24 kesäkuun, 2021

Active Directory sanasto-termit ja peruskäsitteet

tässä viestissä aion luetella ja selittää Active Directoryn ja siihen liittyvien teknologioiden yleisimmin käytetyt termit.

Jos olet uusi Active Directoryssa, tämä on erinomainen resurssi, jonka avulla voit tutustua Active Directoryn perusasioihin ja peruskäsitteisiin.

olen ryhmitellyt termit eri osioihin, jotta niitä olisi helpompi ymmärtää ja viitata. Jotkut aiheet voivat olla hyvin teknisiä, olen antanut lyhyt ja helppo ymmärtää terminologiaa. Annan sitten lisäresursseja jokaisen osion lopussa, jos haluat oppia lisää.

sisällysluettelo:

  • Active Directory Basics – aloita tästä
  • Active Directory DNS
  • Active Directory replikointi
  • Active Directory Security (Authentication, Security Protocols, luvat)
  • Active Directoryn Hallintakonsolit
  • DHCP

Active Directoryn perusteet

nämä ovat perustermejä, jotka sinun tulisi tuntea kun käsittelet Active Directory.

Active Directory

Active Directory on hakemistopalvelu, joka keskittää käyttäjien, tietokoneiden ja muiden objektien hallinnan verkkoon. Sen ensisijainen tehtävä on todentaa ja valtuuttaa käyttäjät ja tietokoneet windows-verkkotunnuksessa. Esimerkiksi, kun käyttäjä kirjautuu verkkotunnuksen tietokoneeseen, se tarkistaa käyttäjätunnuksen ja salasanan, jotka toimitettiin tilin tarkistamiseksi. Jos kyseessä on kelvollinen käyttäjätunnus ja salasana, käyttäjä todennetaan ja kirjaudutaan tietokoneeseen.

Älä sekaannu seuraaviin kolmeen termiin, jotka kaikki viittaavat Active Directoryyn.

  • AD – Tämä on vain lyhenne sanoista Active Directory
  • AD DS – tämä on palvelin, joka suorittaa Active Directory – toimialueen Palveluroolin
  • toimialueen ohjain-tämä on myös palvelin, joka suorittaa Active Directory-toimialueen Palveluroolin. On suositeltavaa olla useita toimialueen ohjaimet vikaantumisen syistä.

Active Directory Web Services (ADWS)

tämä palvelu otettiin käyttöön Windows Server 2008 R2: ssa. Se asennetaan automaattisesti ADDS – tai ADLDS-roolilla ja se on määritetty toimimaan automaattisesti. Tämä palvelu tarjoaa paikallisten hakemistopalvelujen etähallinnan.

toimialue

toimialue on Active Directoryn säiliöiden ja objektien looginen rakenne. Verkkotunnus sisältää seuraavat osat:

  • hierarkkinen rakenne käyttäjille, ryhmille, tietokoneille ja muille olioille
  • Turvallisuuspalvelut, jotka tarjoavat todennuksen ja valtuutuksen toimialueen resursseille ja muille aloille
  • käytännöt, joita sovelletaan käyttäjiin ja tietokoneisiin
  • DNS-nimi toimialueen tunnistamiseksi. Kun kirjaudut tietokoneeseen, joka on osa toimialuetta, kirjaudut DNS-toimialuenimeen. Oma DNS domain on ad.activedirectorypro.com näin verkkotunnukseni tunnistetaan.

Verkkotunnuspuu

kun lisäät lapsialuetunnuksen ylempään verkkotunnukseen, luot niin sanotun verkkotunnuspuun. Verkkotunnuspuu on vain sarja verkkotunnuksia, jotka on yhdistetty toisiinsa hierarkkisesti ja jotka kaikki käyttävät samaa DNS-nimiavaruutta. Jos activedirectorypro.com oli lisätä verkkotunnuksen nimeltä koulutus, tai videoita se olisi nimetty training.activedirectorypro.com ja videos.activedirectorypro.com. Nämä verkkotunnukset ovat osa samaa verkkotunnuspuuta ja luottamus luodaan automaattisesti vanhemman ja lapsen verkkotunnusten välille.

funktionaaliset tasot

funktionaaliset tasot määrittävät, mitä ominaisuuksia alueella on käytettävissä. Korkeampien toiminnallisten tasojen avulla voit käyttää Active Directory-toimialueen uusimpia ja parhaimpia teknologioita. Käytä mahdollisuuksien mukaan toimialueen ohjaimille korkeimpia toiminnallisia tasoja.

Metsä

metsä on kokoelma domeenipuita. Domain-puulla on yhteinen skeema ja konfiguraatiosäiliö. Domain-puu on liitetty yhteen transitiivisen luottamuksen kautta. Kun asennat Active Directoryn ja luot verkkotunnuksen, luot myös metsän.

