Mi az Active Directory? Lépésről lépésre bemutató

Mi az Active Directory? Lépésről lépésre bemutató

A hálózati erőforrások összetettségének növekedésével a címtárszolgáltatások egyre fontosabbá válnak az informatikai infrastruktúra kezelésében. Nincs olyan címtárszolgáltatás, amely nagyobb névvel rendelkezik Active Directory. A Microsoft címtárszolgáltatását tűzték ki eszközként a hálózati rendszergazdák között. Ebben az Active Directory-útmutatóban megvizsgáljuk, mi az Active Directory, hogyan kell használni, és az Active Directory eszközöket, például a SolarWinds Access Rights Manager-t. Témakörök:

  • Mi az Active Directory?
  • Mit csinál az Active Directory??
  • Az Active Directory beállítása
  • Az Active Directory használata: Domain Controller beállítása, Directory felhasználók létrehozása
  • Figyelembe veendő Active Directory események
  • Bizalmi kapcsolatok (és bizalomtípusok)
  • Az Active Directory erdők és fák áttekintése
  • Active Directory jelentéskészítés (a SolarWinds Access Rights Manager segítségével)

Mi az Active Directory? 

Mi az Active Directory? Lépésről lépésre bemutató

Az Active Directory egy címtárszolgáltatás vagy tároló, amely adatobjektumokat tárol a helyi hálózati környezetben. A szolgáltatás az adatokat rögzíti felhasználók, készülékek, alkalmazások, csoportok, és készülékek hierarchikus struktúrában.

Az adatok felépítése lehetővé teszi, hogy egy helyről megtalálják a hálózathoz csatlakoztatott erőforrások részleteit. Alapvetően az Active Directory úgy működik, mint egy telefonkönyv a hálózat számára, így könnyedén megkeresheti és kezelheti az eszközöket.

Mit csinál az Active Directory?? 

Számos oka van annak, hogy a vállalatok olyan címtárszolgáltatásokat használnak, mint az Active Directory. A fő ok a kényelem. Az Active Directory lehetővé teszi a felhasználók számára, hogy egy helyről bejelentkezzenek és kezeljenek különféle erőforrásokat. A bejelentkezési hitelesítő adatok egységesek, így könnyebb több eszközt kezelni anélkül, hogy az egyes gépekhez hozzáférési adatok megadása szükséges.

Az Active Directory beállítása (RSAT segítségével) 

Mi az Active Directory? Lépésről lépésre bemutató

A kezdéshez először meg kell győződnie arról, hogy rendelkezik-e Windows Professional vagy Windows Enterprise telepítve van, különben nem lesz képes telepíteni Távoli szerver adminisztrációs eszközök. Ezután tegye a következőket:

Windows 10809 verzió esetén:

  1. Kattintson a jobb gombbal a Rajt gombot, és menjen a Beállítások > Alkalmazások > Az opcionális szolgáltatások kezelése > Funkció hozzáadása.
  2. Most válassza ki RSAT: Active Directory tartományi szolgáltatások és könnyű könyvtári eszközök.
  3. Végül válassza ki Telepítés akkor menj ide Rajt > Windows adminisztrációs eszközök az Active Directory eléréséhez, amint a telepítés befejeződött.


Windows 8 (és a Windows 10 1803 verziója) esetén 

  1. Töltse le és telepítse a szerver adminisztrátor eszközeinek a megfelelő verzióját: Windows 8, Windows 10.
  2. Ezután kattintson a jobb gombbal a Rajt gombot, és válassza a lehetőséget Kezelőpanel > programok > Programok és szolgáltatások > Windows-szolgáltatások be-és kikapcsolása.
  3. Csúsztassa le és kattintson a Távoli szerver adminisztrációs eszközök választási lehetőség.
  4. Most kattintson a gombra Szerepfelügyeleti eszközök.
  5. Kattintson AD DS és AD LDS eszközök és ellenőrizze AD DS eszközök ellenőrizték.
  6. nyomja meg Rendben.
  7. Menj Rajt > Adminisztratív eszközök a Rajt menü az Active Directory eléréséhez.

Hogyan kell használni az Active Directory-t: Hogyan állítsunk be egy tartományvezérlőt, hozzon létre könyvtár-felhasználókat 

Mi az Active Directory? Lépésről lépésre bemutató

A tartományvezérlő beállítása

Az egyik első lépés, amelyet tennie kell az Active Directory használatakor, a tartományvezérlő beállítása. A tartományvezérlő egy központi számítógép, amely válaszol a hitelesítési kérésekre és hitelesíti a hálózat többi számítógépét. A tartományvezérlő az összes többi számítógép bejelentkezési adatait tárolja és nyomtatók.

Az összes többi számítógép csatlakozik a tartományvezérlőhöz, így a felhasználó minden eszközt egy helyről hitelesíthet. Ennek előnye az, hogy az adminisztrátornak nem kell több tucat bejelentkezési hitelesítő adatot kezelnie.

A tartományvezérlő beállítása meglehetősen egyszerű. Rendeljen statikus IP-címet a tartományvezérlőhöz és telepítse az Active Directory tartományi szolgáltatásokat vagy ADDS. Most kövesse ezeket az utasításokat:

  1. Nyisd ki Kiszolgálókezelő és kattintson a gombra Szerepek összefoglalása > Adjon hozzá szerepeket és funkciókat.
  2. kettyenés Következő.
  3. választ Távoli asztali szolgáltatások telepítés ha egy tartományvezérlőt telepít egy virtuális gépen, vagy kiválasztja szerepkör vagy szolgáltatás alapú telepítés.
  4. Válasszon ki egy kiszolgálót a szerverkészlet.
  5. választ Active Directory tartományi szolgáltatáss a listából, majd kattintson a gombra Következő.
  6. Hagyja, hogy a Szolgáltatások alapértelmezés szerint ellenőrizve legyenek, és nyomja meg a gombot Következő.
  7. kettyenés Indítsa újra a célkiszolgálót, ha szükséges és kattintson a gombra Telepítés. A telepítés befejezése után zárja be az ablakot.
  8. Az ADDS szerep telepítése után az értesítés jelenik meg a kezel menü. nyomja meg Hirdesse ezt a kiszolgálót egy tartományvezérlőré.
  9. Most kattintson a gombra Új erdő hozzáadása és írja be a Gyökér domain név. nyomja meg Következő.
  10. Válaszd ki a Domain működési szintje kívánja, és írjon be egy jelszót a Írja be a Directory Services Restore Mode (DSRM jelszó) lehetőséget. szakasz. kettyenés Következő.
  11. Amikor megjelenik a DNS-beállítások oldal, kattintson a gombra Következő újra.
  12. Írjon be egy domaint a NetBios domain név mező (lehetőleg ugyanaz, mint a gyökér domain név). nyomja meg Következő.
  13. Válasszon egy mappát az adatbázis tárolására és a naplófájlok tárolására. kettyenés Következő.
  14. nyomja meg Telepítés befejezni. A rendszer most újraindul.


Active Directory-felhasználók létrehozása

felhasználók és számítógépek a két legalapvetőbb objektum, amelyet kezelnie kell az Active Directory használatakor. Ebben a szakaszban megvizsgáljuk, hogyan lehet új felhasználói fiókokat létrehozni. A folyamat meglehetősen egyszerű, és a felhasználók kezelésének legegyszerűbb módja a Active Directory felhasználók és számítógép vagy az ADUC eszköz, amely a Távoli szerver adminisztrációs eszközök vagy RSAT csomag. Az ADUC az alábbi utasítások követésével telepíthető:


Telepítse az ADUC-t a Windows 10 1809-es és újabb verziójára:

  1. Kattintson a jobb gombbal a Rajt gombot és kattintson Beállítások > Alkalmazások, majd kattintson a gombra Az opcionális szolgáltatások kezelése > Funkció hozzáadása.
  2. választ RSAT: Active Directory tartományi szolgáltatások és könnyű könyvtári eszközök.
  3. választ Telepítés és várja meg, amíg a telepítés befejeződik.
  4. Menj Rajt > Windows adminisztrációs eszközök a szolgáltatás eléréséhez.


Telepítse az ADUC rendszert a Windows 8 és a Windows 10 1803 vagy régebbi verzióra: 

  1. Töltse le és telepítse a Távoli kiszolgáló rendszergazda eszközeit a Windows verziójához. Ezt az alábbi linkek egyikével teheti meg:
    Távoli kiszolgáló-rendszergazda eszközök a Windows 10-hez, Távoli kiszolgáló-rendszergazda eszközök a Windows 8-hoz vagy Távoli kiszolgáló-rendszergazdai eszközök a Windows 8.1-hez.
  1. Kattintson a jobb gombbal a Rajt > Kezelőpanel > programok > Programok és szolgáltatások > Windows-szolgáltatások be-és kikapcsolása.
  2. Görgessen le és válassza a lehetőséget Távoli szerver adminisztrációs eszközök.
  3. Kiterjed Szerepfelügyeleti eszközök > AD DS és AD LDS eszközök.
  4. Jelölje be AD DS eszközök és nyomja meg a gombot Rendben.
  5. Menj Rajt > Adminisztratív eszközök és válassza ki Active Directory felhasználók és számítógépek.


Hogyan lehet új felhasználókat létrehozni az ADUC segítségével 

  1. Nyissa meg a Kiszolgálókezelő, menj a Eszközök menüt, és válassza a lehetőséget Active Directory felhasználók és számítógépek.
  2. Bontsa ki a tartományt, és kattintson az elemre felhasználók.
  3. Kattintson a jobb gombbal a jobb oldali ablakra és nyomja meg a gombot Új > használó.
  4. Amikor megjelenik az Új objektum-felhasználó mező, írja be a Keresztnév, Vezetéknév, Felhasználói bejelentkezési név és kattintson a gombra Következő.
  5. Írja be a jelszót és nyomja meg a gombot Következő.
  6. kettyenés Befejez.
  7. Az új felhasználói fiók megtalálható a felhasználók szakasz az ADUC.

Figyelembe veendő Active Directory események 

Az infrastruktúra minden formájához hasonlóan az Active Directory-t is meg kell figyelni a védelme érdekében. A címtárszolgáltatás figyelése elengedhetetlen az internetes támadások megelőzéséhez és a felhasználók számára a legjobb felhasználói élmény biztosításához.

Az alábbiakban felsoroljuk a legfontosabb hálózati eseményeket, amelyekre figyelni kell. Ha ezen események valamelyikét látja, akkor további ASAP-t kell vizsgálnia, hogy megbizonyosodjon arról, hogy a szolgáltatás nem volt-e veszélyeztetve.

Aktuális Windows Event IDLegacy Windows Event IDDescription
4618 N / A A biztonsági eseménymintát felismertük.
4649 N / A Visszajátszási támadást észleltek (potenciálisan hamis pozitív).
4719 612 Megváltozott egy rendszer-ellenőrzési politika.
4765 N / A SID előzmények hozzáadva egy fiókhoz.
4766 N / A A SID előzményeket nem sikerült hozzáadni a fiókhoz.
4794 N / A Kísérlet a Directory Services Restore Mode elindítására.
4897 801 A szerepek elválasztása engedélyezve van.
4964 N / A A speciális csoportok új bejelentkezést kaptak.
5124 N / A A biztonság frissítve az OCSP Responder Service szolgáltatáson.
N / A 550 Potenciális DoS támadás.
1102 517 Az ellenőrzési naplót törölték.

Az Active Directory erdők és fák áttekintése 

Az erdő és a fák két olyan kifejezés, amelyet sokat fog hallani, amikor az Active Directory-ba merül. Ezek a kifejezések az Active Directory logikai szerkezetére utalnak. Röviden: a fa egy entitás, amely egyetlen tartományt vagy tárgycsoportot tartalmaz ezt követik gyermektartományok. Az erdő egy tartományok csoportja összerakni. Amikor több fát csoportosítva erdővé válnak.

Az erdő fái a bizalmi kapcsolat, amely lehetővé teszi a különböző domének számára az információk megosztását. Összes a domainek automatikusan megbíznak egymásban így ugyanazzal a fiókinformációval férhet hozzá hozzájuk, mint amelyet a gyökértartományban használt.

Minden erdő egységes adatbázist használ. Logikus szempontból az erdő a hierarchia legmagasabb szintjén helyezkedik el, és a fa az alján található. Az egyik kihívás, amely a hálózati rendszergazdáknak az Active Directory-val való együttműködés során az erdők kezelése és a könyvtár biztonságának megőrzése.

Például egy hálózati rendszergazda feladata lesz az a egyetlen erdő kialakítása vagy multi-forest design. Az egyerdős kivitel egyszerű, olcsó és könnyen kezelhető, csak egyetlen erdővel, amely a teljes hálózatot tartalmazza. Ezzel szemben a többerdős erdő kialakítása a hálózatot különféle erdőkre osztja, ami jó a biztonság szempontjából, de bonyolultabbá teszi az adminisztrációt.

Bizalmi kapcsolatok (és bizalomtípusok) 

Mint fentebb már említettük, a vagyonkezelőket használják a domének közötti kommunikáció megkönnyítésére. A bizalmak lehetővé teszik a hitelesítést és az erőforrásokhoz való hozzáférést két entitás között. A vagyonkezelők lehetnek egyirányúak vagy kétirányúak. Megbízhatóságon belül a két domaint bizalmi tartományra és megbízható domainre osztják.

Egyirányú bizalommal a A megbízható domain hozzáfér a hitelesítési adatokhoz , hogy a felhasználó hozzáférhessen a másik domain erőforrásaihoz. Kétirányú bizalommal mindkét domain elfogadja a másik hitelesítési részleteit. Összes az erdőben lévő domének automatikusan megbíznak egymásban, de az egyes erdők domainei között bizalmat is létrehozhat az információk átadására.

Bizalmakat hozhat létre a Új bizalom varázsló. Az Új bizalom varázsló egy konfigurációs varázsló, amely lehetővé teszi új bizalmi kapcsolatok létrehozását. Itt megtekintheti a Domain név, Bizalom típusa, és Tranzitív létező alapok állapotát, és válassza ki a létrehozni kívánt bizalom típusát.

Bizalmi típusok 

Az Active Directoryban számos megbízhatósági típus található. Az alábbiakban felsoroltuk ezeket:

Trust TypeTransit TypeDirectionDefault? Leírás
Szülő és gyermek Tranzitív Kétirányú Igen A szülők és a gyermekek bizalma akkor jön létre, amikor egy gyermektartományt hozzáadunk egy domain fához.
Fa gyökér Tranzitív Kétirányú Igen A fa-gyökér bizalom akkor jön létre, amikor egy domain fa létrejön az erdőben.
Külső Nem tranzitív Egyirányú vagy kétirányú Nem Hozzáférést biztosít egy Windows NT 4.0 vagy más erdőben található tartomány erőforrásaihoz, amelyeket az erdő bizalma nem támogat..
Birodalom Tranzitív vagy nem tranzitív Egyirányú vagy kétirányú Nem Bizalmi kapcsolatot alakít ki a nem Windows Kerberos tartomány és a Windows Server 2003 tartomány között.
Erdő Tranzitív Egyirányú vagy kétirányú Nem Források megosztása az erdők között.
Parancsikon Tranzitív Egyirányú vagy kétirányú Nem Csökkenti a felhasználói bejelentkezési időket két domain között a Windows Server 2003 erdőben.

Jelentés az Active Directory-ról a SolarWinds hozzáférési jogkezelővel (INGYENES KÉPESSÉG)

Jelentések létrehozása az Active Directory-ról elengedhetetlen a teljesítmény optimalizálásához és a szabályozásnak való megfeleléshez. Az egyik legjobb Active Directory jelentéskészítő eszköz SolarWinds Access Rights Manager (ARM). Az eszközt úgy hozták létre, hogy javítsa a könyvtári hitelesítő adatok felhasználásának és kezelésének láthatóságát. Megtekintheti például a nem biztonságos konfigurációjú és a hitelesítő adatokkal való visszaélésekkel rendelkező fiókokat, amelyek számítógépes támadást jelezhetnek.

SolarWinds Access Rights Manager

Külső eszköz, például SolarWinds Access Rights Manager azért előnyös, mert olyan információkat és szolgáltatásokat nyújt Önnek, amelyekhez sokkal nehezebb vagy lehetetlen hozzáférni közvetlenül az Active Directory-n keresztül.

A jelentések készítésén kívül lehetősége van automatikusan törli az inaktív vagy lejárt fiókokat hogy a bűnözők megcélozzák. SolarWinds Access Rights Manager 3,444 dollárral (2829 font) kezdődik. Itt van még a 30 napos ingyenes próbaverzió letölthető verzió.

SolarWinds hozzáférési jogok menedzserTöltse le a 30 napos INGYENES próbaverziót

Az Active Directory bemutatója: az alapok 

Az Active Directory az egyik legjobb eszköz a hálózat erőforrásainak kezeléséhez. Ebben a cikkben csak megkarcoltuk az eszköz potenciáljának felületét. Ha az Active Directory-t használja, ne feledje, hogy ez potenciális belépési pont a számítógépes támadók számára. A kulcsfontosságú könyvtári események feljegyzése és a címtárfigyelő használata messze megteheti a rosszindulatú támadások kockázatának minimalizálását és a szolgáltatás elérhetőségének védelmét..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

12 − = 2

Adblock
detector