Что такое Active Directory? Пошаговое руководство

По мере роста сложности сетевых ресурсов службы каталогов становятся все более важными для управления ИТ-инфраструктурой. Нет службы каталогов с большим именем, чем Active Directory. Служба каталогов Microsoft была признана основным инструментом среди сетевых администраторов. В этом учебном руководстве по Active Directory мы рассмотрим, что такое Active Directory, как его использовать, а также такие инструменты Active Directory, как SolarWinds Access Rights Manager. Темы включают в себя:

  • Что такое Active Directory?
  • Что делает Active Directory?
  • Как настроить Active Directory
  • Как использовать Active Directory: настройка контроллера домена, создание пользователей каталога
  • События Active Directory для мониторинга
  • Доверительные отношения (и типы доверия)
  • Обзор лесов и деревьев Active Directory
  • Отчеты Active Directory (с помощью диспетчера прав доступа SolarWinds)

Что такое Active Directory? 

Active Directory является служба каталогов или контейнер, в котором хранятся объекты данных в локальной сетевой среде. Служба записывает данные на пользователи, приборы, Приложения, группы, и приборы в иерархической структуре.

Структура данных позволяет находить детали ресурсов, подключенных к сети, из одного места. По сути, Active Directory действует как телефонная книга для вашей сети, поэтому вы можете легко искать устройства и управлять ими..

Что делает Active Directory? 

Есть много причин, почему предприятия используют службы каталогов, такие как Active Directory. Основная причина – удобство. Active Directory позволяет пользователям входить в систему и управлять различными ресурсами из одного места. Учетные данные для входа в систему унифицированы, что позволяет управлять несколькими устройствами без необходимости ввода данных учетной записи для доступа к каждому отдельному компьютеру..

Как настроить Active Directory (с помощью RSAT) 

Для начала вам нужно сначала убедиться, что у вас есть Windows Professional или Windows Enterprise установлен, иначе вы не сможете установить Инструменты удаленного администрирования сервера. Затем сделайте следующее:

Для Windows 10 версии 1809:

  1. Щелкните правой кнопкой мыши на Начало Кнопка и перейти к настройки > Программы > Управление дополнительными функциями > Добавить функцию.
  2. Теперь выберите RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Наконец, выберите устанавливать затем перейдите к Начало > Средства администрирования Windows получить доступ к Active Directory после завершения установки.


Для Windows 8 (и Windows 10 версии 1803) 

  1. Загрузите и установите правильную версию средств администрирования сервера для вашего устройства: Windows 8, Windows 10.
  2. Затем щелкните правой кнопкой мыши Начало кнопку и выберите Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  3. Сдвиньте вниз и нажмите на Инструменты удаленного администрирования сервера вариант.
  4. Теперь нажмите на Инструменты администрирования ролей.
  5. Нажмите на Инструменты AD DS и AD LDS и проверить Инструменты AD DS был проверен.
  6. Нажмите Ok.
  7. Перейти к Начало > Инструменты управления на Начало меню для доступа к Active Directory.

Как использовать Active Directory: как настроить контроллер домена, создать пользователей каталога 

Как настроить контроллер домена

Первое, что вам нужно сделать при использовании Active Directory, это настроить контроллер домена. Контроллер домена – это центральный компьютер, который будет отвечать на запросы аутентификации и аутентифицировать другие компьютеры в сети. Контроллер домена хранит учетные данные для входа на другие компьютеры и принтеры.

Все остальные компьютеры подключаются к контроллеру домена, чтобы пользователь мог аутентифицировать каждое устройство из одного места. Преимущество этого состоит в том, что администратору не нужно управлять десятками учетных данных для входа.

Процесс настройки контроллера домена относительно прост. Назначьте статический IP-адрес вашему контроллеру домена и установить доменные службы Active Directory или ADDS. Теперь следуйте этим инструкциям:

  1. открыто Диспетчер серверов и нажмите Резюме ролей > Добавить роли и функции.
  2. щелчок следующий.
  3. Выбрать Службы удаленных рабочих столов установка если вы развертываете контроллер домена на виртуальной машине или выберите установка на основе ролей или функций.
  4. Выберите сервер из пул серверов.
  5. Выбрать Доменная служба Active Directorys из списка и нажмите следующий.
  6. Оставьте Функции отмеченными по умолчанию и нажмите следующий.
  7. щелчок Перезапустите целевой сервер автоматически, если требуется и нажмите устанавливать. Закройте окно после завершения установки.
  8. Как только роль ADDS будет установлена, рядом с управлять меню. Нажмите Продвинуть этот сервер в контроллер домена.
  9. Теперь нажмите Добавить новый лес и введите Корневое доменное имя. Нажмите следующий.
  10. Выберите Функциональный уровень домена Вы хотите и введите пароль в Введите режим восстановления служб каталогов (пароль DSRM) раздел. щелчок следующий.
  11. Когда откроется страница параметров DNS, нажмите следующий опять таки.
  12. Введите домен в NetBios доменное имя поле (желательно совпадает с именем корневого домена). Нажмите следующий.
  13. Выберите папку для хранения базы данных и файлов журнала. щелчок следующий.
  14. Нажмите устанавливать заканчивать. Ваша система теперь перезагрузится.


Создание пользователей Active Directory

пользователей и компьютеры это два самых основных объекта, которыми вы должны будете управлять при использовании Active Directory. В этом разделе мы рассмотрим, как создавать новые учетные записи пользователей. Процесс относительно прост, и самый простой способ управлять пользователями через Active Directory – пользователи и компьютер или инструмент ADUC, который поставляется с Инструменты удаленного администрирования сервера или RSAT пакет. Вы можете установить ADUC, следуя приведенным ниже инструкциям:


Установите ADUC в Windows 10 версии 1809 и выше:

  1. Щелкните правой кнопкой мыши на Начало кнопка и нажмите настройки > Программы, затем нажмите Управление дополнительными функциями > Добавить функцию.
  2. Выбрать RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Выбрать устанавливать и дождитесь завершения установки.
  4. Перейти к Начало > Средства администрирования Windows чтобы получить доступ к функции.


Установите ADUC в Windows 8 и Windows 10 версии 1803 или ниже: 

  1. Загрузите и установите средства удаленного администрирования сервера для вашей версии Windows. Вы можете сделать это по одной из этих ссылок здесь:
    Средства удаленного администрирования сервера для Windows 10, Средства удаленного администрирования сервера для Windows 8 или Средства удаленного администрирования сервера для Windows 8.1.
  1. Щелкните правой кнопкой мыши на Начало > Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  2. Прокрутите вниз и выберите Инструменты удаленного администрирования сервера.
  3. расширять Инструменты администратора ролей > Инструменты AD DS и AD LDS.
  4. Проверьте Инструменты AD DS и нажмите Ok.
  5. Перейти к Начало > Инструменты управления и выберите Active Directory – пользователи и компьютеры.


Как создать новых пользователей с ADUC 

  1. Открой Диспетчер серверов, перейти к инструменты меню и выберите Active Directory – пользователи и компьютеры.
  2. Разверните домен и нажмите пользователей.
  3. Щелкните правой кнопкой мыши на правой панели и нажмите новый > пользователь.
  4. Когда появится окно New Object-User, введите Имя, Фамилия, Имя пользователя и нажмите следующий.
  5. Введите пароль и нажмите следующий.
  6. щелчок Конец.
  7. Новая учетная запись пользователя может быть найдена в пользователей раздел ADUC.

События Active Directory для мониторинга 

Как и все виды инфраструктуры, Active Directory необходимо отслеживать, чтобы оставаться защищенным. Мониторинг службы каталогов имеет важное значение для предотвращения кибератак и обеспечения наилучшего взаимодействия с конечным пользователем..

Ниже мы перечислим некоторые из наиболее важных сетевых событий, на которые вам следует обратить внимание. Если вы видите какое-либо из этих событий, вам следует провести дальнейшее расследование как можно скорее, чтобы убедиться, что ваша служба не была скомпрометирована.

Текущее событие Windows IDLegacy Описание события Windows ID
4618 N / A Шаблон событий безопасности был распознан.
4649 N / A Обнаружена повторная атака (возможно, ложноположительный).
4719 612 Политика системного аудита была изменена.
4765 N / A История SID добавлена ​​в аккаунт.
4766 N / A Не удалось добавить историю SID в учетную запись.
4794 N / A Попытка запустить режим восстановления служб каталогов.
4897 801 Разделение ролей включено.
4964 N / A Специальным группам был назначен новый вход.
5124 N / A Безопасность обновлена ​​в службе ответов OCSP.
N / A 550 Потенциальная DoS-атака.
+1102 517 Журнал аудита был очищен.

Обзор лесов и деревьев Active Directory 

Лес и деревья – это два термина, которые вы много услышите, изучая Active Directory. Эти термины относятся к логической структуре Active Directory. Вкратце, дерево – это объект с одним доменом или группой объектов за которыми следуют дочерние домены. Лес – это группа доменов собрать вместе. когда несколько деревьев сгруппированы вместе, они становятся лесом.

Деревья в лесу соединяются друг с другом через доверительные отношения, который позволяет различным доменам обмениваться информацией. Все домены будут доверять друг другу автоматически так что вы можете получить к ним доступ с той же информацией учетной записи, которую вы использовали в корневом домене.

Каждый лес использует одну унифицированную базу данных. Логически, лес находится на самом высоком уровне иерархии, а дерево расположено внизу. Одной из проблем, с которыми сталкиваются сетевые администраторы при работе с Active Directory, является управление лесами и обеспечение безопасности каталога.

Например, администратору сети будет поручено выбрать между проект одного леса или многолесный дизайн. Конструкция с одним лесом является простой, недорогой и простой в управлении, поскольку только один лес объединяет всю сеть. Напротив, проект с несколькими лесами разделяет сеть на разные леса, что хорошо для безопасности, но усложняет администрирование..

Доверительные отношения (и типы доверия) 

Как упоминалось выше, доверительные отношения используются для облегчения связи между доменами. Трасты обеспечивают аутентификацию и доступ к ресурсам между двумя объектами. Трасты могут быть односторонними или двусторонними по своей природе. В рамках доверия два домена делятся на доверяющий домен и доверенный домен.

В одностороннем доверии, доверяющий домен получает доступ к деталям аутентификации доверенного домена, чтобы пользователь мог получить доступ к ресурсам из другого домена. При двустороннем доверии оба домена принимают данные аутентификации другого. Все домены в лесу доверяют друг другу автоматически, но вы также можете установить отношения доверия между доменами в разных лесах для передачи информации.

Вы можете создавать трасты через Мастер новых трестов. Мастер нового доверия это мастер настройки, который позволяет создавать новые доверительные отношения Здесь вы можете просмотреть Доменное имя, Тип доверия, и переходный статус существующих трастов и выберите тип доверия, которое вы хотите создать.

Типы доверия 

Существует несколько типов доверия в Active Directory. Мы перечислили их в таблице ниже:

Trust TypeTransit TypeDirectionDefault? Описание
Родитель и ребенок переходный Двусторонний да Родительское и дочернее доверие устанавливается при добавлении дочернего домена в дерево доменов..
Дерево-корень переходный Двусторонний да Доверие к корню дерева устанавливается в момент создания дерева домена в лесу.
внешний Нетранзитивных Односторонний или двусторонний нет Предоставляет доступ к ресурсам в домене Windows NT 4.0 или домене, расположенном в другом лесу, который не поддерживается доверием леса.
область Транзитивный или нетранзитивный Односторонний или двусторонний нет Формирует доверительные отношения между областью Kerberos, отличной от Windows, и доменом Windows Server 2003.
лес переходный Односторонний или двусторонний нет Делит ресурсы между лесами.
кратчайший путь переходный Односторонний или двусторонний нет Сокращает время входа пользователей между двумя доменами в лесу Windows Server 2003.

