Menu
Gratis
Registrazione
Casa  /  Età/ Cos'è Active Directory in parole semplici. Introduzione ai concetti di Active Directory

Cos'è Active Directory in parole semplici. Introduzione ai concetti di Active Directory

Avendo molta familiarità con le piccole imprese dall'interno, sono sempre stato interessato le seguenti domande. Spiegare perché un dipendente dovrebbe utilizzare il browser preferito dall'amministratore di sistema sul suo computer di lavoro? Oppure prendi qualsiasi altro software, ad esempio lo stesso archiviatore, client di posta elettronica, client di messaggistica istantanea... Sto accennando gentilmente alla standardizzazione, e non sulla base della simpatia personale dell'amministratore di sistema, ma sulla base della sufficienza delle funzionalità , il costo di manutenzione e supporto di questi prodotti software. Cominciamo a considerare l'IT come una scienza esatta, e non come un mestiere, quando ognuno fa quello che sa fare meglio. Ancora una volta, ci sono molti problemi anche nelle piccole imprese. Immagina che un'azienda in un momento difficile di crisi cambi molti di questi amministratori, cosa dovrebbero fare gli utenti poveri in una situazione del genere? Aggiornarsi costantemente?

Guardiamo dall'altra parte. Qualsiasi manager dovrebbe capire cosa sta accadendo attualmente nella sua azienda (incluso l'IT). Ciò è necessario per monitorare la situazione attuale e per rispondere tempestivamente all’insorgere di problematiche di varia natura. Ma questa comprensione è più importante per pianificazione strategica. Dopotutto, avendo una base solida e affidabile, possiamo costruire una casa con 3 o 5 piani, realizzare un tetto forme diverse, realizzare balconi o giardini d'inverno. Allo stesso modo, nell'IT disponiamo di basi affidabili: possiamo utilizzare prodotti e tecnologie più complessi per risolvere i problemi aziendali.

Il primo articolo parlerà di tale base: i servizi Active Directory. Sono progettati per diventare una solida base per l'infrastruttura IT di un'azienda di qualsiasi dimensione e di qualsiasi area di attività. Che cos'è? Quindi parliamo di questo...

Iniziamo la conversazione con concetti semplici: dominio e servizi Active Directory.

Dominioè l'unità amministrativa di base nell'infrastruttura di rete di un'azienda, che include tutti gli oggetti di rete come utenti, computer, stampanti, condivisioni e altro. L'insieme di tali domini è chiamato foresta.

Servizi Active Directory (Servizi Active Directory) sono un database distribuito che contiene tutti gli oggetti del dominio. L'ambiente di dominio Active Directory fornisce un singolo punto di autenticazione e autorizzazione per utenti e applicazioni in tutta l'azienda. È con l'organizzazione di un dominio e l'implementazione dei servizi Active Directory che inizia la costruzione di un'infrastruttura IT aziendale.

Il database di Active Directory è archiviato su server dedicati: controller di dominio. Servizi Active Directory è un ruolo dei sistemi operativi server Microsoft Windows Server. I servizi Active Directory sono altamente scalabili. È possibile creare più di 2 miliardi di oggetti in una foresta di Active Directory, consentendo l'implementazione del servizio di directory in aziende con centinaia di migliaia di computer e utenti. La struttura gerarchica dei domini consente di scalare in modo flessibile l'infrastruttura IT a tutte le filiali e divisioni regionali delle aziende. Per ogni filiale o divisione di un'azienda è possibile creare un dominio separato, con proprie policy, propri utenti e gruppi. Per ciascun dominio figlio, l'autorità amministrativa può essere delegata agli amministratori di sistema locali. Allo stesso tempo, i domini figli sono ancora subordinati ai rispettivi genitori.

Inoltre, i servizi Active Directory consentono di configurare relazioni di trust tra foreste di domini. Ogni azienda ha la propria foresta di domini, ognuna con le proprie risorse. Ma a volte è necessario fornire l'accesso alle risorse aziendali ai dipendenti di un'altra azienda con cui si lavora documenti generali e candidature nel quadro di un progetto comune. A tale scopo, è possibile impostare relazioni di fiducia tra foreste organizzative, che consentiranno ai dipendenti di un'organizzazione di accedere al dominio di un'altra.

Per garantire la tolleranza agli errori per i servizi Active Directory, è necessario distribuire due o più controller di dominio in ciascun dominio. Tutte le modifiche vengono replicate automaticamente tra i controller di dominio. Se uno dei controller di dominio si guasta, la funzionalità della rete non viene influenzata, poiché i restanti continuano a funzionare. Un ulteriore livello di tolleranza agli errori viene fornito posizionando i server DNS sui controller di dominio in Active Directory, che consente a ciascun dominio di avere più server DNS che servono la zona del dominio principale. E se uno dei server DNS fallisce, gli altri continueranno a funzionare. Del ruolo e dell'importanza dei server DNS nell'infrastruttura IT parleremo in uno degli articoli della serie.

Ma questi sono tutti aspetti tecnici dell'implementazione e della manutenzione dei servizi Active Directory. Parliamo dei vantaggi che un'azienda ottiene abbandonando il networking peer-to-peer e utilizzando i gruppi di lavoro.

1. Unico punto di autenticazione

In un gruppo di lavoro, su ogni computer o server dovrai aggiungere manualmente elenco completo utenti che richiedono l'accesso alla rete. Se all'improvviso uno dei dipendenti desidera modificare la propria password, sarà necessario modificarla su tutti i computer e server. Va bene se la rete è composta da 10 computer, ma cosa succede se ce ne sono di più? Quando si utilizza un dominio Active Directory, tutti gli account utente vengono archiviati in un database e tutti i computer vi cercano l'autorizzazione. Tutti gli utenti del dominio sono inclusi nei gruppi appropriati, ad esempio "Contabilità", "Dipartimento Finanze". È sufficiente impostare le autorizzazioni per determinati gruppi una volta e tutti gli utenti avranno accesso appropriato a documenti e applicazioni. Se viene in azienda nuovo dipendente, viene creato un account per lui, che è incluso nel gruppo appropriato: il dipendente ha accesso a tutte le risorse di rete a cui dovrebbe essere consentito l'accesso. Se un dipendente si licenzia, basta bloccarlo e perderà immediatamente l'accesso a tutte le risorse (computer, documenti, applicazioni).

2. Punto unico di gestione delle politiche

In un gruppo di lavoro tutti i computer hanno gli stessi diritti. Nessuno dei computer può controllare l'altro; è impossibile monitorare il rispetto di politiche e regole di sicurezza uniformi. Quando si utilizza una singola Active Directory, tutti gli utenti e i computer vengono distribuiti gerarchicamente tra le unità organizzative, ciascuna delle quali è soggetta agli stessi criteri di gruppo. I criteri consentono di definire impostazioni uniformi e di sicurezza per un gruppo di computer e utenti. Quando un nuovo computer o utente viene aggiunto a un dominio, riceve automaticamente le impostazioni conformi agli standard aziendali accettati. Utilizzando i criteri, è possibile assegnare centralmente le stampanti di rete agli utenti, installare le applicazioni necessarie, definire le impostazioni di sicurezza del browser e configurare le applicazioni Microsoft Office.

3. Livello aumentato sicurezza delle informazioni

L'utilizzo dei servizi Active Directory aumenta significativamente il livello di sicurezza della rete. Innanzitutto, si tratta di un account di archiviazione unico e sicuro. In un ambiente di dominio, tutte le password degli utenti di dominio vengono archiviate su server controller di dominio dedicati, che in genere sono protetti dall'accesso esterno. In secondo luogo, quando si utilizza un ambiente di dominio, per l'autenticazione viene utilizzato il protocollo Kerberos, che è molto più sicuro di NTLM, utilizzato nei gruppi di lavoro.

4. Integrazione con applicazioni e apparecchiature aziendali

Un grande vantaggio dei servizi Active Directory è la conformità allo standard LDAP, che è supportato da altri sistemi, ad esempio server di posta (Exchange Server), server proxy (ISA Server, TMG). E questi non sono necessariamente solo prodotti Microsoft. Il vantaggio di questa integrazione è che l'utente non ha bisogno di ricordare gran numero login e password per accedere a una particolare applicazione, in tutte le applicazioni l'utente ha le stesse credenziali: la sua autenticazione avviene in un unico Active Directory. Windows Server fornisce il protocollo RADIUS per l'integrazione con Active Directory, supportato da un gran numero di apparecchiature di rete. In questo modo è possibile, ad esempio, garantire l'autenticazione degli utenti del dominio quando si collegano tramite VPN dall'esterno o l'utilizzo dei punti di accesso Wi-Fi in azienda.

5. Archiviazione unificata della configurazione dell'applicazione

Alcune applicazioni archiviano la propria configurazione in Active Directory, come Exchange Server. La distribuzione del servizio directory di Active Directory è prerequisito affinché queste applicazioni funzionino. L'archiviazione della configurazione dell'applicazione in un servizio directory offre vantaggi in termini di flessibilità e affidabilità. Ad esempio, in caso di guasto completo del server Exchange, la sua intera configurazione rimarrà intatta. Per ripristinare la funzionalità della posta aziendale sarà sufficiente reinstallare Exchange Server in modalità ripristino.

In sintesi, vorrei sottolineare ancora una volta che i servizi Active Directory rappresentano il cuore dell'infrastruttura IT di un'azienda. In caso di guasto, l’intera rete, tutti i server e il lavoro di tutti gli utenti rimarranno paralizzati. Nessuno sarà in grado di accedere al computer o accedere ai propri documenti e applicazioni. Pertanto, il servizio di directory deve essere progettato e implementato con attenzione, tenendo conto di tutte le possibili sfumature, ad es. larghezza di banda canali tra filiali o uffici di un'azienda (la velocità di accesso dell'utente al sistema, così come lo scambio di dati tra i controller di dominio, dipende direttamente da questo).


Un dominio è l'unità amministrativa di base nell'infrastruttura di rete di un'azienda, che comprende tutti gli oggetti di rete come utenti, computer, stampanti, condivisioni, ecc. Una raccolta (gerarchia) di domini è chiamata foresta. Ogni azienda può avere un dominio esterno e interno.

Ad esempio, un sito Web è un dominio esterno su Internet acquistato da un registrar di nomi. Questo dominio ospita il nostro sito WEB e il server di posta. lankey.local è il dominio interno del servizio directory Active Directory che ospita account per utenti, computer, stampanti, server e applicazioni aziendali. A volte i nomi di dominio esterni e interni sono uguali.

Microsoft Active Directory è diventato lo standard per i sistemi di directory unificati aziendali. Un dominio basato su Active Directory è stato implementato in quasi tutte le aziende del mondo e Microsoft non ha praticamente più concorrenti in questo mercato, la quota dello stesso Novell Directory Service (NDS) è trascurabile e le restanti aziende stanno gradualmente migrando verso Directory attiva.

Active Directory (servizio Directory) è un database distribuito che contiene tutti gli oggetti in un dominio. L'ambiente di dominio Active Directory fornisce un singolo punto di autenticazione e autorizzazione per utenti e applicazioni in tutta l'azienda. È con l'organizzazione di un dominio e l'implementazione di Active Directory che inizia la costruzione di un'infrastruttura IT aziendale. Il database di Active Directory è archiviato su server dedicati: controller di dominio. Active Directory è un ruolo nei sistemi operativi server Microsoft Windows Server. LanKey sta attualmente implementando domini Active Directory basati sul sistema operativo Windows Server 2008 R2.

La distribuzione di Active Directory su un gruppo di lavoro offre i seguenti vantaggi:

  • Unico punto di autenticazione. Quando i computer lavorano in un gruppo di lavoro, non dispongono di un unico database utente; ogni computer ha il proprio. Pertanto, per impostazione predefinita, nessun utente ha accesso di rete al computer o al server di un altro utente. E, come sapete, lo scopo della rete è proprio che gli utenti possano interagire. I dipendenti hanno bisogno di condividere documenti o applicazioni. In un gruppo di lavoro, su ciascun computer o server, dovrai aggiungere manualmente un elenco completo di utenti che richiedono l'accesso alla rete. Se all'improvviso uno dei dipendenti desidera modificare la propria password, sarà necessario modificarla su tutti i computer e server. Va bene se la rete è composta da 10 computer, ma se ce ne sono 100 o 1000, l'utilizzo di un gruppo di lavoro sarà inaccettabile. Quando si utilizza un dominio Active Directory, tutti gli account utente vengono archiviati in un database e tutti i computer vi cercano l'autorizzazione. Tutti gli utenti del dominio sono inclusi nei gruppi appropriati, ad esempio "Contabilità", "Risorse umane", "Dipartimento finanze", ecc. È sufficiente impostare le autorizzazioni per determinati gruppi una volta e tutti gli utenti avranno accesso appropriato a documenti e applicazioni. Se un nuovo dipendente entra in azienda, per lui viene creato un account, che viene incluso nel gruppo appropriato, e il gioco è fatto! Dopo un paio di minuti, il nuovo dipendente ottiene l'accesso a tutte le risorse di rete a cui dovrebbe avere accesso, su tutti i server e computer. Se un dipendente si licenzia, è sufficiente bloccare o eliminare il suo account e perderà immediatamente l'accesso a tutti i computer, documenti e applicazioni.
  • Punto unico di gestione delle politiche. In una rete peer-to-peer (gruppo di lavoro), tutti i computer hanno gli stessi diritti. Nessuno dei computer può controllare l'altro, tutti i computer sono configurati in modo diverso ed è impossibile monitorare la conformità con politiche o regole di sicurezza uniformi. Quando si utilizza una singola Active Directory, tutti gli utenti e i computer vengono distribuiti gerarchicamente tra le unità organizzative, ciascuna delle quali è soggetta agli stessi criteri di gruppo. I criteri consentono di definire impostazioni uniformi e di sicurezza per un gruppo di computer e utenti. Quando un nuovo computer o utente viene aggiunto a un dominio, riceve automaticamente le impostazioni conformi agli standard aziendali accettati. Inoltre, utilizzando i criteri, è possibile assegnare centralmente le stampanti di rete agli utenti, installare le applicazioni necessarie, definire le impostazioni di sicurezza del browser Internet, configurare le applicazioni Microsoft Office, ecc.
  • Integrazioni con applicazioni e apparecchiature aziendali. Il grande vantaggio di Active Directory è la conformità allo standard LDAP, che è supportato da centinaia di applicazioni, come server di posta (Exchange, Lotus, Mdaemon), sistemi ERP (Dynamics, CRM), server proxy (ISA Server, Squid) , ecc. Inoltre, non si tratta solo di applicazioni per Microsoft Windows, ma anche di server basati su Linux. I vantaggi di tale integrazione sono che l'utente non ha bisogno di ricordare un gran numero di login e password per accedere a una particolare applicazione in tutte le applicazioni l'utente ha le stesse credenziali, perché la sua autenticazione avviene in un unico Active Directory. Inoltre, il dipendente non ha bisogno di inserire più volte nome utente e password, è sufficiente accedere una volta all'avvio del computer e in futuro l'utente verrà automaticamente autenticato in tutte le applicazioni. Windows Server fornisce il protocollo RADIUS per l'integrazione con Active Directory, supportato da un gran numero di apparecchiature di rete. In questo modo è possibile, ad esempio, fornire l'autenticazione agli utenti del dominio quando si collegano ad un router CISCO tramite VPN.
  • Repository unificato di configurazione dell'applicazione. Alcune applicazioni archiviano la configurazione in Active Directory, ad esempio Exchange Server o Office Communications Server. La distribuzione del servizio directory Active Directory è un prerequisito per il funzionamento di queste applicazioni. È inoltre possibile memorizzare la configurazione del server dei nomi di dominio DNS nel servizio directory. L'archiviazione della configurazione dell'applicazione in un servizio directory offre vantaggi in termini di flessibilità e affidabilità. Ad esempio, in caso di guasto completo del server Exchange, la sua intera configurazione rimarrà intatta, perché archiviato in Active Directory. E per ripristinare la funzionalità della posta aziendale sarà sufficiente reinstallare il server Exchange in modalità ripristino.
  • Aumento del livello di sicurezza delle informazioni. L'utilizzo di Active Directory aumenta significativamente il livello di sicurezza della rete. Innanzitutto, si tratta di un account di archiviazione unico e sicuro. In una rete peer-to-peer, le credenziali dell'utente vengono archiviate in un database di account locale (SAM), che teoricamente può essere violato prendendo il controllo del computer. In un ambiente di dominio, tutte le password degli utenti di dominio vengono archiviate su server controller di dominio dedicati, che in genere sono protetti dall'accesso esterno. In secondo luogo, quando si utilizza un ambiente di dominio, per l'autenticazione viene utilizzato il protocollo Kerberos, che è molto più sicuro di NTLM, utilizzato nei gruppi di lavoro. È inoltre possibile utilizzare l'autenticazione a due fattori utilizzando le smart card per accedere agli utenti nel sistema. Quelli. Affinché un dipendente possa accedere al computer, dovrà inserire il nome utente e la password, nonché inserire la smart card.

Scalabilità e resilienza di Active Directory

Il servizio directory Microsoft Active Directory è altamente scalabile. In una foresta di Active Directory possono essere creati più di 2 miliardi di oggetti, il che consente di implementare il servizio di directory in aziende con centinaia di migliaia di computer e utenti. La struttura gerarchica dei domini consente di scalare in modo flessibile l'infrastruttura IT a tutte le filiali e divisioni regionali delle aziende. Per ogni filiale o divisione di un'azienda è possibile creare un dominio separato, con proprie policy, propri utenti e gruppi. Per ciascun dominio figlio, l'autorità amministrativa può essere delegata agli amministratori di sistema locali. Allo stesso tempo, i domini figli sono ancora subordinati ai rispettivi genitori.

Inoltre, Active Directory consente di configurare relazioni di trust tra foreste di domini. Ogni azienda ha la propria foresta di domini, ognuna con le proprie risorse. Ma a volte è necessario fornire l'accesso alle risorse aziendali ai dipendenti delle aziende partner. Ad esempio, quando partecipano a progetti comuni, i dipendenti delle aziende partner potrebbero dover lavorare insieme su documenti o applicazioni comuni. A tale scopo, è possibile impostare relazioni di fiducia tra foreste organizzative, che consentiranno ai dipendenti di un'organizzazione di accedere al dominio di un'altra.

La tolleranza agli errori del servizio directory è garantita distribuendo 2 o più server - controller di dominio in ciascun dominio. Tutte le modifiche vengono replicate automaticamente tra i controller di dominio. Se uno dei controller di dominio fallisce, la funzionalità della rete non viene influenzata, perché i restanti continuano a funzionare. Un ulteriore livello di tolleranza agli errori viene fornito posizionando i server DNS sui controller di dominio in Active Directory, che consente a ciascun dominio di avere più server DNS che servono la zona del dominio principale. E se uno dei server DNS dovesse guastarsi, i restanti continueranno a funzionare e saranno accessibili sia in lettura che in scrittura, cosa che non può essere garantita utilizzando, ad esempio, i server DNS BIND basati su Linux.

Vantaggi dell'aggiornamento a Windows Server 2008 R2

Anche se la tua azienda dispone già di un servizio directory Active Directory in esecuzione su Windows Server 2003, puoi ottenere numerosi vantaggi eseguendo l'aggiornamento a Windows Server 2008 R2. Windows Server 2008 R2 fornisce le seguenti funzionalità aggiuntive:

    Controller di dominio di sola lettura RODC (controller di dominio di sola lettura). I controller di dominio archiviano account utente, certificati e molte altre informazioni sensibili. Se i server si trovano in data center sicuri, puoi stare tranquillo riguardo alla sicurezza di queste informazioni, ma cosa fare se il controller di dominio si trova in una filiale in un luogo accessibile al pubblico. In questo caso, esiste la possibilità che il server venga rubato dagli aggressori e violato. E poi usano questi dati per organizzare un attacco alla tua rete aziendale per rubare o distruggere informazioni. È per prevenire tali casi che le filiali installano controller di dominio di sola lettura (RODC). In primo luogo, i controller RODC non memorizzano le password degli utenti, ma le memorizzano solo nella cache per accelerare l'accesso e, in secondo luogo, utilizzano la replica unidirezionale, solo dai server centrali alla filiale, ma non viceversa. E anche se gli aggressori prendessero il controllo del controller di dominio RODC, non riceveranno le password degli utenti e non potranno causare danni alla rete principale.

    Recupero di oggetti Active Directory eliminati. Quasi tutti gli amministratori di sistema si sono trovati di fronte alla necessità di ripristinare un account utente cancellato accidentalmente o un intero gruppo di utenti. In Windows 2003 ciò richiedeva il ripristino del servizio directory da un backup, che spesso non esisteva, ma anche se ce n'era uno, il ripristino richiedeva molto tempo. Windows Server 2008 R2 ha introdotto il Cestino di Active Directory. Ora, quando elimini un utente o un computer, questo finisce nel cestino, dal quale può essere ripristinato in un paio di minuti entro 180 giorni, preservando tutti gli attributi originali.

    Gestione semplificata. Windows Server 2008 R2 include una serie di modifiche che riducono significativamente il carico sugli amministratori di sistema e semplificano la gestione dell'infrastruttura IT. Ad esempio, sono apparsi strumenti come: Audit delle modifiche di Active Directory, che mostra chi ha cambiato cosa e quando; I criteri di complessità della password possono essere configurati a livello di gruppo utenti; in precedenza ciò era possibile solo a livello di dominio; nuovi strumenti di gestione degli utenti e dei computer; modelli di politica; controllo da parte di riga di comando PowerShell, ecc.

Implementazione di Active Directory

Il servizio directory Active Directory è il cuore dell'infrastruttura IT di un'azienda. Se fallisce, l’intera rete, tutti i server e il lavoro di tutti gli utenti rimarranno paralizzati. Nessuno sarà in grado di accedere al computer o accedere ai propri documenti e applicazioni. Pertanto, il servizio di directory deve essere progettato e implementato con attenzione, tenendo conto di tutte le possibili sfumature. Ad esempio, la struttura dei siti dovrebbe essere costruita in base alla topologia fisica della rete e alla capacità dei canali tra filiali o uffici dell'azienda, perché Ciò influisce direttamente sulla velocità di accesso dell'utente, nonché sulla replica tra controller di dominio. Inoltre, in base alla topologia del sito, Exchange Server 2007/2010 esegue il routing della posta. È inoltre necessario calcolare correttamente il numero e il posizionamento dei server di catalogo globale che archiviano elenchi di gruppi universali e molti altri attributi comunemente utilizzati in tutti i domini della foresta. Per questo motivo le aziende affidano ai system integrator il compito di implementare, riorganizzare o migrare il servizio directory Active Directory. Tuttavia, non bisogna commettere errori nella scelta di un system integrator; è necessario assicurarsi che sia certificato per svolgere questo tipo di lavoro e abbia le competenze adeguate.

LanKey è un system integrator certificato e ha lo status di Microsoft Gold Certified Partner. LanKey ha la competenza Datacenter Platform (Advanced Infrastructure Solutions), che conferma la nostra esperienza e qualificazione in questioni relative all'implementazione di Active Directory e all'implementazione di soluzioni server di Microsoft.


Tutto il lavoro nei progetti viene eseguito da ingegneri certificati Microsoft MCSE, MCITP, che hanno una vasta esperienza in progetti grandi e complessi per costruire infrastrutture IT e implementare domini Active Directory.

LanKey svilupperà l'infrastruttura IT, implementerà il servizio di directory Active Directory e garantirà il consolidamento di tutte le risorse aziendali esistenti in un unico spazio informativo. L'implementazione di Active Directory contribuirà a ridurre il costo totale di proprietà di un sistema informativo, nonché ad aumentare l'efficienza della condivisione delle risorse comuni. LanKey fornisce inoltre servizi di migrazione dei domini, consolidamento e separazione delle infrastrutture IT in occasione di fusioni e acquisizioni, manutenzione e supporto dei sistemi informativi.

Esempi di alcuni progetti di implementazione di Active Directory implementati da LanKey:

Cliente Descrizione della soluzione

In relazione all'operazione di acquisto del 100% delle azioni della società OJSC "SIBUR-Minudobreniya" (successivamente ribattezzata OJSC "SDS-Azot") Holding Company "Siberian Business Union" nel dicembre 2011, è nata la necessità di separare le Infrastruttura IT di OJSC "SDS" -Azot" della rete SIBUR Holding.

La società LanKey ha migrato il servizio di directory Active Directory della divisione SIBUR-Minudobreniya dalla rete della holding SIBUR a nuova infrastruttura. È stata eseguita la migrazione anche degli account utente, dei computer e delle applicazioni. Sulla base dei risultati del progetto, è stata ricevuta una lettera di ringraziamento da parte del cliente.
In connessione con la ristrutturazione aziendale, il servizio di directory Active Directory è stato implementato per l'ufficio centrale e 50 negozi di Mosca e regionali. Il servizio di directory forniva la gestione centralizzata di tutte le risorse aziendali, nonché l'autenticazione e l'autorizzazione di tutti gli utenti.
Nell'ambito di un progetto globale volto a creare un'infrastruttura IT aziendale, LanKey ha implementato un dominio Active Directory per la società di gestione e 3 divisioni regionali. È stato creato un sito separato per ciascuna filiale; in ciascun sito sono stati distribuiti 2 controller di dominio. Sono stati inoltre implementati servizi di certificazione. Tutti i servizi sono stati distribuiti su macchine virtuali che eseguono Microsoft Hyper-V. La qualità del lavoro dell'azienda LanKey è stata rilevata dalla recensione.
Nell'ambito di un progetto globale per la creazione di una società sistema informativo, il servizio directory Active Directory è stato distribuito in base a Windows Server 2008 R2. Il sistema è stato distribuito utilizzando la tecnologia di virtualizzazione del server che esegue Microsoft Hyper-V. Il servizio di directory forniva autenticazione e autorizzazione unificate a tutti i dipendenti dell'ospedale e garantiva anche il funzionamento di applicazioni come Exchange, TMG, SQL, ecc.



Il servizio directory Active Directory è stato distribuito su Windows Server 2008 R2. Per ridurre i costi l'installazione è stata effettuata in un sistema di virtualizzazione del server basato su Microsoft Hyper-V.
Nell'ambito di un progetto globale per la creazione di un'infrastruttura IT aziendale è stato implementato un servizio di directory basato su Windows Server 2008 R2. Tutti i controller di dominio sono stati distribuiti utilizzando il sistema di virtualizzazione del server Microsoft Hyper-V. La qualità del lavoro è confermata dal feedback ricevuto dal cliente.


In una situazione aziendale critica, la funzionalità del servizio directory Active Directory è stata ripristinata nel più breve tempo possibile. Gli specialisti di LanKey hanno letteralmente ripristinato la funzionalità del dominio root in appena un paio d'ore e hanno scritto istruzioni per ripristinare la replica di 80 filiali. Abbiamo ricevuto feedback dal cliente per l'efficienza e la qualità del lavoro.
Nell'ambito di un progetto globale per la creazione di un'infrastruttura IT è stato implementato un dominio Active Directory basato su Windows Server 2008 R2. La funzionalità del servizio directory è stata garantita utilizzando 5 controller di dominio distribuiti su un cluster di macchine virtuali. È stato eseguito il backup del servizio di directory utilizzando Microsoft Data Protection Manager 2010 ed è stato esaminato per verificarne la qualità.

Nell'ambito di un progetto globale per la realizzazione di un sistema informativo aziendale, è stato implementato il servizio di directory unificato Active Directory basato su Windows Server 2008. L'infrastruttura IT è stata realizzata utilizzando la virtualizzazione Hyper-V. Dopo la conclusione del progetto è stato concluso un accordo per l'ulteriore manutenzione del sistema informativo. La qualità del lavoro è confermata dalla recensione.
Tecnologie del petrolio e del gas Nell'ambito di un progetto globale per la creazione di un'infrastruttura IT è stata implementata un'unica directory Active Directory basata su Windows Server 2008 R2. Il progetto è stato completato in 1 mese. Dopo il completamento del progetto è stato concluso un accordo per l'ulteriore manutenzione del sistema. La qualità del lavoro è confermata dalla recensione.
Active Directory è stato distribuito su Windows Server 2008 come parte del progetto di implementazione di Exchange Server 2007.
Riorganizzato il servizio directory Active Directory basato su Windows Server 2003 prima di implementare Exchange Server 2007. La qualità del lavoro è stata confermata dal feedback.
Il servizio directory Active Directory è stato distribuito su Windows Server 2003 R2. Dopo il completamento del progetto è stato firmato un contratto per l'ulteriore manutenzione del sistema. La qualità del lavoro è confermata dalla recensione.

Active Directory è stato implementato su Windows Server 2003. Dopo la conclusione del progetto è stato firmato un accordo per un ulteriore supporto del sistema.

Ogni utente di computer che si rispetti ha dovuto collegare almeno una volta nella vita una stampante ad un computer, forse tu non ne hai una tua, ma i tuoi vicini o i tuoi amici ti hanno chiesto di farlo; E hai accettato, anche se non avevi mai riscontrato questa procedura prima. A livello fisico, hai fatto tutto correttamente, ma quando provi a stampare qualcosa, il sistema visualizza l'errore "I servizi di dominio Active Directory non sono attualmente disponibili". Probabilmente non sai cosa fare in questa situazione. Questo articolo è progettato per aiutarti in questo.

Motivi per cui la stampante non funziona

Uno dei motivi più probabili è che non funziona servizio speciale, che si applica solo alla stampante Active Directory e allo spooler associato. A volte, soprattutto sui dispositivi più vecchi, devi avviare tu stesso questo servizio, manualmente. Un altro motivo sono i driver della stampante; potrebbero non essere installati correttamente a causa del fatto che i servizi corrispondenti non si avviano.

È importante prestare attenzione al sistema operativo stesso. Per i dispositivi collegati, dispone di alcuni software che gli consentono di funzionare con dispositivi specifici, nel nostro caso una stampante. E controlla anche la funzionalità del computer stesso e delle sue porte USB.

Aggiunta corretta della stampante

Poche persone leggono le istruzioni su come collegare o installare correttamente le nuove apparecchiature prima di farlo. Molti cercano di farcela con l'aiuto del proprio intuito e dell'eccessiva fiducia in se stessi. E di solito si ricorre alle istruzioni solo quando, ad esempio, viene visualizzato l'errore "I servizi di dominio Active Directory non sono attualmente disponibili". Impariamo dal fornitore del sistema operativo Windows, Microsoft, come aggiungere correttamente una stampante ai dispositivi del sistema operativo.


Risoluzione dell'errore "Servizi di dominio non disponibili" sulla stampante

Prima di risolvere l'errore di Active Directory, assicurati che le porte a cui colleghi la stampante siano funzionanti, così come il cavo che collega il dispositivo al computer. È inoltre necessario assicurarsi che il dispositivo stesso funzioni. Se ne hai la possibilità, collega un'altra stampante al tuo computer, prendine in prestito una da un vicino o da un amico. In ogni caso devi essere sicuro al 100% che i dispositivi non necessitino di riparazioni e che il problema sia a livello software.


Abilita i servizi Active Directory

Per risolvere il nostro problema "I servizi di dominio Active Directory non sono attualmente disponibili", potrebbe essere necessario abilitare o riavviare alcuni servizi affinché la stampante funzioni. Per fare ciò:

  1. Aprire il pannello di controllo (fare clic con il tasto destro sull'icona "Start" e selezionare dall'elenco).
  2. Successivamente, trova la sezione “Amministrazione”. Seleziona "Servizi" dall'elenco.
  3. Qui, trova nell'elenco dei servizi " Configurazione automatica dispositivi di rete." Selezionatelo e se è disabilitato abilitatelo, altrimenti riavviatelo cliccando “Disabilita”, “Abilita” nelle proprietà.
  4. Gli stessi passaggi devono essere eseguiti per i seguenti servizi: “Automatic Remote Access Connection Manager”, “Local Device Manager”, “Local Session Manager”.

Annotazione: Questa lezione descrive i concetti di base dei servizi directory di Active Directory. Vengono forniti esempi pratici di gestione di un sistema di sicurezza di rete. Viene descritto il meccanismo delle politiche di gruppo. Fornisce informazioni dettagliate sulle attività dell'amministratore di rete durante la gestione dell'infrastruttura del servizio directory

Le reti moderne sono spesso costituite da numerose piattaforme software diverse e da un'ampia varietà di hardware e software. Gli utenti sono spesso costretti a ricordare un gran numero di password per accedere a varie risorse di rete. I diritti di accesso possono essere diversi per lo stesso dipendente a seconda delle risorse con cui lavora. Tutta questa moltitudine di relazioni richiede un'enorme quantità di tempo da parte dell'amministratore e dell'utente per analizzare, memorizzare e apprendere.

Una soluzione al problema della gestione di una rete così eterogenea è stata trovata con lo sviluppo di un servizio di directory. I servizi di directory offrono la possibilità di gestire qualsiasi risorsa e servizio da qualsiasi luogo, indipendentemente dalle dimensioni della rete, dai sistemi operativi utilizzati o dalla complessità dell'hardware. Le informazioni dell'utente vengono inserite una volta nel servizio di directory e successivamente diventano disponibili in tutta la rete. Indirizzi e-mail, appartenenza a gruppi, diritti di accesso necessari e account per lavorare con diversi sistemi operativi: tutto questo viene creato e aggiornato automaticamente. Qualsiasi modifica apportata al servizio di directory da un amministratore viene immediatamente aggiornata in tutta la rete. Gli amministratori non devono più preoccuparsi dei dipendenti licenziati: semplicemente eliminando l'account di un utente dal servizio di directory, possono garantire che tutti i diritti di accesso alle risorse di rete precedentemente concessi a quel dipendente vengano automaticamente rimossi.

Attualmente la maggior parte dei servizi di directory di diverse aziende si basano su questo standard X.500. Il protocollo tipicamente utilizzato per accedere alle informazioni archiviate nei servizi di directory è (LDAP). Con il rapido sviluppo delle reti TCP/IP, LDAP sta diventando lo standard per i servizi di directory e le applicazioni che utilizzano servizi di directory.

Servizio di elenchi Active Directory è la base della struttura logica delle reti aziendali basate sul sistema Windows. Il termine " Catalogare"nel senso più ampio significa" Direttorio", UN servizio di directory La rete aziendale è una directory aziendale centralizzata. La directory aziendale può contenere informazioni sugli oggetti vari tipi. Servizio di elenchi Active Directory contiene principalmente gli oggetti su cui si basa il sistema di sicurezza della rete Windows: account utente, gruppo e computer. Gli account sono organizzati in strutture logiche: dominio, albero, foresta, unità organizzative.

Dal punto di vista dello studio del materiale del corso "Networking" amministrazione"La seguente versione del brano è del tutto possibile materiale didattico: Studiare innanzitutto la prima parte di questa sezione (dai concetti di base all'installazione dei controller di dominio), quindi passare a "Servizi file e stampa" e dopo aver studiato "Servizi file e stampa" tornare a "Servizi directory Active Directory" per saperne di più cataloghi di concetti di servizio avanzati.

6.1 Termini e concetti di base (foresta, albero, dominio, unità organizzativa). Pianificazione dello spazio dei nomi AD. Installazione dei controller di dominio

Modelli di gestione della sicurezza: modello di gruppo di lavoro e modello di dominio centralizzato

Come accennato in precedenza, lo scopo principale dei servizi di directory è gestire la sicurezza della rete. La base della sicurezza della rete è un database di account di utenti, gruppi di utenti e computer, con l'aiuto del quale viene controllato l'accesso alle risorse di rete. Prima di parlare del servizio directory Active Directory, confrontiamo due modelli per la creazione di un database di servizi directory e la gestione dell'accesso alle risorse.

Modello del gruppo di lavoro

Questo modello di gestione della sicurezza della rete aziendale è il più primitivo. È destinato all'uso in piccole dimensioni reti peer-to-peer(3–10 computer) e si basa sul fatto che ogni computer della rete con sistema operativo Windows NT/2000/XP/2003 ha il proprio database di account locale e con l'aiuto di questo database locale accede alle risorse di questo il computer è controllato. Il database locale dei conti è chiamato database SAM (Gestore conto sicurezza) e viene memorizzato nel registro del sistema operativo. I database dei singoli computer sono completamente isolati gli uni dagli altri e non sono in alcun modo collegati tra loro.

Un esempio di controllo degli accessi quando si utilizza questo modello è mostrato in Fig. 6.1.


Riso. 6.1.

IN in questo esempio vengono mostrati due server (SRV-1 e SRV-2) e due workstation (WS-1 e WS-2). I loro database SAM sono designati rispettivamente SAM-1, SAM-2, SAM-3 e SAM-4 (i database SAM sono mostrati come un ovale nella figura). Ogni database dispone di account utente Utente1 e Utente2. Il nome utente completo di Utente1 sul server SRV-1 sarà "SRV-1\Utente1" e nome e cognome l'utente Utente1 sulla workstation WS-1 sarà simile a "WS-1\Utente1". Immaginiamo che sul server SRV-1 sia stata creata una cartella Cartella, alla quale Utente1 ha accesso in rete - lettura (R), Utente2 - lettura e scrittura (RW). Il punto principale di questo modello è che il computer SRV-1 "non sa" nulla degli account dei computer SRV-2, WS-1, WS-2 e di tutti gli altri computer della rete. Se un utente con il nome Utente1 accede localmente al sistema su un computer, ad esempio WS-2 (o, come si dice anche, "accede con il nome locale Utente1 sul computer WS-2"), quando tentando di accedere da questo computer sulla cartella di rete sul server SRV-1, il server richiederà all'utente di inserire un nome e una password (l'eccezione si verifica se gli utenti con gli stessi nomi hanno le stesse password).

Il modello Workgroup è più semplice da apprendere e non è necessario apprendere concetti complessi di Active Directory. Ma se utilizzato su una rete con un gran numero di computer e risorse di rete, diventa molto difficile gestire i nomi utente e le relative password: è necessario creare manualmente gli stessi account con le stesse password su ciascun computer (che condivide le sue risorse sulla rete ), che richiede molto lavoro, o creare un account per tutti gli utenti con una password per tutti (o nessuna password), il che riduce notevolmente il livello di sicurezza delle informazioni. Pertanto, il modello Workgroup è consigliato solo per reti con un numero di computer compreso tra 3 e 10 (o meglio ancora, non più di 5), a condizione che tra tutti i computer non ce ne sia uno con Windows Server.

Modello di dominio

Nel modello di dominio è presente un unico database dei servizi di directory accessibile a tutti i computer della rete. A tale scopo, sulla rete sono installati server specializzati, chiamati controller di dominio, che memorizzano questo database sui loro dischi rigidi. Nella fig. 6.2. mostra un diagramma del modello di dominio. I server DC-1 e DC-2 sono controller di dominio; archiviano il database degli account di dominio (ogni controller archivia la propria copia del database, ma tutte le modifiche apportate al database su uno dei server vengono replicate sugli altri controller).


Riso. 6.2.

In un tale modello, se, ad esempio, viene fornito il server SRV-1, che è un membro del dominio accesso generale alla cartella Cartella, i diritti di accesso a questa risorsa possono essere assegnati non solo agli account nel database SAM locale di questo server, ma, soprattutto, agli account archiviati nel database del dominio. Nella figura, i diritti di accesso alla cartella Cartella vengono assegnati a un account locale sul computer SRV-1 e a diversi account di dominio (utente e gruppi di utenti). Nel modello di gestione della sicurezza del dominio, un utente si registra su un computer (“accede”) con il proprio account di dominio e, indipendentemente dal computer su cui è stata effettuata la registrazione, ottiene l'accesso alle risorse di rete necessarie. E non è necessario creare un gran numero di account locali su ciascun computer, tutti i record sono stati creati una volta nel database del dominio. E con l'aiuto di un database di dominio viene eseguito controllo accessi centralizzato alle risorse di rete indipendentemente dal numero di computer presenti in rete.

Scopo del servizio directory Active Directory

Una directory (directory) può memorizzare varie informazioni relative a utenti, gruppi, computer, stampanti di rete, condivisioni di file e così via: chiameremo tutti questi oggetti. La directory memorizza anche informazioni sull'oggetto stesso o sulle sue proprietà, chiamate attributi. Ad esempio, gli attributi memorizzati nella directory relativi a un utente potrebbero essere il nome del suo manager, il numero di telefono, l'indirizzo, il nome di accesso, la password, i gruppi a cui appartiene e molto altro. Affinché un archivio di directory possa essere utile agli utenti, devono essere presenti servizi che interagiscono con la directory. Ad esempio, è possibile utilizzare una directory come archivio di informazioni che possono essere utilizzate per autenticare un utente o come luogo in cui è possibile inviare una query per trovare informazioni su un oggetto.

Active Directory è responsabile non solo della creazione e dell'organizzazione di questi piccoli oggetti, ma anche di oggetti di grandi dimensioni come domini, UO (unità organizzative) e siti.

Leggi di seguito i termini di base utilizzati nel contesto del servizio directory Active Directory.

Servizio di elenchi Active Directory (abbreviato in AD) garantisce il funzionamento efficiente di ambienti aziendali complessi fornendo le seguenti funzionalità:

  • Single Sign-On sulla rete; Gli utenti possono accedere alla rete con un nome utente e una password e accedere a tutte le risorse e i servizi di rete (servizi dell'infrastruttura di rete, servizi di file e stampa, server di applicazioni e database, ecc.);
  • Sicurezza delle informazioni. I controlli di autenticazione e accesso alle risorse integrati in Active Directory forniscono sicurezza di rete centralizzata;
  • Gestione centralizzata. Gli amministratori possono gestire centralmente tutte le risorse aziendali;
  • Amministrazione utilizzando criteri di gruppo. Quando un computer si avvia o un utente accede al sistema, i requisiti dei criteri di gruppo vengono soddisfatti; le loro impostazioni sono memorizzate in oggetti criteri di gruppo( GPO ) e si applicano a tutti gli account utente e computer situati in siti, domini o unità organizzative;
  • Integrazione DNS. Il funzionamento dei servizi di directory dipende interamente dal servizio DNS. I server DNS, a loro volta, possono archiviare informazioni sulla zona nel database di Active Directory;
  • Estendibilità delle directory. Gli amministratori possono aggiungere nuove classi di oggetti allo schema del catalogo o aggiungere nuovi attributi alle classi esistenti;
  • Scalabilità. Il servizio Active Directory può estendersi su uno o più domini combinati in un albero di dominio ed è possibile creare una foresta da diversi alberi di dominio;
  • Replicazione delle informazioni. Active Directory utilizza la replica delle informazioni sui servizi in uno schema multimaster ( multimaster), che consente di modificare il database di Active Directory su qualsiasi controller di dominio. La presenza di più controller in un dominio fornisce tolleranza agli errori e capacità di distribuire il carico di rete;
  • Flessibilità delle query del catalogo. Il database di Active Directory può essere utilizzato per cercare rapidamente qualsiasi oggetto AD utilizzando le sue proprietà (ad esempio, il nome o l'indirizzo e-mail di un utente, il tipo o la posizione della stampante, ecc.);
  • Interfacce di programmazione standard. Per gli sviluppatori di software, il servizio di directory fornisce l'accesso a tutte le funzionalità della directory e supporta standard di settore e interfacce di programmazione (API).

In Active Directory è possibile creare un'ampia gamma di oggetti diversi. Un oggetto è un'entità unica all'interno di una directory e in genere presenta numerosi attributi che aiutano a descriverlo e riconoscerlo. Un account utente è un esempio di oggetto. Questo tipo di oggetto può avere molti attributi come nome, cognome, password, numero di telefono, indirizzo e molti altri. Allo stesso modo, una stampante condivisa può anche essere un oggetto in Active Directory e i suoi attributi sono il nome, la posizione, ecc. Gli attributi dell'oggetto non solo aiutano a definire un oggetto, ma consentono anche di cercare oggetti all'interno della Directory.

Terminologia

Servizio di elenchi I sistemi Windows Server sono basati su standard tecnologici generalmente accettati. Lo standard originale per i servizi di directory era X.500, destinato alla creazione di directory scalabili gerarchiche simili ad alberi con la capacità di espandere sia le classi di oggetti che gli insiemi di attributi (proprietà) di ogni singola classe. Tuttavia, l’implementazione pratica di questo standard si è rivelata inefficace in termini di prestazioni. Quindi, sulla base dello standard X.500, è stata sviluppata una versione semplificata (leggera) dello standard di creazione di directory, chiamata LDAP (Protocollo di accesso alle directory leggero). Il protocollo LDAP mantiene tutte le proprietà di base di X.500 (sistema di creazione di directory gerarchiche, scalabilità, estensibilità), ma allo stesso tempo ti consente di implementarlo in modo abbastanza efficace questa norma in pratica. Il termine " leggero " (" leggero") nel nome LDAP riflette l'obiettivo principale dello sviluppo del protocollo: creare un toolkit per costruire un servizio di directory che abbia potere funzionale sufficiente per risolvere problemi di base, ma non sia sovraccaricato da tecnologie complesse che rendono inefficiente l'implementazione dei servizi di directory. Attualmente, LDAP è il metodo standard per accedere alle directory di informazioni online e svolge un ruolo fondamentale in molti prodotti come sistemi di autenticazione, programmi di posta elettronica e applicazioni di e-commerce. Oggi sul mercato sono presenti più di 60 server LDAP commerciali, di cui circa il 90% sono server di directory LDAP autonomi e il resto viene offerto come componenti di altre applicazioni.

Il protocollo LDAP definisce chiaramente la gamma di operazioni sulla directory che un'applicazione client può eseguire. Queste operazioni rientrano in cinque gruppi:

  • stabilire un collegamento con il catalogo;
  • cercare informazioni in esso;
  • modifica dei suoi contenuti;
  • aggiungere un oggetto;
  • eliminare un oggetto.

Tranne il protocollo LDAP servizio di directory Active Directory utilizza anche un protocollo di autenticazione Kerberos e servizio DNS per la ricerca nella rete di componenti di servizi di directory (controller di dominio, server di catalogo globale, servizio Kerberos, ecc.).

Dominio

L'unità di base della sicurezza di Active Directory è dominio. Il dominio costituisce l’area della responsabilità amministrativa. Il database del dominio contiene account utenti, gruppi E computer. La maggior parte delle funzioni di gestione dei servizi di directory operano a livello di dominio (autenticazione degli utenti, controllo degli accessi alle risorse, gestione dei servizi, gestione delle repliche, policy di sicurezza).

I nomi di dominio Active Directory sono formati allo stesso modo dei nomi nello spazio dei nomi DNS. E questa non è una coincidenza. Il servizio DNS è un mezzo per trovare componenti di dominio, principalmente controller di dominio.

Controller di dominio- server speciali che memorizzano la parte del database Active Directory corrispondente a un determinato dominio. Le principali funzioni dei controller di dominio:

  • Archiviazione del database di Active Directory(organizzazione dell'accesso alle informazioni contenute nel catalogo, compresa la gestione di tali informazioni e la loro modifica);
  • sincronizzazione dei cambiamenti in AD(le modifiche al database AD possono essere apportate su qualsiasi controller di dominio, eventuali modifiche apportate su uno dei controller verranno sincronizzate con le copie archiviate su altri controller);
  • autenticazione dell'utente(qualsiasi controller di dominio controlla l'autorità degli utenti che si registrano sui sistemi client).

Si consiglia vivamente di installare almeno due controller di dominio in ciascun dominio: in primo luogo, per proteggere dalla perdita del database Active Directory in caso di guasto di qualsiasi controller e, in secondo luogo, per distribuire il carico tra controllers.it.company.ru esiste un sottodominio dev.it.company.ru, creato per il dipartimento di sviluppo software del servizio IT.

  • decentralizzare l'amministrazione dei servizi di directory (ad esempio, nel caso in cui un'azienda abbia filiali geograficamente distanti tra loro e la gestione centralizzata sia difficile per motivi tecnici);
  • aumentare la produttività (per le aziende con un numero elevato di utenti e server, è rilevante la questione dell'aumento delle prestazioni dei controller di dominio);
  • per di più gestione efficace replica (se i controller di dominio sono remoti l'uno dall'altro, la replica in uno di essi potrebbe richiedere più tempo e creare problemi utilizzando dati non sincronizzati);
    • dominio radice della foresta ( dominio radice della foresta), questo dominio non può essere eliminato (memorizza informazioni sulla configurazione della foresta e degli alberi di dominio che la compongono).

Unità organizzative (UO).

Divisioni organizzative (Unità Organizzative, UO) - contenitori all'interno di AD creati per combinare oggetti per scopi delega dei diritti amministrativi E applicare le politiche di gruppo nel dominio. L'OP esiste solo all'interno dei domini e possono combinarsi solo oggetti del tuo dominio. Gli OP possono essere nidificati l'uno nell'altro, il che consente di creare una complessa gerarchia di contenitori ad albero all'interno di un dominio e implementare un controllo amministrativo più flessibile. Inoltre, è possibile creare PO per riflettere la gerarchia amministrativa e struttura organizzativa aziende.

Catalogo globale

Catalogo globaleè un elenco tutti gli oggetti, che esistono nella foresta di Active Directory. Per impostazione predefinita, i controller di dominio contengono solo informazioni sugli oggetti nel proprio dominio. Server del catalogo globaleè un controller di dominio che contiene informazioni su ogni oggetto (anche se non tutti gli attributi di tali oggetti) trovato in una determinata foresta.

Gli amministratori di rete Windows non possono evitare di familiarizzare con . Questo articolo di revisione si concentrerà su cos'è Active Directory e con cosa vengono utilizzati.

Quindi, Active Directory è un'implementazione del servizio directory di Microsoft. In questo caso, per servizio di directory si intende un pacchetto software che aiuta l'amministratore di sistema a lavorare con risorse di rete come cartelle condivise, server, workstation, stampanti, utenti e gruppi.

Active Directory ha una struttura gerarchica composta da oggetti. Tutti gli oggetti sono divisi in tre categorie principali.

  • Account utente e computer;
  • Risorse (ad esempio, stampanti);
  • Servizi (ad esempio, e-mail).

Ogni oggetto ha un nome univoco e ha una serie di caratteristiche. Gli oggetti possono essere raggruppati.

Proprietà utente

Active Directory ha una struttura a foresta. La foresta ha diversi alberi che contengono domini. I domini, a loro volta, contengono gli oggetti sopra menzionati.


Struttura di Active Directory

In genere, gli oggetti in un dominio sono raggruppati in unità organizzative. Le divisioni servono a costruire una gerarchia all'interno di un dominio (organizzazioni, divisioni territoriali, dipartimenti, ecc.). Ciò è particolarmente importante per le organizzazioni geograficamente disperse. Quando si costruisce una struttura, è consigliabile creare il minor numero di domini possibile, creando, se necessario, divisioni separate. È su di loro che ha senso applicare le politiche di gruppo.

Proprietà della stazione di lavoro

Un altro modo per strutturare Active Directory è siti. I siti sono un metodo di raggruppamento fisico, anziché logico, basato su segmenti di rete.

Come già accennato, ogni oggetto in Active Directory ha un nome univoco. Ad esempio, una stampante HPLaserJet4350dtn, che si trova nella divisione Avvocati e nel dominio primer.ru avrà un nome CN=HPLaserJet4350dtn,OU=Avvocati,DC=primer,DC=ru. CNè un nome comune UO- divisione, DC— classe dell'oggetto del dominio. Il nome di un oggetto può avere molte più parti rispetto a questo esempio.

Un'altra forma di scrittura del nome di un oggetto è simile alla seguente: primer.ru/Lawyers/HPLaserJet4350dtn. Inoltre, ogni oggetto ha un identificatore univoco globale ( GUIDA) è una stringa a 128 bit univoca e immutabile utilizzata in Active Directory per la ricerca e la replica. Alcuni oggetti hanno anche un UPN ( UPN) nel formato oggetto@dominio.

Qui informazioni generali su cos'è Active Directory e perché sono necessari reti locali Basato su Windows. Infine, ha senso dire che l'amministratore ha la capacità di lavorare con Active Directory in remoto utilizzando Strumenti di amministrazione remota del server per Windows 7 (KB958830)(Scaricamento) E Strumenti di amministrazione remota del server per Windows 8.1 (KB2693643) (Scaricamento).