Active Directory คืออะไร การสอนทีละขั้นตอน

Active Directory คืออะไร การสอนทีละขั้นตอน

เมื่อความซับซ้อนของทรัพยากรเครือข่ายเติบโตขึ้นบริการไดเรกทอรีจึงมีความสำคัญยิ่งขึ้นสำหรับการจัดการโครงสร้างพื้นฐานด้านไอที ไม่มีบริการไดเรกทอรีที่มีชื่อที่ใหญ่กว่า Active Directory. บริการไดเรกทอรีของ Microsoft ได้รับการจัดตั้งขึ้นเป็นเครื่องมือหลักในหมู่ผู้ดูแลเครือข่าย ในบทช่วยสอน Active Directory นี้เราจะดูว่า Active Directory คืออะไรวิธีการใช้และเครื่องมือ Active Directory เช่น SolarWinds Access Rights Manager หัวข้อรวมถึง:

  • Active Directory คืออะไร?
  • Active Directory ทำอะไร?
  • วิธีการตั้งค่า Active Directory
  • วิธีใช้ Active Directory: การตั้งค่า Domain Controller การสร้างผู้ใช้ Directory
  • กิจกรรมไดเรกทอรีที่ใช้งานอยู่เพื่อตรวจสอบ
  • ความสัมพันธ์ที่เชื่อถือได้ (และประเภทความน่าเชื่อถือ)
  • ภาพรวมของป่าและต้นไม้ของ Active Directory
  • การรายงานไดเรกทอรีที่ใช้งานอยู่ (ด้วย SolarWinds Access Rights Manager)

Active Directory คืออะไร? 

Active Directory คืออะไร การสอนทีละขั้นตอน

Active Directory คือ บริการไดเรกทอรี หรือคอนเทนเนอร์ที่เก็บวัตถุข้อมูลในสภาพแวดล้อมเครือข่ายท้องถิ่นของคุณ บริการบันทึกข้อมูลบน ผู้ใช้, อุปกรณ์, การใช้งาน, กลุ่ม, และ อุปกรณ์ ในโครงสร้างแบบลำดับชั้น.

โครงสร้างของข้อมูลทำให้สามารถค้นหารายละเอียดของทรัพยากรที่เชื่อมต่อกับเครือข่ายได้จากที่เดียว ในสาระสำคัญ Active Directory ทำหน้าที่เหมือนสมุดโทรศัพท์สำหรับเครือข่ายของคุณเพื่อให้คุณสามารถค้นหาและจัดการอุปกรณ์ได้อย่างง่ายดาย.

Active Directory ทำอะไร? 

มีสาเหตุหลายประการที่องค์กรใช้บริการไดเรกทอรีเช่น Active Directory เหตุผลหลักคือความสะดวกสบาย Active Directory ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบและจัดการทรัพยากรที่หลากหลายจากที่เดียว ข้อมูลรับรองการเข้าสู่ระบบเป็นแบบรวมเพื่อให้ง่ายต่อการจัดการอุปกรณ์หลายเครื่องโดยไม่ต้องป้อนรายละเอียดบัญชีเพื่อเข้าถึงแต่ละเครื่อง.

วิธีการตั้งค่า Active Directory (ด้วย RSAT) 

Active Directory คืออะไร การสอนทีละขั้นตอน

ในการเริ่มต้นคุณจะต้องตรวจสอบก่อนว่าคุณมี Windows Professional หรือ Windows Enterprise ติดตั้งไม่เช่นนั้นคุณจะไม่สามารถติดตั้งได้ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกล. จากนั้นทำดังต่อไปนี้:

สำหรับ Windows 10 เวอร์ชัน 1809:

  1. คลิกขวาที่ เริ่มต้น ปุ่มและไปที่ การตั้งค่า > ปพลิเคชัน > จัดการคุณสมบัติเพิ่มเติม > เพิ่มคุณสมบัติ.
  2. ตอนนี้เลือก RSAT: บริการโดเมน Active Directory และเครื่องมือไดเรกทอรีแบบ Lightweight.
  3. สุดท้ายให้เลือก ติดตั้ง จากนั้นไปที่ เริ่มต้น > เครื่องมือการดูแล Windows เพื่อเข้าถึง Active Directory เมื่อการติดตั้งเสร็จสมบูรณ์.


สำหรับ Windows 8 (และ Windows 10 เวอร์ชัน 1803) 

  1. ดาวน์โหลดและติดตั้งเครื่องมือผู้ดูแลเซิร์ฟเวอร์เวอร์ชันที่ถูกต้องสำหรับอุปกรณ์ของคุณ: Windows 8, Windows 10.
  2. จากนั้นคลิกขวาที่ เริ่มต้น ปุ่มและเลือก แผงควบคุม > โปรแกรม > โปรแกรมและคุณสมบัติ > เปิดหรือปิดคุณสมบัติ Windows.
  3. เลื่อนลงและคลิกที่ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกล ตัวเลือก.
  4. ตอนนี้คลิกที่ เครื่องมือการบริหารบทบาท.
  5. คลิกที่ เครื่องมือ AD DS และ AD LDS และยืนยัน เครื่องมือ AD DS ได้รับการตรวจสอบแล้ว.
  6. กด ตกลง.
  7. ไปที่ เริ่มต้น > เครื่องมือบริหาร บน เริ่มต้น เมนูเพื่อเข้าถึง Active Directory.

วิธีใช้ Active Directory: วิธีตั้งค่า Domain Controller, การสร้างผู้ใช้ Directory 

Active Directory คืออะไร การสอนทีละขั้นตอน

วิธีการตั้งค่าตัวควบคุมโดเมน

หนึ่งในสิ่งแรกที่คุณต้องทำเมื่อใช้ Active Directory คือการตั้งค่าตัวควบคุมโดเมน ตัวควบคุมโดเมนคือคอมพิวเตอร์ส่วนกลางที่จะตอบสนองต่อการร้องขอการตรวจสอบและรับรองความถูกต้องของคอมพิวเตอร์เครื่องอื่น ๆ ทั่วทั้งเครือข่าย ตัวควบคุมโดเมน เก็บข้อมูลการเข้าสู่ระบบของคอมพิวเตอร์เครื่องอื่นทั้งหมด และเครื่องพิมพ์.

คอมพิวเตอร์เครื่องอื่น ๆ ทั้งหมดเชื่อมต่อกับตัวควบคุมโดเมนเพื่อให้ผู้ใช้สามารถรับรองความถูกต้องทุกอุปกรณ์จากที่เดียว ข้อดีของการทำเช่นนี้คือผู้ดูแลระบบจะไม่ต้องจัดการข้อมูลรับรองการเข้าสู่ระบบหลายสิบรายการ.

กระบวนการตั้งค่าตัวควบคุมโดเมนนั้นค่อนข้างง่าย. กำหนดที่อยู่ IP แบบคงที่ให้กับ Domain Controller ของคุณ และ ติดตั้งบริการโดเมน Active Directory หรือ ADDS. ตอนนี้ทำตามคำแนะนำเหล่านี้:

  1. เปิด ผู้จัดการเซิร์ฟเวอร์ และคลิก บทสรุปบทบาท > เพิ่มบทบาทและคุณสมบัติ.
  2. คลิก ต่อไป.
  3. เลือก บริการเดสก์ท็อประยะไกล การติดตั้ง หากคุณกำลังปรับใช้ตัวควบคุมโดเมนในเครื่องเสมือนหรือเลือก การติดตั้งตามบทบาทหรือตามคุณสมบัติ.
  4. เลือกเซิร์ฟเวอร์จาก กลุ่มเซิร์ฟเวอร์.
  5. เลือก บริการโดเมน Active Directorys จากรายการและคลิก ต่อไป.
  6. ปล่อยให้ฟีเจอร์ที่ตรวจสอบเป็นค่าเริ่มต้นแล้วกด ต่อไป.
  7. คลิก รีสตาร์ทเซิร์ฟเวอร์ปลายทางโดยอัตโนมัติหากจำเป็น และคลิก ติดตั้ง. ปิดหน้าต่างเมื่อการติดตั้งเสร็จสิ้น.
  8. เมื่อติดตั้งบทบาท ADDS แล้วการแจ้งเตือนจะปรากฏขึ้นถัดจาก จัดการ เมนู. กด เลื่อนระดับเซิร์ฟเวอร์นี้เป็นตัวควบคุมโดเมน.
  9. ตอนนี้คลิก เพิ่มฟอเรสต์ใหม่ และป้อน ชื่อโดเมนรูท. กด ต่อไป.
  10. เลือก ระดับการทำงานของโดเมน คุณต้องการและป้อนรหัสผ่านใน พิมพ์โหมดการคืนค่าบริการไดเรกทอรี (รหัสผ่าน DSRM) มาตรา. คลิก ต่อไป.
  11. เมื่อหน้าตัวเลือก DNS แสดงขึ้นให้คลิก ต่อไป อีกครั้ง.
  12. ป้อนโดเมนใน ชื่อโดเมน NetBios กล่อง (โดยเฉพาะอย่างยิ่งเหมือนกับชื่อโดเมนหลัก) กด ต่อไป.
  13. เลือกโฟลเดอร์เพื่อจัดเก็บฐานข้อมูลและไฟล์บันทึกของคุณ คลิก ต่อไป.
  14. กด ติดตั้ง เพื่อเสร็จสิ้น ระบบของคุณจะรีบูท.


การสร้างผู้ใช้ Active Directory

ผู้ใช้ และ คอมพิวเตอร์ เป็นสองวัตถุพื้นฐานที่สุดที่คุณจะต้องจัดการเมื่อใช้ Active Directory ในส่วนนี้เราจะดูวิธีสร้างบัญชีผู้ใช้ใหม่ กระบวนการนี้ค่อนข้างง่ายและวิธีที่ง่ายที่สุดในการจัดการผู้ใช้คือผ่าน ผู้ใช้ Active Directory และคอมพิวเตอร์ หรือเครื่องมือ ADUC ที่มาพร้อมกับ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกล หรือ RSAT แพ็ค คุณสามารถติดตั้ง ADUC โดยทำตามคำแนะนำด้านล่าง:


ติดตั้ง ADUC บน Windows 10 เวอร์ชัน 1809 และสูงกว่า:

  1. คลิกขวาที่ เริ่มต้น ปุ่มและคลิก การตั้งค่า > ปพลิเคชัน, จากนั้นคลิก จัดการคุณสมบัติเพิ่มเติม > เพิ่มคุณสมบัติ.
  2. เลือก RSAT: บริการโดเมน Active Directory และเครื่องมือไดเรกทอรีแบบ Lightweight.
  3. เลือก ติดตั้ง และรอให้การติดตั้งเสร็จสมบูรณ์.
  4. ไปที่ เริ่มต้น > เครื่องมือการดูแล Windows เพื่อเข้าถึงคุณสมบัติ.


ติดตั้ง ADUC บน Windows 8 และ Windows 10 เวอร์ชั่น 1803 หรือต่ำกว่า: 

  1. ดาวน์โหลดและติดตั้งเครื่องมือผู้ดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows รุ่นของคุณ คุณสามารถทำได้จากลิงค์ใดลิงค์หนึ่งต่อไปนี้:
    เครื่องมือผู้ดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 10 เครื่องมือผู้ดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 8 หรือเครื่องมือผู้ดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 8.1.
  1. คลิกขวาที่ เริ่มต้น > แผงควบคุม > โปรแกรม > โปรแกรมและคุณสมบัติ > เปิดหรือปิดคุณสมบัติ Windows.
  2. เลื่อนลงและเลือก เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกล.
  3. ขยายตัว เครื่องมือผู้ดูแลบทบาท > เครื่องมือ AD DS และ AD LDS.
  4. ตรวจสอบ เครื่องมือ AD DS และกด ตกลง.
  5. ไปที่ เริ่มต้น > เครื่องมือบริหาร และเลือก ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.


วิธีการสร้างผู้ใช้ใหม่ด้วย ADUC 

  1. เปิด ผู้จัดการเซิร์ฟเวอร์, ไปที่ เครื่องมือ เมนูและเลือก ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.
  2. ขยายโดเมนและคลิก ผู้ใช้.
  3. คลิกขวาที่บานหน้าต่างด้านขวาแล้วกด ใหม่ > ผู้ใช้งาน.
  4. เมื่อช่อง New Object-User ปรากฏขึ้นให้ป้อน ชื่อจริง, นามสกุล, ชื่อเข้าสู่ระบบของผู้ใช้ และคลิก ต่อไป.
  5. ป้อนรหัสผ่านและกด ต่อไป.
  6. คลิก เสร็จสิ้น.
  7. บัญชีผู้ใช้ใหม่สามารถพบได้ใน ผู้ใช้ ส่วนของ ADUC.

กิจกรรมไดเรกทอรีที่ใช้งานอยู่เพื่อตรวจสอบ 

เช่นเดียวกับโครงสร้างพื้นฐานทุกรูปแบบ Active Directory จะต้องได้รับการตรวจสอบเพื่อป้องกันอย่างต่อเนื่อง การตรวจสอบบริการไดเรกทอรีเป็นสิ่งจำเป็นสำหรับการป้องกันการโจมตีทางไซเบอร์และส่งมอบประสบการณ์ผู้ใช้ปลายทางที่ดีที่สุดแก่ผู้ใช้ของคุณ.

ด้านล่างเราจะแสดงรายการกิจกรรมเครือข่ายที่สำคัญที่สุดที่คุณควรระวัง หากคุณเห็นเหตุการณ์ใด ๆ เหล่านี้คุณควรตรวจสอบโดยเร็วเพื่อให้แน่ใจว่าบริการของคุณจะไม่ถูกบุกรุก.

Windows Event IDLegacy Windows Event IDDescription ปัจจุบัน
4618 N / A รูปแบบเหตุการณ์ความปลอดภัยได้รับการยอมรับ.
4649 N / A ตรวจพบการโจมตีซ้ำ (อาจเป็นผลบวกปลอม).
4719 612 นโยบายการตรวจสอบระบบมีการเปลี่ยนแปลง.
4765 N / A เพิ่มประวัติ SID ไปยังบัญชี.
4766 N / A ความพยายามในการเพิ่มประวัติ SID ล้มเหลวในบัญชี.
4794 N / A พยายามเปิดใช้งานโหมดการคืนค่าบริการไดเรกทอรี.
4897 801 เปิดใช้งานการแยกบทบาท.
4964 N / A กลุ่มพิเศษได้รับการกำหนดให้เข้าสู่ระบบใหม่.
5124 N / A อัปเดตความปลอดภัยบนบริการตอบกลับ OCSP.
N / A 550 ศักยภาพการโจมตี DoS.
1102 517 ล้างบันทึกการตรวจสอบแล้ว.

ภาพรวมของป่าและต้นไม้ของ Active Directory 

ฟอเรสต์และต้นไม้เป็นคำศัพท์สองคำที่คุณจะได้ยินบ่อยมากเมื่อขุดเข้าไปใน Active Directory ข้อกำหนดเหล่านี้อ้างถึงโครงสร้างเชิงตรรกะของ Active Directory สั้น ๆ tree เป็นเอนทิตีที่มีโดเมนเดียวหรือกลุ่มวัตถุ ตามด้วยโดเมนลูก. ฟอเรสต์เป็นกลุ่มของโดเมน รวมกัน. เมื่อไหร่ ต้นไม้หลายต้นถูกจัดกลุ่มเข้าด้วยกันพวกเขากลายเป็นป่า.

ต้นไม้ในป่าเชื่อมต่อถึงกันผ่านทาง ความสัมพันธ์ที่เชื่อถือได้, ซึ่งทำให้โดเมนต่าง ๆ สามารถแบ่งปันข้อมูลได้ ทั้งหมด โดเมนจะเชื่อถือซึ่งกันและกันโดยอัตโนมัติ เพื่อให้คุณสามารถเข้าถึงได้ด้วยข้อมูลบัญชีเดียวกับที่คุณใช้ในโดเมนรูท.

แต่ละฟอเรสต์ใช้ฐานข้อมูลรวมเดียว อย่างมีเหตุผลป่าอยู่ในระดับสูงสุดของลำดับชั้นและต้นไม้อยู่ที่ด้านล่าง หนึ่งในความท้าทายที่ผู้ดูแลระบบเครือข่ายมีเมื่อทำงานกับ Active Directory คือการจัดการฟอเรสต์และทำให้ไดเรกทอรีปลอดภัย.

ตัวอย่างเช่นผู้ดูแลระบบเครือข่ายจะได้รับมอบหมายให้เลือกระหว่าง การออกแบบป่าเดี่ยว หรือ การออกแบบหลายป่า. การออกแบบฟอเรสต์เดียวนั้นง่ายราคาถูกและง่ายต่อการจัดการด้วยฟอเรสต์เดียวซึ่งประกอบด้วยเครือข่ายทั้งหมด ในทางตรงกันข้ามการออกแบบที่มีหลายฟอเรสต์แบ่งเครือข่ายออกเป็นฟอเรสต์ที่แตกต่างกันซึ่งดีต่อความปลอดภัย แต่ทำให้การบริหารมีความซับซ้อน.

ความสัมพันธ์ที่เชื่อถือได้ (และประเภทความน่าเชื่อถือ) 

ดังกล่าวข้างต้น trusts จะใช้เพื่ออำนวยความสะดวกในการสื่อสารระหว่างโดเมน Trusts เปิดใช้งานการรับรองความถูกต้องและการเข้าถึงทรัพยากรระหว่างสองหน่วยงาน ความน่าเชื่อถือสามารถเป็นทางเดียวหรือสองทางในธรรมชาติ ภายในความน่าเชื่อถือทั้งสองโดเมนจะถูกแบ่งออกเป็นโดเมนที่ไว้วางใจและโดเมนที่เชื่อถือได้.

ในความน่าเชื่อถือทางเดียว โดเมนที่เชื่อถือได้เข้าถึงรายละเอียดการตรวจสอบสิทธิ์ ของโดเมนที่เชื่อถือได้เพื่อให้ผู้ใช้สามารถเข้าถึงทรัพยากรจากโดเมนอื่น ในความน่าเชื่อถือแบบสองทางทั้งสองโดเมนจะยอมรับรายละเอียดการตรวจสอบความถูกต้องของอื่น ๆ ทั้งหมด โดเมนภายในฟอเรสต์เชื่อถือซึ่งกันและกันโดยอัตโนมัติ, แต่คุณสามารถตั้งค่าความน่าเชื่อถือระหว่างโดเมนในฟอเรสต์ต่าง ๆ เพื่อถ่ายโอนข้อมูล.

คุณสามารถสร้างความเชื่อมั่นผ่านทาง ตัวช่วยสร้างความน่าเชื่อถือใหม่. ตัวช่วยสร้างความเชื่อถือใหม่ เป็นตัวช่วยสร้างการกำหนดค่าที่ช่วยให้คุณสร้างความสัมพันธ์ที่เชื่อถือได้ใหม่ ที่นี่คุณสามารถดู ชื่อโดเมน, ประเภทความน่าเชื่อถือ, และ เกี่ยวกับสกรรมกริยา สถานะของ trusts ที่มีอยู่และเลือกประเภทของ trust ที่คุณต้องการสร้าง.

ประเภทความน่าเชื่อถือ 

มีประเภทของความน่าเชื่อถือใน Active Directory เราได้แสดงรายการไว้ในตารางด้านล่าง:

ความน่าเชื่อถือ TypeTransit TypeDirectionDefault?
ผู้ปกครองและเด็ก เกี่ยวกับสกรรมกริยา สองทาง ใช่ ความน่าเชื่อถือของแม่และลูกจะถูกสร้างขึ้นเมื่อมีการเพิ่มโดเมนลูกลงในทรีของโดเมน.
ต้นไม้ราก เกี่ยวกับสกรรมกริยา สองทาง ใช่ ความน่าเชื่อถือของทรีรากจะถูกสร้างขึ้นในขณะที่ทรีโดเมนถูกสร้างขึ้นภายในฟอเรสต์.
ภายนอก Non-สกรรมกริยา ทางเดียวหรือสองทาง ไม่ ให้การเข้าถึงทรัพยากรในโดเมน Windows NT 4.0 หรือโดเมนที่อยู่ในฟอเรสต์อื่นที่ไม่ได้รับการสนับสนุนจากความน่าเชื่อถือฟอเรสต์.
ดินแดน สกรรมกริยาหรือไม่สกรรมกริยา ทางเดียวหรือสองทาง ไม่ สร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมนที่ไม่ใช่ Windows Kerberos และโดเมน Windows Server 2003.
ป่า เกี่ยวกับสกรรมกริยา ทางเดียวหรือสองทาง ไม่ แบ่งปันทรัพยากรระหว่างป่าไม้.
ทางลัด เกี่ยวกับสกรรมกริยา ทางเดียวหรือสองทาง ไม่ ลดเวลาการเข้าสู่ระบบของผู้ใช้ระหว่างสองโดเมนภายในฟอเรสต์ Windows Server 2003.

การรายงาน Active Directory พร้อมตัวจัดการสิทธิ์การเข้าถึง SolarWinds (ทดลองใช้ฟรี)

การสร้างรายงานใน Active Directory เป็นสิ่งจำเป็นสำหรับการเพิ่มประสิทธิภาพและการปฏิบัติตามกฎระเบียบ หนึ่งในเครื่องมือการรายงาน Active Directory ที่ดีที่สุดคือ SolarWinds Access Rights Manager (ARM). เครื่องมือถูกสร้างขึ้นเพื่อเพิ่มการมองเห็นวิธีการใช้และจัดการข้อมูลประจำตัวของไดเรกทอรี ตัวอย่างเช่นคุณสามารถดูบัญชีที่มีการกำหนดค่าที่ไม่ปลอดภัยและการละเมิดข้อมูลประจำตัวที่อาจบ่งบอกถึงการโจมตีทางไซเบอร์.

ผู้จัดการสิทธิ์การเข้าถึง SolarWinds

ใช้เครื่องมือของบุคคลที่สามเช่น ผู้จัดการสิทธิ์การเข้าถึง SolarWinds มีประโยชน์เพราะช่วยให้คุณได้รับข้อมูลและคุณสมบัติที่จะเข้าถึงหรือไม่ผ่าน Active Directory ได้ยากขึ้นหรือเป็นไปไม่ได้.

เช่นเดียวกับการสร้างรายงานที่คุณสามารถ ลบบัญชีที่ไม่ใช้งานหรือหมดอายุโดยอัตโนมัติ เป้าหมายของอาชญากรไซเบอร์. ผู้จัดการสิทธิ์การเข้าถึง SolarWinds เริ่มต้นที่ $ 3,444 (£ 2,829) นอกจากนี้ยังมี ทดลองใช้ฟรี 30 วัน เวอร์ชั่นที่คุณสามารถดาวน์โหลดได้.

SolarWinds Access Rights Manager ดาวน์โหลดทดลองใช้ฟรี 30 วัน

บทแนะนำ Active Directory: พื้นฐาน 

Active Directory เป็นหนึ่งในเครื่องมือที่ดีที่สุดสำหรับการจัดการทรัพยากรในเครือข่ายของคุณ ในบทความนี้เราเพิ่งขีดข่วนพื้นผิวของศักยภาพของเครื่องมือนี้ หากคุณใช้ Active Directory โปรดจำไว้ว่านี่เป็นจุดเริ่มต้นที่เป็นไปได้สำหรับผู้โจมตีทางไซเบอร์ การจดบันทึกเหตุการณ์สำคัญของไดเรกทอรีและใช้การตรวจสอบไดเรกทอรีจะช่วยลดความเสี่ยงของการโจมตีที่เป็นอันตรายและปกป้องความพร้อมใช้งานของบริการของคุณ.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

15 − 13 =

Adblock
detector