Ce este Active Directory? Un tutorial pas cu pas

Ce este Active Directory? Un tutorial pas cu pas

Pe măsură ce complexitatea resurselor de rețea a crescut, serviciile de directoare au devenit tot mai importante pentru gestionarea infrastructurii IT. Nu există un serviciu de director cu un nume mai mare decât Director activ. Serviciul directorilor Microsoft a fost creat ca un instrument de bază pentru administratorii de rețele. În acest tutorial Active Directory vom analiza ce este Active Directory, cum să-l utilizăm și instrumente Active Directory precum SolarWinds Access Rights Manager. Subiectele includ:

  • Ce este Active Directory?
  • Ce face Active Directory?
  • Cum să configurați Active Directory
  • Cum să utilizați Active Directory: Configurarea unui controler de domeniu, crearea de utilizatori de director
  • Evenimente Active Directory de monitorizat
  • Relații de încredere (și tipuri de încredere)
  • O imagine de ansamblu a pădurilor și copacilor Active Directory
  • Raportare Active Directory (cu Manager de drepturi de acces SolarWinds)

Ce este Active Directory? 

Ce este Active Directory? Un tutorial pas cu pas

Active Directory este un servicii de director sau container care stochează obiecte de date în mediul dvs. de rețea locală. Serviciul înregistrează datele la utilizatori, dispozitive, aplicații, Grupuri, și dispozitive într-o structură ierarhică.

Structura datelor permite găsirea detaliilor resurselor conectate la rețea dintr-o singură locație. În esență, Active Directory acționează ca o agendă pentru rețeaua dvs., astfel încât să puteți căuta și gestiona dispozitivele cu ușurință.

Ce face Active Directory? 

Există multe motive pentru care întreprinderile folosesc servicii de agendă precum Active Directory. Motivul principal este comoditatea. Active Directory permite utilizatorilor să se conecteze la și să gestioneze o varietate de resurse dintr-o locație. Acredențele de conectare sunt unificate, astfel încât este mai ușor să gestionați mai multe dispozitive fără a fi necesar să introduceți detaliile contului pentru a accesa fiecare mașină.

Cum se configurează Active Directory (cu RSAT) 

Ce este Active Directory? Un tutorial pas cu pas

Pentru început, va trebui mai întâi să vă asigurați că aveți Windows Professional sau Windows Enterprise instalat altfel nu veți putea instala Instrumente de administrare a serverului la distanță. Apoi faceți următoarele:

Pentru Windows 10 Versiunea 1809:

  1. Faceți clic dreapta pe butonul start buton și du-te la Setări > Aplicații > Gestionați funcțiile opționale > Adăugați funcție.
  2. Acum selectați RSAT: Active Directory Domain Services și Lightweight Directory Tools.
  3. În cele din urmă, selectați Instalare apoi du-te la start > Instrumente de administrare Windows pentru a accesa Active Directory după terminarea instalării.


Pentru Windows 8 (și Windows 10 Versiunea 1803) 

  1. Descărcați și instalați versiunea corectă a Instrumentelor de administrare a serverului pentru dispozitivul dvs.: Windows 8, Windows 10.
  2. Apoi, faceți clic dreapta pe butonul start buton și selectați Panou de control > Programe > Programe si caracteristici > Activați sau dezactivați funcțiile Windows.
  3. Glisați în jos și faceți clic pe butonul Instrumente de administrare a serverului la distanță opțiune.
  4. Acum faceți clic pe Instrumente de administrare a rolurilor.
  5. Click pe Instrumente AD DS și AD LDS și verificați Instrumente AD DS a fost verificat.
  6. presa O.K.
  7. Mergi la start > Instrumente administrative pe start meniu pentru a accesa Active Directory.

Cum să utilizați Active Directory: Cum configurați un controler de domeniu, creând utilizatori de director 

Ce este Active Directory? Un tutorial pas cu pas

Cum să configurați un controler de domeniu

Unul dintre primele lucruri pe care trebuie să le faceți atunci când utilizați Active Directory este să configurați un controller de domeniu. Un controler de domeniu este un computer central care va răspunde la solicitările de autentificare și va autentifica alte computere din întreaga rețea. Controler de domeniu stochează datele de autentificare ale tuturor celorlalte computere și imprimante.

Toate celelalte computere se conectează la controllerul de domeniu, astfel încât utilizatorul să poată autentifica fiecare dispozitiv dintr-o singură locație. Avantajul acestui lucru este că administratorul nu va trebui să gestioneze zeci de date de autentificare.

Procesul de configurare a unui controller de domeniu este relativ simplu. Alocați o adresă IP statică controlorului dvs. de domeniu și instalați Active Directory Domain Services sau adds. Acum urmați aceste instrucțiuni:

  1. Deschis Manager Manager și faceți clic pe Rezumatul rolurilor > Adăugați roluri și funcții.
  2. Clic Următor →.
  3. Selectați Servicii de la distanță instalare dacă implementați un controler de domeniu într-o mașină virtuală sau selectați instalare bazată pe roluri sau pe bază de caracteristici.
  4. Selectați un server din bazin de server.
  5. Selectați Serviciul Active Domain Domains din listă și faceți clic pe Următor →.
  6. Lăsați funcțiile verificate în mod implicit și apăsați Următor →.
  7. Clic Reporniți automat serverul de destinație, dacă este necesar și faceți clic pe Instalare. Închideți fereastra după terminarea instalării.
  8. Odată ce rolul ADDS a fost instalat, o notificare va apărea lângă Administra meniul. presa Promovați acest server într-un controler de domeniu.
  9. Acum faceți clic pe Adăugați o pădure nouă și introduceți o Numele de domeniu rădăcină. presa Următor →.
  10. Selectează Nivelul funcțional al domeniului doriți și introduceți o parolă în Introduceți modul de restaurare a serviciilor de director (parolă DSRM) secțiune. Clic Următor →.
  11. Când se afișează pagina Opțiuni DNS, faceți clic pe Următor → din nou.
  12. Introduceți un domeniu în Nume de domeniu NetBios casetă (de preferință la fel ca numele de domeniu rădăcină). presa Următor →.
  13. Selectați un folder pentru a stoca baza de date și fișierele jurnal. Clic Următor →.
  14. presa Instalare a termina. Sistemul dvs. se va reporni acum.


Crearea de utilizatori Active Directory

Utilizatori și calculatoare sunt cele mai elementare două obiecte pe care va trebui să le gestionați atunci când utilizați Active Directory. În această secțiune, vom analiza cum să creăm noi conturi de utilizator. Procesul este relativ simplu, iar cel mai simplu mod de a gestiona utilizatorii este prin intermediul Utilizatori Active Directory și computer sau instrument ADUC care vine cu instrumentul Instrumente de administrare a serverului la distanță sau RSAT ambalaj. Puteți instala ADUC urmând instrucțiunile enumerate mai jos:


Instalați ADUC pe Windows 10 Versiunea 1809 și versiuni superioare:

  1. Faceți clic dreapta pe butonul start buton și faceți clic Setări > Aplicații, apoi apasa Gestionați funcțiile opționale > Adăugați funcție.
  2. Selectați RSAT: Active Directory Domain Services și Lightweight Directory Tools.
  3. Selectați Instalare și așteptați finalizarea instalării.
  4. Mergi la start > Instrumente de administrare Windows pentru a accesa funcția.


Instalați ADUC pe Windows 8 și Windows 10 Versiunea 1803 sau inferioară: 

  1. Descărcați și instalați instrumentele de administrator de la distanță pentru versiunea dvs. de Windows. Puteți face acest lucru dintr-unul din aceste linkuri aici:
    Instrumente de administrare a serverului la distanță pentru Windows 10, Instrumente de administrare a serverului la distanță pentru Windows 8 sau Instrumente de administrare a serverului la distanță pentru Windows 8.1.
  1. Faceți clic dreapta pe start > Panou de control > Programe > Programe si caracteristici > Activați sau dezactivați funcțiile Windows.
  2. Derulați în jos și selectați Instrumente de administrare a serverului la distanță.
  3. Extinde Instrumente de administrare a rolurilor > Instrumente AD DS și AD LDS.
  4. Verifica Instrumente AD DS și apăsați O.K.
  5. Mergi la start > Instrumente administrative și selectați Utilizatori și calculatoare Active Directory.


Cum să creați utilizatori noi cu ADUC 

  1. Deschide Manager Manager, du-te la Unelte meniu și selectați Utilizatori și calculatoare Active Directory.
  2. Extindeți domeniul și faceți clic pe Utilizatori.
  3. Faceți clic dreapta pe panoul din dreapta și apăsați Nou > Utilizator.
  4. Când se afișează caseta Utilizator obiect nou, introduceți a Nume, Numele de familie, Numele de conectare a utilizatorului și faceți clic pe Următor →.
  5. Introduceți o parolă și apăsați Următor →.
  6. Clic finalizarea.
  7. Noul cont de utilizator poate fi găsit în Utilizatori secțiunea ADUC.

Evenimente Active Directory de monitorizat 

Ca toate formele de infrastructură, Active Directory trebuie monitorizat pentru a rămâne protejat. Monitorizarea serviciului de directoare este esențială pentru prevenirea atacurilor cibernetice și pentru a oferi cea mai bună experiență pentru utilizatorii finali.

Mai jos vom enumera unele dintre cele mai importante evenimente de rețea pe care ar trebui să le urmăriți. Dacă vedeți oricare dintre aceste evenimente, ar trebui să investigați în continuare ASAP pentru a vă asigura că serviciul dvs. nu a fost compromis.

ID Windows Event IDLegacy ID Windows Event IDDescription
4618 N / A Un model de eveniment de securitate a fost recunoscut.
4649 N / A A fost detectat un atac de redare (potențial fals pozitiv).
4719 612 A fost modificată o politică de audit a sistemului.
4765 N / A Istoricul SID adăugat la un cont.
4766 N / A Încercarea nu a reușit să adauge Istoricul SID în cont.
4794 N / A Încercarea de a lansa modul de restaurare a serviciilor de director.
4897 801 Separarea rolurilor activată.
4964 N / A Grupurilor speciale au primit un nou logon.
5124 N / A Securitate actualizată la serviciul de răspuns OCSP.
N / A 550 Atac potențial DoS.
1,102 517 Jurnalul de audit a fost șters.

O imagine de ansamblu a pădurilor și copacilor Active Directory 

Pădurea și copacii sunt doi termeni pe care îi veți auzi foarte mult când veți intra în Active Directory. Acești termeni se referă la structura logică a Active Directory. Pe scurt, a tree este o entitate cu un singur domeniu sau grup de obiecte care este urmată de domeniile copiilor. O pădure este un grup de domenii pune împreună. Cand mai mulți copaci sunt grupați și devin pădure.

Copacii din pădure se conectează între ei printr-o relație de încredere, care permite diferitelor domenii să partajeze informații. Toate domeniile vor avea încredere reciproc în mod automat astfel încât să le puteți accesa cu aceleași informații despre cont pe care le-ați folosit pe domeniul rădăcină.

Fiecare pădure folosește o bază de date unificată. În mod logic, pădurea se află la cel mai înalt nivel al ierarhiei, iar arborele este situat în partea de jos. Una dintre provocările pe care administratorii de rețea le au atunci când lucrează cu Active Directory este gestionarea pădurilor și securizarea directorului.

De exemplu, un administrator de rețea va avea sarcina de a alege între o unic proiect de pădure sau proiectare multi-pădure. Proiectarea cu o singură pădure este simplă, low-cost și ușor de gestionat cu o singură pădure care cuprinde întreaga rețea. În schimb, un proiect multi-pădure împarte rețeaua în diferite păduri, ceea ce este bun pentru securitate, dar complicarea administrării.

Relații de încredere (și tipuri de încredere) 

După cum am menționat mai sus, trusturile sunt utilizate pentru a facilita comunicarea între domenii. Trusturile permit autentificarea și accesul la resurse între două entități. Încrederea poate fi unică sau cu două sensuri în natură. În cadrul unui trust, cele două domenii sunt împărțite într-un domeniu de încredere și un domeniu de încredere.

Într-o încredere unidirecțională, domeniul de încredere accesează detaliile de autentificare din domeniul de încredere, astfel încât utilizatorul să poată accesa resurse din celălalt domeniu. Într-o încredere în două sensuri, ambele domenii vor accepta detaliile de autentificare ale celuilalt. Toate domeniile dintr-o pădure au încredere reciprocă în mod automat, dar puteți configura, de asemenea, trusturi între domenii din diferite păduri pentru a transfera informații.

Puteți crea trusturi prin intermediul Asistent nou pentru trusturi. Expert de încredere nou este un vrăjitor de configurare care vă permite să creați noi relații de încredere. Aici puteți vedea Numele domeniului, Tipul de încredere, și Tranzitiv starea trusturilor existente și selectați tipul de încredere pe care doriți să îl creați.

Tipuri de încredere 

Există o serie de tipuri de încredere în Active Directory. Le-am enumerat în tabelul de mai jos:

Trust TypeTransit TypeDirectionDefault? Descriere
Părinte și copil Tranzitiv Două căi da O încredere a părinților și a copilului este stabilită când un domeniu copil este adăugat la un arbore de domenii.
Arbore-rădăcină Tranzitiv Două căi da O încredere arbore-rădăcină este stabilită în momentul în care un arbore de domeniu este creat în pădure.
Extern Non-tranzitiv O singură direcție sau în două sensuri Nu Oferă acces la resurse dintr-un domeniu Windows NT 4.0 sau un domeniu situat într-o altă pădure care nu este acceptată de un trust forestier.
domeniu Tranzitiv sau netransitiv O singură direcție sau în două sensuri Nu Formează o relație de încredere între un domeniu non-Windows Kerberos și un domeniu Windows Server 2003.
pădure Tranzitiv O singură direcție sau în două sensuri Nu Imparte resursele între păduri.
scurtătură Tranzitiv O singură direcție sau în două sensuri Nu Reduce timpul de conectare a utilizatorilor între două domenii dintr-o pădure Windows Server 2003.

Raportare Active Directory cu SolarWinds Access Rights Manager (TRIAL GRATUIT)

Generarea de rapoarte pe Active Directory este esențială pentru optimizarea performanței și păstrarea în conformitate cu respectarea reglementărilor. Unul dintre cele mai bune instrumente de raportare Active Directory este SolarWinds Access Rights Manager (ARM). Instrumentul a fost creat pentru a crește vizibilitatea în modul în care sunt utilizate și gestionate acreditările de director. De exemplu, puteți vizualiza conturi cu configurații nesigure și abuzuri de acreditare care ar putea indica un atac cibernetic.

Managerul drepturilor de acces SolarWinds

Folosind un instrument terț precum Managerul drepturilor de acces SolarWinds este benefic deoarece vă oferă informații și caracteristici care ar fi mult mai dificile sau imposibil de accesat direct prin Active Directory.

Pe lângă faptul că generați rapoarte puteți ștergeți automat conturile inactive sau expirate acea țintă a criminalității informatice. Managerul drepturilor de acces SolarWinds începe de la 3.444 USD (2.829 de lire sterline). Este deasemenea o 30 de zile de încercare gratuită versiune pe care o puteți descărca.

Administratorul drepturilor de acces SolarWinds Descărcați încercarea GRATUITĂ de 30 de zile

Tutorial Active Directory: Noțiuni de bază 

Active Directory este unul dintre cele mai bune instrumente pentru gestionarea resurselor din rețeaua dvs. În acest articol, am zgâriat doar suprafața potențialului acestui instrument. Dacă utilizați Active Directory, nu uitați că este un potențial punct de intrare pentru cibernetici. Notarea evenimentelor-cheie ale directorului și utilizarea unui monitor de director va face un drum lung către minimizarea riscului unui atac rău și pentru a proteja disponibilitatea serviciului dvs..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

59 − 51 =

Adblock
detector