Active Directory Slovníček – Pojmy a Základní Pojmy

V tomto příspěvku, budu na seznamu a vysvětlit nejčastěji používané terminologie v Active Directory a souvisejících technologií.

Pokud jste ve službě Active Directory nováčkem, bude to skvělý zdroj pro seznámení se základy služby Active Directory a základními pojmy.

seskupil jsem pojmy do různých sekcí, abych usnadnil pochopení a odkaz. Některá témata mohou být velmi technická, poskytl jsem krátkou a snadno srozumitelnou terminologii. Na konci každé sekce pak poskytnu další zdroje, pokud se chcete dozvědět více.

obsah:

  • Active Directory, Základy – Start
  • Active Directory Services
  • Active Directory, DNS
  • Replikace služby Active Directory
  • Active Directory, Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)
  • Active Directory Konzoly pro Správu
  • DHCP
  • zásady Skupiny

služby Active Directory Základy

Tyto jsou základní pojmy, měli byste být obeznámeni s při jednání s Active Directory.

Active Directory

Active Directory je adresářová služba, která centralizuje správu uživatelů, počítačů a dalších objektů v rámci sítě. Jeho primární funkcí je ověřování a autorizace uživatelů a počítačů v doméně windows. Například, když se uživatel přihlásí do počítače v doméně kontroluje uživatelské jméno a heslo, které byly předloženy k ověření účtu. Pokud se jedná o platné uživatelské jméno a heslo, uživatel je ověřen a přihlášen do počítače.

nenechte se zmást s následujícími třemi termíny, které všechny odkazují na Active Directory.

  • REKLAMA – To je jen zkratka pro Active Directory
  • AD DS – To je server, který je spuštěna služba Active Directory Domain Services Role
  • Řadič Domény – To je také server se službou Active Directory Domain Service Roli. Z důvodů převzetí služeb při selhání se doporučuje mít více řadičů domény.

Active Directory Web Services (ADWS)

tato služba byla zavedena v systému Windows Server 2008 R2. Je automaticky nainstalován s rolí ADDS nebo ADLDS a je nakonfigurován tak, aby běžel automaticky. Tato služba poskytuje vzdálenou správu všech místních adresářových služeb.

Doména

doména je logická struktura kontejnerů a objektů v rámci služby Active Directory. Doména obsahuje následující součásti:

  • hierarchická struktura pro uživatele, skupiny, počítače a další objekty
  • Bezpečnostní služby, které poskytují ověřování a oprávnění k prostředkům v doméně a jiných doménách
  • Politik, které jsou použity pro uživatele a počítače
  • název DNS k určení domény. Když se přihlásíte do počítače, který je součástí domény, přihlašujete se do názvu domény DNS. Moje doména DNS je ad.activedirectorypro.com, takto je identifikována moje doména.

doménový strom

Když přidáte podřízenou doménu do nadřazené domény, vytvoříte to, čemu se říká doménový strom. Doménový strom je jen řada domén propojených hierarchicky, všechny používají stejný jmenný prostor DNS. Pokud activedirectorypro.com bylo přidat doménu nazvanou školení, nebo videa, která by byla pojmenována training.activedirectorypro.com a videos.activedirectorypro.com. Tyto domény jsou součástí stejného doménového stromu a mezi rodičovskou a podřízenou doménou se automaticky vytvoří důvěra.

funkční úrovně

funkční úrovně určují, jaké funkce jsou k dispozici v doméně. Vyšší funkční úrovně umožňují používat nejnovější a nejlepší technologie v doméně služby Active Directory. Pokud je to možné, použijte nejvyšší funkční úrovně pro řadiče domény.

Les

les je soubor doménových stromů. Doménový strom sdílí společné schéma a konfigurační kontejner. Doménový strom je propojen prostřednictvím tranzitivní důvěry. Při první instalaci služby Active Directory a vytvoření domény také vytváříte les.

FQDN – Plně Kvalifikované Doménové Jméno

je Plně Kvalifikovaný název Domény je název hostitele + domény, například, moje doména je ad.activedirectorypro.com počítač v doméně s hostname PC1 tak FQDN by být pc1.ad.activedirectorypro.com

FSMO

řadič domény má několik funkcí, které jsou označovány jako role FSMO. Všechny tyto role jsou nainstalovány na prvním řadiči domény v Novém lese, můžete přesouvat role napříč více dc, abyste pomohli s výkonem a selháním při selhání.

  • Schema Master-hlavní schéma je role pro celý les, která zpracovává všechny změny schématu služby Active Directory.
  • Domain Naming Master – Jedná se o roli v celém lese, která je mistrem doménových jmen. Zpracovává jmenný prostor a přidávání odebrání doménových jmen.
  • PDC Emulator-tato role zpracovává změny hesla, blokování uživatelů, Zásady skupiny a je časovým serverem pro klienty.
  • rid Master-tato role je zodpovědná za zpracování požadavků rid pool ze všech DC v doméně. Když jsou vytvořeny objekty, jako jsou uživatelé a počítače, dostanou přiřazen jedinečný SID a relativní ID (RID). Hlavní role RID zajišťuje, že objektům nejsou přiřazeny stejné SID a RIDs.
  • hlavní server Infrastruktury – To je doména široký úloha použita pro referenční objekty v jiných doménách. Pokud jsou uživatelé z domény a členy skupiny zabezpečení v doméně B, použije se hlavní role infrastruktury pro odkaz na účty ve správné doméně.

objekty

při práci s Active Directory budete primárně pracovat s objekty. Objekty jsou definovány jako skupina atributů, které představují prostředek v doméně. Těmto objektům je přiřazen jedinečný identifikátor zabezpečení (Sid), který slouží k udělení nebo odepření přístupu objektu ke zdrojům v doméně. Výchozí typy objektů vytvořené v nové doméně ve službě Active Directory jsou:

  • Organizační jednotka (OU) – OU je objekt kontejneru, který může obsahovat různé objekty ze stejné domény. Budete používat ou k ukládání a organizaci, uživatelských účtů, kontaktů, počítačů a skupin. Objekty zásad skupiny také propojíte s OU.
  • uživatelé-uživatelské účty jsou přiřazeny primárně uživatelům, aby získali přístup k prostředkům domény. Mohou být také použity ke spouštění programů nebo systémových služeb.
  • počítač-jedná se jednoduše o počítač, který je připojen k doméně.
  • skupiny-existují dva typy objektů, skupina zabezpečení a distribuční skupina. Skupina zabezpečení je seskupení uživatelských účtů, které lze použít k zajištění přístupu ke zdrojům. Distribuční skupiny se používají pro seznamy distribuce e-mailů.
  • kontakty-Kontakt se používá pro e-mailové účely. Nemůžete se přihlásit k doméně jako kontakt a nelze ji použít k Zabezpečení Oprávnění.
  • Sdílená složka – když publikujete sdílenou složku ve službě Active Directory, vytvoří objekt. Publikování sdílených složek do reklamy usnadňuje uživatelům najít sdílené soubory a složky v doméně.
  • sdílet tiskárnu – stejně jako sdílené složky můžete publikovat tiskárny do služby Active Directory. To také usnadňuje uživatelům najít a používat tiskárny v doméně.

LDAP (Lightweight Directory Access Protocol)

LDAP je protokol otevřené platformy používaný pro přístup k adresářovým službám. LDAP poskytuje komunikační mechanismus pro aplikace a další systémy, které používají interakci s adresářovými servery. Zjednodušeně řečeno, LDAP je způsob připojení a komunikace s Active Directory.

Globální Katalog (GC)

server globálního katalogu obsahuje kompletní replika všech objektů a slouží k provádění lesních široké vyhledávání. Ve výchozím nastavení je první řadič domény v doméně označen jako server GC, pro zlepšení výkonu se doporučuje mít pro každý web alespoň jeden server GC.

Jet Database Engine

databáze Active Directory je založena na Microsoft Jet Blue engine a využívá Extensible Storage Engine (ESE) pro práci s daty. Databáze je jediný soubor s názvem ntds.dit, ve výchozím nastavení je uložen ve složce %SYSTEMROOT%\NTDS a v každém řadiči domény.

koš

koš Active Directory umožňuje správcům snadno obnovit smazané položky, ve výchozím nastavení to není povoleno. Jak povolit koš krok za krokem průvodce.

Read-Only Domain Controller (RODC)

servery RODC obsahují kopii databáze Active Directory pouze pro čtení a neumožňují změny v AD. Jeho primárním účelem jsou pobočky a místa se špatnou fyzickou bezpečností.

schéma

schéma služby Active Directory definuje každou třídu objektů, které lze vytvořit a použít v lese služby Active Directory. Definuje také každý atribut, který může v objektu existovat. Jinými slovy, jedná se o plán, jak mohou být data uložena ve službě Active Directory. Například uživatelský účet je instancí třídy user, používá atributy k ukládání a poskytování informací o tomto objektu. Počítačový účet je další instance třídy, která je také definována jejími atributy.

existuje mnoho tříd a atributů, pokud vaše programování nebo řešení některých pokročilých problémů není nutné vědět vše o schématu.

SYSVOL

sysvol je velmi důležitá složka, která je sdílena na každém řadiči domény. Výchozí umístění je %SYSTEMROOT% \ SYSVOL\sysvol a skládá se z následujících:

  • zásady Skupiny Objektů
  • Složky
  • Skripty
  • Spojovací Body

Náhrobku

Náhrobní kámen je odstraněn objekt z REKLAMY, který nebyl odstraněn z databáze, objekt technicky zůstane v databázi po dobu času. Během této doby lze objekt Obnovit.

atributy názvu objektu

níže jsou uvedeny některé důležité atributy, které byste měli znát při práci s Active Directory.

  • userPrincipalName (UPN) – toto je běžné přihlašovací jméno, které je ve formátu e-mailové adresy. UPN vypadá takto, [email protected], UPN lze použít k přihlášení do domény windows.
  • objectGUID-tento atribut slouží k jednoznačné identifikaci uživatelského účtu. I když je účet přejmenován nebo přesunut, objectGUID se nikdy nezmění.
  • sAmAccountName-tento atribut je uživatel pro přihlášení účtu k doméně. Byl to primární prostředek pro přihlášení k doméně pro starší verze systému Windows, může být stále používán v moderních verzích systému Windows.
  • objectSID-tento atribut je identifikátor zabezpečení (Sid) uživatele. Sid používá server k identifikaci uživatele a jeho členství ve skupině k autorizaci přístupu uživatelů k prostředkům domény.
  • sIDHistory-tento atribut obsahuje předchozí Sid pro uživatelský objekt. To je nutné pouze v případě, že se uživatel přestěhoval do jiné domény.
  • relativní Distinguished Name (RDN) – RDN Je první složkou distinguished name. Je to název objektu ve službě Active Directory vzhledem k jeho umístění v hierarchické struktuře AD
  • Distinguished Name (DN) – atribut DN lokalizuje objekty v adresáři – Tento atribut je běžně používán službami a aplikacemi k vyhledání objektů ve službě Active Directory. DN se skládá z následujících komponentů:
    • CN – common name
    • OU – organizační jednotka
    • DC – domain component

Skupiny

Skupiny se používají ke shromažďování uživatelských účtů, počítače a kontaktní objektů do řízení jednotek. Vytváření skupin usnadňuje kontrolu oprávnění ke zdrojům a přiřazování zdrojů, jako jsou tiskárny a složky. Existují dva typy skupin

  • distribuce-distribuční skupiny používají e-mailové aplikace T snadno poslat e-mail skupině uživatelů.
  • Security – skupiny zabezpečení jsou skupina účtů, které lze použít k snadnému přiřazení ke zdroji nebo k žádosti o oprávnění. Pokud bych například chtěl uzamknout složku pro personální oddělení, mohl bych dát všechny zaměstnance do skupiny zabezpečení a použít skupinu do složky místo každého jednotlivého účtu.

rozsah skupiny

rozsah skupiny určuje, zda lze skupinu použít v doméně nebo v lese. Zde jsou tři skupinové rozsahy:

  • Universal-může obsahovat objekty z jiných univerzálních skupin a jakoukoli doménu ve stromu nebo lese.
  • Globální – může obsahovat objekty z domény a může být použit v libovolném doménovém stromu nebo lese.
  • Domain Local-může obsahovat objekty z libovolné domény, ale může být aplikován pouze na doménu, ve které byl vytvořen.

Zdroje:

Pochopení Náhrobky, Active Directory, a Jak se Chránit,

Schéma služby Active Directory

Lesní a Doménu Funkční Úrovně

Active Directory: Pojmy, 1. Část

služby Active Directory Služby

Active Directory zahrnuje několik dalších služeb, které spadají pod Služby Active Directory Domain services, tyto služby zahrnují:

Active Directory Certificate Services (AD CS)

Toto je role serveru, která umožňuje vybudování infrastruktury veřejných klíčů (PKI) a poskytnout digitální certifikáty pro vaši organizaci. Certifikáty lze použít k šifrování síťového provozu, provozu aplikací a slouží k ověření uživatelů a počítačů. Když vidíte https v adrese prohlížeče, znamená to, že používá certifikát k šifrování komunikace z klienta na server.

Služby Active Directory Domain services (AD DS)

Viz Active Directory popis

Active Directory Federation Services (AD FS)

federation service umožňuje single sign on na externí systémy, jako jsou webové stránky a aplikace. Office 365 je běžné použití pro federační služby. Když se přihlásíte do office 365 uživatelské jméno a heslo, je přesměrován prostřednictvím federačního serveru a přihlašovací údaje jsou kontrolovány on-premise Active Directory. To vám umožní poskytnout ověření externím systémům pomocí místního služby Active Directory k ověření uživatelského jména a hesla.

Active Directory Lightweight Directory Services (AD LDS)

Tato služba poskytuje adresářové služby pomocí protokolu LDAP bez nutnosti nasadit řadiče domény. To se primárně používá k poskytování adresářové služby funkčně adresářovým aplikacím. To nenahrazuje AD DS.

služby správy práv služby Active Directory (AD RMS)

tato služba poskytuje metody ochrany informací o digitálním obsahu. Chrání dokumenty definováním toho, kdo může dokumenty otevírat, upravovat, tisknout, předávat nebo provádět jiné akce. Certifikáty můžete také použít k šifrování dokumentů pro lepší zabezpečení.

Active Directory DNS

Domain Name System je služba, která poskytuje rozlišení jména, nejčastěji název hostitele k rozlišení IP adresy. V této části se dozvíte o některých důležitých součástech DNS.

záznamy prostředků

záznam prostředků je položka v systému DNS, která pomáhá lokalizovat zdroje založené na IP nebo názvu domény. Existuje mnoho typů záznamů prostředků, níže je seznam společných typy záznamů:

  • – mapy hostname IPv4 adresu
  • AAAA – Mapuje název hostitele na adresu IPv6
  • CNAME – Mapy alias názvu hostitele
  • MX – Používá se k vyhledání poštovního serveru
  • NS – Specifika jako name server pro doménu
  • PTR – Mapuje IPv4 adresy na hostname. Opak záznamu A.
  • SOA-obsahuje administrativní informace
  • SRV-Používá se k vyhledání serverů, které hostují specifické služby
  • TXT-může obsahovat různá data – Často se používá pro ověření domén a bezpečnostních důvodů.

Dynamic DNS (DDNS)

Dynamic DNS je metoda pro klienty registrovat a dynamicky aktualizovat své záznamy zdrojů pomocí serveru DNS. To umožňuje klientům, kteří používají DHCP, automaticky aktualizovat svůj záznam DNS, když se změní jejich IP adresa.

Název Hostitele

Toto je většinou záznam DNS, název DNS zařízení, které mohou být sděleny. Například server s názvem DC1. Pokud byl DC1 zaregistrován v DNS, označili byste to jako název hostitele.

zóny

zóna se používá k hostování záznamů DNS pro konkrétní doménu. Nejdůležitějším a Nejčastěji používaným typem zóny jsou integrované zóny služby Active Directory. Existuje několik dalších zón, které byste měli znát, pokrývám ostatní zóny v mém článku, vysvětleny zóny Windows DNZ.

DNS Aging and Scavenging

Toto je funkce, kterou lze povolit, aby pomohla automatizovat vyčištění zastaralých záznamů DNS. Vytvořil jsem samostatný příspěvek, který vysvětluje více a poskytuje pokyny krok za krokem pro konfiguraci stárnutí DNS a úklidu.

záznamy SRV používané službou Active Directory

v doméně Windows jsou záznamy SRV používány klienty k vyhledání řadičů domény pro službu Active Directory. Při instalaci služby AD DS proces automaticky vytvoří záznamy SRV pro službu Active Directory.

  • Active Directory vytvoří jeho záznamy SRV v následujících složkách, kde Název_domény je název vaší domény:
    • Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_tcp

Zde je screenshot z mé DNS:

Předávání

DNS servery pro předávání jsou servery, které vyřešit názvy hostitelů, že vaše vnitřní DNS server nemůže vyřešit, a to především externí domény, např. procházení internetu. Můžete nastavit předávání požadavků DNS na libovolný server podle vašeho výběru, často se používá ISP.

kořenové rady

kořenový tip server je další metoda k vyřešení názvů hostitelů, které váš interní server nemůže vyřešit. Rozdíl je v tom, že tyto servery slouží jako kořenová zóna DNS pro internet. Jsou spravovány několika velkými organizovanými pro bezpečnost a redundanci. K vyřešení externích jmen můžete použít buď kořenové rady, nebo dopředu.

zdroje:

Kompletní Seznam DNS záznam prostředku typy

Jak ověřit, že DNS SRV záznamy byly vytvořeny pro řadič domény

Root Hints vs Vyvážecí

DNS Nejlepší Postupy,

Replikace služby Active Directory

Replikace je proces, který zajišťuje, že změny provedené na jednom řadiči domény jsou replikovány do ostatních řadičů domény v doméně.

Připojení Objektů

připojení objektu specifika, které řadiče domény replikovat s ostatními, jak často a jejich kontextů názvů.

KCC

Kontrola Konzistence Znalostí (KCC) je proces, který běží na všech řadičích domény a generuje topologie replikace na základě lokalit, podsítí a odkazů na objekty.

podsítě

podsíť je logická část IP sítě. Podsítě se používají ke skupině zařízení do konkrétní sítě, často podle umístění, budovy nebo podlahy. Pokud máte vícemístné prostředí, služba Active Directory potřebuje vědět o vašich podsítích, aby mohla správně identifikovat nejúčinnější zdroje. Pokud tyto informace nejsou poskytovány, mohou klienti ověřit a použít nesprávný řadič domény.

Site

web je sbírka podsítí. Weby služby Active Directory pomáhají definovat tok replikace a umístění prostředků pro klienty, jako je řadič domény.

odkaz na stránky

odkazy na stránky umožňují konfigurovat, které weby jsou navzájem propojeny.

most propojení stránek

most propojení stránek je logické spojení mezi weby. Jedná se o metodu, která logicky reprezentuje přechodnou konektivitu mezi weby.

topologie webu

topologie webu je mapa, která definuje síťové připojení pro replikaci a umístění zdrojů v lese služby Active Directory. Topologie webu je konzistentní několika komponent včetně webů, podsítí, odkazů na stránky, mostů odkazů na stránky a objektů připojení.

replikace uvnitř webu

toto je replikace, která se vyskytuje mezi řadiči domény na stejném místě.

replikace mezi weby

v prostředí s více weby musí být změna jednoho webu replikována na druhý web. Tomu se říká replikace mezi weby.

Zdroje:

Jak Replikace služby Active Directory Funguje

Active Directory Replikace Koncepty,

služby Active Directory Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)

Kerberos

Kerberos je protokol zabezpečení, který bezpečně umožňuje uživatelům, aby prokázal svou totožnost, aby získali přístup k prostředkům v doméně.

Centrum Distribuce Klíčů (KDC)

KDC je služba, která běží na řadiči domény a dodávky lístky relace použité v protokolu Kerberos pro ověřování.

Service Principal Names (SPN)

SPN je jedinečný identifikátor instance služby.

NTLM

NTLM je soubor bezpečnostních protokolů používaných k ověřování, poskytování integrity a důvěrnosti uživatelům. Kerberos je preferovaný ověřovací protokol a používá se v moderních verzích Windows, NTLM je stále k dispozici pro starší klienty a systémy na workgroup.

oprávnění NTFS

oprávnění NTFS vám umožňují definovat, kdo je oprávněn přistupovat k souboru nebo složce. Níže je uveden seznam základních oprávnění, která můžete nastavit:

  • plná kontrola-to dává uživatelům práva přidávat, upravovat, přesouvat a mazat soubory a složky.
  • Změnit – umožňuje uživatelům prohlížet a práva upravit
  • Přečtěte si & Spustit – umožňuje uživatelům prohlížet a spouštět práva
  • Přečíst – připraven jen práva
  • Napsat – přímo do souboru a přidat nové složky

Share Permissions

Sdílet oprávnění definovat úrovně přístupu ke sdíleným zdrojům, jako jsou složky. Existují tři základní sdílená oprávnění:

  • Read-dává uživatelům zobrazit práva ke složce a podsložkám
  • Change-dává uživatelům číst a upravovat práva
  • plná kontrola-dává uživatelům upravovat, měnit a číst práva.

diskreční seznam řízení přístupu (DACL)

DACL identifikuje, jaký účet umožňuje nebo odepírá přístup k objektu, jako je soubor nebo složka.

Položky Řízení Přístupu (ACE)

DACL obsahuje Esa, ESO definuje, jaký účet a jakou úroveň přístupu má být poskytnuté zdroje. Pokud není přítomen žádný ACE systém odepře veškerý přístup k objektu.

System Access Control List (SACL)

SACL umožňuje administrátorům zaznamenávat pokusy o přístup k objektu zabezpečení.

Fine Grained Password Policy

funkce v systému Windows 2008 a výše, která umožňuje definovat různé hesla a uzamčení účtu politiky pro různé účty. Obecně platí, že všechny účty by měly mít stejné zásady, ale můžete mít účet služby nebo velmi specifický účet, který vyžaduje jinou politiku. Například náš účet WiFi pro hosty byl stále uzamčen kvůli špatným pokusům o heslo. Použil jsem jemné udělené heslo k nastavení vyššího uzamčení účtu než zbytku domény.

Zdroje:

Kerberos pro Zaneprázdněné Admin

Ověřování systému Windows Technický Přehled

Rozdíly Mezi Sdílení a Oprávnění systému souborů NTFS.

Seznamy Řízení Přístupu

služby Active Directory Konzoly pro Správu

Tento oddíl zahrnuje konzoly pro správu, budete muset použít ke správě různých Active Directory technologie. Pro přístup k těmto konzolám pro správu budete muset nainstalovat nástroje pro vzdálenou správu serveru (RSAT).

Active Directory Users and Computers (ADUC)

Toto je nejčastěji používaná konzole pro správu uživatelů, počítačů, skupin a kontaktů.

zkratka: dsa.msc

Active Directory Administrative Center (ADAC)

počínaje serverem 2008 R2 společnost Microsoft zavádí ADAC pro správu objektů adresářové služby. Tuto konzolu lze použít k vytváření a správě uživatelských účtů, počítačových účtů, skupin a organizačních jednotek. Poskytuje stejné funkce jako nástroj Uživatelé a počítače služby Active Directory. Vzhledem ke složitému rozhraní dávám přednost ADUC před touto konzolí.

domény a trusty služby Active Directory

tato konzola se používá ke zvýšení režimu domény nebo funkční úrovně domény nebo lesa. Používá se také ke správě vztahů důvěry.

zkratka: doména.msc

Active Directory Sites and Services

Toto je hlavní konzola pro správu replikace. Tato konzola se používá ke správě objektů topologie webu, objektů připojení, replikace plánu, ruční vynucení replikace, povolení globálního katalogu a povolení ukládání do mezipaměti univerzální skupiny.

zkratka: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor je GUI nástroj, který lze použít ke správě objektů ve službě Active Directory. Tento nástroj poskytuje přístup k objektovým datům, která nejsou k dispozici v Uživatelích a počítačích služby Active Directory.

zkratka: adsiedit.msc

Správa DFS

tato konzola se používá ke správě jmenných prostorů DFS a replikace DFS.

zkratka: dfsmgmt.msc

DHCP

tato konzola se používá k vytváření rozsahů DCHP, zobrazení informací o pronájmu a všech věcí DHCP.

zkratka: dhcpmgmt.msc

DNS

tato konzola se používá k vytváření DNS zón, záznamů zdrojů a správě všech věcí DNS.

zkratka: dnsmgmt.msc

Správa zásad skupiny

zkratka: gpmc.msc

PowerShell

ačkoli to není konzola pro správu, je to nejmocnější nástroj pro automatizaci administrativních úkolů. PowerShell může urychlit mnoho rutinních úkolů, které nástroje pro správu GUI nemohou dělat.

zdroje:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol je služba, která poskytuje centralizované řízení IP adresy. Když se počítač připojí k kabelové nebo bezdrátové síti, kontaktuje se server DHCP, aby vám našel a přidělil dostupnou IP adresu.

rozsah

rozsah DHCP je soubor nastavení IP adres, které jsou nakonfigurovány pro zařízení, jako je počítač, který má používat. Můžete vytvořit více oborů pro různé typy zařízení a podsítí. Například mám prostor pro počítače a různé rozsahy pro IP telefony. Při nastavení rozsahu budete muset nakonfigurovat následující:
  • název rozsahu – toto je název rozsahu. Dejte mu popisný název, takže je snadné určit, pro která zařízení je určen.
  • rozsah IP adres – toto je rozsah IP, který chcete, aby zařízení používala. Například 10.2.2.0 / 24
  • vyloučení IP adresy – můžete zadat vyloučení IP adresy z rozsahu. To je užitečné, pokud máte v podsíti zařízení, která potřebují statickou IP adresu, jako je router nebo server.
  • doba trvání leasingu-leasing určuje, jak dlouho má klient IP adresu, než ji vrátí do fondu.
  • Možnosti DHCP – existuje řada různých možností, které můžete zahrnout, když DHCP přiřadí IP adresu. Více o tomto níže

možnosti DHCP

existuje mnoho možností DCHP, níže jsou nejčastěji používané možnosti v doméně Windows.

  • 003 router-výchozí brána podsítě
  • 005 DNS server-IP adresa klientů serveru DNS by měla být použita pro rozlišení názvu.
  • 015 název domény DNS-přípona DNS, kterou by měl klient používat, často stejná jako název domény.

filtrování DHCP

filtrování DHCP lze použít k odepření nebo povolení zařízení na základě jejich MAC adresy. Používám jej například k blokování připojení mobilních zařízení k naší zabezpečené wifi.

Superscopes

superscope je sbírka jednotlivých rozsahů DHCP. To lze použít, když se chcete připojit k rozsahům společně. Upřímně, nikdy jsem to nepoužil.

rozdělené rozsahy

Jedná se o způsob zajištění odolnosti proti chybám pro rozsah DHCP. Použití převzetí služeb při selhání DHCP není preferovanou metodou pro odolnost proti chybám.

DHCP Failover

DCHP failover byla nová funkce začínající ve verzi serveru 2012. Umožňuje dvěma serverům DHCP sdílet informace o pronájmu a poskytovat vysokou dostupnost služeb DCHP. Pokud se jeden server stane nedostupným, převezme jej druhý server.

zdroje:

parametry DHCP

Zásady skupiny

Zásady skupiny umožňují centrálně spravovat nastavení uživatele a počítače. Zásady skupiny můžete použít k nastavení zásad hesel, zásad auditu, uzamčení obrazovky, mapových jednotek, nasazení softwaru, jedné jednotky, nastavení sady office 365 a mnoho dalšího.

objekty zásad skupiny (GPO)

GPO jsou Soubor Nastavení zásad, které používáte pro počítače nebo uživatele.

obnovovací frekvence zásad skupiny

klientské pracovní stanice a členské servery obnovují své zásady každých 90 minut. Aby se zabránilo ohromující řadiče domény jejich je náhodný offset interval přidán do každého počítače. Tím se zabrání tomu, aby všechny stroje požadovaly aktualizace zásad skupiny z DC současně a potenciálně je zhroutily.

Zpracování Zásad

zásady Skupiny použijí v následujícím pořadí

  • Lokální
  • Stránky
  • Doména
  • Organizační Jednotka (OU)

Blokovat dědičnost

ve výchozím nastavení, objekty zásad skupiny jsou dědičné. Chcete-li změnit toto chování, můžete použít možnost dědičnosti bloků na úrovni OU.

no Override

Pokud chcete zásady vynutit a zabránit jejich blokování, použijte volbu No override.

uživatelská nastavení

v GPO jsou uživatelská a počítačová nastavení. Uživatelská nastavení se vztahují pouze na uživatelské objekty. Pokud v GPO nakonfigurujete uživatelská nastavení, musí být GPO aplikován na uživatelské objekty.

nastavení počítače

nastavení počítače v GPO jsou nastavení, která lze použít na počítač. Pokud nakonfigurujete nastavení počítače, musí být GPO aplikován na objekty počítače.

výsledná sada zásad (RsoP)

výsledná sada zásad je nástroj společnosti Microsoft, který je zabudován do Windows 7 a novějších verzí. Poskytuje správcům zprávu o tom, jaká nastavení zásad skupiny se aplikují na uživatele a počítače. Lze jej také použít k simulaci nastavení pro účely plánování.

mám kompletní návod v mém článku Jak používat RSoP ke kontrole a odstraňování nastavení zásad skupiny.

Předvolby zásad skupiny

Předvolby zásad skupiny se primárně používají ke konfiguraci nastavení, která lze později změnit na úrovni klienta. Předvolby mají také možnost provádět pokročilé cílení, jako je použití na určitou OU, verzi systému Windows, uživatele ve skupině atd. Preference jsou běžně používány následující konfiguraci:

  • Mapování Jednotky
  • nastavení Registru
  • Instalace tiskárny
  • Plán úkolů
  • Nastavit oprávnění souborů a složek
  • Nastavit nastavení napájení

Šablony

můžete nainstalovat další šablony zásady skupiny rozšíření výchozí Gpo dodávané společností Microsoft. Některé běžné použité šablony jsou Office 365, Chrome, Firefox a ty, které dodávají aplikace třetích stran. Šablony jsou soubory založené na xml obvykle ve formátu ADM nebo ADMX příponu souboru.

zdroje:

Architektura zásad skupiny

přehled zásad skupiny

uniklo mi něco? Máte co sdílet? Dejte mi vědět v komentářích níže.

Doporučené Nářadí: SolarWinds Server & Aplikace Sledovat

Tento nástroj byl navržen tak, aby Sledovat Active Directory a dalších kritických služeb, jako je DNS & DHCP. Rychle zjistí problémy s řadičem domény, zabrání selhání replikace, sledování neúspěšných pokusů o přihlášení a mnoho dalšího.

Co se mi na SAM nejvíce líbí, je snadné použití řídicího panelu a varovných funkcí. Má také schopnost sledovat virtuální stroje a úložiště.

Stáhněte si bezplatnou zkušební verzi zde



Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.