FQDN – täysin pätevä verkkotunnus

täysin pätevä verkkotunnus on isäntänimi + verkkotunnus, esimerkiksi oma verkkotunnus on ad.activedirectorypro.com, tietokone verkkotunnuksen kanssa isäntänimi PC1 joten FQDN olisi pc1.ad.activedirectorypro.com

FSMO

toimialueen ohjaimessa on useita funktioita, joita kutsutaan FSMO-rooleiksi. Nämä roolit on asennettu ensimmäiseen domain-ohjaimeen uudessa metsässä. voit siirtää rooleja useiden DCs: ien läpi auttaaksesi suorituksessa ja vikatilanteessa.

  • Skeemamestari – skeemamestari on forest wide-rooli, joka käsittelee kaikki Active Directory-skeemaan tehtävät muutokset.
  • Domain Naming Master – Tämä on forest wide-rooli, joka on verkkotunnusten mestari. Se käsittelee nimiavaruuden ja lisäämällä poistamalla verkkotunnuksia.
  • PDC – emulaattori-tämä rooli käsittelee salasanamuutoksia, käyttäjän sulkuja, ryhmäkäytäntöä ja on asiakkaiden aikapalvelin.
  • RID Master – tämä rooli vastaa kaikkien toimialueen DCs: n RID-poolipyyntöjen käsittelystä. Kun objekteja, kuten käyttäjiä ja tietokoneita luodaan, niille annetaan yksilöllinen SID ja suhteellinen ID (rid). Rid master-rooli varmistaa, että objektit eivät saa samoja SID-ja rid-arvoja.
  • Infrastructure master – Tämä on toimialueen laajuinen rooli, jota käytetään muiden alueiden kohteiden viitaamiseen. Jos toimialueen a käyttäjät kuuluvat toimialueen B tietoturvaryhmään, infrastruktuurin pääroolia käytetään oikean toimialueen tilien viitoittamiseen.

objektit

kun työskentelet Active Directoryn kanssa, työskentelet ensisijaisesti objektien kanssa. Objektit määritellään attribuuttien ryhmäksi, joka edustaa toimialueen resurssia. Näille objekteille annetaan yksilöllinen suojaustunniste (Sid), jota käytetään myöntämään tai kieltämään objektin pääsy toimialueen resursseihin. Active Directoryn uudelle toimialueelle luodut oletustyypit ovat:

  • Organizational Unit (OU) – An OU on säiliöolio, joka voi sisältää eri olioita samasta verkkotunnuksesta. Voit käyttää OUs tallentaa ja järjestää, käyttäjätilit, yhteystiedot, tietokoneet, ja ryhmät. Voit myös linkittää Ryhmäkäytäntöobjektit OU: hun.
  • käyttäjät – käyttäjätilit on määritetty ensisijaisesti käyttäjille, jotka saavat käyttöoikeuden toimialueen resursseihin. Niitä voidaan käyttää myös ohjelmien tai järjestelmäpalvelujen ajamiseen.
  • tietokone – tämä on yksinkertaisesti tietokone, joka on liitetty toimialueeseen.
  • ryhmät-olioita on kahdenlaisia, turvallisuusryhmä ja jakeluryhmä. Tietoturvaryhmä on käyttäjätilien ryhmittymä, jonka avulla voidaan tarjota pääsy resursseihin. Jakeluryhmiä käytetään sähköpostin jakelulistoille.
  • yhteystiedot – yhteystietoa käytetään sähköpostitarkoituksiin. Et voi kirjautua verkkotunnukseen yhteystietona, eikä sitä voi käyttää käyttöoikeuksien suojaamiseen.
  • Jaettu kansio – kun julkaiset jaetun kansion Active Directoryssa, se luo objektin. Jaettujen kansioiden julkaiseminen mainoksiin helpottaa käyttäjien löytää jaettuja tiedostoja ja kansioita toimialueen sisällä.
  • Jaa tulostin – aivan kuten jaetut kansiot voit julkaista tulostimia Active Directoryyn. Tämä myös helpottaa käyttäjien löytää ja käyttää tulostimia verkkotunnuksen.

LDAP (Lightweight Directory Access Protocol)

LDAP on avoimen alustan protokolla, jota käytetään hakemistopalveluiden käyttämiseen. LDAP tarjoaa viestintämekanismin sovelluksille ja muille järjestelmille, joita käytetään vuorovaikutuksessa hakemistopalvelimien kanssa. Yksinkertaisesti sanottuna LDAP on tapa yhdistää Active Directory ja kommunikoida sen kanssa.

Global Catalog (GC)

global catalog server sisältää täyden kopion kaikista kohteista ja sitä käytetään forest wide-hakujen suorittamiseen. Oletusarvoisesti toimialueen ensimmäinen toimialueen ohjain on nimetty GC-palvelimeksi, on suositeltavaa, että jokaista sivustoa kohden on vähintään yksi GC-palvelin suorituskyvyn parantamiseksi.

Jet Database Engine

Active Directory-tietokanta perustuu Microsoftin Jet Blue-moottoriin ja käyttää Extensible Storage Engine (ESE) – Tallennusmoottoria tietojen työstämiseen. Tietokanta on yksi tiedosto nimeltä ntds.dit, oletuksena se on tallennettu%SYSTEMROOT % \NTDS-kansioon ja jokaiseen toimialueen ohjaimeen.

roskakorin

Active Directory-roskakorin avulla järjestelmänvalvojat voivat helposti palauttaa poistetut kohteet, tämä ei ole oletusarvoisesti käytössä. Kuinka ottaa roskakorin askel askeleelta opas.

Read-Only Domain Controller (RODC)

RODC-palvelimilla on vain luku-kopio Active Directory-tietokannasta, eivätkä ne salli muutoksia AD: hen. Sen ensisijainen käyttötarkoitus on haaratoimistot ja toimipaikat, joiden fyysinen turvallisuus on heikko.

skeema

Active Directory-skeema määrittelee jokaisen Objektiluokan, joka voidaan luoda ja käyttää Active Directory-metsässä. Se määrittelee myös jokaisen attribuutin, joka voi olla olemassa objektissa. Toisin sanoen, se on suunnitelma siitä, miten tietoja voidaan tallentaa Active Directory. Esimerkiksi käyttäjätili on käyttäjäluokan instanssi, se käyttää attribuutteja tallentaakseen ja antaakseen tietoa kyseisestä objektista. Tietokonetili on luokan toinen ilmentymä, joka määritellään myös sen attribuuttien perusteella.

on monia luokkia ja attribuutteja, ellei ohjelmointi tai vianmääritys jokin kehittynyt ongelma ei ole tarpeen tietää kaikkea skeemasta.

SYSVOL

sysvol on erittäin tärkeä kansio, joka jaetaan jokaiselle toimialueen ohjaimelle. Oletussijainti on %SYSTEMROOT % \sysvol\sysvol ja se koostuu seuraavista:

  • Ryhmäkäytäntöobjektit
  • skriptit
  • risteyskohdat

Tombstone

Tombstone on AD: stä poistettu objekti, jota ei ole poistettu tietokannasta, objekti pysyy teknisesti tietokannassa jonkin aikaa. Tänä aikana esine voidaan palauttaa.

objektin nimen attribuutit

seuraavat ovat joitakin tärkeitä attribuutteja, jotka sinun tulisi tuntea työskennellessäsi Active Directoryn kanssa.

  • userPrincipalName (UPN) – tämä on yleinen kirjautumisnimi, joka on muotoa sähköpostiosoite. UPN näyttää tältä. [email protected], UPN voidaan kirjautua windows domain.
  • objectGUID – tätä ominaisuutta käytetään yksilöimään käyttäjätili. Vaikka tili nimetään uudelleen tai siirretään, objectGUID ei koskaan muutu.
  • sAmAccountName – tämä ominaisuus on käyttäjä verkkotunnuksen tunnuslukuja varten. Se oli ensisijainen keino kirjautua verkkotunnuksen vanhemmille Windows-versiot, sitä voidaan edelleen käyttää nykyaikaisissa Windows-versioissa.
  • objectSID – tämä ominaisuus on käyttäjän security identifier (Sid). Palvelin käyttää SID: tä käyttäjän ja heidän ryhmäjäsenyytensä tunnistamiseen, jotta käyttäjät voivat käyttää toimialueen resursseja.
  • sIDHistory – tämä attribuutti sisältää käyttäjäobjektin aiemmat Kätkytkuolemat. Tämä on tarpeen vain, jos käyttäjä on siirtynyt toiseen verkkotunnukseen.
  • Relative Distinguished Name (RDN) – RDN on distinguishedin nimen ensimmäinen komponentti. Se on objektin nimi Active Directoryssa suhteessa sen sijaintiin AD: n hierarkkisessa rakenteessa
  • Distinguished Name (DN) – attribuutti DN paikantaa objekteja hakemistossa. Palvelut ja sovellukset käyttävät tätä ominaisuutta yleisesti kohteiden paikantamiseen Active Directoryssa. DN koostuu seuraavista osista:
    • CN – yleisnimi
    • ou – organisaatioyksikkö
    • DC-toimialueen osa

ryhmiä

ryhmiä käytetään käyttäjätilien, tietokoneiden ja kontaktien keräämiseen hallinnointiyksiköiksi. Ryhmien luominen helpottaa resurssien käyttöoikeuksien hallintaa ja resurssien, kuten tulostimien ja kansioiden, määrittämistä.

  • jakeluryhmiä on kahdenlaisia – jakeluryhmiä käytetään sähköpostisovelluksissa t lähettää helposti sähköpostia käyttäjäryhmälle.
  • Tietoturvaryhmät ovat ryhmä tilejä, joita voidaan käyttää helposti resurssin määrittämiseen tai käyttöoikeuksien hakemiseen. Jos esimerkiksi haluaisin lukita HR-osastolle kansion, voisin laittaa kaikki työntekijät turvallisuusryhmään ja soveltaa ryhmää kansioon jokaisen yksittäisen tilin sijaan.

ryhmän Laajuus

ryhmän laajuus määrittää, voidaanko ryhmää soveltaa alueella tai metsässä. Tässä on kolme ryhmäkenttää:

  • universaali – voi sisältää esineitä muista universaaliryhmistä ja mistä tahansa puun tai metsän domeenista.
  • Global – voi sisältää objekteja verkkotunnuksesta ja niitä voidaan käyttää missä tahansa verkkotunnuksen puussa tai metsässä.
  • Domain Local – voi sisältää objekteja mistä tahansa verkkotunnuksesta, mutta sitä voi soveltaa vain siihen verkkotunnukseen, jossa se luotiin.

Resources:

Understanding Tombstones, Active Directory, and How to Protect it

Active Directory-skeema

Forest and Domain Functional Levels

Active Directory: Concepts Part 1

Active Directory-palvelut

Active Directory sisältää useita muita palveluita, jotka kuuluvat Active Directory-toimialueen palveluihin, näitä palveluja ovat:

Active Directory-varmennepalvelut (AD CS)

Tämä on palvelinrooli, jonka avulla voit rakentaa julkisen avaimen infrastruktuurin (PKI) ja tarjota digitaalisia varmenteita organisaatiollesi. Varmenteita voidaan käyttää verkkoliikenteen ja sovellusliikenteen salaamiseen sekä käyttäjien ja tietokoneiden todentamiseen. Kun näet selaimen osoitteen https, se tarkoittaa, että se käyttää varmennetta salatakseen viestinnän asiakkaalta palvelimelle.

Active Directory-toimialueen palvelut (AD DS)

Katso Active Directory-toimialueen kuvaus

Active Directory Federation Services (AD FS)

federaation palvelu mahdollistaa yhden kirjautumisen ulkoisiin järjestelmiin, kuten verkkosivuihin ja sovelluksiin. Toimisto 365 on liiton palveluiden yhteiskäytössä. Kun kirjaudut office 365: een, käyttäjätunnus ja salasana ohjataan federaation palvelimen kautta ja tunnistetiedot tarkistetaan paikan päällä olevasta Active Directorysta. Näin voit tarjota todennuksen ulkoisiin järjestelmiin käyttämällä paikallista Active Directorya käyttäjätunnuksen ja salasanan todentamiseen.

Active Directory Lightweight Directory Services (AD LDS)

tämä palvelu tarjoaa hakemistopalveluja LDAP-protokollaa käyttäen ilman tarvetta ottaa käyttöön toimialueen ohjaimia. Tätä käytetään ensisijaisesti tarjoamaan hakemistopalvelua toiminnallisesti hakemistoavusteisille sovelluksille. Tämä ei korvaa AD DS: ää.

Active Directory Rights Management Services (AD RMS)

tämä palvelu tarjoaa menetelmiä digitaalisen sisällön suojaamiseen. Se suojaa asiakirjoja määrittelemällä, kuka voi avata, muokata, tulostaa, välittää tai ryhtyä muihin asiakirjoihin liittyviin toimiin. Voit myös käyttää varmenteita asiakirjojen salaamiseen paremman turvallisuuden takaamiseksi.

Active Directory DNS

Domain Name System on palvelu, joka tarjoaa nimiresoluution, tavallisimmin isäntänimen IP-osoitteen resoluutiolle. Tässä osiossa, opit joitakin tärkeitä osia DNS.

resurssitietueet

resurssitietue on DNS-järjestelmässä oleva merkintä, joka auttaa löytämään IP: hen tai verkkotunnukseen perustuvia resursseja. Resurssitietueita on monenlaisia, alla on luettelo yleisistä tietuetyypeistä:

  • a – maps a hostname to an IPv4 address
  • AAAA – Maps a hostname to an IPv6 address
  • CNAME – Maps an alias a hostname
  • MX – Used to locate a mail server
  • NS – Detectivities a name server for a domain
  • PTR – Maps an IPv4 address palvelinnimeen. A: n ennätyksen kääntöpuoli.
  • SOA – Sisältää hallinnollisia tietoja
  • SRV – käytetään paikantamaan palvelimia, jotka isännöivät tiettyjä palveluita
  • TXT – voi sisältää erilaisia tietoja. Käytetään usein verkkotunnusten ja turvallisuussyistä.

Dynamic DNS (DDNS)

Dynamic DNS on menetelmä, jolla asiakkaat voivat rekisteröityä ja dynaamisesti päivittää resurssitietojaan DNS-palvelimella. Tämän avulla asiakkaat, jotka käyttävät DHCP: tä päivittämään DNS-tietonsa automaattisesti, kun heidän IP-osoitteensa muuttuu.

isäntänimi

tämä on useimmiten DNS a-tietue, sellaisen laitteen DNS-nimi, jonka kanssa voidaan kommunikoida. Esimerkiksi palvelin, jonka nimi on DC1. Jos DC1 olisi rekisteröity DNS: ään, viittaisit siihen isäntänimenä.

vyöhykkeet

a-vyöhykettä käytetään isännöimään tietyn verkkotunnuksen DNS-tietueita. Tärkein ja yleisesti käytetty vyöhyketyyppi on Active Directory integrated zones. On olemassa useita muita vyöhykkeitä, jotka sinun pitäisi tuntea, peitän muut vyöhykkeet artikkelissani, Windows DNZ Zones selitti.

DNS Aging and Scavenging

Tämä on ominaisuus, jonka avulla voidaan automatisoida tunkkaisten DNS-tietueiden siivoaminen. Olen luonut erillinen viesti, joka selittää enemmän ja tarjoaa askel askeleelta ohjeet määrittää DNS ikääntyminen ja Scavenging.

SRV-tietueet, joita Active Directory

käyttää Windows-toimialueessa SRV-tietueita, joita asiakkaat käyttävät Active Directoryn toimialueen ohjaimien paikantamiseen. Kun asennat AD DS-palvelun, prosessi luo automaattisesti SRV-tietueet Active Directorylle.

  • Active Directory luo SRV-tietonsa seuraaviin kansioihin, joissa Domain_Name on verkkotunnuksesi nimi:
    • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

tässä on kuvakaappaus DNS: stä:

kuormatraktorit

DNS Kuormatraktorit ovat palvelimia, jotka ratkaisevat isäntänimiä, joita sisäinen DNS-palvelin ei voi ratkaista, ensisijaisesti ulkoisia verkkotunnuksia, kuten Internetin selaamista. Voit määrittää välittämään DNS-pyynnöt valitsemallesi palvelimelle, usein käytetään ISP: tä.

Root vihjeet

Root vihjepalvelin on toinen tapa ratkaista isäntänimiä, joita sisäinen palvelin ei pysty ratkaisemaan. Erona on, että nämä palvelimet toimivat internetin pääkäyttäjän DNS-vyöhykkeenä. Niitä hoitavat useat turva-ja irtisanomisjärjestöt. Voit käyttää joko root vihjeitä tai eteenpäin ratkaista ulkoisia nimiä.

resurssit:

täydellinen luettelo DNS resource record tyypit

Miten varmistaa, että SRV DNS tietueet on luotu verkkotunnuksen ohjain

Root vihjeet vs Kuormatraktorit

DNS Best Practices

Active Directory replikointi

replikointi on prosessi, joka varmistaa tehdyt muutokset yhden verkkotunnuksen ohjain kopioidaan muille verkkotunnuksen ohjaimet verkkotunnuksen.

Yhteysobjektit

yhteysobjektin yksityiskohdat, jotka toimialueen ohjaimet toistavat keskenään, kuinka usein ja niiden nimeämiskontekstit.

KCC

Knowledge Consistency Checker (KCC) on prosessi, joka toimii kaikilla toimialueen ohjaimilla ja luo replikaatiotopologian, joka perustuu sivustoihin, aliverkkoihin ja sivustolinkkeihin.

aliverkot

aliverkko on IP-verkon looginen osa. Aliverkkoja käytetään laitteiden ryhmittelyyn tiettyyn verkkoon, usein sijainnin, rakennuksen tai kerroksen mukaan. Jos käytössäsi on multisite-ympäristö, Active Directoryn on tiedettävä aliverkoistasi, jotta se voi tunnistaa tehokkaimmat resurssit. Jos näitä tietoja ei anneta, asiakkaat voivat todentaa ja käyttää väärää toimialueen ohjainta.

Site

a-sivusto on kokoelma aliverkkoja. Active Directory-sivustot auttavat määrittämään replikointivirran ja resurssien sijainnin asiakkaille, kuten toimialueen ohjaimelle.

Site Link

Site linkkien avulla voit määrittää, mitkä sivustot ovat yhteydessä toisiinsa.

Site link Bridge

site link bridge on looginen yhteys sivustojen välillä. Se on menetelmä esittää loogisesti transitiivista yhteyttä sivustojen välillä.

Paikkatopologia

paikkatopologia on kartta, joka määrittelee verkkoyhteyden replikointia varten ja resurssien sijainnin Active Directory-metsässä. Sivuston topologia Yhdenmukainen useita komponentteja, kuten sivustoja, aliverkot, sivuston linkkejä, sivuston linkki siltoja, ja yhteys esineitä.

Laitoskohtainen replikaatio

Tämä on replikaatio, joka tapahtuu samassa kohdassa sijaitsevien toimialueen valvojien välillä.

alueiden välinen replikaatio

ympäristössä, jossa on useita alueita, yhden kohdan muutos on replikoitava toiseen kohtaan. Tätä kutsutaan alueiden väliseksi replikoinniksi.

resurssit:

miten Active Directoryn replikointi toimii

Active Directoryn Replikointikäsitteet

Active Directoryn suojaus (todennus, suojausprotokollat, käyttöoikeudet)

Kerberos

Kerberos on suojausprotokolla, jonka avulla käyttäjät voivat turvallisesti todistaa henkilöllisyytensä päästäkseen käsiksi toimialueen resursseihin.

Key Distribution Center (KDC)

KDC on palvelu, joka toimii toimialueen ohjaimilla ja toimittaa Kerberos-todennusprotokollassa käytettyjä istuntolippuja.

Service Principal Names (SPN)

SPN on palveluesimerkin yksilöllinen tunniste.

NTLM

NTLM on kokoelma suojausprotokollia, joita käytetään todentamiseen, eheyden ja luottamuksellisuuden tarjoamiseen käyttäjille. Kerberos on ensisijainen todennusprotokolla ja sitä käytetään nykyaikaisissa Windows-versioissa, NTLM on edelleen saatavilla vanhemmille asiakkaille ja järjestelmille työryhmässä.

NTFS: n käyttöoikeudet

NTFS: n käyttöoikeudet antavat sinulle mahdollisuuden määritellä, kenellä on oikeus käyttää tiedostoa tai kansiota. Alla on luettelo perusoikeuksista, jotka voit asettaa:

  • täysi hallinta – tämä antaa käyttäjille oikeudet lisätä, muokata, siirtää ja poistaa tiedostoja ja kansioita.
  • muokkaa – antaa käyttäjille näkymän ja oikeudet muokata
  • Lue & Suorita – antaa käyttäjille näkymä – ja suoritusoikeudet
  • Lukuvalmiille vain oikeudet
  • Kirjoita – oikeus tiedostoon ja lisää uusia kansioita

Jakooikeudet

Jakooikeudet määrittelevät pääsyn tason jaettuihin resursseihin, kuten kansioon. Jaettuja perusoikeuksia on kolme:

  • luku – antaa käyttäjille katseluoikeudet kansioon ja alikansioihin
  • muutos – antaa käyttäjille lukea ja muokata oikeuksia
  • täysi hallinta – antaa käyttäjille muokata, muuttaa ja lukea oikeuksia.

harkinnanvarainen kulunvalvontaluettelo (Dacl)

DACL määrittää, mikä tili sallii tai estää pääsyn objektiin, kuten tiedostoon tai kansioon.

Kulunvalvontamerkinnät (ACE)

DACL sisältää Ässät, ässä määrittelee minkä tilin ja millä tasolla resurssille annetaan käyttöoikeudet. Jos ässää ei ole, järjestelmä estää kaiken pääsyn kohteeseen.

järjestelmän Kulunvalvontaluettelo (SACL)

sacl mahdollistaa järjestelmänvalvojien kirjaamisen suojausobjektin käyttöoikeusyrityksiin.

hienorakeinen Salasanakäytäntö

ominaisuus Windows 2008: ssa ja sitä uudemmissa, jonka avulla voit määritellä erilaisia salasana-ja tilien lukituskäytäntöjä eri tileille. Yleensä kaikilla tileillä pitäisi olla sama käytäntö, mutta sinulla voi olla palvelutili tai hyvin erityinen tili, joka tarvitsee erilaisen käytännön. Esimerkiksi vieraamme wifi-tili jäi jatkuvasti lukkojen taakse huonojen salasanayritysten vuoksi. Käytin sakon myönnetty salasanakäytäntö asettaa korkeampi tilin työsulku sitten loput verkkotunnuksen.

resurssit:

Kerberos kiireiselle ylläpitäjälle

Windows-todennuksen tekninen yleiskatsaus

Share-ja NTFS-käyttöoikeuksien erot

Kulunvalvontaluettelot

Active Directory-Hallintakonsolit

Tämä osio sisältää hallintakonsolit, joita sinun on käytettävä erilaisten Active Directory-teknologioiden hallintaan. Sinun täytyy asentaa Remote Server Administration Tools (RSAT) päästäksesi näihin hallintakonsoleihin.

Active Directory Users and Computers (ADUC)

Tämä on yleisimmin käytetty konsoli käyttäjien, tietokoneiden, ryhmien ja yhteystietojen hallintaan.

Oikotie: dsa.msc

Active Directory Administrative Center (ADAC)

alkaen Server 2008 R2 Microsoft ottaa ADAC: n käyttöön hallinnoidakseen hakemistopalvelun objekteja. Konsolia voidaan käyttää käyttäjätilien, tietokonetilien, ryhmien ja organisaatioyksiköiden luomiseen ja hallintaan. Se tarjoaa samat toiminnot kuin Active Directory Users and Computers-työkalu. Monimutkaisen käyttöliittymän vuoksi pidän aduc: ta parempana kuin tätä konsolia.

Active Directory Domains and Trusts

tätä konsolia käytetään toimialueen tai metsän toimialueen tilan tai toiminnallisen tason nostamiseen. Sitä käytetään myös luottamussuhteiden hoitamiseen.

Oikotie: verkkotunnus.msc

Active Directory Sites and Services

Tämä on replikaation hallinnan tärkein konsoli. Tätä konsolia käytetään sivuston topologian objektien, yhteysobjektien, replikoinnin aikatauluttamiseen, replikoinnin manuaalisesti pakottamiseen, maailmanlaajuisen luettelon käyttöönottoon ja universaalin ryhmän välimuistin käyttöön ottamiseen.

Oikotie: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor on KÄYTTÖLIITTYMÄTYÖKALU, jota voidaan käyttää objektien hallintaan Active Directoryssa. Tämä työkalu tarjoaa pääsyn objektitietoihin, joita ei ole saatavilla Active Directoryn käyttäjissä ja tietokoneissa.

Oikotie: adsiedit.msc

DFS-hallinta

tätä konsolia käytetään DFS-nimiavaruuksien ja DFS-replikaation hallintaan.

Oikotie: dfsmgmt.msc

DHCP

tätä konsolia käytetään DCHP-laajuuksien luomiseen, vuokraustietojen katseluun ja kaikkeen DHCP: hen.

Oikotie: – Kyllä.msc

DNS

tätä konsolia käytetään luomaan DNS-alueita, resurssitietueita ja hallitsemaan kaikkea DNS: ää.

Oikotie: dnsmgmt.msc

ryhmäpolitiikan hallinta

Oikotie: gpmc.msc

PowerShell

vaikka tämä ei ole hallintakonsoli, se on tehokkain työkalu hallinnollisten tehtävien automatisointiin. PowerShell voi nopeuttaa monia rutiinitehtäviä, joita GUI: n hallintatyökalut eivät voi tehdä.

resurssit:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol on palvelu, joka tarjoaa keskitetyn IP-osoitteen hallinnan. Kun tietokoneesi muodostaa yhteyden langalliseen tai langattomaan verkkoon, DHCP-palvelimeen otetaan yhteyttä käytettävissä olevan IP-osoitteen löytämiseksi ja osoittamiseksi.

Scope

DHCP scope on kokoelma IP-osoitteen asetuksia, jotka on määritetty esimerkiksi tietokoneen käyttöä varten. Voit luoda useita laajuuksia eri laitetyypeille ja aliverkoille. Minulla on esimerkiksi scopeja tietokoneille ja erilaisia scopeja IP-puhelimille. Kun määrität soveltamisalan, sinun on määritettävä seuraavat asetukset:
  • soveltamisalan nimi – tämä on soveltamisalan nimi. Anna sille kuvaava nimi, jotta on helppo tunnistaa, mihin laitteisiin se on tarkoitettu.
  • IP – osoitealue-tämä on IP-alue, jota haluat laitteiden käyttävän. Esimerkiksi 10.2.2.0/24
  • IP – osoitteen poissulkemiset-voit määrittää, että IP-osoite jätetään soveltamisalan ulkopuolelle. Tämä on hyödyllistä, jos aliverkossa on laitteita, jotka tarvitsevat staattisen IP: n, kuten reitittimen tai palvelimen.
  • vuokrasopimuksen kesto – vuokrasopimuksessa määritellään, kuinka kauan asiakkaalla on IP-osoite ennen sen palauttamista pooliin.
  • DHCP – asetukset-on olemassa useita eri vaihtoehtoja, jotka voit sisällyttää, kun DHCP antaa IP-osoitteen. Lisää tästä alla

DHCP-vaihtoehtoja

on monia DCHP-vaihtoehtoja, alla ovat yleisimmin käytetyt asetukset Windows-verkkotunnuksessa.

  • 003 reititin – aliverkon oletusyhdyskäytävä
  • 005 DNS – palvelin-DNS-palvelimen asiakkaiden IP-osoitetta tulisi käyttää nimen erotteluun.
  • 015 DNS – verkkotunnus-DNS-pääte, jota asiakkaan tulee käyttää, usein sama kuin verkkotunnus.

DHCP-suodatus

DHCP-suodatus voidaan estää tai sallia laitteiden MAC-osoitteen perusteella. Käytän sitä esimerkiksi estämään mobiililaitteita liittymästä turvalliseen wifi-verkkoomme.

Superskooppi

superskooppi on kokoelma yksittäisiä DHCP-laajuuksia. Tätä voidaan käyttää, kun haluat liittyä scopes yhdessä. En ole koskaan käyttänyt tätä.

Split Scopes

Tämä on menetelmä, jolla saadaan vikasietoisuus DHCP-scopelle. DHCP: n vikasietoisuus ei ole suositeltava menetelmä vikasietoisuudelle.

DHCP Failover

DCHP failover oli uusi ominaisuus, joka alkoi palvelinversiossa 2012. Sen avulla kaksi DHCP-palvelinta voi jakaa vuokraustietoja, jotka tarjoavat korkean saatavuuden DCHP-palveluille. Jos yksi palvelin ei ole käytettävissä, toinen palvelin ottaa vallan.

resurssit:

DHCP-parametrit

Ryhmäkäytäntö

Ryhmäkäytäntö mahdollistaa käyttäjän ja tietokoneen asetusten keskitetyn hallinnan. Voit käyttää ryhmäkäytäntöä salasanakäytäntöjen, valvontakäytäntöjen, lukitusnäytön, kartta-asemien, ohjelmiston, yhden aseman, office 365-asetusten ja paljon muuta määrittämiseen.

Ryhmäkäytäntöobjektit (GPO)

Ryhmäkäytäntöobjektit ovat kokoelma käytäntöasetuksia, joita käytetään tietokoneisiin tai käyttäjiin.

ryhmäkäytäntöjen päivitystiheys

Asiakastyöasemat ja jäsenpalvelimet päivittävät käytäntöjään 90 minuutin välein. Välttää ylivoimainen toimialueen ohjaimet niiden on satunnainen offset intervalli lisätään jokaiseen koneeseen. Tämä estää kaikkia koneita pyytämästä RYHMÄKÄYTÄNTÖPÄIVITYKSIÄ DC: stä samanaikaisesti ja mahdollisesti kaatamasta sitä.

Policy Processing

Group policies apply in the following order

  • Local

    • Site

  • Domain
  • Organizational Unit (OU)

Block inheritance

by default, group policy objects are peritty. Voit muuttaa tätä käyttäytymistä käyttämällä block perintö vaihtoehto OU tasolla.

Ei ohitusta

Jos haluat valvoa käytäntöjä ja estää niiden estämisen, käytä Ei ohitusta-vaihtoehtoa.

käyttäjän asetukset

RYHMÄPOIKKEUKSESSA on käyttäjän ja tietokoneen asetukset. Käyttäjäasetukset koskevat vain käyttäjäobjekteja. Jos määrität käyttäjäasetuksia RYHMÄKÄYTÄNTÖOBJEKTISSA, ryhmäkäytäntöobjektia on sovellettava käyttäjäobjekteihin.

tietokoneen asetukset

ryhmäkäytäntöobjektin tietokoneen asetukset ovat asetuksia, joita voidaan soveltaa tietokoneeseen. Jos määrität tietokoneen asetuksia, ryhmäkäytäntöobjektia on sovellettava tietokoneobjekteihin.

Resultant Set Of Policy (RsoP)

Resultant Set of Policy on Microsoftin työkalu, joka on rakennettu Windows 7: ään ja uudempiin versioihin. Se tarjoaa järjestelmänvalvojille raportin siitä, mitä ryhmäkäytäntöasetuksia käytetään käyttäjiin ja tietokoneisiin. Sitä voidaan käyttää myös asetusten simulointiin suunnittelutarkoituksiin.

minulla on artikkelissani täydellinen opetusohjelma RSoP: n käytöstä Ryhmäkäytäntöasetusten tarkistamiseen ja vianmääritykseen.

ryhmäkäytäntöasetukset

ryhmäkäytäntöasetukset käytetään ensisijaisesti asetusten määrittämiseen, joita voidaan myöhemmin muuttaa asiakastasolla. Asetukset on myös mahdollisuus tehdä joitakin kehittyneitä kohdistaminen, kuten soveltamalla tiettyyn OU, Windows-versio, käyttäjät ryhmässä ja niin edelleen. Asetuksia käytetään yleisesti seuraavien asetusten määrittämiseen:

  • Asemakaaviot
  • rekisterin asetukset
  • Asenna tulostimet
  • Ajoitettavat tehtävät
  • Aseta tiedoston ja kansion käyttöoikeudet
  • Aseta tehoasetukset

mallineet

voit asentaa lisää ryhmäkäytäntömalleja laajentamaan Microsoftin toimittamia oletusasetuksia. Joitakin yleisiä malleja käytetään ovat Office 365, Chrome, Firefox ja ne, jotka toimitetaan 3rd party sovelluksia. Mallit ovat xml-pohjaisia tiedostoja yleensä ADM-muodossa tai ADMX-tiedostopääte.

resurssit:

ryhmäpolitiikan Arkkitehtuuri

ryhmäpolitiikan yleiskatsaus

jäikö minulta jotain huomaamatta? Onko mitään kerrottavaa? Kerro minulle kommentit alla.

suositeltava työkalu: SolarWinds Server &Application Monitor

Tämä apuohjelma on suunniteltu seuraamaan Active Directorya ja muita kriittisiä palveluita, kuten DNS&DHCP. Se nopeasti paikalla verkkotunnuksen ohjaimen ongelmia, estää replikointi epäonnistumisia, seurata epäonnistuneita kirjautumisyrityksiä ja paljon muuta.

pidän Samissa eniten siitä, että se on helppokäyttöinen kojelauta ja hälytysominaisuudet. Sillä on myös kyky seurata virtuaalikoneita ja tallennustilaa.

lataa ilmainen kokeilusi täältä

Author:
Filed Under: Articles

Vastaa

Sähköpostiosoitettasi ei julkaista.