juni 24, 2021

Active Directory Woordenlijst-termen en fundamentele concepten

In dit bericht ga ik een lijst en uitleg geven van de meest gebruikte terminologie in Active Directory en aanverwante technologieën.

als Active Directory nieuw voor u is, is dit een geweldige bron om vertrouwd te raken met de basis-en basisconcepten van Active Directory.

Ik heb termen gegroepeerd in verschillende secties om het gemakkelijker te begrijpen en te verwijzen. Sommige onderwerpen kunnen zeer technisch zijn, Ik heb korte en gemakkelijk te begrijpen terminologie. Ik geef dan extra middelen aan het einde van elke sectie als u meer wilt leren.

inhoudsopgave:

  • Active Directory Basics – Start hier
  • Active Directory Services
  • Active Directory DNS
  • Active Directory replicatie
  • Active Directory Security (authenticatie, beveiligingsprotocollen, Machtigingen)
  • Active Directory Management Consoles
  • DHCP
  • Groepsbeleid

Active Directory Basics

Dit zijn basistermen u moet bekend zijn met Active Directory.

Active Directory

Active Directory is een directoryservice die het beheer van gebruikers, computers en andere objecten binnen een netwerk centraliseert. De primaire functie is het verifiëren en autoriseren van gebruikers en computers in een windows-domein. Wanneer een gebruiker zich bijvoorbeeld aanmeldt bij een computer in het domein, controleert hij de gebruikersnaam en het wachtwoord die zijn verzonden om het account te verifiëren. Als het een geldige gebruikersnaam en wachtwoord is, wordt de gebruiker geverifieerd en aangemeld op de computer.

raak niet verward met de volgende drie termen die allemaal verwijzen naar Active Directory.

  • AD-Dit is slechts een afkorting voor Active Directory
  • AD DS – dit is een server waarop de rol van Active Directory Domain Services
  • domeincontroller wordt uitgevoerd – Dit is ook een server waarop de rol van Active Directory Domain Service wordt uitgevoerd. Het wordt aanbevolen om meerdere domeincontrollers te hebben om failover-redenen.

Active Directory Web Services (ADWS)

deze service werd geïntroduceerd in Windows Server 2008 R2. Het wordt automatisch geà nstalleerd met ADD-of ADLDS-rol en is geconfigureerd om automatisch uit te voeren. Deze service biedt extern beheer van lokale directoryservices.

domein

het domein is een logische structuur van containers en objecten binnen Active Directory. Een domein bevat de volgende componenten:

  • een hiërarchische structuur voor gebruikers, groepen, computers en andere objecten
  • beveiligingsservices die verificatie en autorisatie verlenen aan bronnen in het domein en andere domeinen
  • beleid dat wordt toegepast op gebruikers en computers
  • een DNS-naam om het domein te identificeren. Wanneer u zich aanmeldt bij een computer die deel uitmaakt van een domein, meldt u zich aan bij de DNS-domeinnaam. Mijn DNS domein is ad.activedirectorypro.com, zo wordt mijn domein geïdentificeerd.

domeinstructuur

wanneer u een dochterdomein aan een ouderdomein toevoegt, maakt u een zogenaamde domeinstructuur. Een domeinstructuur is slechts een reeks domeinen die op hiërarchische wijze met elkaar zijn verbonden en die allemaal dezelfde DNS-naamruimte gebruiken. Als activedirectorypro.com was om een domein genaamd training toe te voegen, of video ‘ s het zou worden genoemd training.activedirectorypro.com en videos.activedirectorypro.com. Deze domeinen maken deel uit van dezelfde domeinstructuur en er wordt automatisch een vertrouwensrelatie gemaakt tussen de bovenliggende en onderliggende domeinen.

functionele niveaus

functionele niveaus bepalen welke mogelijkheden beschikbaar zijn in het domein. Met hogere functionaliteitsniveaus kunt u de nieuwste en beste technologieën in uw Active Directory-domein gebruiken. Gebruik indien mogelijk de hoogste functionaliteitsniveaus voor uw domeincontrollers.

Forest

een forest is een verzameling domeinbomen. De domeinstructuur deelt een gemeenschappelijke schema-en configuratiecontainer. De domeinstructuur is met elkaar verbonden via een transitieve vertrouwensrelatie. Wanneer u voor het eerst Active Directory installeert en een domein maakt, maakt u ook een forest.

FQDN-Fully Qualified Domain Name

Fully Qualified Domain name is de hostnaam + het domein, bijvoorbeeld, mijn domein is ad.activedirectorypro.com, een computer in het domein met hostnaam PC1 dus de FQDN zou zijn pc1.ad.activedirectorypro.com

FSMO

een domeincontroller heeft meerdere functies die de FSMO-rollen worden genoemd. Deze functies zijn allemaal geïnstalleerd op de eerste domeincontroller in een nieuw forest.u kunt rollen over meerdere DCs verplaatsen om de prestaties en failover te verbeteren.

  • Schemamaster-de schemamaster is een forest-brede rol die alle wijzigingen in het Active Directory-schema verwerkt.
  • Domain Naming Master-Dit is een forest – brede rol die de master van domeinnamen is. Het behandelt de naamruimte en het toevoegen van het verwijderen van domeinnamen.
  • PDC Emulator-deze rol behandelt wachtwoordwijzigingen, gebruikersvergrendelingen, Groepsbeleid en is de tijdserver voor de clients.
  • RID Master-deze rol is verantwoordelijk voor het verwerken van RID pool verzoeken van alle DCs binnen het domein. Wanneer objecten zoals gebruikers en computers worden gemaakt, krijgen ze een unieke SID en een relatieve ID (RID) toegewezen. De RID master rol zorgt ervoor dat objecten niet dezelfde SID en RIDs toegewezen krijgen.
  • infrastructuurmaster-Dit is een domeinbrede rol die wordt gebruikt om te verwijzen naar objecten in andere domeinen. Als gebruikers van Domein A lid zijn van een beveiligingsgroep in domein B, wordt de rol infrastructuurmaster gebruikt om naar de accounts in het juiste domein te verwijzen.

objecten

wanneer u met Active Directory werkt, zult u voornamelijk met objecten werken. Objecten worden gedefinieerd als een groep attributen die een bron in het domein vertegenwoordigen. Aan deze objecten wordt een unieke SID (security identifier) toegewezen die wordt gebruikt om het object toegang tot bronnen in het domein te verlenen of te weigeren. De standaard objecttypen die in een nieuw domein in Active Directory zijn gemaakt, zijn::

  • organisatie – eenheid (ou) – een OU is een containerobject dat verschillende objecten uit hetzelfde domein kan bevatten. U gebruikt ou ‘ s om gebruikersaccounts, contacten, computers en groepen op te slaan en te organiseren. U koppelt groepsbeleidsobjecten ook aan een organisatie-eenheid.
  • gebruikers-gebruikersaccounts worden in de eerste plaats toegewezen aan gebruikers om toegang te krijgen tot domeinbronnen. Ze kunnen ook worden gebruikt om programma ‘ s of systeemdiensten uit te voeren.
  • Computer-Dit is gewoon een computer die verbonden is met het domein.
  • groepen-Er zijn twee typen objecten, een beveiligingsgroep en een distributiegroep. Een beveiligingsgroep is een groep gebruikersaccounts die kan worden gebruikt om toegang tot bronnen te bieden. Distributiegroepen worden gebruikt voor e-mail distributielijsten.
  • contacten-een contact wordt gebruikt voor e-maildoeleinden. U kunt zich niet aanmelden bij het domein als contactpersoon en het kan niet worden gebruikt om machtigingen te beveiligen.
  • gedeelde map: wanneer u een gedeelde map in Active Directory publiceert, wordt een object gemaakt. Het publiceren van gedeelde mappen naar AD maakt het makkelijker voor gebruikers om gedeelde bestanden en mappen binnen het domein te vinden.
  • Share Printer – net als gedeelde mappen kunt u printers publiceren in Active Directory. Dit maakt het ook makkelijker voor gebruikers om printers op het domein te vinden en te gebruiken.

LDAP (Lightweight Directory Access Protocol)

LDAP is een open platform protocol dat wordt gebruikt voor toegang tot directory services. LDAP biedt het communicatiemechanisme voor toepassingen en andere systemen om interactie met directoryservers te gebruiken. In eenvoudige termen is LDAP een manier om verbinding te maken met en te communiceren met Active Directory.

globale catalogus (GC)

de globale-catalogusserver bevat een volledige replica van alle objecten en wordt gebruikt om in het forest brede zoekopdrachten uit te voeren. Standaard wordt de eerste domeincontroller in een domein aangeduid als de GC-server.het wordt aanbevolen om voor elke site ten minste één GC-server te hebben om de prestaties te verbeteren.

Jet Database Engine

De Active Directory-database is gebaseerd op de Jet Blue engine van Microsoft en gebruikt de Extensible Storage Engine (ESE) om met de gegevens te werken. De database is een enkel bestand met de naam ntds.dit wordt standaard opgeslagen in de map % SYSTEMROOT% \ NTDS en elke domeincontroller.

Prullenbak

met de Active Directory prullenbak kunnen beheerders eenvoudig verwijderde items herstellen, Dit is standaard niet ingeschakeld. Hoe de prullenbak stap voor stap handleiding inschakelen.

alleen-lezen domeincontroller

RODC-servers bevatten een alleen-lezen kopie van de Active Directory-database en staan geen wijzigingen in AD toe. Het primaire doel is voor filialen en locaties met een slechte fysieke beveiliging.

Schema

het Active Directory-schema definieert elke objectklasse die kan worden gemaakt en gebruikt in een Active Directory-forest. Het definieert ook elk attribuut dat kan bestaan in een object. Met andere woorden, het is een blauwdruk van hoe gegevens kunnen worden opgeslagen in Active Directory. Een gebruikersaccount is bijvoorbeeld een exemplaar van de gebruikersklasse.het gebruikt attributen om informatie over dat object op te slaan en te verstrekken. Een computeraccount is een ander exemplaar van een klasse die ook wordt gedefinieerd door de kenmerken ervan.

er zijn veel klassen en attributen, tenzij het programmeren of het oplossen van problemen met een geavanceerd probleem niet nodig is om alles over het schema te weten.

SYSVOL

de sysvol is een zeer belangrijke map die op elke domeincontroller wordt gedeeld. De standaardlocatie is % SYSTEMROOT %\SYVOL\syvol en bestaat uit het volgende:

  • groepsbeleidsobjecten
  • mappen
  • Scripts
  • knooppunten

Tombstone

Tombstone is een verwijderd object uit AD dat niet uit de database is verwijderd, het object blijft technisch gezien gedurende een bepaalde periode in de database. Gedurende deze periode kan het object worden hersteld.

objectnaam attributen

Dit zijn enkele belangrijke attributen waarmee u vertrouwd zou moeten zijn wanneer u met Active Directory werkt.

  • userPrincipalName (UPN) – dit is een veel voorkomende aanmeldingsnaam in de vorm van een e-mailadres. Een UPN ziet er zo uit, [email protected], een UPN kan worden gebruikt om in te loggen op een windows-domein.
  • objectGUID – Dit kenmerk wordt gebruikt om een gebruikersaccount uniek te identificeren. Zelfs als het account hernoemd of verplaatst wordt, verandert de objectgids nooit.
  • sAmAccountName-dit attribuut is Gebruiker voor accountaanmeldingen bij een domein. Het was de primaire manier om in te loggen op een domein voor oudere Windows-versies, het kan nog steeds worden gebruikt op moderne versies van Windows.
  • objectSID-dit attribuut is de security identifier (SID) van de gebruiker. De SID wordt door de server gebruikt om een gebruiker en zijn groepslidmaatschap te identificeren om gebruikers toegang tot domeinbronnen te verlenen.
  • sIDHistory-dit attribuut bevat eerdere Sid ‘ s voor het gebruikersobject. Dit is alleen nodig als een gebruiker naar een ander domein is verhuisd.
  • relatieve DNN – naam (RDN) – het RDN is het eerste onderdeel van de DNN-naam. Het is de naam van het object in Active Directory ten opzichte van zijn locatie in de hiërarchische structuur van Ad
  • DN (dn) – het DN-attribuut lokaliseert objecten in de directory. Dit kenmerk wordt vaak gebruikt door services en toepassingen om objecten in Active Directory te vinden. een DN bestaat uit de volgende componenten:
    • CN – common name
    • OU – organisatie – eenheid
    • DC-domeincomponent

groepen

groepen worden gebruikt om gebruikersaccounts, computer-en contactobjecten in beheerseenheden te verzamelen. Het maken van groepen maakt het eenvoudiger om machtigingen voor bronnen te beheren en bronnen zoals printers en mappen toe te wijzen. Er zijn twee soorten groepen

  • distributie-distributiegroepen worden gebruikt door e-mailtoepassingen t gemakkelijk een e-mail te sturen naar een groep gebruikers.
  • beveiliging-beveiligingsgroepen zijn een groep accounts die eenvoudig aan een bron kunnen worden toegewezen of machtigingen kunnen aanvragen. Als ik bijvoorbeeld een map voor de HR-afdeling wil vergrendelen, kan ik alle medewerkers in een beveiligingsgroep plaatsen en de groep toepassen op de map in plaats van op elk individueel account.

Groepsbereik

Groepsbereik geeft aan of de groep kan worden toegepast in het domein of forest. Hier zijn de drie groepen:

  • Universal-kan objecten uit andere universele groepen en elk domein in de boom of het forest bevatten.
  • globaal-kan objecten uit het domein bevatten en in elke domeinstructuur of forest worden gebruikt.
  • Domain Local-kan objecten uit elk domein bevatten, maar kan alleen worden toegepast op het domein waarin het is gemaakt.

bronnen:

Tombstones, Active Directory begrijpen en hoe deze te beschermen

Active Directory-Schema

Forest-en Domeinfunctionaliteitsniveaus

Active Directory: Concepten deel 1

Active Directory Services

Active Directory bevat verschillende andere services die onder de Active Directory Domain Services vallen, deze services omvatten:

Active Directory Certificate Services (AD CS)

Dit is een serverrol waarmee u een PKI (public key infrastructure) kunt bouwen en digitale certificaten kunt leveren voor uw organisatie. Certificaten kunnen worden gebruikt voor het versleutelen van netwerkverkeer, toepassingsverkeer en voor het verifiëren van gebruikers en computers. Wanneer u https in een browseradres ziet, betekent dit dat het een certificaat gebruikt om de communicatie van de client naar de server te versleutelen.

Active Directory Domain Services (AD DS)

zie Active Directory beschrijving

Active Directory Federation Services (AD FS)

de federation-service maakt eenmalige aanmelding bij externe systemen zoals websites en toepassingen mogelijk. Office 365 wordt veel gebruikt voor federation-services. Wanneer u zich aanmeldt bij office 365 worden de gebruikersnaam en het wachtwoord omgeleid via de federation-server en worden de referenties gecontroleerd aan de hand van uw Active Directory op locatie. Zo kunt u authenticatie aan externe systemen bieden met behulp van uw lokale Active Directory om de gebruikersnaam en het wachtwoord te verifiëren.

Active Directory Lightweight Directory Services (AD LDS)

deze service biedt directoryservices met behulp van het LDAP-protocol zonder dat domeincontrollers hoeven te worden geïmplementeerd. Dit wordt voornamelijk gebruikt om directoryservice functioneel te bieden aan directory-ingeschakelde toepassingen. Dit vervangt AD DS niet.

Active Directory Rights Management Services (AD RMS)

deze service biedt methoden voor het beschermen van informatie over digitale inhoud. Het beschermt documenten door te bepalen wie documenten kan openen, wijzigen, afdrukken, doorsturen of andere acties kan ondernemen. U kunt certificaten ook gebruiken om documenten te versleutelen voor een betere beveiliging.

Active Directory DNS

Domain Name System is een service die naamresolutie biedt, meestal hostnaam naar IP-adres resolutie. In deze sectie, leert u over een aantal van de belangrijke componenten van DNS.

bronrecords

een bronrecord is een item in het DNS-systeem dat helpt bronnen te vinden op basis van IP of een domeinnaam. Er zijn veel typen bronrecords, hieronder een lijst met veelvoorkomende recordtypen:

  • A – wijst een hostnaam toe aan een IPv4 – adres
  • AAAA – wijst een hostnaam toe aan een IPv6 – adres
  • CNAME – wijst een alias toe aan een hostnaam
  • MX – wordt gebruikt om een mailserver
  • NS-specificeert een nameserver voor een domein
  • PTR-wijst een IPv4 toe adres van een hostnaam. De achterkant van een A record.
  • SOA-bevat administratieve informatie
  • SRV – gebruikt om servers te lokaliseren die specifieke services hosten
  • TXT-kan verschillende gegevens bevatten. Vaak gebruikt voor het verifiëren van domeinen en veiligheidsredenen.

dynamische DNS (DDNS)

dynamische DNS is een methode voor clients om hun bronrecords te registreren en dynamisch bij te werken met een DNS-server. Hiermee kunnen clients die DHCP gebruiken hun DNS-record automatisch bijwerken wanneer hun IP-adres verandert.

hostnaam

dit is meestal de DNS A-record, de DNS-naam van een apparaat waarmee kan worden gecommuniceerd. Bijvoorbeeld een server met de naam DC1. Als DC1 geregistreerd was in DNS zou je dat de hostnaam noemen.

Zones

een zone wordt gebruikt om de DNS-records voor een bepaald domein te hosten. Het belangrijkste en meest gebruikte zonetype zijn Active Directory geïntegreerde zones. Er zijn verschillende andere zones die u bekend moet zijn, Ik heb betrekking op de andere zones in mijn artikel, Windows DNZ Zones uitgelegd.

DNS veroudering en opruiming

Dit is een functie die kan worden ingeschakeld om het opruimen van verouderde DNS-records te automatiseren. Ik heb een aparte post die meer uitlegt en biedt stap voor stap instructies voor het configureren van DNS veroudering en opruiming.

SRV-Records gebruikt door Active Directory

in een Windows-domein worden SRV-records gebruikt door clients om domeincontrollers voor Active Directory te vinden. Wanneer u de AD DS-service installeert, worden automatisch de SRV-records voor Active Directory gemaakt.

  • Active Directory maakt de SRV-records in de volgende mappen, waar Domeinnaam de naam is van uw domein:
    • Forward Lookup Zones/Domeinnaam/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Zones voor Forward Lookup/Domeinnaam/_msdcs/dc/_tcp

Hier is een screenshot van mijn DNS:

Expediteurs

DNS forwarders zijn servers die machinenamen dat de interne DNS-server niet kan worden opgelost, de eerste externe domeinen, zoals surfen op het internet. U kunt instellen om DNS-verzoeken door te sturen naar een server van uw keuze, vaak keer een ISP wordt gebruikt.

Root Hints

Root hint server is een andere methode om hostnamen op te lossen die uw interne server niet kan oplossen. Het verschil is dat deze servers dienen als de root DNS zone voor het internet. Ze worden beheerd door verschillende grote georganiseerd voor veiligheid en redundantie. U kunt ofwel root hints of forwards gebruiken om externe namen op te lossen.

middelen:

volledige lijst van DNS-bronrecordtypen

controleren of SRV DNS-records zijn gemaakt voor een domeincontroller

Root Hints vs doorstuurservers

DNS Best Practices

Active Directory-replicatie

replicatie is het proces dat ervoor zorgt dat wijzigingen die zijn aangebracht aan een domeincontroller worden gerepliceerd naar andere domeincontrollers in het domein.

verbindingsobjecten

het verbindingsobject specificeert welke domeincontrollers met elkaar repliceren, hoe vaak en hun naamgevingscontexten.

KCC

De Knowledge consistence Checker (KCC) is een proces dat draait op alle domeincontrollers en genereert een replicatietopologie gebaseerd op de sites, subnetten en sitekoppelingsobjecten.

subnetten

een subnet is een logisch deel van een IP-netwerk. Subnetten worden gebruikt om apparaten te groeperen in een specifiek netwerk, vaak per locatie, gebouw of verdieping. Als u een multisite-omgeving hebt, moet Active Directory op de hoogte zijn van uw subnetten, zodat de meest efficiënte bronnen correct kunnen worden geïdentificeerd. Als deze informatie niet wordt verstrekt, kunnen clients de verkeerde domeincontroller verifiëren en gebruiken.

Site

een site is een verzameling subnetten. Met de Active Directory-sites kunt u de replicatiestroom en bronlocatie definiëren voor clients zoals een domeincontroller. met

sitekoppeling

sitekoppelingen kunt u instellen welke sites met elkaar verbonden zijn.

Sitekoppelingsbrug

een sitekoppelingsbrug is een logische verbinding tussen sites. Het is een methode om logischerwijs transitieve connectiviteit tussen sites weer te geven.

Sitetopologie

De sitetopologie is een toewijzing die de netwerkverbinding voor replicatie en de locatie voor bronnen in het Active Directory-forest definieert. De site topologie consistent van verschillende componenten, waaronder sites, subnetten, site links, site link bruggen, en verbinding objecten.

intra-Site replicatie

Dit is replicatie die plaatsvindt tussen domeincontrollers op dezelfde site.

Inter-Site replicatie

In een omgeving met meerdere sites moet een wijziging in de ene site worden gerepliceerd naar de andere site. Dit wordt Inter-Site replicatie genoemd.

bronnen:

Hoe werkt Active Directory-replicatie

Active Directory-Replicatieconcepten

Active Directory-beveiliging (authenticatie, beveiligingsprotocollen, Machtigingen)

Kerberos

Kerberos is een beveiligingsprotocol waarmee gebruikers hun identiteit veilig kunnen bewijzen om toegang te krijgen tot domeinbronnen.

Key Distribution Center (KDC)

KDC is een service die draait op domeincontrollers en sessie tickets levert die gebruikt worden in het Kerberos authenticatieprotocol.

Service Principal Names (SPN)

SPN is een unieke identificatie van een service-instantie.

NTLM

NTLM is een verzameling beveiligingsprotocollen die worden gebruikt om gebruikers te authenticeren, integriteit en vertrouwelijkheid te bieden. Kerberos is de voorkeur authenticatie protocol en wordt gebruikt in moderne Windows-versies, NTLM is nog steeds beschikbaar voor oudere clients en systemen op een werkgroep.

NTFS-machtigingen

met NTFS-machtigingen kunt u bepalen wie toegang heeft tot een bestand of map. Hieronder vindt u een lijst van de basisrechten die u kunt instellen:

  • volledige controle – dit geeft gebruikers de rechten om bestanden en mappen toe te voegen, te wijzigen, te verplaatsen en te verwijderen.
  • wijzigen – geeft gebruikers weergave en rechten om
  • aan te passen Read & uitvoeren – geeft gebruikers rechten
  • alleen Leesklare rechten
  • Schrijfrecht naar een bestand en voeg nieuwe mappen toe

Share Permissions

Share permissions definieer het niveau van toegang tot gedeelde bronnen zoals een map. Er zijn drie gedeelde basisrechten:

  • lezen-geeft gebruikers weergaverechten voor de map en submappen
  • verandering – geeft gebruikers lezen en wijzigen rechten
  • volledige controle – geeft gebruikers wijzigen, wijzigen en lezen rechten.

Discretionary access control list (DACL)

een DACL identificeert welk account toegang toestaat of geweigerd heeft tot een object zoals een bestand of map.

Access Control Entries (ACE)

DACL bevat azen, de ACE bepaalt welk account en welk toegangsniveau aan de bron moet worden verleend. Als er geen ACE aanwezig is, weigert het systeem alle toegang tot het object.

System Access Control List (SACL)

De SACL stelt beheerders in staat om pogingen om toegang te krijgen tot een beveiligingsobject te loggen.

fijnkorrelig wachtwoordbeleid

een functie in Windows 2008 en hoger waarmee u verschillende wachtwoorden en accountvergrendelingsbeleid voor verschillende accounts kunt definiëren. Over het algemeen moeten alle accounts hetzelfde beleid hebben, maar u kunt een serviceaccount of een zeer specifiek account hebben dat een ander beleid nodig heeft. Bijvoorbeeld, onze gast wifi-account bleef steeds buitengesloten als gevolg van slechte wachtwoordpogingen. Ik gebruikte een boete verleend wachtwoord beleid om een hogere account lockout dan de rest van het domein.

bronnen:

Kerberos voor de drukke beheerder

Windows Authentication technisch overzicht

verschillen tussen Share-en NTFS-machtigingen

toegangscontrolelijsten

Active Directory-beheerconsoles

Deze sectie bevat de beheerconsoles die u moet gebruiken om de verschillende Active Directory-technologieën te beheren. U moet de Remote Server Administration Tools (RSAT) installeren om toegang te krijgen tot deze beheerconsoles.

Active Directory Users and Computers (aduc)

Dit is de meest gebruikte console voor het beheren van gebruikers, computers, groepen en contacten.

sneltoets: dsa.msc

Active Directory Administrator Center (ADAC)

vanaf Server 2008 R2 introduceert Microsoft de ADAC om hun directory service-objecten te beheren. Deze console kan worden gebruikt voor het maken en beheren van gebruikersaccounts, computeraccounts, groepen en organisatie-eenheden. Het biedt dezelfde functionaliteit als het hulpprogramma Active Directory-gebruikers en Computers. Vanwege de ingewikkelde interface, ik verkies ADUC boven deze console.

Active Directory-domeinen en vertrouwensrelaties

deze console wordt gebruikt om de domeinmodus of het functionaliteitsniveau van een domein of forest te verhogen. Het wordt ook gebruikt om vertrouwensrelaties te beheren.

sneltoets: domein.MSc

Active Directory-Sites en Services

Dit is de hoofdconsole voor het beheren van replicatie. Deze console wordt gebruikt voor het beheren van sitetopologische objecten, verbindingsobjecten, replicatie plannen, handmatig replicatie forceren, de globale catalogus inschakelen en universele groepscaching inschakelen.

sneltoets: dssite.msc

ADSI bewerken

Active Directory Service Interfaces Editor is een GUI tool die kan worden gebruikt om bezwaar in Active Directory te beheren. Deze tool biedt toegang tot objectgegevens die niet beschikbaar zijn in Active Directory-gebruikers en Computers.

sneltoets: adsiedit.msc

DFS-beheer

deze console wordt gebruikt om DFS-naamruimten en DFS-replicatie te beheren.

sneltoets: dfsmgmt.MSC

DHCP

deze console wordt gebruikt om DCHP-scopes aan te maken, lease-informatie en alle dingen DHCP te bekijken.

sneltoets: dhcpmgmt.msc

DNS

deze console wordt gebruikt om DNS-zones, bronrecords en alle DNS-dingen te beheren.

sneltoets: dnsmgmt.MSc

Groepsbeleidsbeheer

snelkoppeling: gpmc.msc

PowerShell

hoewel dit geen beheerconsole is, is het het krachtigste hulpmiddel om beheertaken te automatiseren. PowerShell kan veel routinetaken versnellen die de GUI-beheertools niet kunnen doen.

hulpbronnen:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol is een service die gecentraliseerde controle van het IP-adres biedt. Wanneer uw computer verbinding maakt met een bekabeld of draadloos netwerk, wordt er contact opgenomen met een DHCP-server om een Beschikbaar IP-adres te vinden en toe te wijzen.

Scope

Een DHCP-scope is een verzameling IP-adresinstellingen die zijn geconfigureerd voor apparaten zoals een computer. U kunt meerdere scopes maken voor verschillende apparaattypen en subnetten. Bijvoorbeeld, Ik heb een ruimte voor computers en verschillende scopes voor IP-telefoons. Wanneer u een scope instelt, moet u het volgende configureren:

  • Scope naam – Dit is de naam van de scope. Geef het een beschrijvende naam, zodat het gemakkelijk is om te identificeren voor welke apparaten het is.
  • IP-adresbereik-Dit is het IP-bereik dat de apparaten moeten gebruiken. Bijvoorbeeld 10.2.2.0 / 24
  • IP-adres uitsluitingen-u kunt opgeven om IP-adres uit te sluiten van het bereik. Dit is handig als je apparaten in het subnet hebt die een statisch IP nodig hebben, zoals een router of server.
  • leaseduur: de leaseduur geeft aan hoe lang een client een IP-adres heeft voordat het naar de pool wordt geretourneerd.
  • DHCP-opties-er zijn een aantal verschillende opties die u kunt opnemen wanneer DHCP een IP-adres toewijst. Meer hierover hieronder

DHCP-opties

Er zijn veel DCHP-opties, hieronder zijn de meest gebruikte opties in een Windows-domein.

  • 003 router-de standaard gateway van het subnet
  • 005 DNS-server-het IP-adres van de DNS-serverclients moet worden gebruikt voor naamomzetting.
  • 015 DNS-domeinnaam – het DNS-achtervoegsel dat de client moet gebruiken, vaak hetzelfde als de domeinnaam.

DHCP-filtering

DHCP-filtering kan worden gebruikt om apparaten te weigeren of toe te staan op basis van hun MAC-adres. Ik gebruik het bijvoorbeeld om te voorkomen dat mobiele apparaten verbinding maken met onze beveiligde wifi.

Superscopen

een superscope is een verzameling van individuele DHCP-scopes. Dit kan worden gebruikt wanneer u wilt deelnemen aan scopes samen. Eerlijk gezegd heb ik dit nog nooit gebruikt.

Split Scopes

Dit is een methode om fouttolerantie voor een DHCP-scope te bieden. Het gebruik van DHCP failover is niet de voorkeursmethode voor fouttolerantie.

DHCP Failover

DCHP failover was een nieuwe functie die begon in server versie 2012. Het staat twee DHCP-servers toe om lease-informatie te delen die hoge beschikbaarheid biedt voor DCHP-diensten. Als de ene server niet meer beschikbaar is, neemt de andere server het over.

bronnen:

DHCP-Parameters

Groepsbeleid

Groepsbeleid stelt u in staat om gebruikers-en computerinstellingen centraal te beheren. U kunt Groepsbeleid gebruiken om wachtwoordbeleid, controlebeleid, vergrendelingsscherm, kaartstations, implementatiesoftware, één station, office 365-instellingen en nog veel meer in te stellen.

groepsbeleidsobjecten

groepsbeleidsobjecten zijn een verzameling beleidsinstellingen die u gebruikt om toe te passen op computers of gebruikers.

Groepsbeleid verversingsfrequentie

clientwerkstations en lidservers vernieuwen hun beleid elke 90 minuten. Om te voorkomen dat overweldigend de domeincontrollers hun is een willekeurige offset interval toegevoegd aan elke machine. Dit voorkomt dat alle machines tegelijkertijd een upgrade van het groepsbeleid van de DC kunnen aanvragen en deze mogelijk kunnen crashen.

Beleidsverwerking

Groepsbeleid wordt in de volgende volgorde toegepast

  • lokaal
  • Site
  • domein
  • organisatie-eenheid (OU)

Blokovererving

standaard worden groepsbeleidsobjecten overgenomen. Om dit gedrag te veranderen kunt u de optie overerving blokkeren op een OU-niveau gebruiken.

No Override

Als u beleid wilt afdwingen en blokkeren wilt voorkomen, gebruikt u de optie geen override.

gebruikersinstellingen

in een groepsbeleidsobject zijn gebruikers-en computerinstellingen. Gebruikersinstellingen zijn alleen van toepassing op gebruikersobjecten. Als u gebruikersinstellingen configureert in het groepsbeleidsobject, moet het groepsbeleidsobject worden toegepast op gebruikersobjecten.

computerinstellingen

de computerinstellingen in een groepsbeleidsobject zijn instellingen die op een computer kunnen worden toegepast. Als u de computerinstellingen configureert, moet het groepsbeleidsobject worden toegepast op computerobjecten.

resultante Set of Policy (RsoP)

resulterende set of Policy is een Microsoft-tool die is ingebouwd in Windows 7 en latere versies. Het biedt beheerders een rapport over welke groepsbeleidsinstellingen worden toegepast op gebruikers en computers. Het kan ook worden gebruikt om instellingen te simuleren voor planningsdoeleinden.

Ik heb een volledige handleiding in mijn artikel Hoe RSoP te gebruiken om groepsbeleidsinstellingen te controleren en op te lossen.

Groepsbeleidsvoorkeuren

Groepsbeleidsvoorkeuren worden voornamelijk gebruikt om instellingen te configureren die later op clientniveau kunnen worden gewijzigd. Voorkeuren hebben ook de mogelijkheid om een aantal geavanceerde targeting doen, zoals het toepassen op een bepaalde OU, Windows-versie, gebruikers in een groep en ga zo maar door. Voorkeuren worden vaak gebruikt om het volgende te configureren:

  • stationstoewijzingen
  • registerinstellingen
  • installeer printers
  • Schedule taken
  • Machtigingen voor bestanden en mappen instellen
  • energie-instellingen instellen

sjablonen

u kunt extra groepbeleidssjablonen installeren om de standaard groepsbeleidsobjecten uit te breiden die door Microsoft worden geleverd. Enkele veel voorkomende sjablonen gebruikt zijn Office 365, Chrome, Firefox en die geleverd door toepassingen van derden. Sjablonen zijn op xml gebaseerde bestanden meestal in een ADM-formaat of ADMX bestandsextensie.

middelen:

Groepsbeleidsarchitectuur

Groepsbeleidsoverzicht

heb ik iets gemist? Heb je iets te delen? Laat het me weten in de reacties hieronder.

aanbevolen Tool: SolarWinds Server& Toepassingsmonitor

dit hulpprogramma is ontworpen om Active Directory en andere kritieke services zoals DNS &DHCP te monitoren. Het zal snel domeincontrollerproblemen herkennen, replicatiefouten voorkomen, mislukte aanmeldingspogingen volgen en nog veel meer.

wat ik het beste vind aan SAM is dat het gemakkelijk is om dashboard-en waarschuwingsfuncties te gebruiken. Het heeft ook de mogelijkheid om virtuele machines en opslag te controleren.

download hier uw gratis proefversie

Auteur:
Gearchiveerd onder: Articles

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.