Active Directory-ning eng yaxshi tajribalari

Har bir AD domenida quyidagi rollar bo'lishi kerak:

• 
  Nisbiy ID ustasi - domen boshqaruvchilariga nisbiy identifikatorlarni ajratadi. Har safar foydalanuvchi, guruh yoki kompyuter ob'ekti yaratilganda boshqaruvchilar ob'ektga domen xavfsizligi identifikatori va nisbiy identifikator egasi tomonidan ajratilgan noyob identifikatordan iborat xavfsizlikning noyob identifikatorini tayinlashadi. Hozirgi vaqtda qaysi server nisbiy domen identifikatorlarining ustasi ekanligini aniqlash uchun buyruq satriga dsquery serverini kiriting -hasfsmo rid
  
• 
  PDC emulyatori - aralash yoki oraliq rejimda domen asosiy Windows NT domeni boshqaruvchisi sifatida ishlaydi. U Windows kirishini tasdiqlaydi, parolni o'zgartirishni qayta ishlaydi va agar mavjud bo'lsa, BDC-ga yangilanishlarni takrorlaydi. Xozirgi kunda qaysi server PDC emulyatori domeni ekanligini aniqlash uchun buyruq satriga dsquery server -hasfsmo pdc kiriting.
  
• 
  Infratuzilma ustasi - katalog ma'lumotlarini GC ma'lumotlari bilan taqqoslab, ob'ektlarning bog'lanishlarini yangilaydi. Agar ma'lumotlar eskirgan bo'lsa, u GC-dan yangilanishlarni talab qiladi va ularni domen kontrollerlarining qolgan qismiga tarqatadi. Hozirda qaysi server domen infratuzilmasi ustasi ekanligini aniqlash uchun buyruq satriga dsquery server -hasfsmo infr kiriting.
  

Operatsiyalar bosh rollari avtomatik ravishda domendagi birinchi boshqaruvchiga tayinlanadi, ammo keyinchalik uni qayta tayinlashingiz mumkin. Agar domenda faqat bitta nazoratchi bo'lsa, u birdaniga operatsiya ustalarining barcha rollarini bajaradi.

Sxema ustasi va domen nomlari bo'yicha master rollarini tarqatish tavsiya etilmaydi. Iloji bo'lsa, ularni bitta domen boshqaruvchisiga tayinlang. Maksimal samaradorlik uchun nisbiy identifikator ustasi va PDC emulyatori ham bir xil boshqaruvchida bo'lishi maqsadga muvofiq, garchi agar zarur bo'lsa, ushbu rollarni ajratish mumkin. Katta yuklar sekinlashadigan katta tarmoqda nisbiy identifikator ustasi va PDC emulyatori turli kontrolörlerde joylashgan bo'lishi kerak. Bunga qo'shimcha ravishda, infratuzilma xostini global katalogni saqlaydigan domen boshqaruvchisiga joylashtirish tavsiya etilmaydi.

Windows Server 2003 ga asoslangan domen boshqaruvchisini (DC) Active Directory O'rnatish Sehrgaridan foydalanib o'rnating

Domen boshqaruvchisini o'rnatish Active Directory O'rnatish ustasi yordamida amalga oshiriladi. Domen boshqaruvchisiga server holatini oshirish uchun siz barcha kerakli talablarga javob berishingizga ishonch hosil qilishingiz kerak:

1. 
   SYSVOL tizim hajmini qabul qilish uchun serverda kamida bitta NTFS bo'limi bo'lishi kerak.
   
2. 
   Server DNS serveriga kirish huquqiga ega bo'lishi kerak. DNS xizmatini xuddi shu serverga o'rnatish tavsiya etiladi. Agar siz alohida serverdan foydalanayotgan bo'lsangiz, uning xizmat manzilini saqlash yozuvlarini (RFC 2052) va Dynamic Updates protokolini (RFC 2136) qo'llab-quvvatlayotganiga ishonch hosil qilishingiz kerak.
   
3. 
   Serverda mahalliy ma'mur huquqlariga ega hisob qaydnomangiz bo'lishi kerak.
   

Active Directory domenlarini boshqarish asoslari

Microsoft Management Console (MMC) biriktirmalaridagi bir qator vositalar Active Directory bilan ishlashni soddalashtiradi.

Tez ulanish (Active Directory Users and Computers) bu MMC boshqaruv konsolidir, siz undan ma'muriyat va katalogga ma'lumotlarni nashr etishda foydalanishingiz mumkin. Bu foydalanuvchilar, guruhlar va kompyuterlar bilan bog'liq barcha vazifalarni bajarish uchun, shuningdek, tashkiliy birliklarni boshqarish uchun ishlatiladigan asosiy Active Directory boshqaruv vositasidir.

O'chirishni boshlash uchun (Active Directory Foydalanuvchilar va Kompyuterlar) Ma'muriy vositalar menyusida xuddi shu nomdagi buyruqni tanlang.

Odatiy bo'lib, Active Directory Foydalanuvchilar va Kompyuterlar konsoli sizning kompyuteringiz domen bilan ishlaydi. Siz ushbu domendagi kompyuterlar va foydalanuvchilarning ob'ektlariga konsol daraxti orqali kirishingiz yoki boshqa domenga ulanishingiz mumkin. Xuddi shu konsolning vositalari sizga ob'ektlarning qo'shimcha parametrlarini ko'rishga va ularni qidirishga imkon beradi.

Domenga kirish orqali siz standart papkalarni ko'rasiz:

• 
  Saqlangan so'rovlar (Saqlangan so'rovlar) - avval saqlangan qidiruv mezonlari, Active Directory-da oldingi qidiruvni tezda takrorlashga imkon beradi;
  
• 
  Builtin - o'rnatilgan foydalanuvchi hisoblarining ro'yxati;
  
• 
  Kompyuterlar - kompyuter hisoblari uchun standart konteyner;
  
• 
  Domen nazoratchilari - domen boshqaruvchilari uchun odatiy konteyner;
  
• 
  ForeignSecurity Printsiplari - ishonchli tashqi domendagi ob'ektlar to'g'risidagi ma'lumotlarni o'z ichiga oladi. Odatda, ushbu ob'ektlar tashqi domendagi ob'ekt joriy domen guruhiga qo'shilganda yaratiladi;
  
• 
  Foydalanuvchilar - foydalanuvchilar uchun standart konteyner.
  

• 
  LostAndFound - egasini yo'qotgan, katalog ob'ektlari;
  
• 
  NTDS kvotalari - katalog xizmati kvotalari;
  
• 
  Dastur ma'lumotlari - Microsoft dasturlari uchun katalog xizmatida saqlanadigan ma'lumotlar;
  
• 
  Tizim - o'rnatilgan tizim parametrlari.
  

Domen foydalanuvchi hisobini yaratish misolini ko'rib chiqing. Foydalanuvchi qayd yozuvini yaratish uchun foydalanuvchi hisobini joylashtirmoqchi bo'lgan konteynerni sichqonchaning o'ng tugmasi bilan bosing, kontekst menyusidan Yangi-ni tanlang va keyin User-ni tanlang. Yangi ob'ekt - foydalanuvchi ustasi oynasi ochiladi:

1. 
   Tegishli maydonlarda foydalanuvchining ismini, ismini va familiyasini kiriting. Ko'rsatiladigan foydalanuvchi nomini yaratish uchun ushbu ma'lumotlar talab qilinadi.
   
2. 
   To'liq ismni tahrirla. U domenda noyob bo'lishi kerak va uzunligi 64 belgidan oshmasligi kerak.
   
3. 
   Kirish nomini kiriting. Hisob bilan bog'lanadigan domenni tanlash uchun ochiladigan ro'yxatdan foydalaning.
   
4. 
   Agar kerak bo'lsa, Windows NT 4.0 yoki undan oldingi tizimga kirish uchun foydalanuvchi nomini o'zgartiring. Odatiy bo'lib, to'liq foydalanuvchi ismining dastlabki 20 belgisi Windowsning oldingi versiyalari bo'lgan tizimlar uchun login nomi sifatida ishlatiladi. Ushbu nom domenda ham noyob bo'lishi kerak.
   
5. 
   Bosing Keyingi. Foydalanuvchi uchun parolni kiriting. Uning parametrlari parol siyosatingizga mos kelishi kerak;
   Parolni tasdiqlash - kiritilgan parolning to'g'riligini tasdiqlash uchun ishlatiladigan maydon;
   Keyingi tizimga kirishda foydalanuvchi parolni o'zgartirishi kerak  (Keyingi kirishda parolni o'zgartirishni talab qiling) - agar ushbu katakcha belgilangan bo'lsa, foydalanuvchi keyingi kirishda parolni o'zgartirishi kerak bo'ladi;
   Foydalanuvchi parolni o'zgartira olmaydi - agar ushbu katakcha belgilangan bo'lsa, foydalanuvchi parolni o'zgartira olmaydi;
   Parol hech qachon tugamaydi - agar ushbu katakcha tanlangan bo'lsa, ushbu hisob uchun parol muddati tugamaydi (ushbu parametr hisob qaydnomalarining domen siyosatini bekor qiladi);
   Hisob qaydnomasi o'chirilgan - agar ushbu katakcha tanlangan bo'lsa, hisob ishlamaydi (parametr kimnidir ushbu hisobdan vaqtincha foydalanishni taqiqlash uchun qulay).
   

Kirish skriptlari har bir kirishda bajariladigan buyruqlarni belgilaydi. Ular tizim vaqtini, tarmoq printerlarini, tarmoq drayvlariga o'tish yo'llarini va boshqalarni sozlash imkonini beradi. Skriptlar buyruqlarni bir marta ishlatish uchun ishlatiladi, skriptlar tomonidan belgilangan muhit sozlamalari keyinchalik foydalanish uchun saqlanmaydi. Kirish skriptlari .VBS, .JS va boshqa kengaytmali Windows skript serverlari fayllari, kengaytmali fayllar .BAT, kengaytmali fayllar .CMD, .EXE kengaytmali dasturlar.

Har bir hisob qaydnomasi foydalanuvchi fayllarini saqlash va tiklash uchun o'z uy papkasini tayinlashi mumkin. Ko'pgina dasturlar fayllarni ochish va saqlash uchun odatiy ravishda uy papkasini ochadi, bu foydalanuvchilarga ma'lumotlarni topishni osonlashtiradi. Buyruq satrida uy papkasi dastlabki joriy katalogdir. Uy papkasi foydalanuvchining mahalliy qattiq diskida ham, umumiy tarmoq diskida ham bo'lishi mumkin.

Guruh siyosati kompyuter va foydalanuvchi domenlari hisoblariga qo'llanilishi mumkin. Guruh siyosati ma'murlarga foydalanuvchilar va kompyuterlarning imtiyozlari, ruxsatnomalari va imkoniyatlari ustidan markazlashtirilgan boshqaruvni berish orqali boshqaruvni soddalashtiradi. Guruh siyosati sizga quyidagilarga imkon beradi:

• 
  mening hujjatlarim kabi markazlashtirilgan boshqariladigan maxsus papkalarni yarating
  
• 
  windows tarkibiy qismlariga, tizim va tarmoq manbalariga, boshqaruv paneli asboblariga, ish stoliga va Ishga tushirish menyusiga kirishni boshqarish;
  
• 
  vazifani belgilangan vaqtda bajarish uchun foydalanuvchi va kompyuter skriptlarini sozlang.
  
• 
  parol va hisobni blokirovka qilish siyosati, audit, foydalanuvchi huquqlari va xavfsizligini sozlang.
  

Naychalash Active Directory domenlari va ishonchlari  (Active Directory - Domenlar va Ishonchlar) domenlar, domen daraxtlari va domen o'rmonlari bilan ishlashda ishlatiladi.

Naychalash Active Directory saytlari va xizmatlari  (Active Directory - saytlar va xizmatlar) saytlar va subnetlarni boshqarish, shuningdek saytlararo ko'paytirishni boshqarish imkonini beradi.

AD ob'ektlarini boshqarish uchun turli xil ma'muriy vazifalarni bajarishga imkon beradigan buyruq satri vositalari mavjud:

• 
  Dadad - Active Directory-ga kompyuterlar, kontaktlar, guruhlar, tashkiliy bo'linmalar va foydalanuvchilarni qo'shadi. Yordam uchun, dsadd /? masalan dsadd kompyuter /?
  
• 
  Dsmod - Active Directory-da ro'yxatdan o'tgan kompyuterlar, kontaktlar, guruhlar, tashkiliy birliklar, foydalanuvchilar va serverlarning xususiyatlarini o'zgartiradi. Yordam uchun dsmod /? Deb yozing. masalan, dsmod server /?
  
• 
  Dsmove - Bitta ob'ektni domen ichidagi yangi joyga ko'chiradi yoki harakatlanmasdan ob'ekt nomini o'zgartiradi.
  
• 
  Dsget - Active Directory-da ro'yxatga olingan kompyuterlar, kontaktlar, guruhlar, tashkiliy birliklar, foydalanuvchilar, saytlar, subnetlar va serverlarning xususiyatlarini namoyish etadi. Yordam uchun, dsget /? masalan, dsget pastki tarmog'i /?
  
• 
  Dsquery - Belgilangan belgilarga muvofiq Active Directory-dagi kompyuterlar, kontaktlar, guruhlar, tashkiliy bo'linmalar, foydalanuvchilar, saytlar, subnetlar va serverlarni qidirish.
  
• 
  Dsrm - ob'ektni Active Directory-dan o'chiradi.
  
• 
  Ntdsutil - sayt, domen yoki server haqidagi ma'lumotlarni ko'rishga, operatsiyalar ustalarini (operatsiyalar ustalari) boshqarish va Active Directory ma'lumotlar bazasini saqlashga imkon beradi.
  

• 
  Ldp - Active Directory Administration-da LDAP operatsiyalarini bajaradi.
  
• 
  Javob - Replikatsiyani boshqaradi va natijalarini grafik interfeysda namoyish etadi.
  
• 
  Dacacls - Active Directory ob'ektlari uchun ACL-larni (kirishni boshqarish ro'yxatlari) boshqaradi.
  
• 
  Dfsutil - tarqatilgan fayl tizimini (Distribution File System, DFS) boshqaradi va uning ishi haqida ma'lumotni namoyish etadi.
  
• 
  Dnscmd - Serverlar, zonalar va DNS resurslar yozuvlarining xususiyatlarini boshqaradi.
  
• 
  Ko'chirish - Ob'ektlarni bir domendan boshqasiga o'tkazadi.
  
• 
  Repadmin - Replikatsiyani boshqaradi va natijalarini buyruq satri oynasida namoyish etadi.
  
• 
  Sdcbeck - Kirishni boshqarish ro'yxatlarini tarqatish, ko'paytirish va meros qilib olishni tahlil qiladi.
  
• 
  Sidwalker - ilgari ko'chirilgan, o'chirilgan yoki yo'qolgan hisoblarga tegishli bo'lgan ob'ektlar uchun kirishni boshqarish ro'yxatini belgilaydi.
  
• 
  Netdom - Buyruqlar satridan domenlar va ishonchlarni boshqarishga imkon beradi.
  

U uzoq vaqtdan beri tarmoq infratuzilmasini mantiqiy qurishning konservativ tamoyillari toifasiga kiritilgan. Ammo ko'pgina ma'murlar o'z ishlarida Windows NT ishchi guruhlari va domenlaridan foydalanishda davom etadilar. Katalog xizmatini joriy etish tarmoqni boshqarishni markazlashtirish va xavfsizlikning tegishli darajasini ta'minlash uchun ham tajribali, ham tajribali ma'murlar uchun qiziqarli va foydali bo'ladi.

Active Directory - olti yil oldin Win2K tizimlari tizimida paydo bo'lgan texnologiya inqilobiy deb ta'riflanishi mumkin edi. O'zining moslashuvchanligi va miqyosi jihatidan, u ishchi guruhlaridan tashkil topgan tarmoqlarni nazarda tutmasdan, kattalik tartibida NT 4 domenlaridan ustundir.

Ular ko'lami bo'yicha bo'linadi:

• 
  universal guruhlarga o'rmon ichidagi foydalanuvchilar, shuningdek boshqa universal guruhlar yoki o'rmonning har qanday domenining global guruhlari kirishi mumkin;
  
• 
  domen global guruhlariga domen foydalanuvchilari va bir xil domenning boshqa global guruhlari kirishi mumkin;
  
• 
  mahalliy domen guruhlari kirish huquqlarini farqlash uchun ishlatiladi, domen foydalanuvchilari, shuningdek universal va global o'rmonda joylashgan har qanday domenning global guruhlarini o'z ichiga olishi mumkin;
  
• 
  mahalliy kompyuter guruhlari - mahalliy mashinaning SAM (xavfsizlik hisobi menejeri) tarkibiga kiruvchi guruhlar. Ularning tarqatish maydoni faqat ushbu mashina tomonidan cheklangan, ammo ular o'z ichiga kompyuter joylashgan domenning mahalliy guruhlarini, shuningdek, o'zlarining domenlarining universal va global guruhlarini yoki ular ishonadigan boshqa guruhlarni o'z ichiga olishi mumkin. Masalan, siz mahalliy foydalanuvchi domenidagi foydalanuvchilarni mahalliy mashinaning Ma'murlar guruhiga kiritishingiz mumkin va shu bilan unga administrator huquqlarini berishingiz mumkin, ammo faqat ushbu kompyuter uchun.
  

Bu katalog xizmatini jismoniy jihatdan ajratishning bir usuli. Ta'rifga ko'ra, sayt tezkor ma'lumotlar uzatish kanallari orqali ulangan kompyuterlar guruhidir.

Masalan, mamlakatning turli burchaklarida past tezlikli aloqa liniyalari bilan bog'langan bir nechta filiallaringiz bo'lsa, unda har bir filial uchun o'z veb-saytingizni yaratishingiz mumkin. Bu katalogni ko'paytirishning ishonchliligini oshirish uchun amalga oshiriladi.

ADning bunday bo'linishi mantiqiy qurilish tamoyillariga ta'sir qilmaydi, shuning uchun sayt bir nechta domenlarni o'z ichiga olishi mumkin va aksincha, domen bir nechta saytlarni o'z ichiga olishi mumkin. Ammo bunday katalog xizmati topologiyasi juda muhimdir. Qoidaga ko'ra, Internet filiallar bilan aloqa qilish uchun ishlatiladi - bu juda xavfli muhit. Ko'pgina kompaniyalar xavfsizlik devorlari kabi xavfsizlik xususiyatlaridan foydalanadilar. O'z ishida katalog xizmati bir yarim o'nga yaqin port va xizmatlardan foydalanadi, ularning ochilishi xavfsizlik devori orqali o'tishi mumkin. Muammoning echimi tunnel texnologiyasidan foydalanish, shuningdek AD mijozlarining so'rovlarini tezlashtirish uchun har bir saytda domen boshqaruvchisining mavjudligi.

Katalog xizmatining mohiyati

Ma'lum bir xavfsizlik darajasini ta'minlash uchun har qanday operatsion tizimda foydalanuvchi ma'lumotlar bazasini o'z ichiga olgan fayllar bo'lishi kerak. Windows NT ning oldingi versiyalarida SAM fayli (Security Accounts Manager) ishlatilgan. Unda foydalanuvchi hisob ma'lumotlari bo'lgan va shifrlangan. Bugungi kunda SAM NT 5 oilasining operatsion tizimlarida ham qo'llaniladi (Windows 2000 va undan yuqori versiyalar).

A'zo server rolini DCPROMO buyrug'i yordamida domen boshqaruvchisiga yangilaganingizda (aslida u katalog xizmatini o'rnatish ustasini ishga tushiradi), Windows Server 2000/2003 xavfsizlik quyi tizimi markazlashtirilgan AD ma'lumotlar bazasidan foydalanishni boshlaydi. Buni osongina tekshirish mumkin - domenni yaratgandan so'ng, boshqaruvchida Computer Management-ning kirishini ochib ko'ring va u erda "Mahalliy foydalanuvchilar va guruhlar" ni toping. Bundan tashqari, ushbu serverga mahalliy hisob ostida kirishga harakat qiling. Muvaffaqiyatga erishishingiz dargumon.