Отчеты Active Directory с помощью диспетчера прав доступа SolarWinds (БЕСПЛАТНАЯ пробная версия)

Генерация отчетов в Active Directory необходима для оптимизации производительности и обеспечения соответствия нормативным требованиям. Одним из лучших инструментов отчетности Active Directory является SolarWinds Access Rights Manager (ARM). Инструмент был создан, чтобы повысить наглядность того, как используются и управляются учетные данные каталога. Например, вы можете просматривать учетные записи с небезопасными конфигурациями и злоупотреблениями учетными данными, которые могут указывать на кибератаку.

SolarWinds Access Rights Manager

Использование стороннего инструмента, такого как SolarWinds Access Rights Manager это выгодно, потому что предоставляет вам информацию и функции, к которым было бы гораздо сложнее или невозможно получить доступ напрямую через Active Directory.

Помимо создания отчетов вы можете автоматически удалять неактивные или просроченные аккаунты что цель киберпреступников. SolarWinds Access Rights Manager начинается с 3444 долларов (2829 фунтов). Также есть 30-дневная бесплатная пробная версия версия, которую вы можете скачать.

SolarWinds Access Rights ManagerЗагрузить 30-дневную бесплатную пробную версию

Учебник Active Directory: основы 

Active Directory – один из лучших инструментов для управления ресурсами в вашей сети. В этой статье мы только что рассмотрели возможности этого инструмента. Если вы используете Active Directory, помните, что это потенциальная точка входа для кибератак. Запоминание ключевых событий каталога и использование монитора каталогов в значительной степени минимизирует риск злонамеренной атаки и защищает доступность вашего сервиса..

About the author

Related Posts

Comments

  1. ментарий:

    С ростом сложности сетевых ресурсов, службы каталогов становятся все более важными для управления ИТ-инфраструктурой. Active Directory является одной из самых популярных служб каталогов, которая позволяет хранить данные о пользователях, приборах, приложениях и группах в иерархической структуре. Это удобный инструмент для управления ресурсами в сети, который позволяет пользователям входить в систему и управлять различными ресурсами из одного места. В этом учебном руководстве по Active Directory рассматриваются основы настройки и использования этой службы каталогов, а также инструменты мониторинга, такие как SolarWinds Access Rights Manager. Это полезный материал для сетевых администраторов, которые хотят улучшить управление своей ИТ-инфраструктурой.

  2. тер, который управляет всеми объектами в Active Directory. Для настройки контроллера домена выполните следующие шаги: 1. Установите Windows Server на сервер, который будет использоваться в качестве контроллера домена. 2. Запустите мастер настройки Active Directory и следуйте инструкциям на экране. 3. Создайте домен и настройте параметры безопасности. 4. Добавьте пользователей и группы в Active Directory. Как создать пользователей каталога Для создания пользователей в Active Directory выполните следующие шаги: 1. Откройте консоль управления Active Directory. 2. Выберите контейнер, в котором вы хотите создать нового пользователя. 3. Нажмите правой кнопкой мыши на контейнер и выберите “Новый” > “Пользователь”. 4. Введите имя и фамилию пользователя, а также учетную запись и пароль. 5. Нажмите “ОК”, чтобы создать пользователя. События Active Directory для мониторинга Для мониторинга событий в Active Directory выполните следующие шаги: 1. Откройте консоль управления Active Directory. 2. Выберите контроллер домена, который вы хотите мониторить. 3. Нажмите правой кнопкой мыши на контроллер домена и выберите “Свойства”. 4. Перейдите на вкладку “Мониторинг”. 5. Настройте параметры мониторинга и нажмите “ОК”. Обзор лесов и деревьев Active Directory Для просмотра лесов и деревьев в Active Directory выполните следующие шаги: 1. Откройте консоль управления Active Directory. 2. Выберите контроллер домена, который вы хотите просмотреть. 3. Нажмите правой кнопкой мыши на контроллер домена и выберите “Свойства”. 4. Перейдите на вкладку “Лес” или “Дерево”. 5. Просмотрите информацию о лесе или дереве. Доверительные отношения (и типы доверия) Для настройки доверительных отношений в Active Directory выполните следующие шаги: 1. Откройте консоль управления Active Directory. 2. Выберите контроллер домена, который вы хотите настроить. 3. Нажмите правой кнопкой мыши на контроллер домена и выберите “Свойства”. 4. Перейдите на вкладку “Доверительные отношения”. 5. Настройте параметры доверительных отношений и нажмите “ОК”. Отчеты Active Directory с помощью диспетчера прав доступа SolarWinds (БЕСПЛАТНАЯ пробная версия) Для создания отчетов в Active Directory с помощью диспетчера прав доступа SolarWinds выполните следующие шаги: 1. Загрузите и установите диспетчер прав доступа SolarWinds. 2. Откройте диспетчер прав доступа SolarWinds и выберите “Отчеты”. 3. Выберите нужный отчет и настройте параметры отчета. 4. Нажмите “Создать отчет” и сохраните его. Учебник Active Directory: основы В этом учебном руководстве мы рассмотрели основы Active Directory, включая то, что это такое, как его использовать, а также инструменты Active Directory, такие как SolarWinds Access Rights Manager. Мы также рассмотр

  3. тствен за управление всеми объектами в Active Directory. Для настройки контроллера домена вам нужно выполнить следующие шаги:

    1. Установите Windows Server на компьютер, который будет использоваться в качестве контроллера домена.
    2. Запустите мастер настройки Active Directory и следуйте инструкциям на экране.
    3. Создайте новый лес или добавьте новый домен в существующий лес.
    4. Настройте параметры безопасности и выберите тип учетных записей, которые будут использоваться для входа в систему.
    5. Настройте DNS-сервер для использования с Active Directory.

    Как создать пользователей каталога

    После настройки контроллера домена вы можете создавать пользователей каталога. Для этого выполните следующие шаги:

    1. Откройте консоль управления Active Directory.
    2. Выберите контейнер, в котором вы хотите создать нового пользователя.
    3. Нажмите правой кнопкой мыши на контейнер и выберите “Новый” > “Пользователь”.
    4. Введите имя и фамилию пользователя, а также учетные данные для входа в систему.
    5. Настройте параметры безопасности и выберите группы, в которые будет включен пользователь.

    События Active Directory для мониторинга

    Active Directory генерирует множество событий, которые могут помочь вам мониторить состояние вашей сети. Некоторые из наиболее важных событий включают в себя:

    1. События входа в систему и выхода из нее.
    2. События изменения учетных записей пользователей.
    3. События изменения групповой политики.
    4. События изменения структуры Active Directory.

    Обзор лесов и деревьев Active Directory

    Active Directory может быть организован в виде лесов и деревьев, которые позволяют управлять объектами данных в вашей сети. Лес – это набор доменов, которые связаны друг с другом. Дерево – это набор доменов, которые связаны друг с другом в иерархической структуре.

    Доверительные отношения (и типы доверия)

    Active Directory позволяет устанавливать доверительные отношения между различными доменами и лесами. Доверительное отношение – это связь между двумя доменами или лесами, которая позволяет пользователям в одном домене получать доступ к ресурсам в другом домене.

    Отчеты Active Directory с помощью диспетчера прав доступа SolarWinds (БЕСПЛАТНАЯ пробная версия)

    SolarWinds Access Rights Manager – это инструмент, который позволяет администраторам мониторить и управлять правами доступа в Active Directory. С помощью Access Rights Manager вы можете создавать отчеты о правах доступа, анализировать изменения в правах доступа и управлять правами доступа для пользователей и групп.

    В целом, Active Directory является важным инструментом для управления ИТ-инфраструктурой в современных предприятиях. Он позволяет управлять объектами данных в сети, упрощает процесс аутентификации и авторизации пользователей и обеспечивает безопасность вашей сети.

Comments are closed.