Active Directory ordliste – vilkår og grundlæggende begreber

i dette indlæg vil jeg liste og forklare den mest anvendte terminologi i Active Directory og relaterede teknologier.

Hvis du er ny til Active Directory, vil dette være en stor ressource for dig at blive fortrolig med Active Directory basics og grundlæggende begreber.

jeg har grupperet udtryk sammen i forskellige sektioner for at gøre det lettere at forstå og referere. Nogle emner kan være meget tekniske, jeg har givet kort og let at forstå terminologi. Jeg giver derefter yderligere ressourcer i slutningen af hvert afsnit, hvis du ønsker at lære mere.

Indholdsfortegnelse:

  • Active Directory Basics – Start her
  • Active Directory Services
  • Active Directory DNS
  • Active Directory Replication
  • Active Directory Security (Authentication, security Protocols, Permissions)
  • Active Directory Management Consoles
  • DHCP
  • Gruppepolitik

Active Directory Basics

disse er grundlæggende vilkår, du skal være opmærksom på kendskab til, når der beskæftiger sig med Active Directory.

Active Directory

Active Directory er en katalogtjeneste, der centraliserer styringen af brugere, computere og andre objekter i et netværk. Dens primære funktion er at godkende og godkende brugere og computere i et domæne. For eksempel, når en bruger logger ind på en computer på domænet, kontrollerer den brugernavnet og adgangskoden, der blev sendt for at bekræfte kontoen. Hvis det er et gyldigt brugernavn og adgangskode, er brugeren godkendt og logget ind på computeren.

bliv ikke forvirret med følgende tre udtryk, de henviser alle til Active Directory.

  • AD – Dette er kun en forkortelse for Active Directory
  • AD DS – dette er en server, der kører Active Directory Domain Services – rollen
  • Domain Controller-dette er også en server, der kører Active Directory Domain Service-rollen. Det anbefales at have flere domænecontrollere af failover-årsager.

Active Directory-tjenester

denne tjeneste blev introduceret i vinduer Server 2008 R2. Det installeres automatisk med tilføjer eller ADLDS rolle og er konfigureret til at køre automatisk. Denne service giver fjernstyring af eventuelle lokale katalogtjenester.

domæne

domænet er en logisk struktur af containere og objekter i Active Directory. Et domæne indeholder følgende komponenter:

  • en hierarkisk struktur for brugere, grupper, computere og andre objekter
  • sikkerhedstjenester, der giver godkendelse og autorisation til ressourcer i domænet og andre domæner
  • politikker, der anvendes på brugere og computere
  • et DNS-navn til identifikation af domænet. Når du logger ind på en computer, der er en del af et domæne, logger du ind på DNS-domænenavnet. Mit DNS-domæne er ad.activedirectorypro.com, Sådan identificeres mit domæne.

Domænetræ

når du føjer et underordnet domæne til et overordnet domæne, opretter du det, der kaldes et domænetræ. Et domænetræ er kun en række domæner, der er forbundet sammen på en hierarkisk måde, der alle bruger det samme DNS-navneområde. Hvis activedirectorypro.com var at tilføje et domæne kaldet træning, eller videoer det ville blive navngivet training.activedirectorypro.com og videos.activedirectorypro.com. Disse domæner er en del af det samme domænetræ, og der oprettes automatisk en tillid mellem overordnede og underordnede domæner.

funktionelle niveauer

funktionelle niveauer bestemmer, hvilke funktioner der er tilgængelige i domænet. Højere funktionsniveauer giver dig mulighed for at bruge de nyeste og bedste teknologier i dit Active Directory-domæne. Når det er muligt, brug de højeste funktionelle niveauer til dine domænecontrollere.

Skov

en skov er en samling af domænetræer. Domænetræet deler en fælles skema-og konfigurationsbeholder. Domænetræet er forbundet sammen gennem en transitiv tillid. Når du først installerer Active Directory og opretter et domæne, opretter du også en skov.

fuldt kvalificeret domænenavn

fuldt kvalificeret domænenavn er værtsnavnet + domænet, for eksempel er mit domæne ad.activedirectorypro.com, en computer i domænet med værtsnavn PC1, så pc1.ad.activedirectorypro.com

FSMO

en domænecontroller har flere funktioner, der kaldes FSMO-rollerne. Disse roller er alle installeret på den første domænecontroller i en ny skov, du kan flytte roller på tværs af flere DC ‘ er for at hjælpe med ydeevne og failover.

  • Schema Master – schema master er en skov bred rolle, der håndterer alle ændringer i Active Directory skema.
  • Domain Naming Master – Dette er en skov bred rolle, der er føreren af domænenavne. Det håndterer namespace og tilføje fjerne domænenavne.
  • PDC Emulator – denne rolle håndterer adgangskodeændringer, bruger lockouts, gruppepolitik og er tidsserveren for klienterne.
  • RID Master – denne rolle er ansvarlig for behandling af RID pool-anmodninger fra alle DC ‘ er inden for domænet. Når objekter som brugere og computere oprettes, får de tildelt et unikt SID og et relativt ID (RID). RID master-rollen sikrer, at objekter ikke får tildelt samme SID og RIDs.
  • Infrastructure master – Dette er en domænebred rolle, der bruges til at henvise til objekter i andre domæner. Hvis brugere fra Domæne A er medlemmer af en sikkerhedsgruppe i domæne B, bruges infrastrukturmesterrollen til at henvise til konti i det korrekte domæne.

objekter

når du arbejder med Active Directory, vil du primært arbejde med objekter. Objekter defineres som en gruppe attributter, der repræsenterer en ressource i domænet. Disse objekter tildeles en unik sikkerhedsidentifikator (SID), der bruges til at give eller nægte objektet adgang til ressourcer i domænet. Standardobjekttyperne oprettet i et nyt domæne i Active Directory er:

  • organisatorisk enhed (ou) – en OU er et containerobjekt, der kan indeholde forskellige objekter fra det samme domæne. Du vil bruge OUs til at gemme og organisere, brugerkonti, kontakter, computere og grupper. Du vil også linke gruppepolitiske objekter til en OU.
  • brugere-brugerkonti tildeles primært tildelt brugere for at få adgang til domæneressourcer. De kan også bruges til at køre programmer eller systemtjenester.
  • Computer-Dette er simpelthen en computer, der er forbundet til domænet.
  • grupper-der er to typer objekter, en sikkerhedsgruppe og en distributionsgruppe. En sikkerhedsgruppe er en gruppering af brugerkonti, der kan bruges til at give adgang til ressourcer. Distributionsgrupper bruges til e-mail distributionslister.
  • kontakter-en kontakt bruges til e-mail-formål. Du kan ikke logge på domænet som en kontakt, og det kan ikke bruges til at sikre tilladelser.
  • delt mappe-når du udgiver en delt mappe i Active Directory, oprettes et objekt. Udgivelse af delte mapper til AD gør det lettere for brugerne at finde delte filer og mapper inden for domænet.
  • del Printer – ligesom delte mapper kan du udgive printere til Active Directory. Dette gør det også lettere for brugerne at finde og bruge printere på domænet.

LDAP (letvægts Biblioteksadgangsprotokol)

LDAP er en åben platformsprotokol, der bruges til at få adgang til katalogtjenester. LDAP giver kommunikationsmekanismen for applikationer og andre systemer til at bruge interagere med katalogservere. Enkelt sagt er LDAP en måde at forbinde og kommunikere med Active Directory på.

Global Catalog (GC)

den globale katalogserver indeholder en komplet kopi af alle objekter og bruges til at udføre skovbrede søgninger. Som standard er den første domænecontroller i et domæne udpeget som GC-serveren, Det anbefales at have mindst en GC-server for hvert sted for at forbedre ydeevnen.

Jet Database Engine

Active Directory-databasen er baseret på Microsofts Jet Blue-motor og bruger den udvidelige lagringsmotor (ESE) til at arbejde med dataene. Databasen er en enkelt fil med navnet ntds.dette er som standard gemt i mappen % SYSTEMROOT % \NTDS og hver domænecontroller.

Papirkurv

Active Directory-papirkurven giver administratorer mulighed for nemt at gendanne slettede elementer, Dette er ikke aktiveret som standard. Sådan aktiveres papirkurven trin for trin guide.

skrivebeskyttet domænecontroller (RODC)

RODC-servere har en skrivebeskyttet kopi af Active Directory-databasen og tillader ikke ændringer i AD. Dens primære formål er for filialer og steder med dårlig fysisk sikkerhed.

Skema

Active Directory-skemaet definerer hver objektklasse, der kan oprettes og bruges i en Active Directory-skov. Det definerer også hver attribut, der kan eksistere i et objekt. Med andre ord er det en plan for, hvordan data kan gemmes i Active Directory. For eksempel er en brugerkonto en forekomst af brugerklassen, den bruger attributter til at gemme og give oplysninger om det pågældende objekt. En computerkonto er en anden forekomst af en klasse, der også er defineret af dens attributter.

der er mange klasser og attributter, medmindre din programmering eller fejlfinding af et avanceret problem er det ikke nødvendigt at vide alt om skemaet.

SYSVOL

sysvol er en meget vigtig mappe, der deles ud på hver domænecontroller. Standardplaceringen er %SYSTEMROOT% \ SYSVOL \ sysvol og består af følgende:

  • gruppepolitiske objekter
  • mapper
  • Scripts
  • Junction Points

Tombstone

Tombstone er et slettet objekt fra AD, der ikke er fjernet fra databasen, objektet forbliver teknisk i databasen i en periode. I løbet af denne periode kan objektet genoprettes.

Objektnavn attributter

følgende er nogle vigtige attributter, som du bør være bekendt med, når du arbejder med Active Directory.

  • userPrincipalName (UPN) – dette er et almindeligt logonnavn, der er i formatet af en e-mail-adresse. En UPN ser sådan ud, [email protected], en UPN kan bruges til at logge ind på et domænenavn.
  • objectGUID – denne attribut bruges til entydigt at identificere en brugerkonto. Selvom kontoen omdøbes eller flyttes, ændres objectGUID aldrig.
  • sAmAccountName – denne attribut er bruger for konto logons til et domæne. Det var det primære middel til at logge på et domæne for ældre vinduer versioner, kan det stadig bruges på moderne versioner af vinduer.
  • objectSID-denne attribut er brugerens sikkerhedsidentifikator (SID). SID bruges af serveren til at identificere en bruger og deres gruppemedlemskab for at give brugerne adgang til domæneressourcer.
  • sIDHistory – denne attribut indeholder tidligere SIDs for brugerobjektet. Dette er kun nødvendigt, hvis en bruger er flyttet til et andet domæne.
  • relativ Distinguished Name (RDN) – RDN er den første komponent i distinguished name. Det er navnet på objektet i Active Directory i forhold til dets placering i den hierarkiske struktur af AD
  • Distinguished Name (DN) – DN-attributten lokaliserer objekter i mappen. Denne attribut bruges ofte af tjenester og applikationer til at lokalisere objekter i Active Directory. en DN består af følgende komponenter:
    • CN – almindeligt navn
    • ou – organisatorisk enhed
    • DC – domænekomponent
  • grupper

    grupper bruges til at indsamle brugerkonti, computer og kontaktobjekter i administrationsenheder. Oprettelse af grupper gør det lettere at styre tilladelser til ressourcer og tildele ressourcer som printere og mapper. Der er to typer grupper

    • Distribution – distributionsgrupper bruges af e-mail-applikationer t send let en e-mail til en gruppe brugere.
    • sikkerhed-sikkerhedsgrupper er en gruppe af konti, der kan bruges til nemt at tildele en ressource eller ansøge om tilladelser. For eksempel, hvis jeg ville låse en mappe til HR-afdelingen, kunne jeg bare placere alle medarbejderne i en sikkerhedsgruppe og anvende gruppen på mappen i stedet for hver enkelt konto.

    Group Scope

    Group scope identificerer, om gruppen kan anvendes i domænet eller skoven. Her er de tre gruppeområder:

    • Universal – kan indeholde objekter fra andre universelle grupper og ethvert domæne i træet eller skoven.
    • Global-kan indeholde objekter fra domænet og bruges i ethvert domænetræ eller skov.
    • Domain Local-kan indeholde objekter fra ethvert domæne, men kan kun anvendes på det domæne, det blev oprettet i.

    ressourcer:

    forståelse af gravsten, Active Directory og hvordan man beskytter det

    Active Directory Schema

    funktionsniveauer for Skov og domæne

    Active Directory: koncepter Del 1

Active Directory Services

Active Directory inkluderer flere andre tjenester, der falder ind under Active Directory-Domænetjenesterne, disse tjenester inkluderer:

Active Directory Certificate Services (AD CS)

Dette er en serverrolle, der giver dig mulighed for at opbygge en public key infrastructure (PKI) og levere digitale certifikater til din organisation. Certifikater kan bruges til at kryptere netværkstrafik, applikationstrafik og bruges til at godkende brugere og computere. Når du ser https i en bro.ser-adresse, betyder det, at det bruger et certifikat til at kryptere kommunikationen fra klienten til serveren.

Active Directory Domain Services (AD DS)

se Active Directory description

Active Directory Federation Services (AD FS)

federation service tillader single sign On til eksterne systemer som hjemmesider og applikationer. Office 365 er en almindelig brug for federation services. Når du logger ind på office 365, omdirigeres brugernavnet og adgangskoden via federation-serveren, og legitimationsoplysningerne kontrolleres i forhold til din on-premise Active Directory. Så dette giver dig mulighed for at give godkendelse til eksterne systemer ved at bruge din lokale Active Directory til at godkende brugernavnet og adgangskoden.

Active Directory letvægts Directory Services (AD LDS)

denne tjeneste leverer katalogtjenester ved hjælp af LDAP-protokollen uden behov for at implementere domænecontrollere. Dette bruges primært til at levere katalogtjeneste funktionelt til katalogaktiverede applikationer. Dette erstatter ikke AD DS.

Active Directory Rights Management Services (AD RMS)

denne tjeneste giver metoder til beskyttelse af oplysninger om digitalt indhold. Det beskytter dokumenter ved at definere, hvem der kan åbne, ændre, udskrive, videresende eller tage andre handlinger på dokumenter. Du kan også bruge certifikater til at kryptere dokumenter for bedre sikkerhed.

Active Directory DNS

Domain Name System er en tjeneste, der leverer navneopløsning, oftest værtsnavn til IP-adresseopløsning. I dette afsnit lærer du om nogle af de vigtige komponenter i DNS.

Resource Records

en ressourcepost er en post i DNS-systemet, der hjælper med at finde ressourcer baseret på IP eller et domænenavn. Der er mange typer ressourceposter, herunder er en liste over almindelige posttyper:

  • a – kortlægger et værtsnavn til en IPv4 – adresse
  • AAAA – kortlægger et værtsnavn til en IPv6 – adresse
  • CNAME – kortlægger et alias til et værtsnavn
  • IPv4 – adresse til et værtsnavn. Bagsiden af en a-rekord.
  • SOA – indeholder administrative oplysninger
  • SRV – bruges til at finde servere, der er vært for specifikke tjenester
  • tekst – kan indeholde forskellige data. Bruges ofte til at verificere domæner og sikkerhedsmæssige årsager.

dynamisk DNS (DDNS)

dynamisk DNS er en metode til klienter til at registrere og dynamisk opdatere deres ressourceposter med en DNS-server. Dette giver klienter, der bruger DHCP, mulighed for automatisk at opdatere deres DNS-post, når deres IP-adresse ændres.

værtsnavn

dette er oftest DNS a-posten, DNS-navnet på en enhed, der kan kommunikeres med. For eksempel en server med navnet DC1. Hvis DC1 blev registreret i DNS, ville du henvise til det som værtsnavn.

områder

et område bruges til at hoste DNS-posterne for et bestemt domæne. Den vigtigste og mest almindeligt anvendte områdetype er integrerede Active Directory-områder. Der er flere andre områder, du bør være bekendt med, jeg dækker de andre områder i min artikel.

DNS Aging and Scavenging

Dette er en funktion, der kan aktiveres for at hjælpe med at automatisere oprydningen af uaktuelle DNS-poster. Jeg har oprettet et separat indlæg, der forklarer mere og giver trin for trin instruktioner til at konfigurere DNS aldring og Scavenging.

SRV-poster, der bruges af Active Directory

I et domænenavn bruges SRV-poster af klienter til at finde domænecontrollere til Active Directory. Når du installerer AD DS-tjenesten, opretter processen automatisk SRV-poster for Active Directory.

  • Active Directory opretter sine SRV-poster i følgende mapper, hvor domænenavn er navnet på dit domæne:
    • fremad Opslagsområder/domænenavn/_msdcs/dc/_sites/Default-First-Site-Name/_tcp fremad Opslagsområder/domænenavn/_msdcs/dc/_tcp

Her er et skærmbillede fra min DNS:

speditører

DNS speditører er servere, der løser værtsnavne, som din interne DNS-server ikke kan løse, primært eksterne Domæner såsom internetsøgning. Du kan konfigurere til at videresende DNS-anmodninger til enhver server efter eget valg, ofte bruges en internetudbyder.

Root Hints

Root hint server er en anden metode til at løse værtsnavne, som din interne server ikke kan løse. Forskellen er, at disse servere fungerer som rod-DNS-området for internettet. De forvaltes af flere store organiseret for sikkerhed og redundans. Du kan bruge enten root hints eller videresender til at løse eksterne navne.

ressourcer:

komplet liste over DNS-ressourceposttyper

sådan verificeres, at SRV-DNS-poster er oprettet til en domænecontroller

Root Hints vs speditører

DNS bedste praksis

Active Directory Replication

replikation er den proces, der sikrer, at ændringer, der er foretaget til en domænecontroller, replikeres til andre domænecontrollere i domænet.

Forbindelsesobjekter

forbindelsesobjektet specificerer, hvilke domænecontrollere replikerer med hinanden, hvor ofte og deres navngivningskontekster.

KCC

Videnkonsistenschecker (KCC) er en proces, der kører på alle domænecontrollere og genererer en replikationstopologi baseret på sider, undernet og stedlink-objekter.

undernet

et undernet er en logisk del af et IP-netværk. Undernet bruges til at gruppere enheder i et specifikt netværk, ofte efter placering, bygning eller gulv. Hvis du har et multisite-miljø, skal Active Directory vide om dine undernet, så det korrekt kan identificere de mest effektive ressourcer. Hvis disse oplysninger ikke gives, kan klienter Godkende og bruge den forkerte domænecontroller.

Site

et site er en samling af undernet. Active Directory-siderne hjælper med at definere replikationsstrømmen og ressourceplaceringen for klienter, f.eks. en domænecontroller.

Site Link

Site links giver dig mulighed for at konfigurere, hvilke sider der er forbundet til hinanden.

Site link Bridge

en site link bridge er en logisk forbindelse mellem steder. Det er en metode til logisk at repræsentere transitiv forbindelse mellem steder.

Site topologi

site topologi er et kort, der definerer netværksforbindelsen til replikering og placering for ressourcer i Active Directory forest. Sitet topologi konsekvent af flere komponenter, herunder sites, undernet, site links, site link broer, og forbindelsesobjekter.

intra-site replikation

Dette er replikation, der forekommer mellem domænecontrollere på samme sted.

inter-site replikation

i et miljø med flere steder skal en ændring på et sted replikeres til det andet sted. Dette kaldes inter-Site replikation.

ressourcer:

Sådan fungerer Active Directory Replication

Active Directory Replication Concepts

Active Directory Security (Authentication, Security Protocols, Permissions)

Kerberos

Kerberos er en sikkerhedsprotokol, der sikkert giver brugerne mulighed for at bevise deres identitet for at få adgang til domæneressourcer.

Key Distribution Center (KDC)

KDC er en tjeneste, der kører på domænecontrollere og leverer sessionsbilletter, der bruges i Kerberos-godkendelsesprotokollen.

service Principal Names (SPN)

SPN er en unik identifikator for en serviceinstans.

NTLM

NTLM er en samling af sikkerhedsprotokoller, der bruges til at godkende, give integritet og fortrolighed til brugerne. Kerberos er den foretrukne godkendelsesprotokol og bruges i moderne vinduer versioner, NTLM er stadig tilgængelig for ældre klienter og systemer på en arbejdsgruppe.

NTFS-tilladelser

NTFS-tilladelser giver dig mulighed for at definere, hvem der har tilladelse til at få adgang til en fil eller mappe. Nedenfor er en liste over de grundlæggende tilladelser, du kan indstille:

  • fuld kontrol – Dette giver brugerne ret til at tilføje, ændre, flytte og slette filer og mapper.
  • Rediger – Giver brugere at få vist og rettigheder til at ændre
  • Læse & Execute – Giver brugere at få vist og udføre rettigheder
  • Læse – ready kun rettigheder
  • Skriv – ret til en fil og tilføje nye mapper

Tilladelser

Tilladelser fastlægge det niveau, adgang til fælles ressourcer som en mappe. Der er tre grundlæggende delte tilladelser:

  • Læs – giver brugerne se rettigheder til mappen og undermapper
  • Skift – giver brugerne læse og ændre rettigheder
  • fuld kontrol – giver brugerne ændre, ændre og læse rettigheder.

diskretionær adgangskontrolliste (Dacl)

en dacl identificerer, hvilken konto der tillader eller nægtes adgang til et objekt, f.eks. en fil eller mappe.

Adgangskontrolposter (ACE)

DACL indeholder Esser, ACE definerer hvilken konto og hvilket adgangsniveau der skal gives til ressourcen. Hvis der ikke er noget ESS, nægter systemet al adgang til objektet.

SYSTEMADGANGSKONTROLLISTE (SACL)

SACL gør det muligt for administratorer at logge forsøg på at få adgang til et sikkerhedsobjekt.

finkornet adgangskode politik

en funktion i vinduer 2008 og derover, der giver dig mulighed for at definere forskellige adgangskode og konto lockout politikker for forskellige konti. Generelt skal alle konti have den samme politik, men du kan have en servicekonto eller en meget specifik konto, der har brug for en anden politik. For eksempel blev vores gæstekonto låst ude på grund af dårlige adgangskodeforsøg. Jeg brugte en bøde tildelt adgangskode politik for at indstille en højere konto lockout derefter resten af domænet.

ressourcer:

Kerberos til den travle Administrator

vinduer godkendelse teknisk oversigt

forskelle mellem tilladelser Share og NTFS

adgangskontrollister

Active Directory Management Consoles

dette afsnit indeholder de administrationskonsoller, du skal bruge til at administrere de forskellige Active Directory-teknologier. Du skal installere Remote Server Administration Tools (RSAT) for at få adgang til disse administrationskonsoller.

Active Directory Users and Computers (aduc)

Dette er den mest anvendte konsol til administration af brugere, computere, grupper og kontakter.

genvej: dsa.msc

Active Directory Administrative Center (ADAC)

startende med Server 2008 R2 Microsoft introducerer ADAC til at administrere deres katalogtjenesteobjekter. Denne konsol kan bruges til at oprette og administrere brugerkonti, computerkonti, grupper og organisatoriske enheder. Det giver den samme funktionalitet som Active Directory brugere og computere værktøj. På grund af den komplicerede grænseflade foretrækker jeg aduc frem for denne konsol.

Active Directory Domains and Trusts

denne konsol bruges til at hæve domænetilstand eller funktionsniveau for et domæne eller en skov. Det bruges også til at styre tillidsforhold.

genvej: domæne.msc

Active Directory Sites and Services

Dette er Hovedkonsollen til styring af replikering. Denne konsol bruges til at styre stedets topologiobjekter, forbindelsesobjekter, planlægge replikering, manuelt tvinge replikering, aktivere det globale katalog og aktivere Universel gruppecaching.

genvej: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor er et GUI-værktøj, der kan bruges til at styre indsigelse i Active Directory. Dette værktøj giver adgang til objektdata, der ikke er tilgængelige i Active Directory-brugere og-computere.

genvej: adsiedit.msc

DFS Management

denne konsol bruges til at administrere DFS navnerum og DFS replikation.

genvej: dfsmgmt.msc

DHCP

denne konsol bruges til at oprette DCHP-scopes, se leasingoplysninger og alle ting DHCP.

genvej: dhcpmgmt.msc

DNS

denne konsol bruges til at oprette DNS-områder, ressourceposter og administrere alle ting DNS.

genvej: dnsmgmt.msc

Group Policy Management

genvej: gpmc.msc

selvom dette ikke er en administrationskonsol, er det det mest kraftfulde værktøj til at automatisere administrative opgaver. Kan fremskynde mange rutineopgaver, som GUI-styringsværktøjerne ikke kan udføre.

ressourcer:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol er en tjeneste, der giver centraliseret kontrol af IP-adresse. Når din computer opretter forbindelse til et kablet eller trådløst netværk, kontaktes en DHCP-server for at finde og tildele dig en tilgængelig IP-adresse.

Scope

et DHCP-scope er en samling af IP-adresseindstillinger, der er konfigureret til enheder som f.eks. en computer, der skal bruges. Du kan oprette flere anvendelsesområder for forskellige enhedstyper og undernet. For eksempel har jeg et rum for computere og forskellige anvendelsesområder for IP-telefoner. Når du opsætter et omfang, skal du konfigurere følgende:
  • Omfangsnavn – dette er navnet på omfanget. Giv det et beskrivende navn, så det er let at identificere, hvilke enheder det er til.
  • IP-adresseområde-dette er det IP-interval, som enhederne skal bruge. For eksempel 10.2.2.0 / 24
  • IP – adresseeksklusioner-du kan angive at ekskludere IP-adresse fra omfanget. Dette er nyttigt, hvis du har enheder på undernet, der har brug for en statisk IP som en router eller server.
  • Leasingvarighed-lejekontrakten angiver, hvor længe en klient har en IP-adresse, før den returneres til puljen.
  • DHCP – indstillinger-der er en række forskellige muligheder, du kan medtage, når DHCP tildeler en IP-adresse. Mere om dette nedenfor

DHCP-indstillinger

der er mange DCHP-indstillinger, nedenfor er de mest anvendte indstillinger i et vinduer domæne.

  • 003 router – standardporten til undernet
  • 005 DNS – server-IP-adressen til DNS-serverklienterne skal bruges til navneopløsning.
  • 015 DNS-domænenavn-det DNS-suffiks, som klienten skal bruge, ofte det samme som domænenavnet.

DHCP-filtrering

DHCP-filtrering kan bruges til at nægte eller tillade enheder baseret på deres MAC-adresse. For eksempel bruger jeg det til at blokere mobile enheder fra at oprette forbindelse til vores sikre trådløse netværk.

Superscopes

et superscope er en samling af individuelle DHCP-anvendelsesområder. Dette kan bruges, når du vil deltage i scopes sammen. Ærligt, jeg har aldrig brugt dette.

Split Scopes

Dette er en metode til at tilvejebringe fejltolerance for et DHCP-omfang. Brug af DHCP failover er ikke den foretrukne metode til fejltolerance.

DHCP Failover

DCHP failover var en ny funktion, der startede i serverversion 2012. Det giver to DHCP-servere mulighed for at dele leasingoplysninger, der giver høj tilgængelighed for DCHP-tjenester. Hvis den ene server bliver utilgængelig, overtager den anden server.

ressourcer:

DHCP-parametre

Gruppepolitik

Gruppepolitik giver dig mulighed for centralt at administrere bruger-og computerindstillinger. Du kan bruge Gruppepolitik til at angive adgangskodepolitikker, overvågningspolitikker, låseskærm, kortdrev, implementeringsprogrammer, et drev, office 365-indstillinger og meget mere.

gruppepolitiske objekter (GPO)

GPO ‘ er er en samling af politiske indstillinger, som du bruger til at anvende på computere eller brugere.

Gruppepolitik opdateringsfrekvens

klientarbejdsstationer og medlemsservere opdaterer deres politikker hvert 90.minut. For at undgå overvældende domænecontrollere deres er en tilfældig offset interval tilføjet til hver maskine. Dette forhindrer alle maskiner i at anmode om gruppepolitiske opgraderinger fra DC på samme tid og potentielt kollidere det.

Politikbehandling

gruppepolitikker gælder i følgende rækkefølge

  • lokal
  • site
  • domæne
  • organisatorisk enhed (OU)

blok arv

som standard arves gruppepolitiske objekter. For at ændre denne adfærd kan du bruge indstillingen blokarv på et OU-niveau.

ingen tilsidesættelse

Hvis du vil håndhæve politikker og forhindre dem i at blive blokeret, skal du bruge indstillingen Ingen tilsidesættelse.

brugerindstillinger

i en GPO er der bruger-og computerindstillinger. Brugerindstillinger gælder kun for brugerobjekter. Hvis du konfigurerer brugerindstillinger i GPO, skal GPO anvendes på brugerobjekter.

computerindstillinger

computerindstillingerne i en GPO er indstillinger, der kan anvendes på en computer. Hvis du konfigurerer computerens indstillinger, skal GPO anvendes på computerobjekter.

resulterende sæt politik (RsoP)

resulterende sæt politik er et Microsoft-værktøj, der er indbygget i Vinduer 7 og nyere versioner. Det giver administratorer en rapport om, hvilke gruppepolitiske indstillinger der anvendes på brugere og computere. Det kan også bruges til at simulere indstillinger til planlægningsformål.

jeg har en komplet tutorial i min artikel Sådan bruges RSoP til at kontrollere og fejlfinde gruppepolitiske indstillinger.

gruppepolitiske præferencer

gruppepolitiske præferencer bruges primært til at konfigurere indstillinger, der senere kan ændres på klientniveau. Indstillinger har også mulighed for at gøre nogle avancerede målretning såsom at anvende på en bestemt OU, vinduer version, brugere i en gruppe og så videre. Indstillinger bruges ofte til at konfigurere følgende:

  • Drive Mappings
  • registreringsindstillinger
  • installer printere
  • planlæg opgaver
  • Indstil fil-og mappetilladelser
  • Indstil strømindstillinger

skabeloner

Du kan installere yderligere gruppepolitikskabeloner for at udvide de standard Gpo ‘ er, der leveres af Microsoft. Nogle almindelige skabeloner, der bruges, er Office 365, Chrome og dem, der leveres af 3.parts applikationer. Skabeloner er normalt i et adm-format eller filtypenavn.

ressourcer:

gruppepolitisk arkitektur

gruppepolitisk oversigt

gik jeg glip af noget? Har du noget at dele? Lad mig vide i kommentarerne nedenfor.

anbefalet værktøj: Solvindserver & Application Monitor

dette værktøj er designet til at overvåge Active Directory og andre kritiske tjenester som DNS & DHCP. Det vil hurtigt få øje på problemer med domænecontroller, forhindre replikationsfejl, spore mislykkede logonforsøg og meget mere.

hvad jeg bedst kan lide ved SAM er, at det er nemt at bruge dashboard og advarselsfunktioner. Det har også evnen til at overvåge virtuelle maskiner og opbevaring.

Hent din gratis prøveperiode her



Skriv et svar

Din e-mailadresse vil ikke blive publiceret.