Активна директория
Процес на влизане в домейна на Active Directory
1. Поискайте списък с най-близките DC (DNS, SRV) 2. Избор на DC, определяне на IP (DNS, A) 3. Проверка на наличността на DC (ICMP PING/LDAP) 4. Времева синхронизация с DC (NTP) 5. Удостоверяване на компютър на домейн (Kerberos) 6. Проверка на скоростта на връзката с DC (ICMP PING) 7. Извличане на компютърни групови правила (LDAP/SMB) 8. Удостоверяване на потребител на домейн (Kerberos) 9. Вземете групови правила за потребители (LDAP/SMB) 10. Зарежда се потребителски профил
Контролер на домейн- сървър, на който е инсталиран софтуерът Active Directory, както и базата данни на тази услуга.
Домейн- област, която обединява група компютри (и други обекти), които при работа в мрежата, при търсене на налични ресурси, се ръководят от една директория (Active Directory). Това ръководство прилага своите политики за сигурност към тези компютри. Домейнът определя зоната на влияние на всяка конкретна справочна услуга, определя границите на политиките за сигурност на тази справочна услуга.
Дърво- множество домейни, които споделят общо пространство от имена на Active Directory.
Гора- няколко дървета от домейни, принадлежащи към една и съща структура (предприятие).
Сайт- област, която съдържа една или повече подмрежи (ако има бърза и надеждна връзка между тези подмрежи). Използването на такъв компонент като сайт ви позволява да вземете предвид топологията и характеристиките на мрежата, в която е инсталиран Active Directory.
Организационните единици (OU)са вид "контейнери", които могат да се използват за значително опростяване на управлението на обекти, разположени в Active Directory. Благодарение наотдели в базата данни на Active Directory, става възможно изграждането на обекти, които са в AD в определена йерархия. Тази йерархия изобщо не е длъжна да отразява реалната йерархия (отдели, отдели) на предприятието, но трябва да бъде изградена във форма, в която става най-удобно да се управляват онези обекти, които са в AD. Използвайки OU, можете да делегирате контрол, т.е. можете да предоставите на всеки потребител (асистент администратор) правото да управлява онези обекти, които са в определен OU.
ФУНКЦИОНАЛНИ НИВА (РЕЖИМИ НА РАБОТА)
Функционални нива на домейна:
| Windows 2000 смесено ниво по подразбиране | Windows NT Windows 2000 Windows 2003 |
| Windows 2000 собствен | Windows 2000 Windows 2003 |
| Windows Server 2003 interim (междинен) | Windows NT Windows 2003 |
| Windows Server 2003 | Windows 2003 |
Функционални нива на гората:
| Windows 2000 ниво по подразбиране | Windows NT Windows 2000 Windows Server 2003 |
| Windows Server 2003 interim (междинен) | Windows NT Windows Server 2003 |
| Windows Server 2003 | Windows Server 2003 |
Група(Група) - AD обект, който може да съхранява други AD обекти, като например: Потребителски акаунти
Типове групи:Групи за сигурност.Само групите за сигурност могат да получат достъп до мрежови ресурси. Групите за сигурност се използват за осигуряване на достъп до мрежови ресурси.Група за разпространение.Групите за разпространение не могат да се използватза предоставяне на достъп до мрежови ресурси на тези обекти, които са вътре в тези групи. Групите за разпространение се използват просто като списъци с потребители. Тези списъци могат да се използват от всякакви програми, които могат да работят в AD.
Обхват на групата- показва в коя част от мрежата разрешенията могат да бъдат присвоени на тази група, както и кой може да бъде член на тази група. В зависимост от обхвата групите са от следните видове:
Локална група на домейн- Можете да добавяте обекти от всякакви домейни към тази група. Може да се използва за присвояване на достъп само до ресурси, разположени в същия домейн, където е създадена групата.
Глобална група- Можете да добавяте обекти към тази група само от домейна, в който е създадена групата. Може да получи разрешения за достъп до ресурси във всеки домейн.
Универсална група- Можете да добавяте обекти от всякакви домейни към тази група. Може да получи разрешения за достъп до ресурси във всеки домейн.
Методи за създаване на компютърен акаунт.
1. Скриптове. 2. Автоматично. Ако свържете компютър към домейн, без първо да създадете акаунт за него в базата данни на AD, тогава той ще бъде създаден автоматично в контейнераcomputers. Потребителите, принадлежащи към следните групи, имат права да създават компютърен акаунт:Enterprise AdminsилиDomain AdminsилиAccounts Operators+ всеки потребител на домейн може да свърже 10 компютъра* към домейна и следователно да създаде 10 компютърни акаунта. *Потребителят трябва да има права на локален администратор на свързания компютър. 3. Ръчно с помощта на ActiveДиректория - Потребители и компютри "(Активна директория - Потребители и компютри). Използвайки този метод, можете да предоставите на всеки потребител правото да присъедини компютър към домейн.
GPO - Обект на групови правилаGPO - Набор от специфични настройки на групови правила (конфигурации), групирани заедно.
Локален GPO.Всички компютри (независимо дали са членове на домейн или не), работещи под Windows 2000, Windows Server 2003 и Windows XP, имат локални групови правила. Локалният GPO се съхранява в c:\windows\system32\GroupPolicy. Локалният GPO засяга само компютъра, на който се съхранява. Администраторът на този компютър има право да редактира локалната политика.
GPO на домейн.Груповите правила на домейна се създават в AD. GPO се съхраняват в c:\windows\sysvol\DomainName\Policies\GROUP >
Компютърната конфигурация има предимство пред потребителската конфигурация в груповата политика.
Запазени места в регистъра за политики от административни шаблони. В по-голямата част от случаите информацията, зададена от груповите правила, се съхранява в клонове:
Понякога информацията, зададена от групови правила, се съхранява в:
за политики, които са дефинирани в частта „Конфигурация на компютъра“ ** за политики, които са дефинирани в частта „Конфигурация на потребителя“
GPO = GPT + GPCGPT-GгрупаPpolicyTшаблон (Шаблон на групова политика). „Представяне“ на GPO във файловата система.GPC-GгрупаPполитическиCконтейнер. „Представяне“ на GPO в Active Directory.
Историята на приложените преди това GPO се съхранява в регистъра на GPO, насочени към компютъра:
Насочване към GPOпотребител:
Ред на GPO приложениеЛокален > Уебсайт > Домейн > Единица от ниво 1 > подразделение на n-то ниво Съкращение, което трябва да запомните -LSDOULлокална групова политика >Sгрупова политика на ниво сайт >Dгрупова политика на основно ниво > Групова политика на нивоOU
Време за прилагане на групови политикиГруповите политики се обработват в следните случаи: 1. Когато компютърът се стартира (те разработват GPO, насочени към компютъра). 2. Когато потребител влезе (те разработват GPO, насочени към потребителя). 3. Когато компютърът и потребителят са зад него, груповите политики се актуализират на всеки 90 минути + на случаен принцип от 0 до 30 минути. Такава актуализация се нарича фонова актуализация и има за цел да прехвърли най-„свежите“ политики на клиента (ако са се променили). 4. На контролер на домейн фоновите актуализации на правилата се планират на всеки 5 минути. 5. Прилагането на правила може да бъде принудено с помощта на конзолната програма GPUPDATE.
Графикът за актуализиране на заден план може да се променя независимо, като се използват самите групови правила:За потребител- Някои GPO > Потребителска конфигурация > Административни шаблони > Система > Групови правила > Интервал за опресняване на групови правила за потребителиКомпютър- Някои GPO > Компютърна конфигурация > Административни шаблони > Система > Групови правила > Интервал за опресняване на групови правила за компютриЗа домейн контролер- Някои GPO > Компютърна конфигурация > Административни шаблони > Система > Групови правила > Интервал за опресняване на групови правила на контролера на домейн Деактивиране на фоновото опресняване - Някои GPO > Компютърна конфигурация> Административни шаблони > Система > Групови правила > Деактивиране на фоновото обновяване на груповите правила
Блокиране на наследяванеБлокиране на наследяване ви позволява да влияете на разпространението по подразбиране на груповата политика. Когато е зададено на контейнер, заключването на наследяване НЯМА да позволи никакви правила от GPO, свързани по-горе, в самия контейнер или в контейнери, които съществуват по-долу.
Блокирането на наследяване може да бъде зададено на контейнери като: 1 - Домейн 2 - Всяка организационна единица (OU), която съществува в домейна , не може да зададе блокиране на наследяване на сайта.
Всички контейнери, които могат да активират заключване на наследяване, имат атрибут gPOptions, чиито стойности могат да бъдат: Заключване на наследяване на стойност
| 0 или | Изкл |
| 1 | Активирано |
Наложена опция (забрана за предефиниране)Забрана за предефиниране може да бъде поставена на всяка от „връзките“ (наложена опция). Ако даден GPO има „връзка“ с активирана функция Enforced, тогава никой друг GPO няма да може да презапише стойностите на правилата му.
Опцията Enforced позволява на политиките да „проникнат“ дори в тези контейнери, които имат зададено блокиране на наследяване.
Ако има няколко GPO с принудени връзки, насочени към един и същ параметър, тогава GPO, който според LSDOU ще работи първи, печели.
Информацията за активираното/деактивирано състояние на опцията Enforced се съхранява в gPlink флага
| 0 | ДА | НЕ |
| 1 | НЕ | НЕ |
| 2 | ДА | ДА |
| 3* | НЕ | ДА |
когато връзката е деактивирана, принудителната настройка на YES се игнорира.
Филтриране на групови правила с помощта на групи на Active DirectoryЗа да може даден обект (потребител или компютър) да прилага присвоените му политики, той трябва да има следните права по отношение на тези правила: Четене на правила -ПОЗВОЛЕНОПрилагане на правила -ПАЗВОЛЕНО