Настройка active directory windows server 2008 книга

Обновлено: 03.07.2024

Этичный хакинг и тестирование на проникновение, информационная безопасность

Что такое Active Directory

Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Домен, лес и дерево представляют собой логические подразделения инфраструктуры AD.

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.

Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что такое домен?

Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из одного места. Это также «блокирует» компьютеры. Вероятно, вам не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.

Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.

Для чего нужна Active Directory

Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что сетевой администратор уже сообщил контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.

Что может администратор сети через Active Directory?

Не всем в вашей организации обязательно нужен доступ ко всем файлам/документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам/дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения. Чтобы проиллюстрировать это, давайте рассмотрим пример: предположим, у вашей компании есть каталог в сети для всех документов, относящихся к кадрам. Сюда могут входить любые формы, которые нужны сотрудникам для подачи в отдел кадров (официальные запросы, официальные жалобы и так далее). Предположим также, что в каталоге есть таблица, в которой указано, когда сотрудники будут в отпуске и отсутствовать в офисе. Ваш сетевой администратор может предоставить всем пользователям доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права вашему менеджеру/директору по персоналу или любому другому сотруднику отдела кадров, которому потребуется редактировать файлы, хранящиеся в каталоге.

Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.

AD позволяет централизовать управление пользователями и компьютерами, а также централизовать доступ к ресурсам и их использование.

Вы также получаете возможность использовать групповую политику, когда у вас настроена AD. Групповая политика — это набор объектов, связанных с подразделениями, которые определяют параметры для пользователей и/или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы в меню «Пуск» не было опции «Завершение работы» для 500 лабораторных ПК, вы можете сделать это с помощью одного параметра в групповой политике. Вместо того, чтобы тратить часы или дни на настройку правильных записей реестра вручную, вы создаёте объект групповой политики один раз, связываете его с правильным OU (organizational units, организационные единицы) или несколькими OU, и вам больше никогда не придётся об этом думать. Существуют сотни объектов групповой политики, которые можно настроить, и гибкость групповой политики является одной из основных причин доминирования Microsoft на корпоративном рынке.

Что нужно для Active Directory

Active Directory можно включить на компьютерах с Windows Server. На не серверных компьютерах (например, с Windows 10), можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам. Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.

Active Directory Domain Services

Когда люди говорят «Active Directory», они обычно имеют в виду «доменные службы Active Directory» (Active Directory Domain Services, AD DS). Важно отметить, что существуют другие роли/продукты Active Directory, такие как службы сертификации, службы федерации, службы облегчённого доступа к каталогам, службы управления правами и так далее.

Доменные службы Active Directory — это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.

Контроллер домена

Сервер, который хостит AD DS — это Контроллер домена (Domain Controller (DC)).

Диспетчер серверов и Windows Admin Center

Управлять всем этим можно через различные программы. Более старым вариантом является Диспетчер серверов (Server Manager). Он позволяет установить Active Directory Domain Services (AD DS) и назначить компьютеру роль Domain Controller (DC).

Новым ПО для управления компьютерами является Windows Admin Center. Данное программное обеспечение является облегчённым с технической точки зрения (работает в веб браузерах), но при этом более функциональное с точки зрения возможностей. Microsoft активно продвигает Windows Admin Center как приложение которое включает в себя функциональность Диспетчера серверов (Server Manager), а также превосходит её, предлагая множество дополнительных функций и удобные интерфейсы для управления и мониторинга компьютерами.

На самом деле, Windows Admin Center не является полноценной заменой ни для Server Manager, ни для другой оснастки. Это программное обеспечение сильно облегчает выполнение многих популярных действий по администрированию компьютеров и серверов, но для некоторых узкоспециализированных настроек требуется другое ПО.

Мы рассмотрим работу с Active Directory в каждом из этих приложений. Также мы рассмотрим развёртывание и управление Active Directory в PowerShell.

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.

Есть несколько различий между доменами и рабочими группами:

В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.

Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.

Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).

Нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.

Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.

В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».

Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.

Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):

• Э ф ф е к т и в н о администрировать пользователей, группы и компьютеры.

• У п р а в л я т ь к о н ф и г у р а ц и е й и безопасностью домена с помощью групповой

п о л и т и к и , г р а н у л и р о в а н н ы х политик паролей, аудита служб каталогов

и М а с т е р а н а с т р о й к и безопасности (Security Configuration Wizard).

• Р е а л и з о в а т ь э ф ф е к т и в н о е разрешение имен с помощью системы DNS (Do-

main N a m e S y s t e m ) в Windows Server 2008.

• П л а н и р о в а т ь , конфигурировать и поддерживать репликацию данных Active

D i r e c t o r y в у з л а х и между сайтами.

• Д о б а в л я т ь , удалять, поддерживать и архивировать контроллеры доменов.

• В к л ю ч а т ь п р о в е р к у подлинности между доменами и лесами.

• Реализовывать новые возможности и функциональность Windows Server 2008.

ПРИМЕЧАНИЕ Ресурсы в И н т е р н е т е

Новый или обновленный материал по данной книге будет размещен на веб-сайте

Microsoft Press Online Windows Sen– cr And Client. В зависимости от сборки Windows

Server 2008 это могут быть обновления книги, статьи, ссылки на аналогичное содер-

жимое, исправления, примеры глав и многое другое. Указанный веб-сайт доступен

обновляется.

О данном руководстве

В настоящем руководстве по подготовке к сертификационному экзамену 7 0 – 6 4 0

описано много концепций и приемов, касающихся реализации и а д м и н и с т р и р о -

вания AD DS в Windows Server 2008. Каждое занятие включает т е о р е т и ч е с к и й

материал, упражнения, вопросы, а также сценарии и р е к о м е н д у е м ы е п р а к т и ч е с -

кие задания. Ссылки на внешние ресурсы, а также п р и м е р ы э к з а м е н а ц и о н н ы х

вопросов представлены на прилагаемом к книге компакт-диске.

Мы рекомендуем использовать все компоненты данного р у к о в о д с т в а . И з у -

Провидица [СИ]

Супер! С удовольствием прочитала и ни разу не возникло желания пропустить хоть одну строчку. Более адекватных героев я ещё не втречала.

Отпуск в тридевятом царстве

Супер!! Эта книга просто взорвала мой мозг,не хватило только эпилога.

Eurocon 2008 [Убить Чужого]

Верь мне

Не понимаю почему авторы, написав более менее удачную книгу, начинают с неё серию и клепают один за другим романы с сюжетом как под копирку. Стандартный сюжет серии: герой - лет на десять (+-) старше

Веселья ради

Помощница миллионера-руководителя корпорации застенчивая вечно краснеющая девица. Ну, ну. Ничего нового и интересного от третьего романчика серии. Становится скучновато от однообразия.

Подозревается оптимистка

Очень понравилось! История интересная, читается на одном дыхании. Очень грамотно, лёгкий стиль, просто удовольствие получаешь, читая такие книги!

Тот Самый

Сначала романчик понравился больше предыдущего. Герои и их отношения получились интереснее. Видно автор решила добавить в конце романа немного остроты и интриги в жизнь героев. Что в принципе и убило всю

Настройка Active Directory. Windows Server 2008

Формат: DJVU (47081 Kb) PDF (7458 Kb)

Рейтинг: 0.0/5 (Всего голосов: 0)

Аннотация

Это подробное руководство по развертыванию и настройке службы каталогов Active Directory в Windows Server 2008 - новейшей операционной системе Microsoft. В книге даны пошаговые инструкции для настройки доменных служб Active Directory (Active Directory Domain Services), служб Active Directory облегченного доступа к каталогам (Active Directory Lightwreight Directory Service), служб сертификации Active Directory (Active Directory Certificate Services), служб федерации Active Directory (Active Directory Federation Services) и служб управления правами Active Directory (Active Directory Rights Management Services) в лесу или домене. Кроме того, описаны управление конфигурацией домена с помощью групповой политики, планирование, настройка и поддержка репликации данных Active Directory в узлах и между сайтами, а также реализация новых возможностей Windows Server 2008.

Книга адресована специалистам в области информационных технологий, системным администраторам, а также всем, кто хочет научиться поддерживать доменные службы Active Directory (Active Directory Domain Services) в Windows Server 2008. Настоящий учебный курс, в том числе, поможет вам самостоятельно подготовиться к сдаче экзамена №70-640 по программе сертификации Microsoft (сертификат Microsoft Certified Technology Specialist).

Книга состоит из 17 глав, содержит множество иллюстраций и примеров из практики.

Книга представляет собой исчерпывающий и основанный на богатом опыте авторов учебник по проектированию, внедрению, миграции, администрированию и поддержке систем на базе Windows Server 2008 R2.

Рэнд Моримото (Microsoft MVP) вместе со своими коллегами предлагает профессионалам в области информационных технологий систематизированное введение в новую версию серверной операционной системы Windows Server 2008 R2. В книге идентифицированы наиболее важные усовершенствования R2 и подробно описаны шаги по установке и конфигурированию этой ОС. Приводится исчерпывающее описание всех аспектов Windows Server 2008 R2, включая Active Directory, сетевые службы, безопасность, переход на Windows Server 2008 R2 из Windows Server 2003/2008, администрирование, отказоустойчивость, оптимизация, обнаружение неполадок, ключевые прикладные службы и многое другое.

Авторы очень точно отмечают основные усовершенствования Windows Server 2008 R2 и предлагают развернутое описание всех инноваций Windows Server 2008 R2, начиная с виртуализации Hyper-V и заканчивая DirectAccess и улучшениями компонента Failover Clustering. В каждой главе предлагаются многочисленные полезные советы и трюки, основанные на сотнях внедрений, которые позволяют максимально эффективно решать бизнес-задачи с помощью Windows Server 2008 R2.

В книге детально рассматриваются следующие вопросы:

Планирование и миграция с Windows Server 2003/2008 на Windows Server 2008 R2 с использованием новых серверных инструментов миграции;
Управление Active Directory с помощью средств Active Directory Administrative Center и Best Practice Analyzer, а также сценариев PowerShell;
Использование обновленных инструментов и шаблонов безопасности R2 для блокирования серверов, клиентов и сетей;
Максимизация доступности с помощью средств кластеризации, отказоустойчивости и репликации Windows Server 2008 R2;
Гладкое управление клиентами посредством настроек Group Policy ADMX и управляющих инструментов;
Совершенствование удаленного доступа с использованием средств DirectAccess, служб Remote Desktop Services (ранее называемых Terminal Services) и инфраструктуры Virtual Desktop Infrastructure;
Внедрение виртуализации Hyper-V, включая встроенную технологию Live Migration;
Применение дополнительных модулей вроде Windows SharePoint Services, Windows Media Services и IIS.

Читайте также: