Обзор доменных служб Active Directory
Применимо к:Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Знали ли вы, что Microsoft Azure предоставляет аналогичные функциональные возможности в облаке? Подробнее о решениях для удостоверений Microsoft Azure. Создание гибридного решения по идентификации в Microsoft Azure: |
Используя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server.
Остальная часть этого раздела содержит общий обзор роли сервера AD DS. Дополнительные сведения о новых компонентах AD DS в Windows Server 2012 см. в разделе Новые возможности доменных служб Active Directory (AD DS).
Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене.
Упорядочение элементов сети в иерархическую вложенную структуру предоставляет следующие преимущества.
Лес действует как защитная граница для организации и определяет объем полномочий администраторов. По умолчанию лес содержит один домен, который называется корневым доменом леса.
Чтобы структурировать данные AD DS, что позволит организациям реплицировать данные только там, где необходимо, в лесу можно создать дополнительные домены. Это позволяет AD DS глобально масштабировать сеть, имеющую ограниченную полосу пропускания. Домен Active Directory поддерживает также ряд других основных функций, которые связаны с администрированием, включая действующие во всей сети удостоверения пользователей, проверку подлинности и отношения доверия.
Наличие подразделений упрощает делегирование прав, облегчая управление большим количеством объектов. С помощью делегирования владельцы могут передавать полные или ограниченные права на объекты другим пользователям или группам. Функция делегирования прав важна, так как помогает распределять управление большим количеством объектов между несколькими людьми, которым доверяется выполнение задач администрирования.
Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Администрирование на основе политики облегчает управление даже очень сложной сетью.
Доменные службы Active Directory предоставляют следующие дополнительные возможности.
Набор правил — схема, определяющая классы объектов и атрибуты, которые содержатся в каталоге, ограничения и пределы для экземпляров этих объектов, а также формат их имен.
Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска данных каталога независимо от того, какой домен в каталоге действительно содержит искомые данные.
Механизм запросов и индексирования, благодаря которому объекты и их свойства могут публиковаться и находиться сетевыми пользователями и приложениями.
Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена, доступные для записи в домене, участвуют в репликации и содержат полную копию всех данных каталога для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.
Роли хозяев операций (известные также как гибкие операции с единым хозяином, или FSMO). Контроллеры доменов, исполняющие роли хозяев операций, предназначены для выполнения специальных задач по обеспечению согласованности данных и исключению конфликтующих записей в каталоге.
Требования доменных служб Active Directory
Оборудование, программное обеспечение и параметры конфигураций, необходимые для выполнения этого компонента. Предварительные требования для выполнения этой роли. Специальное оборудование, необходимое для роли или компонента.
Требование |
Описание |
|---|---|
TCP/IP |
Настройте соответствующие адреса TCP/IP и DNS-сервера. |
NTFS |
Диски, на которых хранится база данных, файлы журналов и папка SYSVOL для доменных служб Active Directory (AD DS) должны находиться в локальном фиксированном томе. Папку SYSVOL необходимо поместить в том с файловой системой NTFS. В целях безопасности базу данных и файлы журналов службы каталогов Active Directory необходимо хранить в томе с файловой системой NTFS. |
Учетные данные |
Чтобы установить новый лес AD DS, необходимо иметь права локального администратора на этом сервере. Для установки дополнительного контроллера домена в существующем домене вы должны быть членом группы администраторов домена. |
Инфраструктура службы доменных имен (DNS) |
Убедитесь в существовании инфраструктуры DNS. Перед установкой AD DS можно при необходимости установить DNS-сервер. При создании нового домена в процессе установки автоматически создается DNS-делегирование. Для создания DNS-делегирования требуются учетные данные, имеющие разрешение на обновление родительских DNS-зон. Дополнительные сведения см. в разделе Страница мастера параметров DNS. |
Adprep |
При добавлении в существующую службу Active Directory первого контроллера домена, использующего Windows Server 2012, автоматически выполняются команды adprep.exe. Эти команды имеют дополнительные требования к учетным данным и подключению. Дополнительные сведения см. в разделе Выполнение Adprep.exe. |
Контроллеры домена только для чтения (RODC) |
Дополнительные требования для установки контроллеров RODC.
Дополнительные сведения см. в разделе Предварительные требования для развертывания контроллера RODC. |
Примечание
Контроллеры домена обычно не размещают другие роли сервера, исключая роль DNS-сервера.
Выполнение служб домена Active Directory
Развертывание и настройка роли при помощи Windows PowerShell
Пошаговые инструкции по установке и настройке AD DS с помощью модуля ADDSDeployment для интерфейса командной строки Windows PowerShell см. в руководстве по развертыванию доменных служб Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Развертывание и настройка этой роли в среде с несколькими серверами
AD DS — это распределенная служба, предназначенная для работы на нескольких контроллерах домена. Пошаговые инструкции по установке и настройке AD DS на нескольких контроллерах домена см. в руководстве по развертыванию доменных служб Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Запуск этой роли на виртуальных машинах
AD DS в Windows Server 2012 включают защиту выполнения на виртуальных машинах, чтобы обеспечить безопасность и целостность виртуализованных сред AD DS. Дополнительные сведения о запуске AD DS на виртуальных машинах см. в статье Работа контроллеров домена в среде Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).
Меры безопасности при выполнении этой роли
После установки службы AD DS обеспечивают безопасность по умолчанию. Дополнительные сведения о параметрах безопасности по умолчанию для контроллеров домена и безопасной работе контроллеров домена см. в статье Рекомендации по защите установок Active Directory.
Особенности удаленного управления этой ролью
Чтобы удаленно управлять AD DS, установите средства удаленного администрирования сервера (RSAT). Существуют 32- и 64-разрядная версии RSAT. Дополнительные сведения см. в статье Средства удаленного администрирования сервера (https://go.microsoft.com/fwlink/?LinkId=222628).
Особенности управления этой ролью в случае установки основных серверных компонентов
AD DS можно установить в установке основных серверных компонентов или на сервере с минимальным серверным интерфейсом. Это и рекомендуется в случаях, когда выгодно уменьшение места, занимаемого установкой операционной системы, например, для роли выделенного сервера в центре обработки данных, для операционных систем на виртуальной машине или контроллеров домена только для чтения в удаленных офисах. Начиная с версии Windows Server 2012, контроллер домена, работающий в установке основных серверных компонентов, можно преобразовать в серверную установку с графическим интерфейсом пользователя (полную установка) и наоборот.
Обновление от установки основных серверных компонентов в предыдущей версии Windows Server поддерживается, но невозможно выполнить обновление непосредственно от установки основных серверных компонентов предыдущей версии Windows Server до установки сервера с графическим интерфейсом пользователя или непосредственно из установки сервера с графическим интерфейсом пользователя до установки основных серверных компонентов. В этом случае необходимо выполнить обновление непосредственно до того же типа установки в Windows Server 2012, а затем при необходимости преобразовать в другой тип установки.
Дополнительные сведения см. в разделе Варианты установки Windows Server.
Службы ролей для доменных служб Active Directory
Диспетчер удостоверений для UNIX — это служба роли AD DS, которую можно установить только на контроллерах домена. Две технологии диспетчера удостоверений для UNIX (сервер для NIS и синхронизация паролей) облегчают интеграцию компьютеров под управлением Windows в существующую среду UNIX. Администраторы AD DS могут использовать для управления NIS-доменами сервер для NIS. Функция синхронизации паролей автоматически синхронизирует пароли между операционными системами Windows и UNIX.
Технологии службы роли |
Описание службы роли |
|---|---|
Сервер для NIS |
Предоставляет контроллеру домена Active Directory под управлением Microsoft Windows возможность администрирования сетей NIS UNIX. Дополнительные сведения см. в статье Общее представление о сервере для NIS (https://go.microsoft.com/fwlink/?LinkId=222677). |
Синхронизация паролей |
Позволяет интегрировать сети Windows и UNIX, упрощая процесс обеспечения безопасности паролей в обеих средах. Дополнительные сведения см. в статье Обзор синхронизации паролей (https://go.microsoft.com/fwlink/?LinkId=222676). |