Active directory windows 10 что это
Перейти к содержимому

Active directory windows 10 что это

  • автор:

Обзор доменных служб Active Directory

Каталог — это иерархическая структура, в которой хранятся сведения об объектах в сети. Служба каталогов, например службы домен Active Directory (AD DS), предоставляет методы хранения данных каталога и предоставления этих данных сетевым пользователям и администраторам. Например, AD DS хранит сведения об учетных записях пользователей, таких как имена, пароли, номера телефонов и т. д., а также позволяет другим авторизованным пользователям в той же сети получить доступ к этой информации.

Active Directory хранит сведения об объектах в сети и предоставляет эту информацию администраторам и пользователям, которые могут легко найти и использовать ее. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации сведений в каталоге.

Это хранилище данных, также известное как каталог, содержит сведения о объектах Active Directory. Эти объекты обычно включают общие ресурсы, такие как серверы, тома, принтеры и сетевые учетные записи пользователя и компьютера. Дополнительные сведения о хранилище данных Active Directory см. в разделе «Хранилище данных каталогов».

Безопасность интегрирована с Active Directory с помощью проверки подлинности входа и управления доступом к объектам в каталоге. С помощью одного входа в сеть администраторы могут управлять данными каталога и организацией по всей сети, а авторизованные пользователи сети могут получать доступ к ресурсам в любой точке сети. Администрирование на основе политики облегчает управление даже очень сложной сетью. Дополнительные сведения о безопасности Active Directory см. в разделе «Безопасность».

Active Directory также включает:

  • Набор правил, схема, которая определяет классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения экземпляров этих объектов, а также формат их имен. Дополнительные сведения о схеме см. в разделе «Схема».
  • Глобальный каталог , содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения о каталоге независимо от того, какой домен в каталоге фактически содержит данные. Дополнительные сведения о глобальном каталоге см . в глобальном каталоге.
  • Механизм запроса и индекса, чтобы объекты и их свойства могли быть опубликованы и найдены сетевыми пользователями или приложениями. Дополнительные сведения о запросе каталога см. в статье «Поиск в службах домен Active Directory».
  • Служба реплика, которая распределяет данные каталога по сети. Все контроллеры домена в домене участвуют в реплика и содержат полную копию всех сведений о каталоге для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена. Дополнительные сведения о реплика Active Directory см. в разделе «Основные понятия репликации Active Directory».

Понимание Active Directory

В этом разделе содержатся ссылки на основные понятия Active Directory:

  • Структура Active Directory и технологии служба хранилища
  • Роли контроллера домена
  • Схема Active Directory
  • Общие сведения о довериях
  • Технологии репликации Active Directory
  • Технологии поиска и публикации Active Directory
  • Взаимодействие с DNS и групповой политикой
  • Общие сведения о схеме

Подробный список концепций Active Directory см. в разделе «Общие сведения о Active Directory».

Что такое службы сертификатов Active Directory?

Службы сертификатов Active Directory (AD CS) — это роль Windows Server для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности.

Выдача сертификатов и управление ими

Цифровые сертификаты можно использовать для шифрования и цифрового подписывания электронных документов и сообщений, а также для проверки подлинности учетных записей компьютеров, пользователей или устройств в сети. Например, цифровые сертификаты используются для предоставления:

  • Конфиденциальность с помощью шифрования.
  • Целостность с помощью цифровых подписей.
  • Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.

Ключевые функции

AD CS предоставляет следующие важные функции:

  • Центры сертификации: корневые и подчиненные центры сертификации (ЦС) используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификата.
  • Регистрация в Интернете: веб-регистрация позволяет пользователям подключаться к ЦС с веб-браузером, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRLS).
  • Online Responseer: служба «Онлайн-ответчик» декодирует запросы о состоянии отзыва для определенных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, содержащий запрошенные сведения о состоянии сертификата.
  • Служба регистрации сетевых устройств: служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, у которых нет учетных записей домена для получения сертификатов.
  • Аттестация ключа доверенного платформенного модуля. Позволяет центру сертификации проверить, что закрытый ключ защищен аппаратным TPM и что доверенное платформенный модуль является доверенным ЦС. Аттестация ключа доверенного платформенного модуля предотвращает экспорт сертификата на несанкционированное устройство и может привязать удостоверение пользователя к устройству.
  • Веб-служба политики регистрации сертификатов: веб-служба политики регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов.
  • Веб-служба регистрации сертификатов: веб-служба регистрации сертификатов позволяет пользователям и компьютерам выполнять регистрацию сертификатов через веб-службу. Вместе с веб-службой политики регистрации сертификатов это позволяет регистрировать сертификаты на основе политик, если клиентский компьютер не является членом домена или когда член домена не подключен к домену.

Льготы

С помощью AD CS можно повысить безопасность, привязав удостоверение пользователя, компьютера или службы к соответствующему закрытому ключу. AD CS — это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов. Помимо привязки удостоверений и закрытых ключей, AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом.

Для регистрации сертификатов можно использовать существующие сведения об удостоверениях конечной точки в Active Directory, что означает, что вы можете автоматически вставлять сведения в сертификаты. CS AD можно также использовать для настройки групповых политик Active Directory, чтобы указать, какие пользователи и компьютеры разрешены, какие типы сертификатов. Конфигурация групповой политики позволяет управлять доступом на основе ролей или атрибутов.

Приложения, поддерживаемые AD CS, включают безопасные и многозначные расширения электронной почты (S/MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность интернет-протокола (IPsec), шифрование файловой системы (EFS), смарт-карта вход, безопасный слой сокета и безопасность транспортного слоя (SSL/TLS) и цифровые подписи.

Следующие шаги

  • Что такое служба ролей центра сертификации?
  • Реализация служб сертификатов Active Directory и управление ими
  • Все службы ролей AD CS выполняются в любой версии
  • Все службы ролей AD CS можно запускать на сервере Core
  • Справочник по Windows PowerShell для служб сертификатов

Структура хранилища Active Directory

Консультация по продукту 1cloud

Лого AD


Из статьи вы узнаете: что такое Active Directory, контроллер домена, домен, дерево доменов, лес доменов. Мы также расскажем о структуре и архитектуре хранилища Active Directory. Начнем с определения, что такое Active Directory. Active Directory (AD)— службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. С помощью AD можно объединить различные объекты сети (серверы, принтеры и различные сервисы) в единую систему, наладить удобный поиск и использование необходимых данных. Active Directory состоит из сервера, контроллера домена, самого домена, дерева доменов, леса доменов. Давайте разберёмся в этип определениях подробнее.

Термины Active Directory

В таблице приведена терминология Active Directory.

Сервер Компьютер, выполняющий определённые роли в домене
Контроллер домена Сервер, хранящий каталог и обслуживающий запросы пользователей к каталогу. Помимо хранения данных контроллер домена может выступать в качестве одной из FSMO-ролей
Домен Минимальная структурная единица организации Active Directory (может состоять из пользователей, компьютеров, принтеров, прочих общих ресурсов)
Дерево доменов Иерархическая система доменов, имеющая единый корень (корневой домен)
Лес доменов Множество деревьев доменов, находящихся в различных формах доверительных отношений

Что такое Active Directory?

Системные администраторы используют технологию Active Directory в Windows Server для хранения и организации объектов в сети в иерархическую защищенную логическую структуру, например пользователей, компьютеров или других физических ресурсов. Лес и домен составляют основу логической структуры. Домены могут быть структурированы в лесу, чтобы обеспечить независимость данных и сервисов (но не изоляцию) и оптимизацию репликации. Разделение логических и физических структур улучшает управляемость системы и снижает административные затраты, потому что на логическую структуру не влияют изменения в физическом устройстве. Логическая структура позволяет контролировать доступ к данным, т.е. вы можете использовать логическую структуру для контроля доступа к различным блокам данных. Данные, хранящиеся в Active Directory, могут поступать из разных источников. С большим количеством различных источников данных и множеством различных типов данных Active Directory должен использовать некоторый стандартизованный механизм хранения, чтобы поддерживать целостность хранящейся информации. В Active Directory объекты используют каталоги для хранения информации, все объекты определены в схеме. Определения объектов содержат информацию, такую как тип данных и синтаксис, которую каталог использует, чтобы гарантировать достоверность хранения.Никакие данные не могут быть сохранены в каталоге, пока они не определены в схеме. Схема по умолчанию содержит все определения и описания объектов, которые необходимы для корректной работы Active Directory. Когда вы имеете доступ к каталогу через логическую структуру, состоящую из таких элементов, как домены и леса, сам каталог реализуется через физическую структуру, состоящую из базы данных, которая хранится на всех контроллерах домена в лесу. Хранилище Active Directory обрабатывает весь доступ к БД. Хранилище данных состоит из служб и физических файлов, которые управляют правами доступа, процессами чтения и записи данных внутри базы данных на жестком диске каждого контроллера.

Структура и архитектура хранилища Active Directory

Структура и архитектура хранилища Active Directory состоит из четырех частей:

Домены и леса

Forest

Леса, домены и организационные единицы (OU) составляют основные элементы логической структуры Active Directory. Лес определяет единый каталог и представляет границу безопасности. Леса содержат домены.

DNS

Shema Architecture

DNS обеспечивает разрешение имен в иерархической архитектуре, которую может использовать Active Directory.

Схема (Schema)

Data Store Architecture

Схема содержит определения объектов, которые используются для создания объектов, хранящихся в каталоге.

Хранилище данных (Data Store)

Forest

Хранилище данных — это часть каталога, который управляет хранением и извлечением данных на каждом контроллере домена. Более подробная информация находится на сайте разработчика Microsoft.

  • Проблемы при подключении по RDP
  • Не работает звук через RDP
  • Активация лицензии Windows
  • RDP-сессия: проблемы с буфером обмена

Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

Поделиться в соцсетях:

Средняя оценка: 5,0, всего оценок: 30 Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Установка оснастки Active Directory Users and Computers в Windows 10/11

date

06.10.2022

user

itpro

directory

Active Directory, Windows 10, Windows 11

comments

комментариев 20

Оснастка Active Directory Users and Computers (или ADUC) – это одна из наиболее часто используемых консолей управления объектами в домене Active Directory. Вы можете установить mmc оснастку ADUC как на Windows Server, так и на десктопные Windows 10 и 11. Консоль ADUC входит в состав набора компоненту администрирования Microsoft Remote Server Administration Tools (RSAT). В этой статье мы покажем, как установить и использовать консоль управление Active Directory Users and Computers в Windows.

Установка оснастки RSAT Active Directory в Windows 10 и 11

В современных версиях Windows 10 (начиная с билда 1809) и в Windows 11 инструменты администрирования RSAT устанавливаются онлайн в виде Features on Demand. Чтобы установить инструменты администрирования RSAT Active Directory в Windows 10/11, перейдите в Settings -> Apps -> Optional Features -> Add an optional feature (View features).

Наберите в поисковой строке Active Directory и выберите для установки компонент RSAT: Active Directory Domain Services and Lightweight Directory Services Tool.

Нажмите Next-> Install для начала установки.

установка RSAT: Active Directory Domain Services and Lightweight Directory Services Tool в Windows 10 и 11

Windows подключится к серверам Microsoft, скачает и установит набор инструментов для управления Active Directory (включает в себя графические консоли Active Directory, утилиты командной строки и модуль Active Directory PowerShell).

Либо вы можете установить набор компонентов администрирования AD с помощью PowerShell:

Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

В изолированных сетях, в которых нет доступа в интернет, вы можете установить инструменты RSAT Active Directory с помощью ISO образа Windows 10 Features on Demand (образ FoD можно скачать из кабинета лицензирования Microsoft).

Для установки инструментов Active Directory, из сетевого каталога с содержимым образа FoD выполните команду:

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source \\fs01\Distr\Windows10-FOD\

В предыдущих билдах Windows 10, а также в Windows 8.1, установить RSAT можно с помощью MSU обновления. Скачать RSAT можно здесь:

  • RSAT для Windows 10 1803/1709 — https://www.microsoft.com/en-us/download/details.aspx?id=45520
  • RSAT для Windows 8.1 — https://www.microsoft.com/en-us/download/details.aspx?id=39296

RSAT для Windows 10

Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните по файлу для начала установки:

WindowsTH-RSAT_TP5_Update-x64.msu

Или установите MSU файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

Включить компонент AD DS Tools

  1. Щелкните ПКМ по кнопке Start и выберите Control Panel (Панель управления)
  2. Выберите Programs and Features (Программы и компоненты)
  3. В левой панели нажмите кнопку Turn Windows features on or off
  4. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
  5. Отметьте раздел AD DS Tools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

dism /online /enable-feature /featurename:RSATClient-Roles-AD

После установки оснасток управления, в разделе Administrative Tools панели управления (Control Panel\System and Security\Windows Tools) появится ссылка на консоль Active Directory Users and Computers.

консоль пользователи и компьютеры active directory в панели управления windows

Как пользоваться консолью Active Directory?

Чтобы запустить консоль ADUC, щелкните по ярлыку в панели управления или выполните команду:

dsa.msc - запуск консоли Active Directory из командной строки

Все аутентифицированные пользователи домена могут использовать консоль ADUC для просмотра объектов Active Directory.

Если ваш компьютер состоит в домене Active Directory, то консоль ADUC подключится к контролеру домена, на основании текущего Logon сервера. Имя контроллера домена, с которого вы получаете информации указано в верху.

Вы можете подключиться к другому контроллеру домена AD или другому домену, щелкнув по корню консоли и выбрав пункт в контекстном меню.

консоль ADUC подключиться к другому DC

структура OU домена в консоли ADUC

Администратор домена может создавать контейнеры (OU) в соответствии с физической или логической структуры предприятиями. С помощью контекстного меню можно создать новые объекты в AD (пользователей, группы, компьютеры, OU, контакты), переименовать, переместить или удалить объекты. В зависимости от типа объекта, который вы выбрали пункты контекстного меню могут отличаться.

Например, у пользователя есть опции на сброс пароля в AD или блокировку/разблокировку учетной записи.

действия с пользователем в консоли Active Directory

Вы можете использовать контекстное меню Search для поиска объектов в AD.

Администратор может делегировать права на создание/редактирование/удаление объектов в Active Directory другим пользователям или группам.

С помощью меню View -> Add/Remove columns можно добавить атрибуты объектов, которые вы хотите отображать в консоли ADUC.

В консоли ADUC можно посмотреть или изменить свойства объектов домена. Например, можно открыть свойства пользователя и изменить его настройки. Часть свойств пользователя находится на соответствующих вкладках, а полный список атрибутов пользователя доступен на вкладке редактора атрибутов AD (Attribute Editor).

редактор атрибутов пользователя в оснастке Active Directory

При подключении к RODC контроллеру домена вы не сможете изменить свойства объектов AD.

Чтобы показывать системные контейнеры и свойства объектов в оснастке AD (по умолчанию скрыты), включите опцию View -> Advanced features.

показывать скрытые объекты в AD Advanced features

После этого у всех объектов появится ряд системных вкладок. Например, на вкладке Object можно получить каноническое имя объекта, дату создания учетной записи и включить опцию защиты от удаления (protect object from accidental deletion).

защитить объекта AD от удаления

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с компьютера, который не включен в домен (состоит в рабочей группе), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска оснастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите Add; Добавить оснастку mmc
  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена. ADUC - изменить домен

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Похожие публикации:
  1. 9291 смс сервис что это
  2. Как задать свой путь перемещения объекта
  3. Как отключить запись истории в яндекс браузере
  4. Как привязать яндекс музыку к гугл ассистент

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *