», після «Підрозділ». Перед вами з'явиться вікно, де потрібно ввести ім'я нового підрозділу - воно є папкою, куди ви можете збирати користувачів по різним відділам. Так само ви пізніше створите ще кілька підрозділів і грамотно розмістите всіх співробітників.

Далі, коли ви створили ім'я підрозділу, натисніть на нього правою клавішею миші та оберіть "Створити", після - "Користувач". Тепер залишилося лише ввести необхідні дані та поставити налаштування доступу для користувача.

Коли новий профіль буде створено, натисніть на нього, вибравши контекстне меню та відкрийте «Властивості». У вкладці «Обліковий запис» видаліть позначку «Заблокувати…». На цьому все.

Загальний висновок такий - Active Directory - це потужний і корисний інструмент для системного управління, який допоможе об'єднати всі комп'ютери співробітників в одну команду. За допомогою служб можна створити захищену базу даних та суттєво оптимізувати роботу та синхронізацію інформації між усіма користувачами. Якщо діяльність вашої компанії та будь-якого іншого місця роботи пов'язана з електронними обчислювальними машинамита мережею, вам потрібно об'єднувати облікові записи та стежити за роботою та конфіденційністю, встановлення бази даних на основі Active Directory стане відмінним рішенням.