Какво е Active Directory? Урок стъпка по стъпка

С нарастването на сложността на мрежовите ресурси, директорийните услуги стават все по-важни за управлението на ИТ инфраструктурата. Няма директна услуга с по-голямо име от Active Directory. Услугата на директории на Microsoft е създадена като основен инструмент сред мрежовите администратори. В този урок за Active Directory ще разгледаме какво представлява Active Directory, как да го използвате и инструменти на Active Directory, като SolarWinds Manager Manager Manager. Темите включват:

• Какво е Active Directory?
• Какво прави Active Directory?
• Как да настроите Active Directory
• Как да използвате Active Directory: настройка на контролер на домейн, създаване на потребители на директория
• Active Directory събития за наблюдение
• Доверителни отношения (и видове доверие)
• Преглед на горите и дърветата на Active Directory
• Отчитане в Active Directory (с SolarWinds Manager Rights Manager)

Какво е Active Directory? 

Active Directory е a услуга на директории или контейнер, който съхранява обекти с данни във вашата локална мрежа. Услугата записва данни за потребители, устройства, приложения, групи, и устройства в йерархична структура.

Структурата на данните позволява да се намерят подробности за ресурсите, свързани към мрежата, от едно място. По същество Active Directory действа като телефонен указател за вашата мрежа, за да можете лесно да търсите и управлявате устройства.

Какво прави Active Directory? 

Има много причини предприятията да използват услугите на директории като Active Directory. Основната причина е удобството. Active Directory позволява на потребителите да влизат и да управляват различни ресурси от едно място. Данните за вход са унифицирани, така че да е по-лесно да управлявате няколко устройства, без да е необходимо да въвеждате данни за акаунта за достъп до всяка отделна машина.

Как да настроите Active Directory (с RSAT) 

За да започнете, първо трябва да се уверите, че имате Windows Professional или Windows Enterprise инсталиран в противен случай няма да можете да инсталирате Инструменти за отдалечено администриране на сървъри. След това направете следното:

За Windows 10 Версия 1809:

1. Щракнете с десния бутон върху начало бутон и отидете на Настройки > Apps > Управление на допълнителни функции > Добавяне на функция.
2. Сега изберете RSAT: Домейн услуги на Active Directory и леки инструменти за директории.
3. Накрая изберете Инсталирай след това отидете на начало > Административни инструменти на Windows за достъп до Active Directory, след като инсталацията приключи.

За Windows 8 (и Windows 10 версия 1803) 

1. Изтеглете и инсталирайте правилната версия на Инструменти за администратор на сървър за вашето устройство: Windows 8, Windows 10.
2. След това щракнете с десния бутон върху начало бутон и изберете Контролен панел > програми > Програми и функции > Включване или изключване на функции на Уиндоус.
3. Плъзнете надолу и кликнете върху Инструменти за отдалечено администриране на сървъри опция.
4. Сега кликнете върху Инструменти за администриране на ролите.
5. Кликнете върху AD DS и AD LDS Инструменти и проверете AD DS Инструменти е проверен.
6. Натиснете Добре.
7. Отидете на начало > Административни пособия на начало меню за достъп до Active Directory.

Как да използвате Active Directory: Как да настроите контролер на домейн, създаване на потребители на директория 

Как да настроите контролер на домейн

Едно от първите неща, които трябва да направите, когато използвате Active Directory, е да настроите контролер на домейн. Контролерът на домейн е централен компютър, който ще отговаря на заявки за удостоверяване и ще удостоверява други компютри в цялата мрежа. Контролерът на домейна съхранява идентификационните данни за вход на всички други компютри и принтери.

Всички други компютри се свързват с контролера на домейна, така че потребителят да може да удостоверява всяко устройство от едно място. Предимството на това е, че администраторът няма да трябва да управлява десетки идентификационни данни за вход.

Процесът на настройка на контролер на домейн е сравнително прост. Задайте статичен IP адрес на вашия контролер на домейни и инсталирайте Active Directory Domain Services или ADDS. Сега следвайте тези инструкции:

1. отворено Server Manager и щракнете Обобщение на ролите > Добавете роли и функции.
2. Кликнете Следващия.
3. Изберете Услуги за отдалечен работен плот инсталация ако внедрите контролер на домейн във виртуална машина или изберете инсталация на базата на роли или на функции.
4. Изберете сървър от сървър пул.
5. Изберете Служба за домейни на Active Directorys от списъка и щракнете Следващия.
6. Оставете функциите проверени по подразбиране и натиснете Следващия.
7. Кликнете Рестартирайте автоматично целевия сървър, ако е необходимо и щракнете Инсталирай. Затворете прозореца, след като инсталацията приключи.
8. След като ролята на ADDS е инсталирана, известието ще се появи до управлявам меню. Натиснете Популяризирайте този сървър в контролер на домейн.
9. Сега кликнете Добавете нова гора и въведете a Root име на домейн. Натиснете Следващия.
10. Изберете Функционално ниво на домейна желаете и въведете парола в Въведете режим за възстановяване на услугите на директория (парола за DSRM) секция. Кликнете Следващия.
11. Когато се появи страницата с опции за DNS, щракнете Следващия отново.
12. Въведете домейн в Име на домейн NetBios поле (за предпочитане същото като името на коренния домейн). Натиснете Следващия.
13. Изберете папка, в която да съхранявате базата данни и файловете си. Кликнете Следващия.
14. Натиснете Инсталирай да свърша. Вашата система вече ще се рестартира.

Създаване на потребители на Active Directory

Потребители и компютри са двата най-основни обекта, с които ще трябва да управлявате, когато използвате Active Directory. В този раздел ще разгледаме как да създадете нови потребителски акаунти. Процесът е сравнително прост и най-лесният начин за управление на потребителите е чрез Потребители и компютър на Active Directory или ADUC инструмент, който се предлага с Инструменти за отдалечено администриране на сървъри или RSAT опаковат. Можете да инсталирате ADUC, като следвате указанията, изброени по-долу:

Инсталирайте ADUC на Windows 10 Версия 1809 и по-висока:

1. Щракнете с десния бутон върху начало бутон и щракнете Настройки > Apps, след това щракнете Управление на допълнителни функции > Добавяне на функция.
2. Изберете RSAT: Домейн услуги на Active Directory и леки инструменти за директории.
3. Изберете Инсталирай и изчакайте да завърши инсталацията.
4. Отидете на начало > Административни инструменти на Windows за достъп до функцията.

Инсталирайте ADUC на Windows 8 и Windows 10 Версия 1803 или по-нова: 

1. Изтеглете и инсталирайте Remote Server Administrator Tools за вашата версия на Windows. Можете да го направите от един от тези връзки тук:
   Инструменти за отдалечен администратор на сървър за Windows 10, Инструменти за отдалечен администратор на сървър за Windows 8 или Инструменти за отдалечен администратор на сървър за Windows 8.1.

1. Щракнете с десния бутон върху начало > Контролен панел > програми > Програми и функции > Включване или изключване на функции на Уиндоус.
2. Превъртете надолу и изберете Инструменти за отдалечено администриране на сървъри.
3. Разширете Ролеви инструменти за администратор > AD DS и AD LDS Инструменти.
4. Проверка AD DS Инструменти и натиснете Добре.
5. Отидете на начало > Административни пособия и изберете Потребители и компютри в Active Directory.

Как да създадете нови потребители с ADUC 

1. Отвори Server Manager, отидете на Инструменти меню и изберете Потребители и компютри в Active Directory.
2. Разширете домейна и щракнете Потребители.
3. Щракнете с десния бутон върху десния панел и натиснете нов > потребител.
4. Когато се покаже полето Нов обект-потребител, въведете a Първо име, Фамилия, Потребителско име за влизане и щракнете Следващия.
5. Въведете парола и натиснете Следващия.
6. Кликнете завършек.
7. Новият потребителски акаунт може да бъде намерен в Потребители раздел на ADUC.

Active Directory събития за наблюдение 

Както всички форми на инфраструктура, Active Directory трябва да бъде наблюдаван, за да бъде защитен. Наблюдението на услугата на директории е от съществено значение за предотвратяване на кибератаки и предоставяне на най-доброто изживяване на крайния потребител на вашите потребители.

По-долу ще изброим някои от най-важните мрежови събития, на които трябва да внимавате. Ако видите някое от тези събития, трябва да проучите допълнително ASAP, за да сте сигурни, че услугата ви не е била компрометирана.

Текущ идентификатор на събитие на Windows за Windows IDLegacy Идентификация на събитието на Windows

4618	N / A	Беше разпознат модел на събитие за сигурност.
4649	N / A	Открита е атака при повторно изпълнение (потенциално фалшиво положително).
4719	612	Политиката за одит на системата беше променена.
4765	N / A	История на SID е добавена към акаунт.
4766	N / A	Опитът не успя да добави SID History към акаунта.
4794	N / A	Опит за стартиране на режима за възстановяване на Directory Services.
4897	801	Разделянето на роли е активирано.
4964	N / A	На специални групи е назначен нов вход.
5124	N / A	Актуализирана е сигурността на услугата за отговор на OCSP.
N / A	550	Потенциална DoS атака.
1102	517	Журналът за одит бе изчистен.

Преглед на горите и дърветата на Active Directory 

Гората и дърветата са два термина, които ще чуете много, когато се задълбочите в Active Directory. Тези термини се отнасят до логическата структура на Active Directory. Накратко, a дърво е образувание с един домейн или група от обекти което е последвано от дъщерни домейни. Гората е група от домейни взети заедно. Кога множество дървета са групирани заедно, те се превръщат в гора.

Дърветата в гората се свързват помежду си чрез a доверителни отношения, което дава възможност на различни домейни да споделят информация. всичко домейните ще се доверяват взаимно автоматично така че можете да получите достъп до тях със същата информация за профила, която сте използвали в основния домейн.

Всяка гора използва една единна база данни. Логично, гората седи на най-високото ниво на йерархията, а дървото е разположено в дъното. Едно от предизвикателствата, които мрежовите администратори имат, когато работят с Active Directory, е управлението на горите и запазването на директорията.

Например, на мрежовия администратор ще бъде възложена задачата да избира между a дизайн на единична гора или мулти-горски дизайн. Дизайнът с една гора е прост, евтин и лесен за управление само с една гора, включваща цялата мрежа. За разлика от това, мулти-горски дизайн разделя мрежата на различни гори, което е добре за сигурността, но прави администрацията по-сложна.

Доверителни отношения (и видове доверие) 

Както бе споменато по-горе, тръстове се използват за улесняване на комуникацията между домейните. Тръстовете позволяват удостоверяване и достъп до ресурси между две субекти. Тръстовете могат да бъдат еднопосочни или двупосочни по своя характер. В рамките на доверие, двата домейна са разделени на доверителен и доверен домейн.

В еднопосочно доверие, на доверяващ се домейн има достъп до детайлите за удостоверяване на доверения домейн, така че потребителят да има достъп до ресурси от другия домейн. При двупосочно доверие и двата домейна ще приемат данните за удостоверяване на другия. всичко домейни в гората се доверяват автоматично един на друг, но можете също така да настроите доверие между домейни в различни гори, за да прехвърляте информация.

Можете да създадете тръстове чрез Нов съветник за доверие. Най- Нов съветник за доверие е съветник за конфигурация, който ви позволява да създавате нови отношения на доверие. Тук можете да видите Име на домейн, Тип доверие, и преходен състояние на съществуващите тръстове и изберете типа доверие, което искате да създадете.

Видове доверие 

В Active Directory има редица видове доверие. Ние ги изброихме в таблицата по-долу:

Trust TypeTransit TypeDirectionDefault? Описание

Родител и дете	преходен	Двупосочен	да	Доверието на родители и деца се създава, когато домейн на дете се добави към дърво на домейн.
Дърво-корен	преходен	Двупосочен	да	Доверието на корен от дърво се установява в момента, в който се създаде дърво на домейна в рамките на гора.
Външен	Non-преходен	Еднопосочна или двупосочна	Не	Осигурява достъп до ресурси в домейн на Windows NT 4.0 или домейн, разположен в друга гора, който не се поддържа от горско доверие.
царство	Преходни или непреходни	Еднопосочна или двупосочна	Не	Образува доверителна връзка между царство извън Kerberos извън Windows и домейн на Windows Server 2003.
гора	преходен	Еднопосочна или двупосочна	Не	Разделя ресурсите между горите.
пряк път	преходен	Еднопосочна или двупосочна	Не	Намалява времето за влизане от потребители между два домейна в гората на Windows Server 2003.

Отчитане в Active Directory с Мениджър на правата за достъп на SolarWinds (БЕЗПЛАТНА ПРОБА)

Генерирането на отчети в Active Directory е от съществено значение за оптимизиране на производителността и запазване на съответствие с нормативните изисквания. Един от най-добрите инструменти за отчитане на Active Directory е SolarWinds Мениджър за права на достъп (ARM). Инструментът е създаден, за да увеличи видимостта на начина, по който се използват и управляват идентификационните данни на директория. Например можете да преглеждате акаунти с несигурни конфигурации и злоупотреба с идентификационни данни, които могат да означават кибератака.

Използване на инструмент на трета страна като SolarWinds Мениджър за права на достъп е от полза, защото ви предоставя информация и функции, които биха били много по-трудни или невъзможни за достъп чрез Active Directory директно.

Както и да генерирате отчети, които можете автоматично изтрийте неактивни или изтекли акаунти че киберпрестъпниците се целят. SolarWinds Мениджър за права на достъп започва от $ 3,444 (£ 2,829). Има и а 30-дневен безплатен пробен период версия, която можете да изтеглите.

SolarWinds Мениджър за права на достъп Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

Урок за Active Directory: Основите 

Active Directory е един от най-добрите инструменти за управление на ресурси във вашата мрежа. В тази статия ние просто надраскахме повърхността на потенциала на този инструмент. Ако използвате Active Directory, не забравяйте, че е потенциална входна точка за кибератаки. Записването на ключови събития в директорията и използване на монитор на директория ще извърви дълъг път към минимизиране на риска от злонамерена атака и защита на достъпността на вашата услуга.