Ko'pgina foydalanuvchi ma'lumotlari NTDS.DIT \u200b\u200b(Katalog ma'lumotlari daraxti) faylida saqlanadi. NTDS.DIT \u200b\u200b- bu o'zgartirilgan ma'lumotlar bazasi. U Microsoft Access ma'lumotlar bazasi bilan bir xil texnologiyalar yordamida yaratilgan. Domen nazoratchilarining ishlash algoritmlarida ESE (Extensible Storage Engine - Extensible Storage Engine) deb nomlangan Access ma'lumotlar bazasi JET dvigatelining bir varianti mavjud. NTDS.DIT \u200b\u200bva ushbu fayl bilan o'zaro aloqani ta'minlaydigan xizmatlar, aslida katalog xizmati.

Maqolada AD mijozlarining o'zaro aloqasi va asosiy ma'lumotlar ombori, katalog xizmatining nomlari maydoniga o'xshaydi. To'liqlik uchun global identifikatorlardan foydalanish kerakligini eslatib o'tish kerak. Global noyob identifikator (GUID) bu 128 bitli raqam bo'lib, har bir ob'ekt o'ziga xoslikni ta'minlash uchun yaratilganida taqqoslanadi. AD ob'ektining nomini o'zgartirish mumkin, lekin GUID o'zgarmas qoladi.

Global katalog

Shubhasiz, siz AD tuzilishi juda murakkab va juda ko'p ob'ektlarni o'z ichiga olishi mumkinligini payqadingiz. Shunisi e'tiborga loyiq narsa, AD domeni 1,5 milliontagacha ob'ektlarni o'z ichiga olishi mumkin. Ammo, shu sababli, operatsiyalar paytida ishlash bilan bog'liq muammolar paydo bo'lishi mumkin. Ushbu muammo Global katalog (,) yordamida hal qilinadi. Unda barcha AD o'rmonining qisqartirilgan versiyasi mavjud bo'lib, u ob'ektlarni qidirishni tezlashtirishga yordam beradi. Global katalog bu uchun maxsus mo'ljallangan domen nazoratchilariga tegishli bo'lishi mumkin.

Rollar

O'rmon ichida, domen o'rmoniga yangi domen qo'shilganda domen nomlarining noyobligi kafolati bo'lishi kerak. Bunday kafolat domen nomini berish operatsiyasining egasi rolini ijrochisi tomonidan ta'minlanadi ( Domen nomlash ustasi) Sxema egasi rolini ijrochisi ( Sxema bo'yicha usta) katalog sxemasidagi barcha o'zgarishlarni amalga oshiradi. Domen nomi egasi va sxemasi egasining rol ijrochilari domen o'rmonida noyob bo'lishi kerak.

Aytganimdek, ob'ektni yaratishda, uning o'ziga xosligini kafolatlaydigan global identifikator bilan taqqoslanadi. Shuning uchun GUID-ni yaratishga va nisbiy identifikatorlarning egasi sifatida ishlaydigan kontrolator ( Nisbiy ID ustasi), domen ichida yagona bo'lishi kerak.

NT domenlaridan farqli o'laroq, AD PDC va BDC (asosiy va zaxira domen kontrollerlari) tushunchalariga ega emas. FSMO rollaridan biri bu PDC emulyatori (asosiy domen boshqaruvchisining emulyatori). Windows NT Server-da ishlaydigan server AD-da zaxira domeni boshqaruvchisi sifatida harakat qilishi mumkin. Ammo ma'lumki, NT domenlarida faqat bitta asosiy kontrollerdan foydalanish mumkin. Shuning uchun Microsoft bitta AD domeni doirasida bitta serverni - PDC Emulator rolini tashuvchisini belgilashimiz uchun shunday qildi. Shunday qilib, terminologiyadan chiqib, FSMO rolining egasini yodda tutgan holda asosiy va zaxira domen kontrollerlari mavjudligi haqida gapirish mumkin.

Ob'ektlarni o'chirish va ko'chirishda, boshqaruvchilardan biri replikatsiya tugaguniga qadar ushbu ob'ektga ulanishni saqlab turishi kerak. Ushbu rolni katalog infratuzilmasi egasi o'ynaydi ( Infratuzilma ustasi).

So'nggi uchta rol rassomning domen ichida o'ziga xosligini talab qiladi. Barcha rollar o'rmonda yaratilgan birinchi boshqaruvchiga beriladi. Tarqalgan AD infratuzilmasini yaratishda siz ushbu rollarni boshqa boshqaruvchilarga topshirishingiz mumkin. Rollardan birining egasi bo'lmaganda (server ishlamay qoldi) vaziyatlar ham yuzaga kelishi mumkin. Bunday holda, yordamchi dastur yordamida FSMO rolini yozib olish operatsiyasini bajarish kerak NTDSUTIL(Keyingi maqolalarda uning ishlatilishi haqida gaplashamiz). Ammo ehtiyot bo'lishingiz kerak, chunki siz rolni qabul qilayotganda, katalog xizmati avvalgi egasi yo'qligiga ishonadi va u bilan umuman aloqa qilmaydi. Rolning oldingi aktyori tarmog'iga qaytish uning ishlashini buzilishiga olib kelishi mumkin. Bu ayniqsa sxema egasi, domen nomlari egalari va identifikatorlarning egalari uchun juda muhimdir.

Ishlash to'g'risida: asosiy domen boshqaruvchisi emulyatori roli kompyuter resurslarida eng talabchan, shuning uchun uni boshqa boshqaruvchiga berish mumkin. Qolgan rollar unchalik talabchan emas, shuning uchun ularni tarqatayotganda, sizning AD sxemangizning mantiqiy tuzilishining nuanslariga amal qilishingiz mumkin.
Teoristning so'nggi bosqichi

Maqolani o'qish sizni umuman nazariyotshunoslardan amaliyotga o'tkazmasligi kerak. Chunki, tarmoq tugunlarining joylashuvidan boshlab, barcha katalogning mantiqiy tuzilishigacha bo'lgan barcha omillarni hisobga olmaguncha, biznesni boshlashdan bosh tortmaslik va AD o'rnatish ustasi savollariga oddiy javoblar bilan domen yaratish kerak emas. Domeningiz qanday nomlanishini o'ylab ko'ring va agar siz uning filiallarini yaratmoqchi bo'lsangiz, ular qanday belgilar bilan nomlanadi. Agar sizning tarmog'ingiz ishonchsiz aloqa kanallari bilan ulangan bir nechta segmentga ega bo'lsa, saytlardan foydalanishni o'ylab ko'ring.

ADni o'rnatishda qo'llanma sifatida maqolalar va Microsoft ma'lumot bazasidan foydalanishni tavsiya etaman.

Va nihoyat, bir nechta maslahatlar:

• 
  Iloji bo'lsa, PDC emulyatori va proksi serverning rollarini bir xil mashinada birlashtirmaslikka harakat qiling. Birinchidan, tarmoqda va Internetda ishlaydigan ko'plab mashinalar bilan serverga yuk ortadi, ikkinchidan, sizning proksi-serveringizga muvaffaqiyatli hujum qilinganida, nafaqat Internet, balki asosiy domen boshqaruvchisi ham "tushadi" va bu butun tarmoqning noto'g'ri ishlashiga olib keladi.
  
• 
  Agar siz doimiy ravishda mahalliy tarmoqni boshqarib tursangiz va mijozlar uchun Active Directory-ni amalga oshirishni boshlamasangiz, asta-sekin, kuniga to'rtdan beshgacha domenga mashinalarni qo'shing. Agar siz tarmoqda juda ko'p sonli (50 yoki undan ortiq) dastgohingiz bo'lsa va uni yakka o'zi boshqarsangiz, hatto hafta oxiri ham boshqarishingiz dargumon va agar boshqarsangiz, hamma narsa qay darajada to'g'ri bo'lishi noma'lum. Bundan tashqari, tarmoq ichidagi hujjatlar bilan almashish uchun siz fayl yoki ichki pochta serveridan foydalanishingiz mumkin (bu men 2006 yil 11-sonda tasvirlangan). Bu holatda yagona narsa fayl serveriga kirish uchun foydalanuvchi huquqlarini qanday sozlashni to'g'ri aniqlashdir. Chunki, masalan, agar u domenga kiritilmagan bo'lsa, foydalanuvchi autentifikatsiyasi mahalliy SAM ma'lumotlar bazasidagi yozuvlarga asoslanadi. Domen foydalanuvchilari to'g'risida ma'lumotlar yo'q. Ammo, agar sizning fayl serveringiz AD ichiga kiradigan birinchi mashinalar orasida bo'lsa va domen boshqaruvchisi bo'lmasa, unda mahalliy SAM ma'lumotlar bazasi va AD hisob bazasi orqali autentifikatsiya qilish imkoniyati paydo bo'ladi. Ammo oxirgi variant uchun mahalliy xavfsizlik sozlamalarida domen a'zolari va mahalliy hisoblarga tarmoq orqali fayl serveriga kirishga ruxsat berishingiz kerak bo'ladi.
  

Ilova

Windows Server 2003-ning chiqarilishi bilan Active Directory-da quyidagi o'zgarishlar yuzaga keldi:

• 
  Domen yaratilgandan keyin uning nomini o'zgartirish mumkin bo'ldi.
  
• 
  Foydalanuvchi interfeysi boshqaruvi yaxshilandi. Masalan, bir vaqtning o'zida bir nechta ob'ektlarning xususiyatlarini o'zgartirishingiz mumkin.
  
• 
  Yaxshi Group Policy Management Console vositasi paydo bo'ldi - Group Policy Management Console (gpmc.msc, uni Microsoft veb-saytidan yuklab olish kerak).
  
• 
  Domen va o'rmonning funktsional darajalari o'zgardi.
  

• 
  Windows 2000 aralashtirilgan (aralash Windows 2000). Windows NT va Windows 2000/2003-ning har xil versiyalari kontrollerlariga ega bo'lishga ruxsat beriladi. Bundan tashqari, agar Windows 2000/2003 serverlari teng bo'lsa, unda NT server, yuqorida aytib o'tilganidek, faqat zaxira domen boshqaruvchisi sifatida ishlay oladi.
  
• 
  Windows 2000 Native (tabiiy Windows 2000). Windows Server 2000/2003-da ishlaydigan kontrollerlarga ruxsat berilgan. Ushbu daraja ko'proq funktsionaldir, ammo uning cheklovlari mavjud. Masalan, siz domen kontrollerlarining nomini o'zgartira olmaysiz.
  
• 
  Windows Server 2003 oraliq (Windows Server 2003 Intermediate) Windows NT bilan bir qatorda Windows Server 2003 bilan ishlaydigan kontrollerlarga ruxsat beriladi. Masalan, Windows NT serverida ishlaydigan asosiy domen boshqaruvchisi W2K3 ga yangilanganda ishlatiladi. Ushbu daraja Windows 2000 Native darajasiga qaraganda biroz ko'proq funktsional imkoniyatlarga ega.
  
• 
  Windows Server 2003. Domenda faqat Windows Server 2003 bilan ishlaydigan domen kontrollerlariga ruxsat berilgan va bu darajada siz Windows Server 2003 katalog xizmatining barcha imkoniyatlaridan foydalanishingiz mumkin.
  

Shuni ta'kidlash kerakki, domen va o'rmonning funktsional darajasini o'zgartirish qaytarib bo'lmaydigan ishdir. Ya'ni, orqaga moslik yo'q.

1. Korobko I. Active Directory - qurilish nazariyasi. // "Tizim ma'muri", № 1, 2004 yil - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q\u003darticles ;n\u003d01.2004 ;a\u003d11).

2. Markov R. Windows 2000/2003 domenlari - biz ishchi guruhni rad etamiz. // "Tizim ma'muri", № 9, 2005 yil - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q\u003darticles ;n\u003d09.2005; a \u003d 01).

3. Markov R. Windows 2K serverini o'rnatish va sozlash. // "Tizim ma'muri", № 10, 2004 yil - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl? q \u003d maqolalar; n \u003d 10.2004; a \u003d 12).

Aleksandr Emelyanov