Что такое Active Directory? Пошаговое руководство

Что такое Active Directory? Пошаговое руководство

По мере роста сложности сетевых ресурсов службы каталогов становятся все более важными для управления ИТ-инфраструктурой. Нет службы каталогов с большим именем, чем Active Directory. Служба каталогов Microsoft была признана основным инструментом среди сетевых администраторов. В этом учебном руководстве по Active Directory мы рассмотрим, что такое Active Directory, как его использовать, а также такие инструменты Active Directory, как SolarWinds Access Rights Manager. Темы включают в себя:

  • Что такое Active Directory?
  • Что делает Active Directory?
  • Как настроить Active Directory
  • Как использовать Active Directory: настройка контроллера домена, создание пользователей каталога
  • События Active Directory для мониторинга
  • Доверительные отношения (и типы доверия)
  • Обзор лесов и деревьев Active Directory
  • Отчеты Active Directory (с помощью диспетчера прав доступа SolarWinds)

Что такое Active Directory? 

Что такое Active Directory? Пошаговое руководство

Active Directory является служба каталогов или контейнер, в котором хранятся объекты данных в локальной сетевой среде. Служба записывает данные на пользователи, приборы, Приложения, группы, и приборы в иерархической структуре.

Структура данных позволяет находить детали ресурсов, подключенных к сети, из одного места. По сути, Active Directory действует как телефонная книга для вашей сети, поэтому вы можете легко искать устройства и управлять ими..

Что делает Active Directory? 

Есть много причин, почему предприятия используют службы каталогов, такие как Active Directory. Основная причина - удобство. Active Directory позволяет пользователям входить в систему и управлять различными ресурсами из одного места. Учетные данные для входа в систему унифицированы, что позволяет управлять несколькими устройствами без необходимости ввода данных учетной записи для доступа к каждому отдельному компьютеру..

Как настроить Active Directory (с помощью RSAT) 

Что такое Active Directory? Пошаговое руководство

Для начала вам нужно сначала убедиться, что у вас есть Windows Professional или Windows Enterprise установлен, иначе вы не сможете установить Инструменты удаленного администрирования сервера. Затем сделайте следующее:

Для Windows 10 версии 1809:

  1. Щелкните правой кнопкой мыши на Начало Кнопка и перейти к настройки > Программы > Управление дополнительными функциями > Добавить функцию.
  2. Теперь выберите RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Наконец, выберите устанавливать затем перейдите к Начало > Средства администрирования Windows получить доступ к Active Directory после завершения установки.


Для Windows 8 (и Windows 10 версии 1803) 

  1. Загрузите и установите правильную версию средств администрирования сервера для вашего устройства: Windows 8, Windows 10.
  2. Затем щелкните правой кнопкой мыши Начало кнопку и выберите Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  3. Сдвиньте вниз и нажмите на Инструменты удаленного администрирования сервера вариант.
  4. Теперь нажмите на Инструменты администрирования ролей.
  5. Нажмите на Инструменты AD DS и AD LDS и проверить Инструменты AD DS был проверен.
  6. Нажмите Ok.
  7. Перейти к Начало > Инструменты управления на Начало меню для доступа к Active Directory.

Как использовать Active Directory: как настроить контроллер домена, создать пользователей каталога 

Что такое Active Directory? Пошаговое руководство

Как настроить контроллер домена

Первое, что вам нужно сделать при использовании Active Directory, это настроить контроллер домена. Контроллер домена - это центральный компьютер, который будет отвечать на запросы аутентификации и аутентифицировать другие компьютеры в сети. Контроллер домена хранит учетные данные для входа на другие компьютеры и принтеры.

Все остальные компьютеры подключаются к контроллеру домена, чтобы пользователь мог аутентифицировать каждое устройство из одного места. Преимущество этого состоит в том, что администратору не нужно управлять десятками учетных данных для входа.

Процесс настройки контроллера домена относительно прост. Назначьте статический IP-адрес вашему контроллеру домена и установить доменные службы Active Directory или ADDS. Теперь следуйте этим инструкциям:

  1. открыто Диспетчер серверов и нажмите Резюме ролей > Добавить роли и функции.
  2. щелчок следующий.
  3. Выбрать Службы удаленных рабочих столов установка если вы развертываете контроллер домена на виртуальной машине или выберите установка на основе ролей или функций.
  4. Выберите сервер из пул серверов.
  5. Выбрать Доменная служба Active Directorys из списка и нажмите следующий.
  6. Оставьте Функции отмеченными по умолчанию и нажмите следующий.
  7. щелчок Перезапустите целевой сервер автоматически, если требуется и нажмите устанавливать. Закройте окно после завершения установки.
  8. Как только роль ADDS будет установлена, рядом с управлять меню. Нажмите Продвинуть этот сервер в контроллер домена.
  9. Теперь нажмите Добавить новый лес и введите Корневое доменное имя. Нажмите следующий.
  10. Выберите Функциональный уровень домена Вы хотите и введите пароль в Введите режим восстановления служб каталогов (пароль DSRM) раздел. щелчок следующий.
  11. Когда откроется страница параметров DNS, нажмите следующий опять таки.
  12. Введите домен в NetBios доменное имя поле (желательно совпадает с именем корневого домена). Нажмите следующий.
  13. Выберите папку для хранения базы данных и файлов журнала. щелчок следующий.
  14. Нажмите устанавливать заканчивать. Ваша система теперь перезагрузится.


Создание пользователей Active Directory

пользователей и компьютеры это два самых основных объекта, которыми вы должны будете управлять при использовании Active Directory. В этом разделе мы рассмотрим, как создавать новые учетные записи пользователей. Процесс относительно прост, и самый простой способ управлять пользователями через Active Directory - пользователи и компьютер или инструмент ADUC, который поставляется с Инструменты удаленного администрирования сервера или RSAT пакет. Вы можете установить ADUC, следуя приведенным ниже инструкциям:


Установите ADUC в Windows 10 версии 1809 и выше:

  1. Щелкните правой кнопкой мыши на Начало кнопка и нажмите настройки > Программы, затем нажмите Управление дополнительными функциями > Добавить функцию.
  2. Выбрать RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Выбрать устанавливать и дождитесь завершения установки.
  4. Перейти к Начало > Средства администрирования Windows чтобы получить доступ к функции.


Установите ADUC в Windows 8 и Windows 10 версии 1803 или ниже: 

  1. Загрузите и установите средства удаленного администрирования сервера для вашей версии Windows. Вы можете сделать это по одной из этих ссылок здесь:
    Средства удаленного администрирования сервера для Windows 10, Средства удаленного администрирования сервера для Windows 8 или Средства удаленного администрирования сервера для Windows 8.1.
  1. Щелкните правой кнопкой мыши на Начало > Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  2. Прокрутите вниз и выберите Инструменты удаленного администрирования сервера.
  3. расширять Инструменты администратора ролей > Инструменты AD DS и AD LDS.
  4. Проверьте Инструменты AD DS и нажмите Ok.
  5. Перейти к Начало > Инструменты управления и выберите Active Directory - пользователи и компьютеры.


Как создать новых пользователей с ADUC 

  1. Открой Диспетчер серверов, перейти к инструменты меню и выберите Active Directory - пользователи и компьютеры.
  2. Разверните домен и нажмите пользователей.
  3. Щелкните правой кнопкой мыши на правой панели и нажмите новый > пользователь.
  4. Когда появится окно New Object-User, введите Имя, Фамилия, Имя пользователя и нажмите следующий.
  5. Введите пароль и нажмите следующий.
  6. щелчок Конец.
  7. Новая учетная запись пользователя может быть найдена в пользователей раздел ADUC.

События Active Directory для мониторинга 

Как и все виды инфраструктуры, Active Directory необходимо отслеживать, чтобы оставаться защищенным. Мониторинг службы каталогов имеет важное значение для предотвращения кибератак и обеспечения наилучшего взаимодействия с конечным пользователем..

Ниже мы перечислим некоторые из наиболее важных сетевых событий, на которые вам следует обратить внимание. Если вы видите какое-либо из этих событий, вам следует провести дальнейшее расследование как можно скорее, чтобы убедиться, что ваша служба не была скомпрометирована.

Текущее событие Windows IDLegacy Описание события Windows ID
4618 N / A Шаблон событий безопасности был распознан.
4649 N / A Обнаружена повторная атака (возможно, ложноположительный).
4719 612 Политика системного аудита была изменена.
4765 N / A История SID добавлена ​​в аккаунт.
4766 N / A Не удалось добавить историю SID в учетную запись.
4794 N / A Попытка запустить режим восстановления служб каталогов.
4897 801 Разделение ролей включено.
4964 N / A Специальным группам был назначен новый вход.
5124 N / A Безопасность обновлена ​​в службе ответов OCSP.
N / A 550 Потенциальная DoS-атака.
+1102 517 Журнал аудита был очищен.

Обзор лесов и деревьев Active Directory 

Лес и деревья - это два термина, которые вы много услышите, изучая Active Directory. Эти термины относятся к логической структуре Active Directory. Вкратце, дерево - это объект с одним доменом или группой объектов за которыми следуют дочерние домены. Лес - это группа доменов собрать вместе. когда несколько деревьев сгруппированы вместе, они становятся лесом.

Деревья в лесу соединяются друг с другом через доверительные отношения, который позволяет различным доменам обмениваться информацией. Все домены будут доверять друг другу автоматически так что вы можете получить к ним доступ с той же информацией учетной записи, которую вы использовали в корневом домене.

Каждый лес использует одну унифицированную базу данных. Логически, лес находится на самом высоком уровне иерархии, а дерево расположено внизу. Одной из проблем, с которыми сталкиваются сетевые администраторы при работе с Active Directory, является управление лесами и обеспечение безопасности каталога.

Например, администратору сети будет поручено выбрать между проект одного леса или многолесный дизайн. Конструкция с одним лесом является простой, недорогой и простой в управлении, поскольку только один лес объединяет всю сеть. Напротив, проект с несколькими лесами разделяет сеть на разные леса, что хорошо для безопасности, но усложняет администрирование..

Доверительные отношения (и типы доверия) 

Как упоминалось выше, доверительные отношения используются для облегчения связи между доменами. Трасты обеспечивают аутентификацию и доступ к ресурсам между двумя объектами. Трасты могут быть односторонними или двусторонними по своей природе. В рамках доверия два домена делятся на доверяющий домен и доверенный домен.

В одностороннем доверии, доверяющий домен получает доступ к деталям аутентификации доверенного домена, чтобы пользователь мог получить доступ к ресурсам из другого домена. При двустороннем доверии оба домена принимают данные аутентификации другого. Все домены в лесу доверяют друг другу автоматически, но вы также можете установить отношения доверия между доменами в разных лесах для передачи информации.

Вы можете создавать трасты через Мастер новых трестов. Мастер нового доверия это мастер настройки, который позволяет создавать новые доверительные отношения Здесь вы можете просмотреть Доменное имя, Тип доверия, и переходный статус существующих трастов и выберите тип доверия, которое вы хотите создать.

Типы доверия 

Существует несколько типов доверия в Active Directory. Мы перечислили их в таблице ниже:

Trust TypeTransit TypeDirectionDefault? Описание
Родитель и ребенок переходный Двусторонний да Родительское и дочернее доверие устанавливается при добавлении дочернего домена в дерево доменов..
Дерево-корень переходный Двусторонний да Доверие к корню дерева устанавливается в момент создания дерева домена в лесу.
внешний Нетранзитивных Односторонний или двусторонний нет Предоставляет доступ к ресурсам в домене Windows NT 4.0 или домене, расположенном в другом лесу, который не поддерживается доверием леса.
область Транзитивный или нетранзитивный Односторонний или двусторонний нет Формирует доверительные отношения между областью Kerberos, отличной от Windows, и доменом Windows Server 2003.
лес переходный Односторонний или двусторонний нет Делит ресурсы между лесами.
кратчайший путь переходный Односторонний или двусторонний нет Сокращает время входа пользователей между двумя доменами в лесу Windows Server 2003.

Отчеты Active Directory с помощью диспетчера прав доступа SolarWinds (БЕСПЛАТНАЯ пробная версия)

Генерация отчетов в Active Directory необходима для оптимизации производительности и обеспечения соответствия нормативным требованиям. Одним из лучших инструментов отчетности Active Directory является SolarWinds Access Rights Manager (ARM). Инструмент был создан, чтобы повысить наглядность того, как используются и управляются учетные данные каталога. Например, вы можете просматривать учетные записи с небезопасными конфигурациями и злоупотреблениями учетными данными, которые могут указывать на кибератаку.

SolarWinds Access Rights Manager

Использование стороннего инструмента, такого как SolarWinds Access Rights Manager это выгодно, потому что предоставляет вам информацию и функции, к которым было бы гораздо сложнее или невозможно получить доступ напрямую через Active Directory.

Помимо создания отчетов вы можете автоматически удалять неактивные или просроченные аккаунты что цель киберпреступников. SolarWinds Access Rights Manager начинается с 3444 долларов (2829 фунтов). Также есть 30-дневная бесплатная пробная версия версия, которую вы можете скачать.

SolarWinds Access Rights ManagerЗагрузить 30-дневную бесплатную пробную версию

Учебник Active Directory: основы 

Active Directory - один из лучших инструментов для управления ресурсами в вашей сети. В этой статье мы только что рассмотрели возможности этого инструмента. Если вы используете Active Directory, помните, что это потенциальная точка входа для кибератак. Запоминание ключевых событий каталога и использование монитора каталогов в значительной степени минимизирует риск злонамеренной атаки и защищает доступность вашего сервиса..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 67 = 74

Adblock
detector