iunie 24, 2021

Active Directory Glosar-Termeni și concepte fundamentale

În acest post, am de gând să lista și să explice terminologia cel mai frecvent utilizate în Active Directory și tehnologii conexe.

Dacă sunteți nou în Active Directory, aceasta va fi o resursă excelentă pentru a vă familiariza cu elementele de bază și conceptele fundamentale ale Active Directory.

am grupat termeni împreună în diferite secțiuni pentru a face mai ușor de înțeles și de referință. Unele subiecte pot fi foarte tehnice, am oferit o terminologie scurtă și ușor de înțeles. Apoi ofer resurse suplimentare la sfârșitul fiecărei secțiuni dacă doriți să aflați mai multe.

cuprins:

  • Active Directory Basics – începe aici
  • Active Directory Services
  • Active Directory DNS
  • Active Directory Replication
  • Active Directory Security (autentificare, protocoale de Securitate, Permisiuni)
  • Active Directory Management Console
  • DHCP
  • Politica de grup

Active Directory Basics

acestea sunt termeni de bază ar trebui să fie familiarizați cu atunci când tratarea cu Active Directory.

Active Directory

Active Directory este un serviciu de director care centralizează gestionarea utilizatorilor, computerelor și a altor obiecte dintr-o rețea. Funcția sa principală este de a autentifica și autoriza utilizatorii și computerele într-un domeniu windows. De exemplu, atunci când un utilizator se conectează la un computer din domeniu, acesta verifică numele de utilizator și parola care au fost trimise pentru a verifica contul. Dacă este un nume de utilizator și o parolă valide, utilizatorul este autentificat și conectat la computer.

nu vă confundați cu următorii trei termeni la care se referă toți Active Directory.

  • AD – aceasta este doar o abreviere pentru Active Directory
  • AD DS – acesta este un server care execută rolul Active Directory Domain Services
  • Domain Controller – acesta este, de asemenea, un server care rulează rolul Active Directory Domain Service. Este recomandat să aveți mai multe controlere de domeniu din motive de failover.

Active Directory Web Services (ADWS)

acest serviciu a fost introdus în Windows Server 2008 R2. Acesta este instalat automat cu Adaugă sau rol ADLDS și este configurat pentru a rula automat. Acest serviciu oferă gestionarea de la distanță a oricăror Servicii de directoare locale.

domeniu

domeniul este o structură logică de containere și obiecte din Active Directory. Un domeniu conține următoarele componente:

  • o structură ierarhică pentru utilizatori, grupuri, computere și alte obiecte
  • servicii de securitate care oferă autentificare și autorizare resurselor din domeniu și alte domenii
  • politici care sunt aplicate utilizatorilor și computerelor
  • un nume DNS pentru identificarea domeniului. Când vă conectați la un computer care face parte dintr-un domeniu, vă conectați la numele de domeniu DNS. Domeniul meu DNS este ad.activedirectorypro.com, așa este identificat domeniul meu.

domeniu copac

când adăugați un domeniu copil la un domeniu părinte creați ceea ce se numește un domeniu copac. Un arbore de domeniu este doar o serie de domenii conectate împreună într-un mod ierarhic, toate folosind același spațiu de nume DNS. Dacă activedirectorypro.com a fost de a adăuga un domeniu numit de formare, sau clipuri video ar fi numit training.activedirectorypro.com și videos.activedirectorypro.com. Aceste domenii fac parte din același arbore de domeniu și se creează automat o încredere între domeniile părinte și copil.

niveluri funcționale

nivelurile funcționale determină ce capacități sunt disponibile în domeniu. Nivelurile funcționale superioare vă permit să utilizați cele mai noi și mai bune tehnologii din domeniul dvs. Atunci când este posibil, utilizați cele mai înalte niveluri funcționale pentru controlerele de domeniu.

pădure

o pădure este o colecție de copaci de domeniu. Arborele de domeniu împărtășește o schemă comună și un container de configurare. Arborele domeniului este conectat împreună printr-o încredere tranzitivă. Când instalați pentru prima dată Active Directory și creați un domeniu, creați și o pădure.

FQDN-nume de domeniu complet calificat

numele de domeniu complet calificat este numele gazdei + domeniul , de exemplu, domeniul meu este ad.activedirectorypro.com, un computer din domeniu cu numele de gazdă PC1, astfel încât FQDN ar fi pc1.ad.activedirectorypro.com

FSMO

un controler de domeniu are mai multe funcții care sunt denumite rolurile FSMO. Aceste roluri sunt toate instalate pe primul controler de domeniu într-o pădure nouă, puteți muta roluri pe Mai multe DCs pentru a ajuta la performanță și failover.

  • Schema Master – master schema este un rol la nivel de pădure, care se ocupă de toate modificările la schema Active Directory.
  • Domain Naming Master – acesta este un rol de pădure largă, care este maestru de nume de domenii. Se ocupă de spațiul de nume și adăugarea de nume de domenii eliminarea.
  • PDC Emulator-acest rol se ocupă de schimbările de parolă, de blocare a utilizatorilor, de politica de grup și este serverul de timp pentru clienți.
  • RID Master – acest rol este responsabil pentru procesarea cererilor rid pool de la toate DCs din domeniu. Atunci când sunt create obiecte, cum ar fi utilizatorii și computerele, li se atribuie un SID unic și un ID relativ (RID). Rolul principal RID asigură obiecte nu se atribuie același SID și RIDs.
  • Infrastructure master – acesta este un rol la nivel de domeniu folosit pentru a face referire la obiecte din alte domenii. Dacă utilizatorii din domeniul a sunt membri ai unui grup de securitate din domeniul B, rolul principal al infrastructurii este utilizat pentru a face referire la conturile din domeniul corect.

obiecte

când lucrați cu Active Directory, veți lucra în principal cu obiecte. Obiectele sunt definite ca un grup de atribute care reprezintă o resursă în domeniu. Acestor obiecte li se atribuie un identificator unic de securitate (SID) care este utilizat pentru a acorda sau a refuza accesul obiectului la resursele din domeniu. Tipurile de obiecte implicite create într-un domeniu nou în Active Directory sunt:

  • unitate organizațională (OU) – un OU este un obiect container care poate conține obiecte diferite din același domeniu. Veți folosi ou pentru a stoca și organiza, conturi de utilizator, contacte, computere și grupuri. Veți lega, de asemenea, obiecte de politică de grup la un OU.
  • utilizatori-conturile de utilizator sunt atribuite în primul rând atribuite utilizatorilor pentru a avea acces la resursele domeniului. De asemenea, pot fi utilizate pentru a rula programe sau servicii de sistem.
  • Computer – acesta este pur și simplu un computer care este alăturat domeniului.
  • grupuri – există două tipuri de obiecte, un grup de securitate și un grup de distribuție. Un grup de securitate este un grup de conturi de utilizatori care pot fi utilizate pentru a oferi acces la resurse. Grupurile de distribuție sunt utilizate pentru listele de distribuție prin e-mail.
  • contacte-un contact este utilizat în scopuri de e-mail. Nu vă puteți conecta la domeniu ca contact și nu poate fi utilizat pentru a asigura permisiunile.
  • folder partajat – când publicați un folder partajat în Active Directory, acesta creează un obiect. Publicarea folderelor partajate în AD facilitează găsirea de către utilizatori a fișierelor și folderelor partajate în domeniu.
  • Partajează imprimanta – la fel ca folderele partajate, puteți publica imprimante în Active Directory. Acest lucru facilitează, de asemenea, utilizatorilor să găsească și să utilizeze imprimante pe domeniu.

LDAP (Lightweight Directory Access Protocol)

LDAP este un protocol de platformă deschisă utilizat pentru accesarea serviciilor de directoare. LDAP oferă mecanismul de comunicare pentru aplicații și alte sisteme de utilizat interacționează cu serverele de directoare. În termeni simpli, LDAP este o modalitate de conectare și comunicare cu Active Directory.

Catalog Global (GC)

serverul catalog global conține o replică completă a tuturor obiectelor și este utilizat pentru a efectua căutări la nivel de pădure. În mod implicit, primul controler de domeniu dintr-un domeniu este desemnat ca server GC, este recomandat să aveți cel puțin un server GC pentru fiecare site pentru a îmbunătăți performanța.

Jet Database Engine

baza de date Active Directory se bazează pe Microsoft Jet Blue engine și utilizează Extensible Storage Engine (ESE) pentru a lucra cu datele. Baza de date este un singur fișier numit ntds.dit, în mod implicit este stocat în folderul %SYSTEMROOT%\NTDS și fiecare controler de domeniu.

Recycle Bin

coșul de reciclare Active Directory permite administratorilor să recupereze cu ușurință elementele șterse, acest lucru nu este activat în mod implicit. Cum se activează coșul de reciclare ghid pas cu pas.

read-Only Domain Controller (RODC)

serverele RODC dețin o copie numai în citire a bazei de date Active Directory și nu permit modificări la AD. Scopul său principal este pentru filiale și locații cu securitate fizică slabă.

Schema

schema Active Directory definește fiecare clasă de obiecte care poate fi creată și utilizată într-o pădure Active Directory. De asemenea, definește fiecare atribut care poate exista într-un obiect. Cu alte cuvinte, este un model al modului în care datele pot fi stocate în Active Directory. De exemplu, un cont de utilizator este o instanță a clasei de utilizator, utilizează atribute pentru a stoca și furniza informații despre acel obiect. Un cont de computer este o altă instanță a unei clase care, de asemenea, este definită de atributele sale.

există multe clase și atribute, cu excepția cazului în care programarea sau depanarea unei probleme avansate nu este necesar să știți totul despre schemă.

SYSVOL

sysvol este un folder foarte important care este partajat pe fiecare controler de domeniu. Locația implicită este % SYSTEMROOT% \ SYSVOL\sysvol și este alcătuită din următoarele:

  • obiecte de politică de grup
  • foldere
  • Scripturi
  • puncte de joncțiune

Tombstone

Tombstone este un obiect șters din AD care nu a fost eliminat din Baza de date, obiectul rămâne tehnic în baza de date pentru o perioadă de timp. În această perioadă de timp obiectul poate fi restaurat.

atribute nume obiect

următoarele sunt câteva atribute importante cu care ar trebui să fiți familiarizați atunci când lucrați cu Active Directory.

  • userPrincipalName (UPN) – acesta este un nume comun de conectare care este în formatul unei adrese de e-mail. Un UPN arata ca aceasta, [email protected], un UPN poate fi utilizat pentru a vă conecta la un domeniu windows.
  • objectGUID – acest atribut este utilizat pentru a identifica în mod unic un cont de utilizator. Chiar dacă contul este redenumit sau mutat, objectGUID nu se schimbă niciodată.
  • sAmAccountName – acest atribut este Utilizator pentru conectarea contului la un domeniu. A fost principalul mijloc de conectare la un domeniu pentru versiunile mai vechi de Windows, acesta poate fi utilizat în continuare pe versiunile moderne de Windows.
  • objectSID – acest atribut este identificatorul de securitate (Sid) al utilizatorului. Sid este utilizat de server pentru a identifica un utilizator și apartenența la grup pentru a autoriza accesul utilizatorilor la resursele domeniului.
  • sIDHistory-acest atribut conține SIDs anterioare pentru obiectul utilizator. Acest lucru este necesar numai dacă un utilizator sa mutat într-un alt domeniu.
  • relative Distinguished Name (RDN) – RDN este prima componentă a numelui distins. Este numele obiectului din Active Directory în raport cu locația sa în structura ierarhică a AD
  • Distinguished Name (DN) – atributul DN localizează obiecte în director. Acest atribut este utilizat în mod obișnuit de servicii și aplicații pentru a localiza obiecte în Active Directory. un DN este alcătuit din următoarele componente:
    • CN – denumire comună
    • OU – unitate organizațională
    • DC – componentă de domeniu

grupuri

grupurile sunt utilizate pentru colectarea conturilor utilizatorilor, a computerului și a obiectelor de contact în unități de gestionare. Crearea grupurilor facilitează controlul permisiunilor la resurse și atribuirea resurselor, cum ar fi imprimantele și folderele. Există două tipuri de grupuri

  • distribuție – grupurile de distribuție sunt utilizate de aplicațiile de e-mail t trimiteți cu ușurință un e-mail unui grup de utilizatori.
  • securitate-grupurile de securitate sunt un grup de conturi care pot fi utilizate pentru a atribui cu ușurință unei resurse sau pentru a solicita permisiuni. De exemplu, dacă aș vrea să blochez un folder pentru departamentul de resurse umane, aș putea pune toți angajații într-un grup de securitate și să aplic grupul în folder în loc de fiecare cont individual.

domeniul de aplicare al Grupului

domeniul de aplicare al grupului identifică dacă grupul poate fi aplicat în domeniu sau pădure. Iată cele trei domenii de grup:

  • Universal – poate conține obiecte din alte grupuri universale și orice domeniu din copac sau pădure.
  • Global-poate conține obiecte din domeniu și poate fi utilizat în orice copac sau pădure de domeniu.
  • domeniu Local – poate conține obiecte din orice domeniu, dar poate fi aplicat numai domeniului în care a fost creat.

resurse:

înțelegerea pietre funerare, Active Directory, și cum să-l protejeze

Schema Active Directory

Forest și domeniu niveluri funcționale

Active Directory: concepte Partea 1

Active Directory Services

Active Directory include mai multe alte servicii care se încadrează în Active Directory Domain Services, aceste servicii includ:

Active Directory Certificate Services (AD CS)

acesta este un rol de server care vă permite să construiți o infrastructură cu cheie publică (PKI) și să furnizați certificate digitale pentru organizația dvs. Certificatele pot fi utilizate pentru a cripta traficul de rețea, traficul de aplicații și pentru a autentifica utilizatorii și computerele. Când vedeți https într-o adresă de browser, înseamnă că utilizează un certificat pentru a cripta comunicarea de la client la server.

Active Directory Domain Services (AD DS)

Vezi descrierea Active Directory

Active Directory Federation Services (AD FS)

serviciul federation permite conectarea unică la sisteme externe precum site-uri web și aplicații. Office 365 este o utilizare obișnuită pentru serviciile Federației. Când vă conectați la office 365, numele de utilizator și parola sunt redirecționate prin serverul de federalizare, iar acreditările sunt verificate în funcție de Active Directory. Deci, acest lucru vă permite să furnizați autentificarea sistemelor externe utilizând Active Directory local pentru a autentifica numele de utilizator și parola.

Active Directory Lightweight Directory Services (AD LDS)

acest serviciu oferă servicii de directoare utilizând protocolul LDAP fără a fi nevoie să implementați controlere de domeniu. Acest lucru este utilizat în principal pentru a furniza servicii de director funcțional aplicațiilor activate în director. Acest lucru nu înlocuiește AD DS.

Active Directory Rights Management Services (AD RMS)

acest serviciu oferă metode de protecție a informațiilor privind conținutul digital. Protejează documentele definind cine poate deschide, modifica, imprima, transmite sau întreprinde alte acțiuni asupra documentelor. De asemenea, puteți utiliza certificate pentru a cripta documente pentru o mai bună securitate.

Active Directory DNS

Domain Name System este un serviciu care oferă rezoluție de nume, cel mai frecvent nume de gazdă la rezoluția adresei IP. În această secțiune, veți afla despre unele dintre componentele importante ale DNS.

înregistrări de resurse

o înregistrare de resurse este o intrare în sistemul DNS care ajută la localizarea resurselor bazate pe IP sau un nume de domeniu. Există mai multe tipuri de înregistrări de resurse, mai jos este o listă de tipuri de înregistrări comune:

  • a – mapează un nume de gazdă la o adresă IPv4
  • AAAA – mapează un nume de gazdă la o adresă IPv6
  • CNAME – mapează un alias la un nume de gazdă
  • MX – folosit pentru a localiza un server de adresa unui nume de gazdă. Reversul unei înregistrări A.
  • SOA – conține informații administrative
  • SRV – folosit pentru a localiza servere care găzduiesc servicii specifice
  • TXT – poate conține diverse date. Adesea folosit pentru verificarea domeniilor și a motivelor de securitate.

DNS dinamic (DDNS)

DNS dinamic este o metodă pentru clienții să se înregistreze și să actualizeze dinamic înregistrările lor de resurse cu un server DNS. Acest lucru permite clienților care utilizează DHCP să își actualizeze automat înregistrarea DNS atunci când adresa IP se schimbă.

Nume gazdă

acesta este cel mai adesea DNS o înregistrare, numele DNS al unui dispozitiv cu care poate fi comunicat. De exemplu, un server cu numele DC1. Dacă DC1 a fost înregistrat în DNS, v-ați referi la acesta ca nume de gazdă.

zone

o zonă este utilizată pentru a găzdui înregistrările DNS pentru un anumit domeniu. Cel mai important și frecvent utilizat tip de zonă este zonele integrate Active Directory. Există mai multe alte zone cu care ar trebui să fiți familiarizați, acoper celelalte zone din articolul meu, zonele Windows DNZ explicate.

îmbătrânirea și curățarea DNS

aceasta este o caracteristică care poate fi activată pentru a ajuta la automatizarea curățării înregistrărilor DNS învechite. Am creat o postare separată care explică mai multe și oferă instrucțiuni pas cu pas pentru a configura îmbătrânirea și curățarea DNS.

înregistrări SRV utilizate de Active Directory

într-un domeniu Windows, înregistrările SRV sunt utilizate de clienți pentru a localiza controlerele de domeniu pentru Active Directory. Când instalați serviciul AD DS procesul va crea automat înregistrările SRV pentru Active Directory.

  • Active Directory își creează înregistrările SRV în următoarele foldere, unde Domain_Name este numele domeniului dvs.:
    • zone de căutare înainte/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp zone de căutare înainte/Domain_Name/_msdcs/dc/_tcp

Iată o captură de ecran din DNS-ul meu:

expeditorii DNS sunt servere care rezolvă nume de gazdă pe care serverul DNS intern nu le poate rezolva, în principal domenii externe, cum ar fi navigarea pe Internet. Puteți configura pentru a redirecționa cererile DNS către orice server ales de dvs., de multe ori este utilizat un ISP.

Root Hints

root hint server este o altă metodă de rezolvare a numelor de gazdă pe care serverul dvs. intern nu le poate rezolva. Diferența este că aceste servere servesc ca zonă DNS rădăcină pentru internet. Acestea sunt gestionate de mai multe mari organizate pentru securitate și redundanță. Puteți utiliza indicii rădăcină sau înainte pentru a rezolva nume externe.

resurse:

lista completă a tipurilor de înregistrări de resurse DNS

cum se verifică dacă înregistrările DNS SRV au fost create pentru un controler de domeniu

indicii Root vs expeditori

cele mai bune practici DNS

replicare Active Directory

replicarea este procesul care asigură că modificările aduse unui controler de domeniu sunt reproduse altor controlere de domeniu din domeniu.

obiecte de conexiune

obiectul de conexiune specifică ce controlere de domeniu se reproduc între ele, cât de des și contextele lor de denumire.

KCC

verificatorul de consistență a cunoștințelor (KCC) este un proces care rulează pe toate controlerele de domeniu și generează o topologie de replicare bazată pe site-uri, subrețele și obiecte de legătură de site.

subrețele

o subrețea este o porțiune logică a unei rețele IP. Subrețele sunt utilizate pentru a grupa dispozitivele într-o anumită rețea, adesea după locație, clădire sau podea. Dacă aveți un mediu multisite, Active Directory trebuie să știe despre subrețele dvs., astfel încât să poată identifica în mod corespunzător cele mai eficiente resurse. Dacă aceste informații nu sunt furnizate, clienții pot autentifica și utiliza controlerul de domeniu greșit.

Site

un site este o colecție de subrețele. Site-urile Active Directory ajută la definirea fluxului de replicare și a locației resurselor pentru clienți, cum ar fi un controler de domeniu.

link Site

linkurile Site vă permit să configurați ce site-uri sunt conectate între ele.

Site link Bridge

un site link bridge este o conexiune logică între site-uri. Este o metodă de a reprezenta logic conectivitatea tranzitivă între site-uri.

topologia Site-ului

topologia site-ului este o hartă care definește conectivitatea rețelei pentru replicare și locația resurselor din Pădurea Active Directory. Topologia site-ului consistente de mai multe componente, inclusiv site-uri, subrețele, link-uri de site-ul, poduri link-ul site-ului, și obiecte de conectare.

replicare Intra-Site

aceasta este replicarea care are loc între controlerele de domeniu din același site.

replicare inter-Site

într-un mediu cu mai multe site-uri, o schimbare într-un site trebuie să fie reprodusă la celălalt site. Aceasta se numește replicare Inter-Site.

resurse:

cum funcționează replicarea Active Directory

concepte de replicare Active Directory

securitate Active Directory (autentificare, protocoale de Securitate, Permisiuni)

Kerberos

Kerberos este un protocol de securitate care permite în siguranță utilizatorilor să-și dovedească identitatea pentru a avea acces la resursele domeniului.

key Distribution Center (KDC)

KDC este un serviciu care rulează pe controlere de domeniu și furnizează bilete de sesiune utilizate în protocolul de autentificare Kerberos.

Service Principal Names (SPN)

SPN este un identificator unic al unei instanțe de serviciu.

NTLM

NTLM este o colecție de protocoale de securitate utilizate pentru autentificarea, asigurarea integrității și confidențialității utilizatorilor. Kerberos este protocolul de autentificare preferat și este utilizat în versiunile moderne de Windows, NTLM este încă disponibil pentru clienții și sistemele mai vechi dintr-un grup de lucru.

permisiuni NTFS

permisiunile NTFS vă permit să definiți cine este autorizat să acceseze un fișier sau un folder. Mai jos este o listă a permisiunilor de bază pe care le puteți seta:

  • control complet – aceasta oferă utilizatorilor drepturile de a adăuga, modifica, muta și șterge fișiere și foldere.
  • Modify-oferă utilizatorilor vizualizare și drepturi de modificare
  • Read& Execute – oferă utilizatorilor vizualizare și executare drepturi
  • ready – ready only rights
  • Write – right to a file and add new folders

permisiuni de partajare

permisiuni de partajare Definiți nivelul de acces la resursele partajate, cum ar fi un folder. Există trei permisiuni comune de bază:

  • Read – oferă utilizatorilor vizualiza drepturile la folderul și subfolderele
  • Change – oferă utilizatorilor citi și modifica drepturile
  • control complet – oferă utilizatorilor modifica, schimba și citi drepturile.

Discretionary access control list (DACL)

un DACL identifică ce cont permite sau refuză accesul la un obiect, cum ar fi un fișier sau un folder.

intrări de control acces (ACE)

DACL conține ași, Asul definește ce cont și ce nivel de acces trebuie acordat resursei. Dacă nu este prezent niciun as, sistemul refuză accesul la obiect.

System Access Control List (SACL)

SACL permite administratorilor să înregistreze încercările de a accesa un obiect de securitate.

Politica de parolă cu granulație fină

o caracteristică din Windows 2008 și versiuni ulterioare care vă permite să definiți diferite politici de parolă și blocare a contului pentru diferite conturi. În general, toate conturile ar trebui să aibă aceeași politică, dar este posibil să aveți un cont de serviciu sau un cont foarte specific care are nevoie de o politică diferită. De exemplu, contul nostru WiFi de oaspeți a rămas blocat din cauza încercărilor de parolă proaste. Am folosit o politică de parolă acordată pentru a seta o blocare a contului mai mare decât restul domeniului.

resurse:

Kerberos pentru administratorul ocupat

Windows Authentication Technical Overview

diferențele dintre permisiunile Share și NTFS

liste de control acces

Active Directory Management Console

această secțiune include consolele de management pe care va trebui să le utilizați pentru a gestiona diferitele tehnologii Active Directory. Va trebui să instalați instrumentele de administrare a serverului la distanță (RSAT) pentru a accesa aceste console de gestionare.

Active Directory Users and Computers (ADUC)

aceasta este cea mai frecvent utilizată consolă pentru gestionarea utilizatorilor, computerelor, grupurilor și contactelor.

scurtătură: dsa.msc

Active Directory Administrative Center (ADAC)

începând cu Server 2008 R2 Microsoft introduce ADAC pentru a gestiona obiectele lor de servicii director. Această consolă poate fi utilizată pentru a crea și gestiona conturi de utilizator, conturi de computer, grupuri și unități organizaționale. Oferă aceeași funcționalitate ca și instrumentul Active Directory Users and Computers. Datorită interfeței complicate, prefer ADUC peste această consolă.

Active Directory Domains and Trusts

această consolă este utilizată pentru a ridica modul de domeniu sau nivelul funcțional al unui domeniu sau pădure. De asemenea, este folosit pentru a gestiona relațiile de încredere.

comandă rapidă: domeniu.msc

Active Directory site-uri și servicii

aceasta este consola principală pentru gestionarea replicare. Această consolă este utilizată pentru a gestiona obiecte de topologie a site-ului, obiecte de conectare, programați replicarea, forțați manual replicarea, activați catalogul global și activați cache-ul universal de grup.

scurtătură: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor este un instrument GUI care poate fi folosit pentru a gestiona obiectat în Active Directory. Acest instrument oferă acces la date obiect care nu sunt disponibile în utilizatorii și computerele Active Directory.

comandă rapidă: adsiedit.msc

DFS Management

această consolă este utilizată pentru a gestiona spațiile de nume DFS și replicarea DFS.

scurtătură: dfsmgmt.msc

DHCP

această consolă este utilizată pentru a crea domenii DCHP, pentru a vizualiza informațiile de închiriere și toate lucrurile DHCP.

scurtătură: dhcpmgmt.msc

DNS

această consolă este utilizată pentru a crea zone DNS, înregistrări de resurse și pentru a gestiona toate lucrurile DNS.

scurtătură: dnsmgmt.msc

Managementul Politicii de grup

comandă rapidă: gpmc.msc

PowerShell

deși aceasta nu este o consolă de administrare, este cel mai puternic instrument pentru automatizarea sarcinilor administrative. PowerShell poate accelera multe sarcini de rutină pe care instrumentele de gestionare GUI nu le pot face.

resurse:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol este un serviciu care asigură controlul centralizat al adresei IP. Când computerul se conectează la o rețea cu fir sau fără fir, un server DHCP este contactat pentru a vă găsi și atribui o adresă IP disponibilă.

domeniul de aplicare

un domeniu de aplicare DHCP este o colecție de setări de adresă IP care sunt configurate pentru dispozitive, cum ar fi un computer pentru a utiliza. Puteți crea mai multe domenii pentru diferite tipuri de dispozitive și subrețele. De exemplu, am un domeniu de aplicare pentru computere și diferite domenii pentru telefoanele IP. Când configurați un domeniu, va trebui să configurați următoarele:
  • nume domeniu – acesta este numele domeniului. Dă-i un nume descriptiv, astfel încât să fie ușor să identifici pentru ce dispozitive este.
  • IP address range – acesta este intervalul IP pe care doriți să îl utilizeze dispozitivele. De exemplu 10.2.2.0/24
  • excluderi adresa IP – puteți specifica pentru a exclude adresa IP din domeniul de aplicare. Acest lucru este util dacă aveți dispozitive pe subrețea care au nevoie de un IP static, cum ar fi un router sau un server.
  • Lease duration – contractul de închiriere specifică cât timp un client are o adresă IP înainte de a reveni la piscina.
  • opțiuni DHCP – există o serie de opțiuni diferite pe care le puteți include atunci când DHCP atribuie o adresă IP. Mai multe despre acest lucru mai jos

opțiuni DHCP

există multe opțiuni DCHP, mai jos sunt cele mai frecvent utilizate opțiuni într-un domeniu Windows.

  • 003 router-gateway-ul implicit al subrețelei
  • 005 server DNS-adresa IP a clienților serverului DNS ar trebui să utilizeze pentru rezoluția numelui. 015 DNS Domain Name-sufixul DNS pe care clientul ar trebui să îl folosească, adesea la fel ca numele de domeniu.

DHCP filtering

DHCP filtering poate fi folosit pentru a refuza sau permite dispozitive bazate pe adresa lor MAC. De exemplu, îl folosesc pentru a bloca conectarea dispozitivelor mobile la wifi-ul nostru securizat.

Superscope

un superscope este o colecție de domenii DHCP individuale. Acest lucru poate fi utilizat atunci când doriți să vă alăturați scopes împreună. Sincer, nu am folosit niciodată asta.

domenii Split

aceasta este o metodă de a furniza toleranță la erori pentru un domeniu DHCP. Utilizarea DHCP failover nu este metoda preferată pentru toleranța la erori.

DHCP Failover

DCHP failover a fost o caracteristică nouă începând cu versiunea de server 2012. Acesta permite două servere DHCP pentru a partaja informații de leasing oferind disponibilitate ridicată pentru serviciile DCHP. Dacă un server devine indisponibil, celălalt server preia.

resurse:

parametrii DHCP

Politica de grup

Politica de grup vă permite să gestionați centralizat setările utilizatorului și computerului. Puteți utiliza politica de grup pentru a seta politicile de parolă, politicile de audit, ecranul de blocare, unitățile de hartă, implementarea software-ului, o unitate, setările office 365 și multe altele.

obiecte de politică de grup (GPO)

GPO sunt o colecție de setări de politică pe care le utilizați pentru a le aplica computerelor sau utilizatorilor.

frecvența de reîmprospătare a Politicii de grup

stațiile de lucru Client și serverele membre își reîmprospătează politicile la fiecare 90 de minute. Pentru a evita copleșitoare controlerele de domeniu lor este un interval de offset aleatoriu adăugat la fiecare mașină. Acest lucru împiedică toate mașinile să solicite upgrade-uri de politică de grup de la DC în același timp și potențial crashing-l.

procesarea politicilor

politicile de grup se aplică în următoarea ordine

  • Local
  • site
  • domeniu
  • unitate organizațională (OU)

blocați moștenirea

în mod implicit, obiectele politicii de grup sunt moștenite. Pentru a schimba acest comportament, puteți utiliza opțiunea Blocare moștenire la un nivel OU.

no Override

Dacă doriți să aplicați politicile și să împiedicați blocarea acestora, utilizați opțiunea no override.

Setări utilizator

într-un GPO există setări utilizator și computer. Setările utilizatorului se aplică numai obiectelor utilizatorului. Dacă configurați setările utilizatorului în GPO, GPO trebuie aplicat obiectelor utilizator.

Setări Computer

setările computerului dintr-un GPO sunt setări care pot fi aplicate unui computer. Dacă configurați setările computerului, GPO trebuie aplicat obiectelor computerului.

Resultant Set of Policy (RsoP)

Resultant Set of Policy este un instrument Microsoft care este încorporat în Windows 7 și versiunile ulterioare. Acesta oferă administratorilor un raport cu privire la setările politicii de grup care se aplică utilizatorilor și computerelor. Poate fi folosit și pentru a simula setările în scopuri de planificare.

am un tutorial complet în articolul meu Cum se utilizează RSoP pentru a verifica și depana setările politicii de grup.

preferințele Politicii de grup

preferințele Politicii de grup sunt utilizate în principal pentru a configura setări care pot fi modificate ulterior la nivel de client. Preferințele au, de asemenea, opțiunea de a face unele direcționări avansate, cum ar fi aplicarea la un anumit OU, versiunea Windows, utilizatorii dintr-un grup și așa mai departe. Preferințele sunt utilizate în mod obișnuit pentru a configura următoarele:

  • mapări de unități
  • Setări de Registry
  • instalați imprimante
  • programați activități
  • Setați permisiunile pentru fișiere și foldere
  • setați setările de alimentare

șabloane

puteți instala șabloane suplimentare de politică de grup pentru a extinde GPO-urile implicite furnizate de Microsoft. Unele șabloane comune utilizate sunt Office 365, Chrome, Firefox și cele furnizate de aplicațiile 3rd party. Șabloanele sunt fișiere bazate pe xml, de obicei într-un format ADM sau extensie de fișier ADMX.

resurse:

arhitectura Politicii de grup

Prezentare generală a Politicii de grup

am pierdut ceva? Ai ceva de împărtășit? Lasă-mă să știu în comentariile de mai jos.

instrument recomandat: SolarWinds Server& Application Monitor

Acest utilitar a fost conceput pentru a monitoriza Active Directory și alte servicii critice, cum ar fi DNS& DHCP. Acesta va detecta rapid problemele controlerului de domeniu, va preveni eșecurile de replicare, va urmări încercările de conectare eșuate și multe altele.

ceea ce îmi place cel mai mult la SAM este că este ușor de utilizat tabloul de bord și funcțiile de alertare. De asemenea, are capacitatea de a monitoriza mașinile virtuale și stocarea.

descărcați versiunea de încercare gratuită aici

Author:
Filed Under: Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată.