Što je Active Directory? Korak po korak vodič

Što je Active Directory? Korak po korak vodič


Kako je složenost mrežnih resursa rasla, usluge direktorija postaju sve važnije za upravljanje IT infrastrukturom. Ne postoji usluga direktorija s većim nazivom od Aktivni direktorij. Microsoftova usluga direktorija je postavljena kao glavni alat među mrežnim administratorima. U ovom Active Directory udžbeniku ćemo pogledati što je Active Directory, kako ga koristiti i alate Active Directory poput SolarWinds upravitelja prava pristupa. Teme uključuju:

  • Što je Active Directory?
  • Što radi Active Directory?
  • Kako postaviti Active Directory
  • Kako koristiti Active Directory: Postavljanje kontrolera domene, Stvaranje korisnika direktorija
  • Active Directory događaje za praćenje
  • Povjerljivi odnosi (i vrste povjerenja)
  • Pregled šuma i drveća aktivnih imenika
  • Izvješćivanje o aktivnom direktoriju (uz SolarWinds upravitelj prava pristupa)

Što je Active Directory? 

Što je Active Directory? Korak po korak vodič

Active Directory je a direktorijska usluga ili spremnik koji pohranjuje podatke o podacima u vašem lokalnom mrežnom okruženju. Usluga bilježi podatke o Korisnici, uređaji, aplikacije, grupe, i uređaji u hijerarhijskoj strukturi.

Struktura podataka omogućuje pronalaženje pojedinosti resursa povezanih s mrežom s jedne lokacije. U osnovi, Active Directory djeluje poput imenika za vašu mrežu tako da možete lako potražiti uređaje i upravljati njima.

Što radi Active Directory? 

Mnogo je razloga zašto poduzeća koriste usluge direktorija poput Active Directorya. Glavni razlog je praktičnost. Active Directory omogućuje korisnicima prijavu na razne resurse i upravljanje njima s jedne lokacije. Akreditivi za prijavu objedinjeni su tako da je lakše upravljati s više uređaja bez unosa detalja o računu za pristup svakom pojedinačnom stroju.

Kako postaviti Active Directory (s RSAT-om) 

Što je Active Directory? Korak po korak vodič

Za početak ćete se prvo trebati osigurati Windows Professional ili Windows Enterprise instalirani u suprotnom nećete moći instalirati Udaljeni alati za administraciju poslužitelja. Zatim napravite sljedeće:

Za Windows 10 Verzija 1809:

  1. Kliknite desnom tipkom miša na Početak gumb i idite na postavke > Aplikacije > Upravljajte opcijskim značajkama > Dodaj značajku.
  2. Sada odaberite RSAT: Usluge domena Active Directory i lagani alati za imenike.
  3. Na kraju odaberite Instalirati a zatim idite na Početak > Windows administrativni alati pristupiti Active Directoryu nakon što je instalacija dovršena.


Za Windows 8 (i Windows 10 Verzija 1803) 

  1. Preuzmite i instalirajte ispravnu verziju Alata za administraciju poslužitelja za svoj uređaj: Windows 8, Windows 10.
  2. Zatim desnom tipkom miša kliknite gumb Početak gumb i odaberite Upravljačka ploča > programi > Programi i značajke > Uključite ili isključite značajke sustava Windows.
  3. Pomaknite se prema dolje i kliknite na Udaljeni alati za administraciju poslužitelja opcija.
  4. Sada kliknite na Alati za upravljanje ulogama.
  5. Kliknite na AD DS i AD LDS Alati i provjeriti AD DS Alati je provjereno.
  6. tisak U redu.
  7. Ići Početak > Administrativni alati na Početak izbornik za pristup Active Directoryu.

Kako koristiti Active Directory: Kako postaviti regulator kontrole domene, Stvaranje korisnika direktorija 

Što je Active Directory? Korak po korak vodič

Kako postaviti kontroler domene

Jedna od prvih stvari koju trebate učiniti kada koristite Active Directory je postavljanje kontrolera domene. Kontrolor domene središnje je računalo koje će odgovoriti na zahtjeve za autentifikaciju i provjeriti autentičnost ostalih računala širom mreže. Kontrolor domene pohranjuje vjerodajnice za prijavu na svim ostalim računalima i pisačima.

Sva ostala računala povezuju se s kontrolerom domene tako da korisnik može provjeriti autentičnost svakog uređaja s jedne lokacije. Prednost ovog je u tome što administrator neće morati upravljati desetak vjerodajnica za prijavu.

Postupak postavljanja kontrolera domene relativno je jednostavan. Dodijelite statičku IP adresu vašem kontroleru domene i instalirati Active Directory usluge domena ili dodaje. Sada slijedite ove upute:

  1. Otvoren Upravitelj poslužitelja i kliknite Sažetak uloga > Dodajte uloge i značajke.
  2. Klik Sljedeći.
  3. Odaberi Usluge udaljene radne površine montaža ako instalirate kontroler domene u virtualni stroj ili odaberete instalacija koja se temelji na ulogama ili značajkama.
  4. Odaberite poslužitelj na poslužiteljski bazen.
  5. Odaberi Usluga domena Active Directorys popisa i kliknite Sljedeći.
  6. Ostavite zadane značajke označene i pritisnite Sljedeći.
  7. Klik Po potrebi automatski pokrenite odredišni poslužitelj i kliknite Instalirati. Zatvorite prozor nakon završetka instalacije.
  8. Nakon što je instalirana uloga ADDS, obavijest će se prikazati pored Upravljati izbornik. tisak Promovirajte ovaj poslužitelj u kontroler domene.
  9. Sada kliknite Dodajte novu šumu i unesite a Root ime domene. tisak Sljedeći.
  10. Odaberite Funkcionalna razina domene želite i unesite lozinku u Unesite način vraćanja usluga direktorija (DSRM lozinka) odjeljak. Klik Sljedeći.
  11. Kada se prikaže stranica DNS Options (klik) Sljedeći opet.
  12. Unesite domenu u polje Naziv domene NetBios okvir (po mogućnosti isti kao i naziv domene korijena). tisak Sljedeći.
  13. Odaberite mapu za spremanje baze podataka i datoteka zapisa. Klik Sljedeći.
  14. tisak Instalirati Završiti. Vaš će se sustav sada ponovno pokrenuti.


Stvaranje korisnika aktivnog imenika

Korisnici i računala dva su najosnovnija objekta kojima ćete trebati upravljati kada koristite Active Directory. U ovom ćemo dijelu pogledati kako stvoriti nove korisničke račune. Proces je relativno jednostavan, a najlakši je način za upravljanje korisnicima putem Korisnici aktivnog imenika i računala ili ADUC alat koji dolazi s Udaljeni alati za administraciju poslužitelja ili RSAT paket. ADUC možete instalirati slijedeći upute navedene u nastavku:


Instalirajte ADUC na Windows 10 verzije 1809 i novije:

  1. Kliknite desnom tipkom miša na Početak gumb i klikni postavke > Aplikacije, a zatim kliknite Upravljajte opcijskim značajkama > Dodaj značajku.
  2. Odaberi RSAT: Usluge domena Active Directory i lagani alati za imenike.
  3. Odaberi Instalirati i pričekajte da se instalacija završi.
  4. Ići Početak > Windows administrativni alati za pristup značajci.


Instalirajte ADUC na Windows 8 i Windows 10 verzije 1803 ili starije: 

  1. Preuzmite i instalirajte Remote Server Administrator Tools za svoju verziju sustava Windows. To možete učiniti na jednoj od ovih veza ovdje:
    Daljinski alati za administratore poslužitelja za Windows 10, Alati za udaljene administratore poslužitelja za Windows 8 ili Alati za udaljeni administrator administratora za Windows 8.1.
  1. Kliknite desnom tipkom miša na Početak > Upravljačka ploča > programi > Programi i značajke > Uključite ili isključite značajke sustava Windows.
  2. Pomaknite se prema dolje i odaberite Udaljeni alati za administraciju poslužitelja.
  3. Proširiti Alati za administratore uloga > AD DS i AD LDS Alati.
  4. Ček AD DS Alati i pritisnite U redu.
  5. Ići Početak > Administrativni alati i odaberite Korisnici i računala Active Directory.


Kako stvoriti nove korisnike pomoću ADUC-a 

  1. Otvori Upravitelj poslužitelja, idi na alat izbornika i odaberite Korisnici i računala Active Directory.
  2. Proširite domenu i kliknite Korisnici.
  3. Desnom tipkom miša kliknite desno okno i pritisnite Novi > Korisnik.
  4. Kada se prikaže okvir Novi objekt-korisnik, unesite a Ime, Prezime, Korisničko ime za prijavu i kliknite Sljedeći.
  5. Unesite lozinku i pritisnite Sljedeći.
  6. Klik Završi.
  7. Novi korisnički račun može se pronaći u Korisnici odjeljak ADUC-a.

Active Directory događaje za praćenje 

Kao i svi oblici infrastrukture, Active Directory se mora pratiti kako bi ostao zaštićen. Nadgledanje usluge imenika bitno je za sprečavanje cyber napada i pružanje najboljeg iskustva krajnjim korisnicima svojim korisnicima.

U nastavku ćemo navesti neke od najvažnijih mrežnih događaja na koje biste trebali paziti. Ako primijetite bilo koji od ovih događaja, trebali biste istražiti što prije kako biste bili sigurni da vaša usluga nije ugrožena.

Trenutni Windows Event IDLegacy Windows Event IDDescription
4618 N / A Prepoznat je obrazac sigurnosnog događaja.
4649 N / A Otkriven je napad ponovne reprodukcije (potencijalno lažno pozitivan).
4719 612 Promijenjena je politika revizije sustava.
4765 N / A SID povijest dodana na račun.
4766 N / A Pokušaj nije uspio dodati SID povijest računu.
4794 N / A Pokušaj pokretanja načina vraćanja direktorija usluge.
4897 801 Omogućeno je odvajanje uloga.
4964 N / A Posebnim skupinama dodijeljena je nova prijava.
5124 N / A Ažuriranje sigurnosti na OCSP servisu za odzivnike.
N / A 550 Potencijalni DoS napad.
1102 517 Dnevnik revizije je izbrisan.

Pregled šuma i drveća aktivnih imenika 

Šuma i drveće dva su termina koja ćete čuti jako puno kada uđete u Active Directory. Ovi se pojmovi odnose na logičku strukturu Active Directory-a. Ukratko, a stablo je cjelina s jednom domenom ili grupom objekata a zatim slijede podređene domene. Šuma je skupina domena staviti zajedno. Kada više stabala grupirana su zajedno u šumu.

Drveća u šumi međusobno se povezuju kroz a odnos povjerenja, koji omogućuje različitim domenama razmjenu informacija. svi domene će se međusobno automatski vjerovati pa im možete pristupiti s istim podacima računa koji ste koristili u root domeni.

Svaka šuma koristi jednu objedinjenu bazu podataka. Logično, šuma sjedi na najvišoj razini hijerarhije, a drvo je smješteno na dnu. Jedan od izazova koji imaju mrežni administratori tijekom rada s Active Directoryom je upravljanje šumama i zaštita direktorija.

Na primjer, mrežnom administratoru dat će se izbor između a dizajn jednog šuma ili više šumski dizajn. Dizajn pojedinačne šume jednostavan je, jeftin i jednostavan za upravljanje sa samo jednom šumom koja čini cijelu mrežu. Suprotno tome, više šumski dizajn dijeli mrežu na različite šume što je dobro za sigurnost, ali otežava upravljanje.

Povjerljivi odnosi (i vrste povjerenja) 

Kao što je već spomenuto, povjerenja se koriste za olakšavanje komunikacije između domena. Trustovi omogućavaju autentifikaciju i pristup resursima između dva entiteta. Povjerenja mogu biti jednosmjerna ili dvosmjerna priroda. Unutar povjerenja dvije su domene podijeljene na pouzdanu domenu i domenu kojoj vjeruje.

U jednosmjernom povjerenju, The vjerujući domeni pristupa pristupima detaljima provjere autentičnosti pouzdanog domena tako da korisnik može pristupiti resursima s druge domene. U dvosmjernom povjerenju obje domene će prihvatiti detalje autentifikacije drugih. svi domene unutar šume automatski se međusobno vjeruju, ali također možete postaviti povjerenja između domena u različitim šumama za prijenos informacija.

Možete stvoriti povjerenja putem Novi čarobnjak za povjerenja. Novi čarobnjak za povjerenje je čarobnjak za konfiguraciju koji vam omogućuje stvaranje novih odnosa povjerenja. Ovdje možete pogledati Naziv domene, Vrsta povjerenja, i prijelazan statusa postojećih povjerenja i odaberite vrstu povjerenja koju želite stvoriti.

Vrste povjerenja 

Postoji niz vrsta povjerenja u Active Directory. To smo naveli u tablici u nastavku:

Trust TypeTransit TypeDirectionDefault? Opis
Roditelj i dijete prijelazan Dvosmjeran Da Povjerenje roditelja i djeteta uspostavlja se kada se dječja domena doda u stablo domena.
Tree-korijen prijelazan Dvosmjeran Da Povjerenje korijena stabla uspostavlja se onog trenutka kada se stvori stablo domene unutar šume.
Vanjski Non-prijelazni Jednosmjerna ili dvosmjerna Ne Omogućuje pristup resursima u Windows NT 4.0 domeni ili domeni koja se nalazi u drugoj šumi koja nije podržana od strane šumskog povjerenja.
carstvo Prijelazni ili neprelazni Jednosmjerna ili dvosmjerna Ne Formira povjerljivi odnos između domene koja nije Windows Kerberos i domene Windows Server 2003.
Šuma prijelazan Jednosmjerna ili dvosmjerna Ne Dijeli resurse između šuma.
prečac prijelazan Jednosmjerna ili dvosmjerna Ne Smanjuje vrijeme prijave između dvije domene u šumi sustava Windows Server 2003.

Izvještavanje aktivnog direktorija sa Upraviteljem prava pristupa SolarWinds-om (BESPLATNO SUĐENJE)

Generiranje izvješća u Active Directoryu bitno je za optimizaciju performansi i zadržavanje u skladu s regulatornim propisima. Jedan od najboljih alata za prijavljivanje Active Directory je SolarWinds upravitelj prava pristupa (ARM). Alat je stvoren za povećanje vidljivosti načina korištenja i upravljanja vjerodajnicama direktorija. Na primjer, možete pregledati račune s nesigurnim konfiguracijama i zlouporabom vjerodajnica koji bi mogli ukazivati ​​na cyber napad.

SolarWinds upravitelj prava pristupa

Korištenje alata treće strane poput SolarWinds upravitelj prava pristupa koristan je jer vam pruža informacije i značajke kojima bi bilo mnogo teže ili nemoguće pristupiti izravno kroz Active Directory.

Kao i generiranje izvještaja koje možete automatski obrišite neaktivne ili istekle račune da cyber-kriminalci ciljaju. SolarWinds upravitelj prava pristupa počinje od 3.444 USD (2.829 funti). Tu je i 30-dnevno besplatno probno razdoblje inačica koju možete preuzeti.

SolarWinds Manager Rights Access ManagerDownload 30-dnevna BESPLATNA probna verzija

Tutorial aktivnog imenika: Osnove 

Active Directory je jedan od najboljih alata za upravljanje resursima u vašoj mreži. U ovom smo članku upravo izgrebali površinu potencijala ovog alata. Ako koristite Active Directory, imajte na umu da je potencijalna ulazna točka za cyber napadače. Ako se upišete u ključne događaje u imeniku i upotrijebite monitor direktorija, ići će dug put ka minimiziranju rizika od zlonamjernog napada i zaštititi dostupnost vaše usluge.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 22 = 24