Przegląd usług domenowych Active Directory (dodaje)
Usługi, Usługi domenowe Active Directory co to jest?
Usługa Active Directory (AD)to usługa badawczo – rozwojowa i budowlana firmy Microsoft. Active Directory (AD)to produkt, który jest wyłączną usługą firmy Microsoft. Ta niezastąpiona usługa jest dostępna we wszystkich wersjach systemu Windows Server od dawna do chwili obecnej.
oto usługa katalogowa do zarządzania obiektami w domenie systemowej (regionach) jako centrum sterowania. Active Directory to znormalizowany system z możliwością scentralizowanego administrowania użytkownikami, a także zasobami w systemie sieciowym.
Usługa Active Directory jest używana w modelu sieci Serwer – Klient. Od czasu wydania systemu operacyjnego Windows Server 2000 firma Microsoft zintegrowała komponent Active Directory (AD). Gdy system Windows server korzysta z systemu Windows 2000 Server, Windows Server 2003 lub Longhorn Server, kontroler domeny (kontroler domeny) jest uruchamiany przez usługi Active Directory.
Active Directory jest sercem systemu Windows Server lub ważnym składnikiem systemu, wszystkie działania zachodzące w systemie są regulowane i kontrolowane przez usługi Active Directory.
z wersji Windows NT4.W wersji 0 lub nowszej firma Microsoft opracowała system Active Directory służący do przechowywania danych w bazie danych domeny jako obiektów pamięci masowej, w tym użytkownika, komputera, grupy. obiekt zasad grupy… w celu świadczenia usług (usług katalogowych), wyszukiwania, kontroli dostępu, autoryzacji, a zwłaszcza usługi uwierzytelniania są zbudowane w oparciu o mechanizmy obsługi protokołu KEBEROS, jednokrotne logowanie (SSO) pozwala użytkownikowi przejść weryfikację tylko raz podczas logowania do domeny systemowej i może uzyskać dostęp wszystkie zasoby i usługi są udostępniane przez system z uprawnieniami w przypadku, gdy system nie wymaga ponownej weryfikacji logowania więcej razem.
dzięki usługom Active Directory udało się uprościć zarządzanie pracą i poprawić wydajność pracy, pracę, której prawie nie można zaimplementować w systemie peer-to-peer, a teraz możemy łatwo przejść do modelu zarządzania, który koncentruje się na generowaniu wspólnych zasad dla całego systemu, ale jednocześnie możliwe jest zezwolenie administratorowi na podzielenie możliwości zarządzania w rozległym środowisku.
funkcje w usługach usług domenowych Active Directory :
scentralizowane przechowywanie danych-koncentracja na przechowywaniu danych
wszystkie dane, informacje w systemie są przechowywane centralnie, umożliwiając użytkownikom dostęp do danych z dowolnego miejsca, w dowolnym czasie, poprawiając zarządzanie wydajnością systemu, zmniejsz ryzyko zasobu.
skalowalność-elastyczność w zależności od potrzeb
Usługa Active Directory zapewnia elastyczne rozwiązania do zarządzania różnymi potrzebami związanymi z infrastrukturą i tożsamością platformy biznesowej.
rozszerzalność
Baza Danych Active Directory pozwala administratorom konfigurować i rozwijać, a ponadto możemy również tworzyć aplikacje przy użyciu tej bazy danych, aby pomóc ci w pełni wykorzystać możliwości, wydajność Active Directory.
zarządzanie – możliwości zarządzania, elastyczne, proste
Active Directory jest zorganizowany zgodnie z mechanizmem usługi katalogowej w ramach modelu organizacyjnego Directory pomaga administratorom mieć najlepszy widok całego systemu, a także pomaga użytkownikowi łatwo uzyskać dostęp i korzystać z zasobów systemowych.
integracja z systemem nazw domen (DNS):
DNS to usługa bardzo potrzebna dla usługi Active Directory w systemie sieciowym, usługi Active Directory działają tylko wtedy, gdy usługa DNS jest zainstalowana. DNS jest odpowiedzialny za zarządzanie, rozwiązywanie kontrolera domeny Active Directory w sieci i, co ważniejsze, w środowisku wielu domen. DNS bezproblemowo integruje się z Active Directory w celu zwiększenia bezpieczeństwa i możliwości synchronizacji między kontrolerem domeny ze sobą w środowisku wielu domen.
Zarządzanie konfiguracją klienta:
Usługa Active Directory zapewnia nam możliwość zarządzania konfiguracją po stronie klienta, pomagając administratorom systemu uprościć i zwiększyć mobilność użytkownika.
Administracja oparta na zasadach:
Active Directory, administracja systemem, sieć zapewnia bezpieczeństwo dzięki zarządzaniu zasadami zasobów, dostępowi do witryny, domenie i jednostce organizacyjnej. Jest to jedna z najważniejszych funkcji zintegrowanych z Active Directory.
powielanie informacji:
Usługa Active Directory umożliwia synchronizację danych informacji między domeną, platformą, środowiskiem i domeną, co ma na celu ograniczenie ryzyka do maksymalnego poziomu i poprawę działania sieci systemowej.
elastyczne, bezpieczne uwierzytelnianie i autoryzacja
Usługa Active Directory zapewnia wiele mechanizmów uwierzytelniania, takich jak Kerberos, Secure Socket Layer i Transport Layer Security, które pomagają zapewnić bezpieczeństwo informacji użytkownika podczas korzystania z informacji uwierzytelniających w celu uzyskania dostępu do zasobów.
integracja zabezpieczeń
Active Directory jest domyślnie zintegrowana z wersją systemu Windows Server, dzięki czemu Active Directory działa bardzo łatwo i elastycznie, Kontrola dostępu w systemie jest zdefiniowana dla każdego obiektu, każdego atrybutu obiektu. Co więcej, polityka bezpieczeństwa dotyczy nie tylko lokalnych, ale także konkretnej witryny, domeny lub jednostki biznesowej.
Katalog – włączanie aplikacji i infrastruktury
Active Directory to środowisko idealne do konfigurowania przez administratora konfiguracji i zarządzania aplikacją w systemie. Jednocześnie Active Directory zapewnia programistom aplikacji otwarty kierunek (developer)do tworzenia aplikacji na platformie Active Directory za pośrednictwem interfejsów usługi Active Directory.
zgodność z innymi usługami katalogowymi
Usługa Active Directory jest zbudowana na standardzie usługi katalogowej Protokołu, w tym 2 protokoły – lekki protokół dostępu do katalogu (LDAP) i interfejs dostawcy usług nazw (NSPI), dzięki czemu Usługa Active Directory jest kompatybilna z innymi usługami zbudowanymi na platformie usług katalogowych za pomocą tych protokołów.
ponieważ LDAP jest standardem protokołu directoy, możemy opracowywać, integrować wymianę produktów aplikacji i wymieniać informacje z Active Directory za pośrednictwem protokołu LDAP.
ponadto protokół NSPI jest obsługiwany przez Active Directory w celu zapewnienia i zwiększenia zgodności z bezpośrednią wymianę.
podpisany i zaszyfrowany ruch LDAP
domyślnie aktywne jest narzędzie Directoy w systemie Windows server, które automatycznie uwierzytelnia i szyfruje dane przesyłane przez protokół LDAP. Protokół uwierzytelniania w celu zapewnienia, że informacje są wysyłane z 1 oficjalnego źródła i nie zostały naruszone.
usługi struktury wewnętrznej usługi domeny Active Directory:
Obiekty Active Directory:
dane w usłudze Active Directory jako informacje o koncie i inne atrybuty obracające się wokół obiektów takich jak użytkownicy, drukarka, serwer, baza danych, grupy, Komputery i zasady bezpieczeństwa są oznaczone jako obiekty (objects).
każdy obiekt ma atrybut private specyficzny dla tego obiektu, na przykład obiekt użytkownik ma odpowiednie właściwości, takie jak imię, nazwisko, nazwa logowania,… a obiekt komputer ma właściwości, takie jak nazwa komputera z tym samym opisem.
pewien konkretny obiekt składający się z wielu obiektów wewnątrz innego nazywa się “kontenerem”, na przykład domena jest kontenerem zawierającym różne konta użytkowników i komputerów.
schemat Active Directory:
W bazie danych Active Directory pamięć masowa to schemat AD, schemat definiuje obiekty przechowywane w Active Directory. Ale jak przechowywane są obiekty schematu? Zasadniczo schemat jest listą definicji określających typ obiektu i informacje o typie obiektów przechowywanych w usłudze Active Directory. Zasadniczo schemat jest również przechowywany jako 1 obiekt.
zdefiniowano schemat obejmujący 2 typy obiektów (Obiektów): obiekty klasy schematu i Obiekty atrybutu schematu.
Klasa schematu: może działać jako szablon do tworzenia nowych obiektów w AD. Każda klasa schematu jest zbiorem właściwości obiektów (Obiektów atrybutów schematu). Podczas tworzenia obiektu należącego do widoku klasy Schema atrybut Schema przechowuje właściwości obiektu odpowiadające typowi klasy obiektów Schema.
atrybut schematu: określa odpowiednią klasę schematu. Każdy atrybut jest zdefiniowany tylko raz w usłudze Active Directory i może należeć do wielu klas schematu w systemie z wieloma (1-m).
domyślnie zestaw klasy schematu i atrybutu schematu jest zapakowany w Active Directory. Jednak schemat Active Directory otwiera możliwość opracowania rozszerzonej klasy schematu na podstawie dostępnego atrybutu lub utworzenia nowego schematu atrybutu.
jednak, aby móc rozszerzyć rozwój za pomocą Schema AD, musimy dokładnie przygotować się za pomocą jasnego projektu i rozważyć, czy potrzeby są konieczne, czy nie, ponieważ ryzyko jest dość wysokie, aby system działał stabilnie. Obwód wpływa bezpośrednio na Twój system.
Komponenty Active Directory
model sieci biznesowej wykorzystuje komponenty Active Directory, które służą do budowy modelu odpowiadającego potrzebom biznesowym. Przegląd na temat aspektowego modelu architektonicznego AD, który sklasyfikowaliśmy na 2 typy: fizyczny i logiczny.
struktura logiczna (Architektura logiczna)
W ad organizowanie zasobów zgodnie ze strukturą logiczną, która jest mapowana przez domeny modelowe, podziały, drzewa i Las. Zasoby grupowe są zorganizowane z określonego powodu, co pozwala na łatwiejszy dostęp do zasobów niż zapamiętywanie określonej pozycji w fizyce it.
- domena: rdzeniem architektury utrzymywanej przez przyczynę w AD jest domena przechowująca miliony obiektów (Obiektów). Wszystkie obiekty w sieci systemowej znajdują się w domenie, jeśli jest to główna domena, w której przechowywane są informacje o obiekcie.
- Usługa Active Directory jest tworzona przez jedną lub więcej domen, a domena może być wdrażana na wielu strukturach fizycznych. Dostęp do domeny można kontrolować za pomocą list kontroli dostępu (ACL), przy czym dostęp w domenie odpowiada każdemu obiektowi.
- jednostki organizacyjne: jednostki organizacyjne to kontener służący do organizowania obiektów wewnątrz domeny w grupę administracyjną powód (logiczny). Jednostki organizacyjne zapewniają środki do wykonywania zadań administracyjnych w systemie jako administrator użytkownika i zasobów, co jest najmniejszym obiektem zakresu, do którego można przekazać zarządzanie uwierzytelnianiem. Jednostki organizacyjne obejmują wiele innych obiektów, takich jak konta użytkowników, grupy, Komputery i jednostki organizacyjne, które tworzą drzewo jednostek organizacyjnych w tej samej domenie. Podziały drzew w architekturze niezależnej od domeny, podziały drzew należące do innej domeny.
- drzewa: Drzewa to grupa domen zorganizowanych zgodnie ze strukturą drzewa z odwzorowaniami modeli nadrzędno-podrzędnych z rzeczywistej organizacji przedsiębiorstw i organizacji. Domena ma 1, prawdopodobnie wiele domen podrzędnych, ale 1 domena podrzędna ma tylko 1 domenę nadrzędną. Na przykład w domenie framgia.com Pobierz domenę poniżej-to abc.framgia.com i xyz.framgia.com rozumie się drzewo.
- lasy: Las jest terminem wprowadzonym do definicji 1 modelu organizacyjnego AD, 1 Las składa się z wielu drzew domen połączonych ze sobą, drzewa domen w lesie są niezależne od siebie w odniesieniu do organizacji, słuchanie wydaje się sprzecznością w związku, ale będziemy bardziej zrozumiałe, gdy związek między drzewa domen są relacjami zaufania w dwóch wymiarach, ponieważ partnerzy są razem. Las musi zapewniać spójne następujące cechy:
- Cała domena w lesie musi mieć 1 wspólny zasób schematu.
- Domena w lesie musi mieć 1 udział globalnego katalogu (GC).
- Domena w lesie musi mieć ze sobą dwustronne relacje zaufania.
- drzewo w 1 lesie musi mieć nazwę struktury (nazwa domeny) różni.
- Domena w lesie funkcjonuje niezależnie od siebie, jednak aktywność lasu jest pracą całego systemu.
struktura fizyczna: (Architektura fizyczna)
przegląd aspektów komponentu fizycznego AD obejmie 2 części – witryny i kontrolery domen. W zależności od modelu organizacyjnego firmy administrator będzie musiał użyć komponentów, które należy odpowiednio zaprojektować.
strony:
- witryna jest terminem używanym w odniesieniu do lokalizacji geograficznej domeny w systemie. Kiedy domeny systemowe są rozproszone w różnych lokalizacjach geograficznych, w różnych miejscach i mają ze sobą relacje, to gdzie umieścić domenę, to jest strona
kontrolery domeny
kontroler domeny (DC) to 1 komputer lub serwer dedykowany, maszyna wirtualna jest wdrażana w celu zainstalowania systemu Windows Server i zapisanej kopii katalogu domeny (lokalnej bazy danych domeny).
domena może mieć 1 lub więcej kontrolerów domeny, każdy kontroler domeny ma kopię katalogu danych domeny. Kontroler domeny jest odpowiedzialny za uwierzytelnianie użytkowników i jest odpowiedzialny za egzekwowanie zasad bezpieczeństwa. Główna funkcja kontrolera domeny:
- każdy kontroler domeny, na którym znajdują się informacje o replice Active Directory dla domeny, która jest odpowiedzialna za zarządzanie informacjami i synchronizację danych z kontrolerem domeny do innej w tej samej domenie.
- kontroler domeny w domenie ma możliwość automatycznej synchronizacji danych z innym DC w tej samej domenie. Gdy wykonasz zadanie dotyczące informacji przechowywanych w DC, informacje te zostaną automatycznie zsynchronizowane z DC other. Aby jednak zapewnić stabilność systemu sieciowego, musimy mieć zasady odpowiednie dla domeny w danych informacyjnych synchronizacji z czasem instalacji.
- domyślnie, aby uniknąć łatwego dostępu i optymalnej bazy danych w AD, gdy trzeba zmienić aktualizacje w systemie, a następnie DC wszelkie średnie 5 głównych ról zostaną zaktualizowane, zanim te zmiany zostaną zsynchronizowane z innym systemem prądu stałego w sieci. Systemy prądu stałego regularnie komunikują się ze sobą w celu wzajemnego sprawdzania zmian wprowadzanych w bazie danych. Możemy skonfigurować synchronizację kalendarza mającą na celu zminimalizowanie wstążki w systemie.
- kontroler domeny automatycznie synchronizuje się natychmiast z ważnymi zmianami dla domeny po wyłączeniu konta użytkownika.
- Usługa Active Directory korzysta z silnika synchronizacji danych multimaster, co oznacza, że nie ma kontrolera domeny, który w ogóle działa jako główny, ale zamiast tego wszystkie kontrolery domeny są na równi ze sobą, każdy kontroler domeny przechowuje kopię systemu baz danych. Kontroler domeny przechowuje informacje o różnych danych przez krótki czas, dopóki informacje przekazywane do kontrolera domeny w systemie nie zostaną zsynchronizowane ze sobą lub innymi słowy, dane nie zostaną uzgodnione dla całej domeny.
- chociaż Active Directory w pełni obsługuje synchronizację danych pod ostrzem, ale w rzeczywistości nie zawsze jest to zgodne z tym mechanizmem (implementacja nie jest dozwolona w wielu miejscach systemu sieciowego w tym samym czasie).
- role Master of operations (FSMO) to role, które są specjalnie przypisane do 1 lub więcej kontrolerów domeny w celu synchronizacji zgodnie z jednym mistrzem, łatwo mogę zauważyć, że wymuszanie operacji Multimaster jest wymuszaniem wielu jeden – mistrz jednocześnie.
- system obsługuje więcej niż jedną domenę w przypadku nadmiarowego kontrolera kopii zapasowej domeny, gdy występuje problem z kontrolerem domeny, domena automatycznie uruchamia kopię zapasową, zapewniając stałą stabilność systemu.
- kontroler domeny, aby rozwiązać problem podczas interakcji z domeną użytkowników, na przykład w celu identyfikacji obiektów w usłudze Active Directory lub weryfikacji logowania użytkownika.
Leave a Reply