Active Directory-ning eng yaxshi tajribalari
Download 73.54 Kb.
|
Active Directory-ning eng yaxshi tajribalari-hozir.org
Aleksandr Emelyanov
Active Directory domenlarini yaratish printsiplari Active Directory uzoq vaqtdan beri tarmoq infratuzilmasini mantiqiy qurishning konservativ printsiplaridan biri bo'lib kelgan. Ammo ko'pgina ma'murlar o'z ishlarida Windows NT ishchi guruhlari va domenlaridan foydalanishda davom etadilar. Katalog xizmatini joriy etish tarmoqni boshqarishni markazlashtirish va xavfsizlikning tegishli darajasini ta'minlash uchun ham tajribali, ham tajribali ma'murlar uchun qiziqarli va foydali bo'ladi. Active Directory - olti yil oldin Win2K tizimlari tizimida paydo bo'lgan texnologiya inqilobiy deb ta'riflanishi mumkin edi. O'zining moslashuvchanligi va miqyosi jihatidan, u ishchi guruhlaridan tashkil topgan tarmoqlarni nazarda tutmasdan, kattalik tartibida NT 4 domenlaridan ustundir. AD chiqqanidan keyin rejalashtirish, topologiya dizayni, domenlarni qo'llab-quvvatlash, xavfsizlik va boshqalar mavzularida juda ko'p sonli kitoblar va nashrlar nashr etildi. Microsoft sertifikatlash kurslari 40 soat ichida siz domeningiz qanday o'rnatilishini va uni muvaffaqiyatli boshqarishni o'rganishingiz mumkinligini va'da qilmoqda. Ishonmayman. Ma'muriyat ko'p yillik tajribani o'z ichiga olgan jarayon bo'lib, "to'la konuslar", juda ko'p miqdorda o'qilgan hujjatlar (asosan ingliz tilida) va xo'jayinlar va foydalanuvchilar bilan "samimiy" suhbatlar. Yana bir nuance bor - Active Directory dasturini amalga oshirish kursini boshlashdan oldin Windows Server 2003 asosida tarmoq infratuzilmasini boshqarish bo'yicha kursni muvaffaqiyatli tugatgan bo'lishingiz kerak, bu talabadan ba'zi moliyaviy xarajatlarni talab qiladi. Yana bir bor aminmizki, Microsoft buni o'tkazib yubormaydi. Ammo bu haqda emas ... ADning amalga oshirilishini o'rganish bir haftalik kurs doirasiga mos kelmaydi, va hatto bitta nashr. Biroq, oldingi maqolalar tajribasi bilan qurollanib, biz katalog xizmati nima ekanligini, uni o'rnatishning asosiy nozik jihatlari nimada ekanligini va tizim boshqaruvchisi hayotini qanday osonlashtirishi mumkinligini aniqlashga harakat qilamiz. Biz shuningdek, Windows Server 2003-ni chiqargan holda Active Directory-da nima yangilik ekanligini ko'rib chiqamiz. Shuni ta'kidlash kerakki, o'tgan yilning oxirgi choragida Microsoft Windows Vista-ni chiqardi va u bilan yangilangan katalog xizmati paydo bo'ldi. Biroq, eski texnologiyalar hozirgi kungacha o'z dolzarbligini yo'qotmadi. Maqolada biz ADning mohiyatini tushunishdan o'z domenimizni yaratishga o'tamiz. Keyingi konfiguratsiya va boshqarish va diagnostika vositalari quyidagi masalalarda ta'kidlanadi. Qanday qilib Active Directory yordam beradi Men katalog xizmatini kengaytirish orqali olgan barcha "sovg'alar" ning to'liq bo'lmagan ro'yxatini beraman: bitta yoki bir nechta serverlarda markazlashtirilgan holda saqlanadigan yagona foydalanuvchi ro'yxatga olish ma'lumotlar bazasi; Shunday qilib, ofisda yangi xodim paydo bo'lganda, siz faqat serverda hisob qaydnomasini yaratishingiz va u qaysi ish stantsiyalariga kirish huquqini ko'rsatishingiz kerak; barcha domen resurslari indekslanganligi sababli, foydalanuvchilarga tez va oson qidirishga imkon beradi; masalan, avtomatlashtirish bo'limida rangli printerni topish kerak bo'lsa; nTFS ruxsatnomalari, guruh siyosati va boshqarish vakolatining kombinatsiyasi sizga domen a'zolari o'rtasida huquqlarni to'g'ri sozlash va taqsimlashga imkon beradi; rouming foydalanuvchi profillari muhim ma'lumotlarni va konfiguratsiya sozlamalarini serverda saqlashga imkon beradi; aslida, agar domendagi rouming profiliga ega foydalanuvchi boshqa kompyuterda ishlash uchun o'tirsa va foydalanuvchi nomi va parolini kiritsa, u odatdagi sozlashlari bilan ish stolini ko'radi; guruh siyosatidan foydalangan holda, foydalanuvchilarga operatsion tizimlarning parametrlarini, ish stolidagi fon rasmini xavfsizlik sozlamalariga, shuningdek, tarmoq orqali dasturlarni tarqatishga ruxsat berishdan, masalan, Volume Shadow Copy client va boshqalarni o'zgartirishingiz mumkin; bugungi kunda nafaqat Microsoft tomonidan ishlab chiqarilgan ko'plab dasturlar (proksi-serverlar, ma'lumotlar bazasi serverlari va boshqalar) domen autentifikatsiyasidan foydalanishni o'rganishdi, shuning uchun siz boshqa foydalanuvchi ma'lumotlar bazasini yaratishingiz shart emas, lekin siz ulardan foydalanishingiz mumkin; masofaviy o'rnatish xizmatlaridan foydalanish tizimlarni ish stantsiyalariga o'rnatishni osonlashtiradi, ammo o'z navbatida faqatgina amalga oshirilgan katalog xizmati bilan ishlaydi. Ushbu texnologiyaning salbiy tomonlari ish jarayonida yoki asoslarni bilmaslikdan, yoki AD tarkibiy qismlariga kirib borishni istamaslikdan paydo bo'ladi. Yaratilgan muammolarni to'g'ri hal qilishni o'rganing, shunda barcha salbiy narsalar yo'qoladi. Men faqat yuqorida aytilganlarning barchasi Windows 2000 va undan yuqoriroq oilalarga asoslangan bir hil tarmoq mavjud bo'lganda amal qilishiga e'tibor qarataman. Qurilish mantig'i Katalog xizmatining asosiy tarkibiy qismlarini ko'rib chiqing. Domenlar Bu qurilishning asosiy mantiqiy birligi. Ishchi guruhlar bilan taqqoslaganda, AD domenlari yagona ro'yxatga olish bazasiga ega bo'lgan xavfsizlik guruhlari, ishchi guruhlari esa bu shunchaki mashinalarning mantiqiy kombinatsiyasi. AD, NT ning oldingi versiyalarida bo'lgani kabi, WINS (Windows Internet Name Service - Internet Name Service) o'rniga nomlash va qidirish uchun DNS-dan (Domen nomlari serveri - Domen nomlari serveri) foydalanadi. Shunday qilib, domendagi kompyuterlarning nomlari, masalan, buh.work.com, buh - bu ish.com domenidagi kompyuterning nomi (bu har doim ham shunday bo'lavermaydi, ammo bu haqda ko'proq o'qing). Ishchi guruhlar NetBIOS nomlaridan foydalanadilar. AD domen tuzilishini joylashtirish uchun Microsoft-dan tashqari DNS-serverdan foydalanish mumkin. Lekin u BIND 8.1.2 yoki undan yuqori versiyalarga mos bo'lishi va SRV yozuvlarini (RFC 2052), shuningdek dinamik ro'yxatga olish protokolini (RFC 2136) qo'llab-quvvatlashi kerak. Har bir domen kamida bitta markaziy ma'lumotlar bazasi joylashgan domen boshqaruvchisiga ega. Daraxtlar Bular ko'p domenli tuzilmalar. Ushbu tuzilmaning ildizi siz bolalar domenlarini yaratadigan asosiy domendir. Aslida, Active Directory DNS domenlarining tuzilishiga o'xshash ierarxik tuzish tizimidan foydalanadi. Masalan, agar bizda Work.com domeni bo'lsa (birinchi darajali domen) va buning uchun ikkita bola domenini yaratsangiz first.work.com va second.work.com (bu erda birinchi va ikkinchi daraja - bu domendagi kompyuter emas, balki ikkinchi darajali domenlar kabi). yuqorida tavsiflangan holatda) oxirida biz domen daraxtini olamiz (1-rasmga qarang). Mantiqiy qurilish sifatida daraxtlar kompaniyaning filiallarini ajratish kerak bo'lganda, masalan, geografik xususiyatlar yoki boshqa tashkiliy sabablarga ko'ra ishlatiladi. AD har bir domen va uning bolalar domenlari o'rtasida avtomatik ravishda ishonchlarni yaratishga yordam beradi. Shunday qilib, first.work.com domenini yaratish ota-onalar Work.com va bola first.work.com (xuddi ikkinchi.work.com uchun ham) o'rtasidagi ikki tomonlama ishonch munosabatlarini avtomatik ravishda tashkil etishga olib keladi. Shu sababli, bolaga ruxsatlarni ota-ona domenidan olish mumkin va aksincha. Ishonchli munosabatlar bola domeni uchun ham mavjud bo'ladi deb taxmin qilish oson. Ishonchning yana bir mulki bu tranzit. Biz olamiz - net.first.work.com domeni uchun Work.com domeni bilan ishonchli aloqalar o'rnatildi. O'rmonlar Daraxtlar singari, bu ko'p domenli tuzilmalar. Ammo o'rmon - bu turli xil ildizlarga ega bo'lgan daraxtlar birlashmasi. Aytaylik, siz Work.com va home.net nomlari bilan bir nechta domenlarga ega bo'lishga qaror qildingiz va ular uchun bolalar domenlarini yaratmoqchisiz, lekin tld (yuqori darajali domen) sizning ixtiyoringizda emas, bu holda siz o'rmonni tashkil qilishingiz mumkin (qarang) (2-rasm), birinchi darajali domenlardan birini ildiz sifatida tanlash. Bu holda o'rmon yaratishning go'zalligi - bu ikkita domen va ularning bola domenlari o'rtasidagi ikki tomonlama ishonch munosabatlari. Biroq, o'rmonlar va daraxtlar bilan ishlashda quyidagilarni yodda tuting. mavjud domenni daraxtga qo'shib bo'lmaydi. mavjud bo'lgan daraxtni o'rmonga kirita olmaysiz; agar domenlar o'rmonga joylashtirilgan bo'lsa, ularni boshqa o'rmonga o'tkazish mumkin emas; siz bolalar domeniga ega bo'lgan domenni o'chira olmaysiz. Daraxtlar va o'rmonlarni ishlatish va sozlashning nozik jihatlari haqida ko'proq ma'lumot olish uchun siz Microsoft TechNet ma'lumot bazasiga tashrif buyuring va biz bundan keyin ham boramiz. Tashkiliy birliklar (OU) Ularni subdomomenlar deb atash mumkin. OU foydalanuvchi hisoblarini, foydalanuvchilar guruhlarini, kompyuterlarni, umumiy manbalarni, printerlarni va boshqa OU-larni domendagi guruhlarga ajratishga imkon beradi. Ulardan foydalanishning amaliy foydasi bu bo'linmalarni boshqarish huquqini boshqalarga berish qobiliyatidir. Oddiy qilib aytganda, siz OU-ni boshqaradigan, ammo butun domenni boshqarish huquqiga ega bo'lmagan ma'murni tayinlashingiz mumkin. OU-ning muhim xususiyati, guruhlardan farqli o'laroq (keling bir oz oldinroq), ularga guruh siyosatini qo'llash qobiliyati. "Nega OU-ni ishlatmasdan, siz asosiy domenni bir nechta domenlarga ajratolmaysiz?" Ko'pgina mutaxassislar, agar iloji bo'lsa, bitta domenga ega bo'lishni maslahat berishadi. Buning sababi qo'shimcha domen yaratishda ma'muriyatni markazlashtirmaslikdir, chunki har bir bunday domen ma'murlari cheksiz nazoratga ega bo'lishadi (sizga eslatib o'taman, OU ma'murlariga huquqlarni berishda ularning funktsiyalari cheklanishi mumkin). Bunga qo'shimcha ravishda, yangi domen yaratish uchun yana bir nazoratchi kerak bo'ladi (hatto bola ham). Agar sizda sekin aloqa kanaliga ulangan ikkita alohida birlik bo'lsa, ko'paytirish bilan bog'liq muammolar bo'lishi mumkin. Bunday holda, ikkita domenga ega bo'lish maqsadga muvofiq bo'ladi. Guruh siyosatini qo'llashning yana bir nuansi bor: parol sozlamalari va hisob blokirovkalarini belgilaydigan qoidalar faqat domenlarga nisbatan qo'llanilishi mumkin. OU uchun ushbu parametrlar e'tiborga olinmaydi. Foydalanuvchi va kompyuter guruhlari Ular ma'muriy maqsadlar uchun ishlatiladi va tarmoqdagi mahalliy mashinalarda ishlatiladigan kabi bir xil ma'noga ega. OUdan farqli o'laroq, guruh siyosatini guruhlarga qo'llash mumkin emas, ammo ularga rahbarlik berilishi mumkin. Active Directory sxemasida ikki xil guruh ajralib turadi: xavfsizlik guruhlari (tarmoq ob'ektlariga kirish huquqlarini farqlash uchun ishlatiladi) va tarqatish guruhlari (asosan pochta xabarlarini yuborish uchun ishlatiladi, masalan, Microsoft Exchange Server-da). Ular ko'lami bo'yicha bo'linadi: Download 73.54 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling