Ma’ruza Active Directory Domain Controllerni o’rnatish, sozlash va boshqarish usullari
Download 0.82 Mb. Pdf ko'rish
|
5-Ma\'ruza (1)
- Bu sahifa navigatsiya:
- Kompyuterlar " konteyneriga joylashtiriladi, shuning uchun kopgina tarmoqlarda ushbu " Kompyuterlar " jildini
- Guruch. 3.10.
- Remote Access Servers "
|
Guruch. 3.9. Yangi guruh yarating
Kompyuter hisoblarini oldindan tayyorlash Yangi foydalanuvchi hisoblarini yaratish uchun Active Directory foydalanuvchilari va kompyuterlaridan foydalanish juda keng tarqalgan, chunki foydalanuvchi hisobini qo'lda yaratmasdan, bu yangi shaxs sizning tarmog'ingizga kira olmaydi. Biroq, domeningizga yangi kompyuterlarni qo'shsangiz, ushbu vositani ochish haqida o'ylash kamroq tarqalgan. Buning sababi shundaki, ko'pchilik domenlar shunday tuzilganki, yangi kompyuterlar avval Active Directoryda ishlamasdan, kompyuterning o'zida bajariladigan amallar orqali domenga qo'shilishi mumkin. Boshqacha qilib aytganda, agar kimdir domen administratorining foydalanuvchi nomi va parolini bilsa, u tarmoqqa ulangan istalgan kompyuterda o'tirib, ushbu mahalliy kompyuterda domenga qo'shilish jarayonidan o'tishi mumkin. U domenga muvaffaqiyatli qo'shiladi va Active Directory u uchun avtomatik ravishda yangi kompyuter ob'ektini yaratadi. Ushbu avtomatik yaratilgan kompyuter ob'ektlari sukut bo'yicha " Kompyuterlar " konteyneriga joylashtiriladi, shuning uchun ko'pgina tarmoqlarda ushbu " Kompyuterlar " jildini bossangiz, turli xil mashinalar ro'yxatini ko'rasiz va ular hatto yaqinda qo'shilgan ish stoli va serverlarning aralashmasi bo'lishi mumkin. domenga va boshqalar tegishli, aniqroq birlikka ko'chirilmadi. O'sib borayotgan laboratoriya muhitimda men yaqinda bir nechta mashinalarni domenga qo'shdim. Men buni Active Directory foydalanuvchilari va kompyuterlarini ochmasdan ham qildim va siz mening yangi kompyuter ob'ektlarim hali ham ushbu standart Kompyuterlar konteynerida ekanligini ko'rishingiz mumkin: Guruch. 3.10. Active Directory-dagi standart kompyuter konteyneri standart Kompyuterlar konteyneriga joylashtirishga ruxsat berish odatda mijoz tizimlari uchun katta muammo emas, lekin agar siz ushbu papkada serverlarni avtomatik ravishda yaratishga ruxsat bersangiz, bu sizga katta muammolarga olib kelishi mumkin. Ko'pgina kompaniyalar tarmoq xavfsizligi siyosatiga ega va bu siyosatlar odatda umumlashtirilgan tashkiliy bo'linmalardan birida joylashgan har qanday kompyuter hisobiga avtomatik ravishda qo'llaniladigan tarzda o'rnatiladi. Xavfsizlik siyosatlaridan foydalanish mijoz mashinalarining foydalanuvchiga kirishi yoki foydalanishi kerak bo'lmagan qismlarini bloklashning ajoyib usuli bo'lishi mumkin, lekin agar siz ushbu blokirovka siyosatlarini yangi serverlar domenga qo'shilishi bilanoq qo'llashga beixtiyor majburlasangiz, siz serverni tugashidan oldin samarali ravishda buzishi mumkin. uni qanday sozlashni boshlaysiz. Ishoning, men buni qildim. Va, afsuski, Active Directory-ga qo'shilgan yangi server ob'ektlaringiz domenga qo'shilgan har qanday mijoz ish stantsiyasi bilan bir xil aniqlanadi va tasniflanadi, shuning uchun siz serverlar uchun boshqa standart konteynerni belgilay olmaysiz, chunki ular server emas, balki serverdir. oddiy ish stantsiyasi. Xo'sh, bu mumkin bo'lgan muammoni hal qilish uchun nima qilish kerak? Javob yangi serverlaringiz uchun domen hisoblarini oldindan sozlashdir. Siz hatto printsipial jihatdan barcha yangi kompyuter hisoblarini oldindan sozlashingiz mumkin, lekin men odatda bu talabni faqat yirik korxonalarda ko'raman. Kompyuter hisobini oldindan sozlash yangi foydalanuvchi hisobini yaratishga juda o'xshaydi. Kompyuterni domenga qo'shishdan oldin siz Active Directory-da uning uchun ob'ekt yaratasiz. Ob'ektni domenga qo'shilish jarayonidan oldin yaratish orqali siz kompyuter domenga qo'shilganda qaysi tashkiliy birlikda bo'lishini tanlashingiz mumkin. Keyin bu yangi kompyuter yoki serverda foydalanmoqchi boʻlgan sozlamalar va xavfsizlik siyosatlarini oladigan yoki olmaydigan tashkiliy birlik ekanligini tekshirishingiz mumkin . Internetga kirgan har qanday yangi serverlar uchun Active Directory-dagi barcha kompyuter hisoblarini oldindan sozlashingizni qat'iy tavsiya qilaman. Agar siz buni amaliyotga aylantirsangiz, garchi u doimiy bo'lmasa ham, yaxshi odat yaratasiz, bu sizni bir kun kelib domeningizga qo'shilish orqali buzgan serveringizni qayta tiklashdan qutqarishi mumkin. Kompyuter ob'ektini oldindan tayyorlash juda tez va sodda; keling birga qilaylik. Kelajakda men roumingdagi foydalanuvchilarni uylaridan, kafelaridan va hokazolardan tarmoqqa ulash uchun masofaviy kirish rolini o'z ichiga oladigan Windows Server yaratishni rejalashtirmoqdaman. Masofaviy kirish rolidagi ba'zi komponentlar tarmoq xavfsizligi siyosatiga kelganda juda qiyin. , shuning uchun men yangi RA1 serverim domenga qo'shilishim bilanoq blokirovka sozlamalarining to'liq to'plamiga ega bo'lmasligiga ishonch hosil qilishni afzal ko'raman. Men " Remote Access Servers " deb nomlangan tashkiliy birlikni yaratdim va endi men RA1 serverim uchun ushbu birlik ichidagi kompyuter ob'ektini oldindan sozlayman. Masofaviy kirish serverlari OU-ni o'ng tugmasini bosing va Yangi | -ni tanlang Kompyuter . Keyin shunchaki kompyuter nomi maydonini serveringiz nomi bilan to'ldiring. Men hali bu serverni qurmagan bo'lsam ham, men uni RA1 deb nomlashni rejalashtirmoqdaman, shuning uchun uni faqat qutiga yozaman: Download 0.82 Mb. Do'stlaringiz bilan baham: 
|