Настройка active directory windows server 2012 книга

Обновлено: 02.07.2024

Всем привет сегодня хочу поделиться очередной книгой Microsoft Windows Server 2012. Полное руководство. Данное пособие окажется как никогда полезно для начинающих системных администраторов, который смогут познакомиться с новейшей технологией в компьютерном мире. В данном издании вы найдете подробнейшие руководства, составленые профессионалами из компании Microsoft, имеющими за спинами огромный, практический опыт.

Авторы: Рэнд Моримото, Майкл Ноэл, Гай Ярдени, Омар Драуби, Эндрю Аббат, Крис Амарис

Серия: Полное руководство

Книга «Microsoft Windows Server 2012. Полное руководство» представляет собой наиболее полное руководство по планированию, проектированию, прототипированию, реализации, переносу, администрированию и сопровождению Windows Server 2012. В значительной мере переработанная, она содержит непревзойденное независимое и объективное изложение основных новшеств Windows Server 2012, включая улучшенные компоненты виртуализации, усовершенствованные средства защиты, новые источники управления и интеграции с Windows 8.

Книга основана на богатейшем опыте авторов по внедрению Windows Server 2012 в средах разнообразных масштабов с самых первых альфа-версий, т.е. более двух лет до официального выпуска. Рэнд Моримото (Microsoft MVP) и его коллеги всесторонне рассмотрели каждый аспект развертывания и использования Windows Server 2012 - Active Directory, прикладные сетевые и локальные службы, безопасность, переход с Windows Server 2003/2008, администрирование, отказоустойчивость, оптимизация, устранение неполадок и многое другое.

Книга «Microsoft Windows Server 2012. Полное руководство» полезна специалистам по Windows всех уровней подготовки, но особенно важна для профессионалов среднего и высокого уровней, которым нужны обоснованные и полные решения. Каждая глава содержит советы, приемы, практические рекомендации и выводы, сделанные на основе реальных развертываний - т.е. реальную информацию по применению Windows Server 2012 для решения реальных производственных задач.

В книге детально рассматриваются следующие вопросы

Планирование и переход с Windows Server 2003 и 2008
Применение мощных возможностей, появившихся в Windows Server 2012
Установка Windows Server 2012 и Windows Server Core (без графического пользовательского интерфейса)
Переход на Windows Server 2012 Active Directory
Использование дополнительных возможностей AD, включая федеральные леса и управление идентификацией
Планирование и развертывание сетевых служб - от DNS и DHCP до IPv6, IPAM и IIS
Защита систем и данных на уровне сервера, транспортном уровне и с помощью политик доступа
Действительно сквозной защищенный доступ к удаленным или мобильным клиентам в любое время в любом месте
Эффективная настройка и управление пользователями, сайтами, организационными единицами, доменами и лесами из консоли диспетчера серверов
Создание более отказоустойчивых сред с помощью DFS, кластеризации и балансировки сетевой нагрузки
Применение основных усовершенствований в виртуализации Hyper-V для повышения доступности, резервирования и поддержки гостевых сеансов
Более эффективное управление Active Directory с помощью центра администрирования Active Directory, анализатора рекомендаций и сценариев PowerShell
Систематическая настройка, оптимизация, отладка и устранение неполадок в Windows Server 2012

Об авторах

Рэнд Моримото, Майкл Ноэл, Гай Ярдени, Эндрю Аббейт и Крис Амарис работают в консультационной IT-фирме Convergent Computing (регион Сан-Франциско), имеющей более двух лет практики раннего освоения Windows Server 2012.

В сотрудничестве с соавтором Омаром Драуби они помогают организациям всех размеров планировать, переносить, реализовывать и тестировать Windows Server 2012 в производственных средах. Книга написана на основе непосредственного опыта интеграции Windows Server 2012 в производственные среды предприятий в соответствии с конкретными стратегическими бизнес-требованиями.

в этом разделе объясняются возможности и преимущества Windows Server 2012 развертывания и администрирования контроллера домена, а также различия между предыдущими развертываниями контроллеров операционной системы и новой реализацией Windows Server 2012.

Windows Server 2012 представила упрощенное администрирование служб домен Active Directory Services, и это было наиболее коренным путем повторного формирования доменов с момента Windows 2000 Server. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.

Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов.

Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.
Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании нового мастера настройки доменных служб Active Directory.
Расширение схемы, подготовка леса и домена производятся автоматически в ходе повышения роли контроллера домена и больше не требуют выполнения отдельных задач на специальных серверах, таких как хозяин схемы.
При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.
Модуль Active Directory для Windows PowerShell теперь включает командлеты для управления топологией репликации, динамического контроля доступа и других операций.
В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.
Добавлена полная поддержка виртуализированных контроллеров домена, включая автоматическое развертывание и защиту от отката.
- Дополнительные сведения о виртуализированных контроллерах домена см. в статьях введение в домен Active Directory Services (AD DS) виртуализации (уровня 100).
Кроме того, реализовано множество улучшений, касающихся администрирования и обслуживания:
- Центр администрирования Active Directory включает в себя корзину Active Directory с графическим интерфейсом, управление детальной политикой паролей и средство просмотра журнала Windows PowerShell.
- Новый диспетчер сервера имеет специальные интерфейсы для доменных служб Active Directory, позволяющие отслеживать производительность, проводить анализ на основе рекомендаций, определять критические службы и просматривать журналы событий.
- Групповые управляемые учетные записи служб поддерживают несколько компьютеров, использующих одни и те же субъекты безопасности.
- Оптимизированы выдача и мониторинг относительных идентификаторов (RID) для более эффективного управления существующими доменами Active Directory.
AD DS прибыли от других новых функций, входящих в Windows Server 2012, например:
- объединение сетевых карт и мост для центра обработки данных;
- безопасность DNS и более быстрая доступность зон, интегрированных с Active Directory, после загрузки;
- улучшенная надежность и масштабируемость Hyper-V;
- Сетевая разблокировка BitLocker
- дополнительные модули администрирования компонентов Windows PowerShell.
Интеграция ADPREP

Расширение схемы леса Active Directory и подготовка домена теперь интегрированы в процесс настройки контроллера домена. При повышении роли нового контроллера домена в существующем лесу процесс определяет состояние обновления и этапы расширения схемы и подготовки домена происходят автоматически. Пользователь, устанавливающий первый контроллер домена Windows Server 2012, по-прежнему должен входить в группы "Администраторы предприятия" и "Администраторы схемы" или предоставить альтернативные действительные учетные данные.

Средство Adprep.exe остается на DVD-диске для подготовки отдельных лесов и доменов. Версия средства, включенная в Windows Server 2012, имеет обратную совместимость с Windows Server 2008 x64 и Windows Server 2008 R2. Adprep.exe также поддерживает удаленные команды forestprep и domainprep, так же как средства настройки контроллера домена на основе ADDSDeployment.

Информацию о средстве Adprep и подготовке леса в предыдущих операционных системах см. в разделе Работа с программой Adprep.exe (Windows Server 2008 R2).

Интеграция диспетчера сервера и доменных служб Active Directory

Диспетчер сервера выступает в качестве единой консоли для выполнения задач управления сервером. На его информационной панели периодически обновляются представления с установленными ролями и группами удаленных серверов. Диспетчер сервера обеспечивает централизованное управление локальными и удаленными серверами без необходимости доступа к локальной консоли.

Домен Active Directory Services — одна из этих ролей концентратора; запустив диспетчер сервера на контроллере домена или средства удаленного администрирования сервера на Windows 8, вы увидите важные проблемы на контроллерах домена в лесу.

Эти представления включают в себя:
- доступность сервера;
- монитор производительности с предупреждениями о высокой загрузке процессора и памяти;
- состояние служб Windows, относящихся к доменным службам Active Directory;
- последние предупреждения, связанные со службами каталогов, и записи ошибок в журнале событий;
- анализ выполнения рекомендаций для контроллера домена, проводимый на основе набора правил Майкрософт.
Корзина в центре администрирования Active Directory

В Windows Server 2008 R2 впервые появилась корзина Active Directory, которая позволяет восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена.

В Windows Server 2012 существующие возможности восстановления на основе Windows PowerShell улучшены благодаря новому графическому интерфейсу в центре администрирования Active Directory. Это позволяет администраторам включить корзину и затем найти или восстановить удаленные объекты в контексте доменов леса, и все это без непосредственного использования командлетов Windows PowerShell. Центр администрирования Active Directory и корзина Active Directory по-прежнему используют среду Windows PowerShell, поэтому предыдущие сценарии и процедуры можно с успехом применять.

Детальная политика паролей в центре администрирования Active Directory

В Windows Server 2008 появилась детальная политика паролей, которая позволяет администраторам настроить несколько политик паролей и блокировки учетных записей в домене. Это решение позволило гибко управлять более или менее строгими правилами паролей на основе пользователей и групп. У него не было отдельного интерфейса управления, и администраторам приходилось настраивать его с помощью средства Ldp.exe или Adsiedit.msc. В Windows Server 2008 R2 появился модуль Active Directory для Windows PowerShell, который позволил администраторам использовать интерфейс командной строки для управления детальной политикой паролей.

В Windows Server 2012 реализован графический интерфейс для настройки детальной политики паролей. Центр администрирования Active Directory теперь является отправной точкой упрощенного управления детальной политикой паролей для всех администраторов.

Средство просмотра журнала Windows PowerShell в центре администрирования Active Directory

В Windows Server 2008 R2 появился центр администрирования Active Directory, который заменил известную администраторам еще со времен Windows 2000 оснастку "Пользователи и компьютеры Active Directory". Центр администрирования Active Directory предоставляет графический интерфейс для модуля Active Directory для Windows PowerShell.

Так как модуль Active Directory содержит более ста командлетов, в них можно легко запутаться. Сейчас среда Windows PowerShell тесно интегрирована в стратегию администрирования ОС Windows, и центр администрирования Active Directory теперь включает в себя средство просмотра, которое позволяет наблюдать за выполнением командлетов в графическом интерфейсе. Вы можете осуществлять поиск и копирование, очищать историю и добавлять заметки в простом интерфейсе. Это позволяет администратору использовать графический интерфейс для создания и изменения объектов, а затем просматривать их с помощью средства просмотра журнала, чтобы узнавать больше о возможностях сценариев PowerShell на примерах.

Репликация Active Directory средствами Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.

Улучшения в области выдачи идентификаторов RID и управления ими

В системе Active Directory в Windows 2000 появился хозяин RID, который выдавал пулы относительных идентификаторов контроллерам домена, чтобы последние могли создавать идентификаторы безопасности (SID) для субъектов безопасности, таких как пользователи, группы и компьютеры. По умолчанию глобальное пространство RID ограничено общим количеством идентификаторов безопасности (2 30 , или 1 073 741 823), которое можно создать в домене. Идентификаторы безопасности нельзя вернуть в пул или выдать повторно. Со временем в большом домене может возникнуть нехватка идентификаторов RID либо их пул может начать иссякать в результате различных происшествий, ведущих к удалению RID.

В Windows Server 2012 решен ряд проблем, связанных с выдачей идентификаторов RID и управлением ими, которые были выявлены клиентами и службой поддержки клиентов Майкрософт с 1999 года, когда были созданы первые домены Active Directory. Сюда входит следующее.
- В журнал событий периодически записываются предупреждения об использовании идентификаторов RID.
- Когда администратор делает пул RID недействительным, в журнале создается событие.
- Ограничение на максимальный размер блока RID теперь устанавливается принудительно в политике RID.
- Искусственный верхний порог RID теперь применяется принудительно, а если глобальное пространство RID истощается, в журнал заносится запись, что позволяет администратору предпринять меры прежде, чем пространство будет исчерпано.
- Глобальное пространство RID теперь можно увеличить на один бит, благодаря чему его размер увеличивается вдвое — до 2 31 (2 147 483 648 идентификаторов безопасности).
Подробнее об идентификаторах RID и хозяине RID см. в разделе Принципы работы идентификаторов безопасности.

Архитектура развертывания роли доменных служб Active Directory и управления ею

Функциональные возможности диспетчера сервера и модуля Windows PowerShell ADDSDeployment, связанные с развертыванием роли доменных служб Active Directory и управлением ею, обеспечиваются следующими основными сборками:

Оба компонента используют среду Windows PowerShell и ее механизм удаленного вызова команд для удаленной установки и настройки роли.

В Windows Server 2012 также перестроен ряд операций повышения роли, которые ранее обеспечивались программой LSASS.EXE и входили в состав следующих компонентов:
- служба сервера с ролью доменных служб (DsRoleSvc);
- библиотека DSRoleSvc.dll (загружаемая службой DsRoleSvc).
Эта служба должна быть установлена и запущена для повышения и понижения роли, а также клонирования виртуальных контроллеров домена. При установке роли доменных служб Active Directory эта служба добавляется по умолчанию и для нее устанавливается тип запуска "Вручную". Не отключайте эту службу.

Архитектура ADPrep и проверки предварительных требований

Средство Adprep больше не обязательно запускать на хозяине схемы. Его можно запускать удаленно с компьютера с 64-разрядной версией Windows Server 2008 или более поздней версии.

Средство Adprep использует протокол LDAP для импорта файлов Schxx.ldf и не переподключается автоматически, если во время импорта подключение к хозяину схемы прерывается. В процессе импорта хозяин схемы переводится в специальный режим, а переподключение отключается, так как при повторном подключении по протоколу LDAP режим станет иным. В этом случае схема будет обновлена неправильно.

Проверка предварительных требований обеспечивает соблюдение определенных условий. Эти условия необходимы для успешной установки доменных служб Active Directory. Если некоторые обязательные условия не выполняются, вы можете устранить проблемы, а затем продолжить установку. Также проверяется готовность леса или домена к автоматическому выполнению кода развертывания Adprep.

Исполняемые файлы, файлы DLL, LDF и другие файлы ADPrep
- ADprep.dll
- Ldifde.dll
- Csvde.dll
- Sch14.ldf - Sch56.ldf
- Schupgrade.cat
- *dcpromo.csv
Код подготовки Active Directory, который ранее помещался в файле ADprep.exe, прошел рефакторинг и теперь находится в файле adprep.dll. Это позволяет как программе ADPrep.exe, так и модулю Windows PowerShell ADDSDeployment использовать библиотеку для выполнения одних и тех же задач с помощью одинаковых возможностей. Программа Adprep.exe имеется на установочном носителе, но автоматические процессы не обращаются к ней напрямую — администратор должен запустить ее вручную. Она может выполняться в 64-разрядной версии Windows Server 2008 и более поздних операционных системах. Программы ldifde.exe и csvde.exe также имеют DLL-версии, прошедшие рефакторинг, которые загружаются процессом подготовки. Для расширения схемы по-прежнему используются заверенные подписями LDF-файлы, как в предыдущих версиях операционной системы.

32-разрядного средства Adprep32.exe для Windows Server 2012 не существует. Для подготовки леса и домена необходим по крайней мере один компьютер с Windows Server 2008 (64-разрядной версии), Windows Server 2008 R2 или Windows Server 2012, работающий как контроллер домена, рядовой сервер или член рабочей группы. Средство Adprep.exe нельзя запустить в 64-разрядной версии Windows Server 2003.

Проверка предварительных требований

Система проверки предварительных требований, встроенная в управляемый код Windows PowerShell ADDSDeployment, работает в различных режимах в зависимости от условий. В приведенных ниже таблицах описывается каждый тест, ситуации, в которых он используется, а также объект и способ проверки. Эти таблицы могут быть полезны в тех случаях, когда пройти проверку не удается, но описания ошибки недостаточно для устранения неполадки.

Результаты этих тестов регистрируются через канал операционного журнала событий DirectoryServices-Deployment в категории задач Основные и всегда имеют код события 103.

Проверка предварительных требований с помощью Windows PowerShell

В модуле Windows PowerShell ADDSDeployment есть командлеты для проверки выполнения каждого командлета развертывания контроллера домена. Их аргументы почти полностью совпадают с аргументами проверяемых командлетов.
- Test-ADDSDomainControllerInstallation
- Test-ADDSDomainControllerUninstallation
- Test-ADDSDomainInstallation
- Test-ADDSForestInstallation
- Test-ADDSReadOnlyDomainControllerAccountCreation
Как правило, запускать эти командлеты не требуется, так как они по умолчанию выполняются вместе с командлетами развертывания.

Марк Минаси, Кевин Грин, Кристиан Бус, Роберт Батлер, и др.

Mastering Windows Server 2012 R2
Mark Minasi, Kevin Greene, Christian Booth, Robert Butler, и др.

Кол-во страниц: 960

Универсальное руководство по Windows Server 2012 R2

Попробуйте новый гипервизор Hyper-V, найдите новые и более простые способы дистанционного подключения к офису, а также изучите Storage Spaces - это всего лишь несколько компонентов Windows Server 2012 R2, которые подробно рассматриваются в данном обновленном издании от признанного авторитета в области Windows Марка Минаси и команды экспертов по Windows Server, возглавляемой Кевином Грином. Настоящая книга поможет быстро освоить все новые средства и функции Windows Server, а также включает реальные сценарии развертывания. Если вы - системный администратор, которому необходимо модернизировать, перейти или управлять Windows Server 2012 R2, то в этом полном пособии вы найдете все, что нужно.

Основные темы тома 1:
- новые возможности и установка Windows Server 2012 R2, включая Server Core;
- организация сетей и компоненты IP Address Management и DHCP Failover;
- Active Directory в Windows Server 2012 R2 и выполнение задач по управлению учетными записями;
- общее хранилище и кластеризация, создание и управление общими ресурсами, а также развертывание динамического управления доступом.
Вы изучите следующие темы
- Установка или модернизация и последующее управление сервера Windows Server 2012 R2
- Настройка объединения сетевых интерфейсных плат Microsoft NIC Teaming 2012 и работа с PowerShell
- Установка операционной системы через графический пользовательский интерфейс или обновленную версию Server Core 2012
- Миграция, слияние и модификация Active Directory
- Управление адресным пространством с помощью IPAM
- Новые общие хранилища, пространства хранения и улучшенные инструменты для работы с ними
- Управление доступом к общим файлам - новый и усовершенствованный подход
- Использование и администрирование Remote Desktop, Virtual Desktop и Hyper-V
С помощью этой книги вы:
- научитесь планировать, устанавливать и управлять сервером Windows Server 2012 R2;
- ознакомитесь с советами и пошаговыми руководствами от гуру по Windows Марка Минаси и его команды экспертов;
- узнаете, что появилось нового в Active Directory и PowerShell;
- освоите виртуализацию с помощью усовершенствованных возможностей Hyper-V и VDI;
- переведете управление хранилищем на новый качественный уровень;
- закрепите свой уровень знаний на реальных примерах.
В томе 2 вы узнаете, как дистанционно управлять серверами, запускать службы IIS, организовывать виртуальные частные сети, создавать среды Active Directory с несколькими доменами, внедрять виртуализацию с помощью Hyper-V, выполнять мониторинг, резервное копирование и обслуживание Windows Server 2012 R2 и Active Directory.

Марк Минаси, MCSE, является одним из лидирующих авторитетов по Windows во всем мире. Он преподает в 15 странах и очень популярен в качестве лектора на конференциях и итоговых отраслевых обзорах. Фирма Марка Минаси, MR&D, обучила десятки тысяч людей проектированию и запуску в производство сетей Windows. Марк выступал автором и соавтором многочисленных книг, включая популярные издания Mastering Microsoft Windows Server 2008 R2 и The Complete PC Upgrade and Maintenance Guide.

Этичный хакинг и тестирование на проникновение, информационная безопасность

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

Что такое Active Directory

Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Домен, лес и дерево представляют собой логические подразделения инфраструктуры AD.

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.

Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что такое домен?

Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из одного места. Это также «блокирует» компьютеры. Вероятно, вам не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.

Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.

Для чего нужна Active Directory

Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что сетевой администратор уже сообщил контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.

Что может администратор сети через Active Directory?

Не всем в вашей организации обязательно нужен доступ ко всем файлам/документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам/дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения. Чтобы проиллюстрировать это, давайте рассмотрим пример: предположим, у вашей компании есть каталог в сети для всех документов, относящихся к кадрам. Сюда могут входить любые формы, которые нужны сотрудникам для подачи в отдел кадров (официальные запросы, официальные жалобы и так далее). Предположим также, что в каталоге есть таблица, в которой указано, когда сотрудники будут в отпуске и отсутствовать в офисе. Ваш сетевой администратор может предоставить всем пользователям доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права вашему менеджеру/директору по персоналу или любому другому сотруднику отдела кадров, которому потребуется редактировать файлы, хранящиеся в каталоге.

Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.

AD позволяет централизовать управление пользователями и компьютерами, а также централизовать доступ к ресурсам и их использование.

Вы также получаете возможность использовать групповую политику, когда у вас настроена AD. Групповая политика — это набор объектов, связанных с подразделениями, которые определяют параметры для пользователей и/или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы в меню «Пуск» не было опции «Завершение работы» для 500 лабораторных ПК, вы можете сделать это с помощью одного параметра в групповой политике. Вместо того, чтобы тратить часы или дни на настройку правильных записей реестра вручную, вы создаёте объект групповой политики один раз, связываете его с правильным OU (organizational units, организационные единицы) или несколькими OU, и вам больше никогда не придётся об этом думать. Существуют сотни объектов групповой политики, которые можно настроить, и гибкость групповой политики является одной из основных причин доминирования Microsoft на корпоративном рынке.

Что нужно для Active Directory

Active Directory можно включить на компьютерах с Windows Server. На не серверных компьютерах (например, с Windows 10), можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам. Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.

Active Directory Domain Services

Когда люди говорят «Active Directory», они обычно имеют в виду «доменные службы Active Directory» (Active Directory Domain Services, AD DS). Важно отметить, что существуют другие роли/продукты Active Directory, такие как службы сертификации, службы федерации, службы облегчённого доступа к каталогам, службы управления правами и так далее.

Доменные службы Active Directory — это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.

Контроллер домена

Сервер, который хостит AD DS — это Контроллер домена (Domain Controller (DC)).

Диспетчер серверов и Windows Admin Center

Управлять всем этим можно через различные программы. Более старым вариантом является Диспетчер серверов (Server Manager). Он позволяет установить Active Directory Domain Services (AD DS) и назначить компьютеру роль Domain Controller (DC).

Новым ПО для управления компьютерами является Windows Admin Center. Данное программное обеспечение является облегчённым с технической точки зрения (работает в веб браузерах), но при этом более функциональное с точки зрения возможностей. Microsoft активно продвигает Windows Admin Center как приложение которое включает в себя функциональность Диспетчера серверов (Server Manager), а также превосходит её, предлагая множество дополнительных функций и удобные интерфейсы для управления и мониторинга компьютерами.

На самом деле, Windows Admin Center не является полноценной заменой ни для Server Manager, ни для другой оснастки. Это программное обеспечение сильно облегчает выполнение многих популярных действий по администрированию компьютеров и серверов, но для некоторых узкоспециализированных настроек требуется другое ПО.

Мы рассмотрим работу с Active Directory в каждом из этих приложений. Также мы рассмотрим развёртывание и управление Active Directory в PowerShell.

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.

Есть несколько различий между доменами и рабочими группами:
- В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
- Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
- В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
- Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.
Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.

Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).

Нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.

Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.

В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».

Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.

Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):

Читайте также: