Active Directory sanasto-termit ja peruskäsitteet
tässä viestissä aion luetella ja selittää Active Directoryn ja siihen liittyvien teknologioiden yleisimmin käytetyt termit.
Jos olet uusi Active Directoryssa, tämä on erinomainen resurssi, jonka avulla voit tutustua Active Directoryn perusasioihin ja peruskäsitteisiin.
olen ryhmitellyt termit eri osioihin, jotta niitä olisi helpompi ymmärtää ja viitata. Jotkut aiheet voivat olla hyvin teknisiä, olen antanut lyhyt ja helppo ymmärtää terminologiaa. Annan sitten lisäresursseja jokaisen osion lopussa, jos haluat oppia lisää.
sisällysluettelo:
- Active Directory Basics – aloita tästä
- Active Directory DNS
- Active Directory replikointi
- Active Directory Security (Authentication, Security Protocols, luvat)
- Active Directoryn Hallintakonsolit
- DHCP
Active Directoryn perusteet
nämä ovat perustermejä, jotka sinun tulisi tuntea kun käsittelet Active Directory.
Active Directory
Active Directory on hakemistopalvelu, joka keskittää käyttäjien, tietokoneiden ja muiden objektien hallinnan verkkoon. Sen ensisijainen tehtävä on todentaa ja valtuuttaa käyttäjät ja tietokoneet windows-verkkotunnuksessa. Esimerkiksi, kun käyttäjä kirjautuu verkkotunnuksen tietokoneeseen, se tarkistaa käyttäjätunnuksen ja salasanan, jotka toimitettiin tilin tarkistamiseksi. Jos kyseessä on kelvollinen käyttäjätunnus ja salasana, käyttäjä todennetaan ja kirjaudutaan tietokoneeseen.
Älä sekaannu seuraaviin kolmeen termiin, jotka kaikki viittaavat Active Directoryyn.
- AD – Tämä on vain lyhenne sanoista Active Directory
- AD DS – tämä on palvelin, joka suorittaa Active Directory – toimialueen Palveluroolin
- toimialueen ohjain-tämä on myös palvelin, joka suorittaa Active Directory-toimialueen Palveluroolin. On suositeltavaa olla useita toimialueen ohjaimet vikaantumisen syistä.
Active Directory Web Services (ADWS)
toimialue
toimialue on Active Directoryn säiliöiden ja objektien looginen rakenne. Verkkotunnus sisältää seuraavat osat:
- hierarkkinen rakenne käyttäjille, ryhmille, tietokoneille ja muille olioille
- Turvallisuuspalvelut, jotka tarjoavat todennuksen ja valtuutuksen toimialueen resursseille ja muille aloille
- käytännöt, joita sovelletaan käyttäjiin ja tietokoneisiin
- DNS-nimi toimialueen tunnistamiseksi. Kun kirjaudut tietokoneeseen, joka on osa toimialuetta, kirjaudut DNS-toimialuenimeen. Oma DNS domain on ad.activedirectorypro.com näin verkkotunnukseni tunnistetaan.
Verkkotunnuspuu
kun lisäät lapsialuetunnuksen ylempään verkkotunnukseen, luot niin sanotun verkkotunnuspuun. Verkkotunnuspuu on vain sarja verkkotunnuksia, jotka on yhdistetty toisiinsa hierarkkisesti ja jotka kaikki käyttävät samaa DNS-nimiavaruutta. Jos activedirectorypro.com oli lisätä verkkotunnuksen nimeltä koulutus, tai videoita se olisi nimetty training.activedirectorypro.com ja videos.activedirectorypro.com. Nämä verkkotunnukset ovat osa samaa verkkotunnuspuuta ja luottamus luodaan automaattisesti vanhemman ja lapsen verkkotunnusten välille.
funktionaaliset tasot
Metsä
metsä on kokoelma domeenipuita. Domain-puulla on yhteinen skeema ja konfiguraatiosäiliö. Domain-puu on liitetty yhteen transitiivisen luottamuksen kautta. Kun asennat Active Directoryn ja luot verkkotunnuksen, luot myös metsän.
FQDN – täysin pätevä verkkotunnus
FSMO
toimialueen ohjaimessa on useita funktioita, joita kutsutaan FSMO-rooleiksi. Nämä roolit on asennettu ensimmäiseen domain-ohjaimeen uudessa metsässä. voit siirtää rooleja useiden DCs: ien läpi auttaaksesi suorituksessa ja vikatilanteessa.
-
Skeemamestari – skeemamestari on forest wide-rooli, joka käsittelee kaikki Active Directory-skeemaan tehtävät muutokset.
-
Domain Naming Master – Tämä on forest wide-rooli, joka on verkkotunnusten mestari. Se käsittelee nimiavaruuden ja lisäämällä poistamalla verkkotunnuksia.
-
PDC – emulaattori-tämä rooli käsittelee salasanamuutoksia, käyttäjän sulkuja, ryhmäkäytäntöä ja on asiakkaiden aikapalvelin.
-
RID Master – tämä rooli vastaa kaikkien toimialueen DCs: n RID-poolipyyntöjen käsittelystä. Kun objekteja, kuten käyttäjiä ja tietokoneita luodaan, niille annetaan yksilöllinen SID ja suhteellinen ID (rid). Rid master-rooli varmistaa, että objektit eivät saa samoja SID-ja rid-arvoja.
-
Infrastructure master – Tämä on toimialueen laajuinen rooli, jota käytetään muiden alueiden kohteiden viitaamiseen. Jos toimialueen a käyttäjät kuuluvat toimialueen B tietoturvaryhmään, infrastruktuurin pääroolia käytetään oikean toimialueen tilien viitoittamiseen.
objektit
kun työskentelet Active Directoryn kanssa, työskentelet ensisijaisesti objektien kanssa. Objektit määritellään attribuuttien ryhmäksi, joka edustaa toimialueen resurssia. Näille objekteille annetaan yksilöllinen suojaustunniste (Sid), jota käytetään myöntämään tai kieltämään objektin pääsy toimialueen resursseihin. Active Directoryn uudelle toimialueelle luodut oletustyypit ovat:
- Organizational Unit (OU) – An OU on säiliöolio, joka voi sisältää eri olioita samasta verkkotunnuksesta. Voit käyttää OUs tallentaa ja järjestää, käyttäjätilit, yhteystiedot, tietokoneet, ja ryhmät. Voit myös linkittää Ryhmäkäytäntöobjektit OU: hun.
- käyttäjät – käyttäjätilit on määritetty ensisijaisesti käyttäjille, jotka saavat käyttöoikeuden toimialueen resursseihin. Niitä voidaan käyttää myös ohjelmien tai järjestelmäpalvelujen ajamiseen.
- tietokone – tämä on yksinkertaisesti tietokone, joka on liitetty toimialueeseen.
- ryhmät-olioita on kahdenlaisia, turvallisuusryhmä ja jakeluryhmä. Tietoturvaryhmä on käyttäjätilien ryhmittymä, jonka avulla voidaan tarjota pääsy resursseihin. Jakeluryhmiä käytetään sähköpostin jakelulistoille.
- yhteystiedot – yhteystietoa käytetään sähköpostitarkoituksiin. Et voi kirjautua verkkotunnukseen yhteystietona, eikä sitä voi käyttää käyttöoikeuksien suojaamiseen.
- Jaettu kansio – kun julkaiset jaetun kansion Active Directoryssa, se luo objektin. Jaettujen kansioiden julkaiseminen mainoksiin helpottaa käyttäjien löytää jaettuja tiedostoja ja kansioita toimialueen sisällä.
- Jaa tulostin – aivan kuten jaetut kansiot voit julkaista tulostimia Active Directoryyn. Tämä myös helpottaa käyttäjien löytää ja käyttää tulostimia verkkotunnuksen.
LDAP (Lightweight Directory Access Protocol)
Global Catalog (GC)
global catalog server sisältää täyden kopion kaikista kohteista ja sitä käytetään forest wide-hakujen suorittamiseen. Oletusarvoisesti toimialueen ensimmäinen toimialueen ohjain on nimetty GC-palvelimeksi, on suositeltavaa, että jokaista sivustoa kohden on vähintään yksi GC-palvelin suorituskyvyn parantamiseksi.
Jet Database Engine
Active Directory-tietokanta perustuu Microsoftin Jet Blue-moottoriin ja käyttää Extensible Storage Engine (ESE) – Tallennusmoottoria tietojen työstämiseen. Tietokanta on yksi tiedosto nimeltä ntds.dit, oletuksena se on tallennettu%SYSTEMROOT % \NTDS-kansioon ja jokaiseen toimialueen ohjaimeen.
roskakorin
Active Directory-roskakorin avulla järjestelmänvalvojat voivat helposti palauttaa poistetut kohteet, tämä ei ole oletusarvoisesti käytössä. Kuinka ottaa roskakorin askel askeleelta opas.
Read-Only Domain Controller (RODC)
RODC-palvelimilla on vain luku-kopio Active Directory-tietokannasta, eivätkä ne salli muutoksia AD: hen. Sen ensisijainen käyttötarkoitus on haaratoimistot ja toimipaikat, joiden fyysinen turvallisuus on heikko.
skeema
Active Directory-skeema määrittelee jokaisen Objektiluokan, joka voidaan luoda ja käyttää Active Directory-metsässä. Se määrittelee myös jokaisen attribuutin, joka voi olla olemassa objektissa. Toisin sanoen, se on suunnitelma siitä, miten tietoja voidaan tallentaa Active Directory. Esimerkiksi käyttäjätili on käyttäjäluokan instanssi, se käyttää attribuutteja tallentaakseen ja antaakseen tietoa kyseisestä objektista. Tietokonetili on luokan toinen ilmentymä, joka määritellään myös sen attribuuttien perusteella.
on monia luokkia ja attribuutteja, ellei ohjelmointi tai vianmääritys jokin kehittynyt ongelma ei ole tarpeen tietää kaikkea skeemasta.
SYSVOL
sysvol on erittäin tärkeä kansio, joka jaetaan jokaiselle toimialueen ohjaimelle. Oletussijainti on %SYSTEMROOT % \sysvol\sysvol ja se koostuu seuraavista:
- Ryhmäkäytäntöobjektit
- skriptit
- risteyskohdat
Tombstone
Tombstone on AD: stä poistettu objekti, jota ei ole poistettu tietokannasta, objekti pysyy teknisesti tietokannassa jonkin aikaa. Tänä aikana esine voidaan palauttaa.
objektin nimen attribuutit
seuraavat ovat joitakin tärkeitä attribuutteja, jotka sinun tulisi tuntea työskennellessäsi Active Directoryn kanssa.
- userPrincipalName (UPN) – tämä on yleinen kirjautumisnimi, joka on muotoa sähköpostiosoite. UPN näyttää tältä. [email protected], UPN voidaan kirjautua windows domain.
- objectGUID – tätä ominaisuutta käytetään yksilöimään käyttäjätili. Vaikka tili nimetään uudelleen tai siirretään, objectGUID ei koskaan muutu.
- sAmAccountName – tämä ominaisuus on käyttäjä verkkotunnuksen tunnuslukuja varten. Se oli ensisijainen keino kirjautua verkkotunnuksen vanhemmille Windows-versiot, sitä voidaan edelleen käyttää nykyaikaisissa Windows-versioissa.
- objectSID – tämä ominaisuus on käyttäjän security identifier (Sid). Palvelin käyttää SID: tä käyttäjän ja heidän ryhmäjäsenyytensä tunnistamiseen, jotta käyttäjät voivat käyttää toimialueen resursseja.
- sIDHistory – tämä attribuutti sisältää käyttäjäobjektin aiemmat Kätkytkuolemat. Tämä on tarpeen vain, jos käyttäjä on siirtynyt toiseen verkkotunnukseen.
- Relative Distinguished Name (RDN) – RDN on distinguishedin nimen ensimmäinen komponentti. Se on objektin nimi Active Directoryssa suhteessa sen sijaintiin AD: n hierarkkisessa rakenteessa
- Distinguished Name (DN) – attribuutti DN paikantaa objekteja hakemistossa. Palvelut ja sovellukset käyttävät tätä ominaisuutta yleisesti kohteiden paikantamiseen Active Directoryssa. DN koostuu seuraavista osista:
- CN – yleisnimi
- ou – organisaatioyksikkö
- DC-toimialueen osa
ryhmiä
ryhmiä käytetään käyttäjätilien, tietokoneiden ja kontaktien keräämiseen hallinnointiyksiköiksi. Ryhmien luominen helpottaa resurssien käyttöoikeuksien hallintaa ja resurssien, kuten tulostimien ja kansioiden, määrittämistä.
- jakeluryhmiä on kahdenlaisia – jakeluryhmiä käytetään sähköpostisovelluksissa t lähettää helposti sähköpostia käyttäjäryhmälle.
- Tietoturvaryhmät ovat ryhmä tilejä, joita voidaan käyttää helposti resurssin määrittämiseen tai käyttöoikeuksien hakemiseen. Jos esimerkiksi haluaisin lukita HR-osastolle kansion, voisin laittaa kaikki työntekijät turvallisuusryhmään ja soveltaa ryhmää kansioon jokaisen yksittäisen tilin sijaan.
ryhmän Laajuus
ryhmän laajuus määrittää, voidaanko ryhmää soveltaa alueella tai metsässä. Tässä on kolme ryhmäkenttää:
- universaali – voi sisältää esineitä muista universaaliryhmistä ja mistä tahansa puun tai metsän domeenista.
- Global – voi sisältää objekteja verkkotunnuksesta ja niitä voidaan käyttää missä tahansa verkkotunnuksen puussa tai metsässä.
- Domain Local – voi sisältää objekteja mistä tahansa verkkotunnuksesta, mutta sitä voi soveltaa vain siihen verkkotunnukseen, jossa se luotiin.
Resources:
Understanding Tombstones, Active Directory, and How to Protect it
Active Directory-skeema
Forest and Domain Functional Levels
Active Directory: Concepts Part 1
Active Directory-palvelut
Active Directory sisältää useita muita palveluita, jotka kuuluvat Active Directory-toimialueen palveluihin, näitä palveluja ovat:
Active Directory-varmennepalvelut (AD CS)
Tämä on palvelinrooli, jonka avulla voit rakentaa julkisen avaimen infrastruktuurin (PKI) ja tarjota digitaalisia varmenteita organisaatiollesi. Varmenteita voidaan käyttää verkkoliikenteen ja sovellusliikenteen salaamiseen sekä käyttäjien ja tietokoneiden todentamiseen. Kun näet selaimen osoitteen https, se tarkoittaa, että se käyttää varmennetta salatakseen viestinnän asiakkaalta palvelimelle.
Active Directory-toimialueen palvelut (AD DS)
Katso Active Directory-toimialueen kuvaus
Active Directory Federation Services (AD FS)
Active Directory Lightweight Directory Services (AD LDS)
Active Directory Rights Management Services (AD RMS)
Active Directory DNS
Domain Name System on palvelu, joka tarjoaa nimiresoluution, tavallisimmin isäntänimen IP-osoitteen resoluutiolle. Tässä osiossa, opit joitakin tärkeitä osia DNS.
resurssitietueet
resurssitietue on DNS-järjestelmässä oleva merkintä, joka auttaa löytämään IP: hen tai verkkotunnukseen perustuvia resursseja. Resurssitietueita on monenlaisia, alla on luettelo yleisistä tietuetyypeistä:
- a – maps a hostname to an IPv4 address
- AAAA – Maps a hostname to an IPv6 address
- CNAME – Maps an alias a hostname
- MX – Used to locate a mail server
- NS – Detectivities a name server for a domain
- PTR – Maps an IPv4 address palvelinnimeen. A: n ennätyksen kääntöpuoli.
- SOA – Sisältää hallinnollisia tietoja
- SRV – käytetään paikantamaan palvelimia, jotka isännöivät tiettyjä palveluita
- TXT – voi sisältää erilaisia tietoja. Käytetään usein verkkotunnusten ja turvallisuussyistä.
Dynamic DNS (DDNS)
Dynamic DNS on menetelmä, jolla asiakkaat voivat rekisteröityä ja dynaamisesti päivittää resurssitietojaan DNS-palvelimella. Tämän avulla asiakkaat, jotka käyttävät DHCP: tä päivittämään DNS-tietonsa automaattisesti, kun heidän IP-osoitteensa muuttuu.
isäntänimi
vyöhykkeet
DNS Aging and Scavenging
Tämä on ominaisuus, jonka avulla voidaan automatisoida tunkkaisten DNS-tietueiden siivoaminen. Olen luonut erillinen viesti, joka selittää enemmän ja tarjoaa askel askeleelta ohjeet määrittää DNS ikääntyminen ja Scavenging.
SRV-tietueet, joita Active Directory
käyttää Windows-toimialueessa SRV-tietueita, joita asiakkaat käyttävät Active Directoryn toimialueen ohjaimien paikantamiseen. Kun asennat AD DS-palvelun, prosessi luo automaattisesti SRV-tietueet Active Directorylle.
- Active Directory luo SRV-tietonsa seuraaviin kansioihin, joissa Domain_Name on verkkotunnuksesi nimi:
- Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp
tässä on kuvakaappaus DNS: stä:
kuormatraktorit
DNS Kuormatraktorit ovat palvelimia, jotka ratkaisevat isäntänimiä, joita sisäinen DNS-palvelin ei voi ratkaista, ensisijaisesti ulkoisia verkkotunnuksia, kuten Internetin selaamista. Voit määrittää välittämään DNS-pyynnöt valitsemallesi palvelimelle, usein käytetään ISP: tä.
Root vihjeet
Root vihjepalvelin on toinen tapa ratkaista isäntänimiä, joita sisäinen palvelin ei pysty ratkaisemaan. Erona on, että nämä palvelimet toimivat internetin pääkäyttäjän DNS-vyöhykkeenä. Niitä hoitavat useat turva-ja irtisanomisjärjestöt. Voit käyttää joko root vihjeitä tai eteenpäin ratkaista ulkoisia nimiä.
resurssit:
täydellinen luettelo DNS resource record tyypit
Miten varmistaa, että SRV DNS tietueet on luotu verkkotunnuksen ohjain
Root vihjeet vs Kuormatraktorit
DNS Best Practices
Active Directory replikointi
replikointi on prosessi, joka varmistaa tehdyt muutokset yhden verkkotunnuksen ohjain kopioidaan muille verkkotunnuksen ohjaimet verkkotunnuksen.
Yhteysobjektit
yhteysobjektin yksityiskohdat, jotka toimialueen ohjaimet toistavat keskenään, kuinka usein ja niiden nimeämiskontekstit.
KCC
Knowledge Consistency Checker (KCC) on prosessi, joka toimii kaikilla toimialueen ohjaimilla ja luo replikaatiotopologian, joka perustuu sivustoihin, aliverkkoihin ja sivustolinkkeihin.
aliverkot
aliverkko on IP-verkon looginen osa. Aliverkkoja käytetään laitteiden ryhmittelyyn tiettyyn verkkoon, usein sijainnin, rakennuksen tai kerroksen mukaan. Jos käytössäsi on multisite-ympäristö, Active Directoryn on tiedettävä aliverkoistasi, jotta se voi tunnistaa tehokkaimmat resurssit. Jos näitä tietoja ei anneta, asiakkaat voivat todentaa ja käyttää väärää toimialueen ohjainta.
Site
a-sivusto on kokoelma aliverkkoja. Active Directory-sivustot auttavat määrittämään replikointivirran ja resurssien sijainnin asiakkaille, kuten toimialueen ohjaimelle.
Site Link
Site linkkien avulla voit määrittää, mitkä sivustot ovat yhteydessä toisiinsa.
Site link Bridge
site link bridge on looginen yhteys sivustojen välillä. Se on menetelmä esittää loogisesti transitiivista yhteyttä sivustojen välillä.
Paikkatopologia
paikkatopologia on kartta, joka määrittelee verkkoyhteyden replikointia varten ja resurssien sijainnin Active Directory-metsässä. Sivuston topologia Yhdenmukainen useita komponentteja, kuten sivustoja, aliverkot, sivuston linkkejä, sivuston linkki siltoja, ja yhteys esineitä.
Laitoskohtainen replikaatio
Tämä on replikaatio, joka tapahtuu samassa kohdassa sijaitsevien toimialueen valvojien välillä.
alueiden välinen replikaatio
ympäristössä, jossa on useita alueita, yhden kohdan muutos on replikoitava toiseen kohtaan. Tätä kutsutaan alueiden väliseksi replikoinniksi.
resurssit:
miten Active Directoryn replikointi toimii
Active Directoryn Replikointikäsitteet
Active Directoryn suojaus (todennus, suojausprotokollat, käyttöoikeudet)
Kerberos
Kerberos on suojausprotokolla, jonka avulla käyttäjät voivat turvallisesti todistaa henkilöllisyytensä päästäkseen käsiksi toimialueen resursseihin.
Key Distribution Center (KDC)
KDC on palvelu, joka toimii toimialueen ohjaimilla ja toimittaa Kerberos-todennusprotokollassa käytettyjä istuntolippuja.
Service Principal Names (SPN)
SPN on palveluesimerkin yksilöllinen tunniste.
NTLM
NTLM on kokoelma suojausprotokollia, joita käytetään todentamiseen, eheyden ja luottamuksellisuuden tarjoamiseen käyttäjille. Kerberos on ensisijainen todennusprotokolla ja sitä käytetään nykyaikaisissa Windows-versioissa, NTLM on edelleen saatavilla vanhemmille asiakkaille ja järjestelmille työryhmässä.
NTFS: n käyttöoikeudet
NTFS: n käyttöoikeudet antavat sinulle mahdollisuuden määritellä, kenellä on oikeus käyttää tiedostoa tai kansiota. Alla on luettelo perusoikeuksista, jotka voit asettaa:
- täysi hallinta – tämä antaa käyttäjille oikeudet lisätä, muokata, siirtää ja poistaa tiedostoja ja kansioita.
- muokkaa – antaa käyttäjille näkymän ja oikeudet muokata
- Lue & Suorita – antaa käyttäjille näkymä – ja suoritusoikeudet
- Lukuvalmiille vain oikeudet
- Kirjoita – oikeus tiedostoon ja lisää uusia kansioita
Jakooikeudet
Jakooikeudet määrittelevät pääsyn tason jaettuihin resursseihin, kuten kansioon. Jaettuja perusoikeuksia on kolme:
- luku – antaa käyttäjille katseluoikeudet kansioon ja alikansioihin
- muutos – antaa käyttäjille lukea ja muokata oikeuksia
- täysi hallinta – antaa käyttäjille muokata, muuttaa ja lukea oikeuksia.
harkinnanvarainen kulunvalvontaluettelo (Dacl)
DACL määrittää, mikä tili sallii tai estää pääsyn objektiin, kuten tiedostoon tai kansioon.
Kulunvalvontamerkinnät (ACE)
DACL sisältää Ässät, ässä määrittelee minkä tilin ja millä tasolla resurssille annetaan käyttöoikeudet. Jos ässää ei ole, järjestelmä estää kaiken pääsyn kohteeseen.
järjestelmän Kulunvalvontaluettelo (SACL)
sacl mahdollistaa järjestelmänvalvojien kirjaamisen suojausobjektin käyttöoikeusyrityksiin.
hienorakeinen Salasanakäytäntö
resurssit:
Kerberos kiireiselle ylläpitäjälle
Windows-todennuksen tekninen yleiskatsaus
Share-ja NTFS-käyttöoikeuksien erot
Kulunvalvontaluettelot
Active Directory-Hallintakonsolit
Tämä osio sisältää hallintakonsolit, joita sinun on käytettävä erilaisten Active Directory-teknologioiden hallintaan. Sinun täytyy asentaa Remote Server Administration Tools (RSAT) päästäksesi näihin hallintakonsoleihin.
Active Directory Users and Computers (ADUC)
Tämä on yleisimmin käytetty konsoli käyttäjien, tietokoneiden, ryhmien ja yhteystietojen hallintaan.
Oikotie: dsa.msc
Active Directory Administrative Center (ADAC)
Active Directory Domains and Trusts
tätä konsolia käytetään toimialueen tai metsän toimialueen tilan tai toiminnallisen tason nostamiseen. Sitä käytetään myös luottamussuhteiden hoitamiseen.
Active Directory Sites and Services
Tämä on replikaation hallinnan tärkein konsoli. Tätä konsolia käytetään sivuston topologian objektien, yhteysobjektien, replikoinnin aikatauluttamiseen, replikoinnin manuaalisesti pakottamiseen, maailmanlaajuisen luettelon käyttöönottoon ja universaalin ryhmän välimuistin käyttöön ottamiseen.
ADSI Edit
DFS-hallinta
tätä konsolia käytetään DFS-nimiavaruuksien ja DFS-replikaation hallintaan.
DHCP
tätä konsolia käytetään DCHP-laajuuksien luomiseen, vuokraustietojen katseluun ja kaikkeen DHCP: hen.
DNS
tätä konsolia käytetään luomaan DNS-alueita, resurssitietueita ja hallitsemaan kaikkea DNS: ää.
ryhmäpolitiikan hallinta
PowerShell
resurssit:
Dynamic Host Control Protocol (DHCP)
Scope
- soveltamisalan nimi – tämä on soveltamisalan nimi. Anna sille kuvaava nimi, jotta on helppo tunnistaa, mihin laitteisiin se on tarkoitettu.
- IP – osoitealue-tämä on IP-alue, jota haluat laitteiden käyttävän. Esimerkiksi 10.2.2.0/24
- IP – osoitteen poissulkemiset-voit määrittää, että IP-osoite jätetään soveltamisalan ulkopuolelle. Tämä on hyödyllistä, jos aliverkossa on laitteita, jotka tarvitsevat staattisen IP: n, kuten reitittimen tai palvelimen.
- vuokrasopimuksen kesto – vuokrasopimuksessa määritellään, kuinka kauan asiakkaalla on IP-osoite ennen sen palauttamista pooliin.
- DHCP – asetukset-on olemassa useita eri vaihtoehtoja, jotka voit sisällyttää, kun DHCP antaa IP-osoitteen. Lisää tästä alla
DHCP-vaihtoehtoja
on monia DCHP-vaihtoehtoja, alla ovat yleisimmin käytetyt asetukset Windows-verkkotunnuksessa.
- 003 reititin – aliverkon oletusyhdyskäytävä
- 005 DNS – palvelin-DNS-palvelimen asiakkaiden IP-osoitetta tulisi käyttää nimen erotteluun.
- 015 DNS – verkkotunnus-DNS-pääte, jota asiakkaan tulee käyttää, usein sama kuin verkkotunnus.
DHCP-suodatus
DHCP-suodatus voidaan estää tai sallia laitteiden MAC-osoitteen perusteella. Käytän sitä esimerkiksi estämään mobiililaitteita liittymästä turvalliseen wifi-verkkoomme.
Superskooppi
superskooppi on kokoelma yksittäisiä DHCP-laajuuksia. Tätä voidaan käyttää, kun haluat liittyä scopes yhdessä. En ole koskaan käyttänyt tätä.
Split Scopes
Tämä on menetelmä, jolla saadaan vikasietoisuus DHCP-scopelle. DHCP: n vikasietoisuus ei ole suositeltava menetelmä vikasietoisuudelle.
DHCP Failover
DCHP failover oli uusi ominaisuus, joka alkoi palvelinversiossa 2012. Sen avulla kaksi DHCP-palvelinta voi jakaa vuokraustietoja, jotka tarjoavat korkean saatavuuden DCHP-palveluille. Jos yksi palvelin ei ole käytettävissä, toinen palvelin ottaa vallan.
resurssit:
DHCP-parametrit
Ryhmäkäytäntö
Ryhmäkäytäntö mahdollistaa käyttäjän ja tietokoneen asetusten keskitetyn hallinnan. Voit käyttää ryhmäkäytäntöä salasanakäytäntöjen, valvontakäytäntöjen, lukitusnäytön, kartta-asemien, ohjelmiston, yhden aseman, office 365-asetusten ja paljon muuta määrittämiseen.
Ryhmäkäytäntöobjektit (GPO)
Ryhmäkäytäntöobjektit ovat kokoelma käytäntöasetuksia, joita käytetään tietokoneisiin tai käyttäjiin.
ryhmäkäytäntöjen päivitystiheys
Asiakastyöasemat ja jäsenpalvelimet päivittävät käytäntöjään 90 minuutin välein. Välttää ylivoimainen toimialueen ohjaimet niiden on satunnainen offset intervalli lisätään jokaiseen koneeseen. Tämä estää kaikkia koneita pyytämästä RYHMÄKÄYTÄNTÖPÄIVITYKSIÄ DC: stä samanaikaisesti ja mahdollisesti kaatamasta sitä.
Policy Processing
Group policies apply in the following order
- Local
- Domain
- Organizational Unit (OU)
Site
Block inheritance
by default, group policy objects are peritty. Voit muuttaa tätä käyttäytymistä käyttämällä block perintö vaihtoehto OU tasolla.
Ei ohitusta
Jos haluat valvoa käytäntöjä ja estää niiden estämisen, käytä Ei ohitusta-vaihtoehtoa.
käyttäjän asetukset
RYHMÄPOIKKEUKSESSA on käyttäjän ja tietokoneen asetukset. Käyttäjäasetukset koskevat vain käyttäjäobjekteja. Jos määrität käyttäjäasetuksia RYHMÄKÄYTÄNTÖOBJEKTISSA, ryhmäkäytäntöobjektia on sovellettava käyttäjäobjekteihin.
tietokoneen asetukset
ryhmäkäytäntöobjektin tietokoneen asetukset ovat asetuksia, joita voidaan soveltaa tietokoneeseen. Jos määrität tietokoneen asetuksia, ryhmäkäytäntöobjektia on sovellettava tietokoneobjekteihin.
Resultant Set Of Policy (RsoP)
Resultant Set of Policy on Microsoftin työkalu, joka on rakennettu Windows 7: ään ja uudempiin versioihin. Se tarjoaa järjestelmänvalvojille raportin siitä, mitä ryhmäkäytäntöasetuksia käytetään käyttäjiin ja tietokoneisiin. Sitä voidaan käyttää myös asetusten simulointiin suunnittelutarkoituksiin.
minulla on artikkelissani täydellinen opetusohjelma RSoP: n käytöstä Ryhmäkäytäntöasetusten tarkistamiseen ja vianmääritykseen.
ryhmäkäytäntöasetukset
ryhmäkäytäntöasetukset käytetään ensisijaisesti asetusten määrittämiseen, joita voidaan myöhemmin muuttaa asiakastasolla. Asetukset on myös mahdollisuus tehdä joitakin kehittyneitä kohdistaminen, kuten soveltamalla tiettyyn OU, Windows-versio, käyttäjät ryhmässä ja niin edelleen. Asetuksia käytetään yleisesti seuraavien asetusten määrittämiseen:
- Asemakaaviot
- rekisterin asetukset
- Asenna tulostimet
- Ajoitettavat tehtävät
- Aseta tiedoston ja kansion käyttöoikeudet
- Aseta tehoasetukset
mallineet
voit asentaa lisää ryhmäkäytäntömalleja laajentamaan Microsoftin toimittamia oletusasetuksia. Joitakin yleisiä malleja käytetään ovat Office 365, Chrome, Firefox ja ne, jotka toimitetaan 3rd party sovelluksia. Mallit ovat xml-pohjaisia tiedostoja yleensä ADM-muodossa tai ADMX-tiedostopääte.
resurssit:
ryhmäpolitiikan Arkkitehtuuri
ryhmäpolitiikan yleiskatsaus
jäikö minulta jotain huomaamatta? Onko mitään kerrottavaa? Kerro minulle kommentit alla.
suositeltava työkalu: SolarWinds Server &Application Monitor
Tämä apuohjelma on suunniteltu seuraamaan Active Directorya ja muita kriittisiä palveluita, kuten DNS&DHCP. Se nopeasti paikalla verkkotunnuksen ohjaimen ongelmia, estää replikointi epäonnistumisia, seurata epäonnistuneita kirjautumisyrityksiä ja paljon muuta.
pidän Samissa eniten siitä, että se on helppokäyttöinen kojelauta ja hälytysominaisuudet. Sillä on myös kyky seurata virtuaalikoneita ja tallennustilaa.
lataa ilmainen kokeilusi täältä