Доменные службы Active Directory

В инструкции описан процесс установки Active Directory Domain Services, настройки контроллера домена и создание пользователей AD DS на VPS с операционной системой семейства Windows Server, читай детальнее на 1cloud!

Дерево терминов и сайт

Дерево терминов используется для описания набора объектов в Active Directory. Что это? Простыми словами это можно объяснить при помощи древовидной ассоциации. Когда контейнеры и объекты объединены иерархически, они имеют тенденцию формировать ветви — отсюда и название. Связанным термином является непрерывное поддерево, которое относится к неразрывному основному стволу дерева.

Продолжая метафорию, термин «лес» описывает совокупность, которая не является частью одного и того же пространства имен, но имеет общую схему, конфигурацию и глобальный каталог. Объекты в этих структурах доступны всем пользователям, если это позволяет безопасность. Организации, разделенные на несколько доменов, должны группировать деревья в один лес.

Сайт — это географическое местоположение, определенное в Active Directory. Сайты соответствуют логическим IP-подсетям и, как таковые, могут использоваться приложениями для поиска ближайшего сервера в сети. Использование информации сайта из Active Directory может значительно снизить трафик в глобальных сетях.

Корзина в центре администрирования Active DirectoryActive Directory Administrative Center Recycle Bin

В Windows Server 2008 R2 впервые появилась корзина Active Directory, которая позволяет восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена.Windows Server 2008 R2 introduced the Active Directory Recycle Bin, which recovers deleted Active Directory objects without restoring from backup, restarting the AD DS service, or rebooting domain controllers.

В Windows Server 2012 существующие возможности восстановления на основе Windows PowerShell улучшены благодаря новому графическому интерфейсу в центре администрирования Active Directory.Windows Server 2012 enhances the existing Windows PowerShell-based restore capabilities with a new graphical interface in the Active Directory Administrative Center. Это позволяет администраторам включить корзину и затем найти или восстановить удаленные объекты в контексте доменов леса, и все это без непосредственного использования командлетов Windows PowerShell.This allows administrators to enable the Recycle Bin and locate or restore deleted objects in the domain contexts of the forest, all without directly running Windows PowerShell cmdlets. Центр администрирования Active Directory и корзина Active Directory по-прежнему используют среду Windows PowerShell, поэтому предыдущие сценарии и процедуры можно с успехом применять.The Active Directory Administrative Center and Active Directory Recycle Bin still use Windows PowerShell under the covers, so previous scripts and procedures are still valuable.

Информацию о корзине Active Directory см. в пошаговом руководстве по работе с корзиной Active Directory (Windows Server 2008 R2).For information about the Active Directory Recycle Bin, see Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).

Завершение выполнения скрипта PowerShellComplete PowerShell script

Следующий полный сценарий PowerShell объединяет все задачи, описанные в этой статье.The following complete PowerShell script combines all of the tasks shown in this article. Скопируйте скрипт и сохраните его в файл с расширением .Copy the script and save it to a file with a extension. Запустите скрипт в локальной консоли PowerShell или Azure Cloud Shell.Run the script in a local PowerShell console or the Azure Cloud Shell.

Примечание

Чтобы включить AD DS Azure, необходимо быть глобальным администратором для клиента Azure AD.To enable Azure AD DS, you must be a global administrator for the Azure AD tenant. Вам также требуются права участника в подписке Azure.You also need at least Contributor privileges in the Azure subscription.

Создание ресурса и возврат управления в командную строку PowerShell занимает несколько минут.It takes a few minutes to create the resource and return control to the PowerShell prompt

Управляемый домен AD DS Azure по всей важности подготавливается в фоновом режиме и может занять до часа для завершения развертывания.The Azure AD DS managed domain continues to be provisioned in the background, and can take up to an hour to complete the deployment. В портал Azure на странице Обзор управляемого домена AD DS Azure отображается текущее состояние на протяжении этого этапа развертывания.In the Azure portal, the Overview page for your Azure AD DS managed domain shows the current status throughout this deployment stage

Когда портал Azure показывает, что управляемый домен AD DS Azure завершил подготовку, необходимо выполнить следующие задачи:When the Azure portal shows that the Azure AD DS managed domain has finished provisioning, the following tasks need to be completed:

  • Обновите параметры DNS для виртуальной сети, чтобы виртуальные машины могли найти управляемый домен для присоединения к нему или для аутентификации.Update DNS settings for the virtual network so virtual machines can find the managed domain for domain join or authentication.

    Чтобы настроить DNS, выберите управляемый домен Azure AD DS на портале.To configure DNS, select your Azure AD DS managed domain in the portal. В окне Обзор появится запрос на автоматическую настройку этих параметров DNS.On the Overview window, you are prompted to automatically configure these DNS settings.

  • Если вы создали управляемый домен AD DS Azure в регионе, который поддерживает Зоны доступности, создайте группу безопасности сети, чтобы ограничить трафик в виртуальной сети для управляемого домена AD DS Azure.If you created an Azure AD DS managed domain in a region that supports Availability Zones, create a network security group to restrict traffic in the virtual network for the Azure AD DS managed domain. Будет создан стандартный балансировщик нагрузки Azure, требующий этих правил.An Azure standard load balancer is created that requires these rules to be place. Эта группа безопасности сети защищает AD DS Azure и требуется для правильной работы управляемого домена.This network security group secures Azure AD DS and is required for the managed domain to work correctly.

    Чтобы создать группу безопасности сети и необходимые правила, выберите управляемый домен Azure AD DS на портале.To create the network security group and required rules, select your Azure AD DS managed domain in the portal. В окне Обзор появится запрос на автоматическое создание и настройку группы безопасности сети.On the Overview window, you are prompted to automatically create and configure the network security group.

  • , чтобы конечные пользователи могли входить в управляемый домен с использованием своих корпоративных учетных данных. so end users can sign in to the managed domain using their corporate credentials.

Причины возникновения ошибки

Итак, например вы открываете документ (Microsoft Word, картинки, блокнот и т.д.) и хотите распечатать его. В нижнем углу может высветится очередь печати, где будет указан ваш документ, в состоянии которого будет ошибка. Также возможен вариант уведомления «Доменные службы Active Directory недоступны» при попытке запуска опции устранения ошибки. Также дополнительно может всплывать уведомление об ошибке 1068.


Ошибка печати «Доменные службы Active Directory сейчас недоступны»

Вот самые популярные источники проблемы:

  1. Проблемы при подключении. Например, USB-порт не поддерживает управление принтером, тоже можно сказать о подключении устройства через Wi-Fi.
  2. Сбой в установленных драйверах подключаемых устройств. Драйвера могут слетать, сбиваться или их версия не соответствует требуемым (редко, но бывает).
  3. Не подключены службы «Active Directory» и «Диспетчер очереди печати» — да, иногда банально их нужно запустить.
  4. Компьютер был переименован в сети.
  5. Также не стоит забывать о проблемах в самой Windows (7/10), возможно повреждены программы автозапуска, либо нарушена целостность реестра. Такие сбои редко, но все же влияют на печать.

На самом деле причин может быть намного больше, но мы описали самые основные и поэтому решения проблем мы опишем также по ним.

Установка средств администрирования Active DirectoryInstall Active Directory administrative tools

Управляемыми доменами Azure AD DS можно управлять с помощью тех же средств администрирования, что и в локальной среде AD DS, как, например, центр администрирования Active Directory (ADAC) или AD PowerShell.Azure AD DS managed domains are managed using the same administrative tools as on-premises AD DS environments, such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Эти средства можно установить в составе компонента “Средства удаленного администрирования сервера” (RSAT) на серверы Windows Server и клиентские компьютеры.These tools can be installed as part of the Remote Server Administration Tools (RSAT) feature on Windows Server and client computers. Участники группы Администраторы контроллера домена AAD могут администрировать управляемые домены Azure AD DS удаленно с помощью упомянутых выше средств администрирования AD с любого компьютера, присоединенного к управляемому домену.Members of the AAD DC Administrators group can then administer Azure AD DS managed domains remotely using these AD administrative tools from a computer that is joined to the managed domain.

Чтобы установить средства администрирования Active Directory на присоединенную к домену виртуальную машину, выполните следующие шаги.To install the Active Directory Administration tools on a domain-joined VM, complete the following steps:

  1. Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.If Server Manager doesn’t open by default when you sign in to the VM, select the Start menu, then choose Server Manager.

  2. На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  3. На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  4. В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  5. На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aadds.contoso.com, и щелкните Далее.On the Server Selection page, choose the current VM from the server pool, such as myvm.aadds.contoso.com, then select Next.

  6. На странице Роли сервера нажмите кнопку Далее.On the Server Roles page, click Next.

  7. На странице Компоненты разверните узел Средства удаленного администрирования сервера, а затем узел Средства администрирования ролей.On the Features page, expand the Remote Server Administration Tools node, then expand the Role Administration Tools node.

    Выберите компонент Средства AD DS и AD LDS из списка средств администрирования ролей, затем щелкните Далее.Choose AD DS and AD LDS Tools feature from the list of role administration tools, then select Next.

  8. На странице Подтверждение щелкните Установить.On the Confirmation page, select Install. Установка средств администрирования может занять одну или две минуты.It may take a minute or two to install the administrative tools.

  9. Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Безопасность

Active Directory играет важную роль в будущем сетей Windows. Администраторы должны иметь возможность защищать свой каталог от злоумышленников и пользователей, одновременно делегируя задачи другим администраторам. Все это возможно с использованием модели безопасности Active Directory, которая связывает список управления доступом (ACL) с каждым атрибутом контейнера и объекта в каталоге.

Высокий уровень контроля позволяет администратору предоставлять отдельным пользователям и группам различные уровни разрешений для объектов и их свойств. Они могут даже добавлять атрибуты к объектам и скрывать эти атрибуты от определенных групп пользователей. Например, можно установить ACL, чтобы только менеджеры могли просматривать домашние телефоны других пользователей.

Физическая структура

Сайты являются физическими (а не логические) групп , определенных одним или несколько IP – подсетей. AD также имеет определения соединений, отличительную низкоскоростной (например, WAN , VPN ) с высокой скоростью (например, LAN ) ссылки. Определения сайта не зависят от области и структуры подразделений и являются общими по лесу. Сайты используются для контроля сетевого трафика , генерируемого при репликации , а также направлять клиентов в ближайшие контроллеры домена (DC). Microsoft Exchange Server 2007 использует топологию сайта для маршрутизации почты. Политики также могут быть определены на уровне сайта.

Физически информация Active Directory проводится на одном или нескольких сверстников контроллеров домена , заменяя NT PDC / BDC модели. Каждый DC имеет копию Active Directory. Серверы присоединился к Active Directory, не контроллеры домена называются серверами членов. Подмножество объектов в разделе домена репликация на контроллеры домена, которые сконфигурированы как глобальные каталоги. Глобальный каталог (GC) серверы обеспечивают глобальный список всех объектов в лесу. Серверы глобального каталога реплицировать себя все объекты из всех областей и , следовательно, обеспечить глобальный список объектов в лесу. Однако, чтобы минимизировать трафик репликации и сохранить базу данных ГХ маленькими, только выбранные атрибуты каждого объекта реплицируется. Это называется частичный набор атрибутов (ПАС). PAS может быть модифицирован путем изменения схемы и маркировки атрибутов для репликации на GC. В более ранних версиях Windows , используется NetBIOS для связи. Active Directory полностью интегрирована с DNS и требует TCP / IP -DNS. Для того, чтобы быть полностью функциональными, сервер DNS должен поддерживать записи SRV ресурсов , также известные как записи обслуживания.

копирование

Active Directory синхронизирует изменения , используя мульти-мастер репликации . Репликация по умолчанию является «тянуть» , а не «толчок», а это означает , что реплики тянуть изменения от сервера , на котором было осуществлено изменение. Проверки согласованности знаний (KCC) создает топологию репликации связей сайтов с использованием определенных сайтов для управления трафиком. Внутрисайтовая репликации часто и автоматическая в результате уведомления об изменении, которое вызывает сверстник , чтобы начать цикл тянуть репликации. Intersite интервалы репликации , как правило , менее часто и не используют уведомления об изменении по умолчанию, хотя это настраивается и может быть идентичным внутриузловой репликации.

Каждый канал может иметь «стоимость» (например, DS3 , T1 , ISDN и т.д.) и КСС изменяет топологию сайта ссылка соответственно. Репликация может происходить транзитивно через несколько ссылок сайта на том же протокольную ссылку сайта мостов , если цена низкая, хотя КСС автоматически стоит прямой ссылкой сайта-сайт ниже переходных соединений. Сайт-к-сайту репликация может быть сконфигурирована , чтобы иметь место между сервером – плацдармом в каждом участке, который затем копирует изменения в другие контроллеры домена в пределах сайта. Репликация для зон Active Directory автоматически настраивается при DNS активируется в домене на основе с помощью сайта.

Репликация Active Directory использует удаленные вызовы процедур (RPC) через IP (RPC / IP). Между сайтов SMTP можно использовать для репликации, но только для изменений в схеме, конфигурации или частичный Attribute Set (Global Catalog) ШС. SMTP не может быть использован для репликации раздела домена по умолчанию.

Службы Active Directory

Службы Active Directory состоит из нескольких служб каталогов. Наиболее известным является Доменные службы Active Directory, обычно сокращенно , как AD DS или просто AD.

Доменные службы

Active Directory Domain Services (AD DS) является краеугольным камнем любого домена Windows , сети. Он хранит информацию о членах домена, в том числе устройств и пользователей, проверяет их полномочия и определяет их права доступа . Сервер работает этот сервис называется контроллером домена . Контроллер домена контактирует , когда пользователь входит в устройство, получает доступ к другому устройству по сети, или работает на линию прямого бизнеса приложения Metro стиля загруженное в устройство.

Другие услуги Active Directory ( за исключением , как описано ниже), а также большинство серверных технологий Microsoft полагаться или использовать доменные службы; примеры включают в себя групповую политику , шифрованной файловой системы , BitLocker , доменных имен , Службы удаленных рабочих столов , Exchange Server и SharePoint Server .

Службы сертификации

Сертификат Active Directory Services (AD CS) устанавливает на локальной инфраструктуру открытого ключа . Он может создавать, проверять и отзывать сертификаты открытого ключа для внутреннего использования в организациях. Эти сертификаты могут быть использованы для шифрования файлов (при использовании с шифрованной файловой системы ), электронная почта (в S / MIME стандарта) и сетевого трафика (если используются виртуальные частные сети , Transport Layer Security протокольных или IPSec протокола).

AD CS еще до Windows Server 2008, но его имя было просто Службы сертификации.

AD CS требует AD DS инфраструктуры.

Службы федерации

Active Directory Federation Services (AD FS) представляет собой единый вход в сервис. С инфраструктурой AD FS в месте, пользователи могут использовать несколько веб-сервисов (например , интернет – форум , блог , интернет – магазины , веб – почта ) или сетевые ресурсы , используя только один набор учетных данных , хранящихся в центральном месте, в отличие от того , чтобы быть предоставлено специальный набор учетных данных для каждой службы. Целью AD FS является продолжением того , что в доменных службах Active Directory: Последнее позволяет аутентификации пользователей и использовать устройства , которые являются частью одной и той же сети, используя один набор учетных данных. Бывший позволяет им использовать один и тот же набор учетных данных в другой сети.

Как следует из названия, AD FS работает на основе концепции федеративной идентификации .

AD FS требует AD DS инфраструктуры, хотя ее федерация партнер не может.

Службы управления правами

Активные управления правами службы каталогов ( RMS AD , известные как службы управления правами или RMS перед тем Windows Server 2008 ) представляет собой серверное программное обеспечение для управления информационными правами поставляется с Windows Server . Он использует шифрование и форму избирательного функциональность отрицанию для ограничения доступа к документам , таких как корпоративные сообщения электронной почты , Microsoft Word документы и веб – страниц , а также операций , санкционированных пользователи могут выполнять на них.

Интеграция диспетчера сервера и доменных служб Active DirectoryServer Manager AD DS Integration

Диспетчер сервера выступает в качестве единой консоли для выполнения задач управления сервером.Server Manager acts as a hub for server management tasks. На его информационной панели периодически обновляются представления с установленными ролями и группами удаленных серверов.Its dashboard-style appearance periodically refreshes views of installed roles and remote server groups. Диспетчер сервера обеспечивает централизованное управление локальными и удаленными серверами без необходимости доступа к локальной консоли.Server Manager provides centralized management of local and remote servers, without the need for console access.

Домен Active Directory Services — одна из этих ролей концентратора; запустив диспетчер сервера на контроллере домена или средства удаленного администрирования сервера в Windows 8, вы увидите важные проблемы на контроллерах домена в лесу.Active Directory Domain Services is one of those hub roles; by running Server Manager on a domain controller or the Remote Server Administration Tools on a Windows 8, you see important recent issues on domain controllers in your forest.

Эти представления включают в себя:These views include:

  • доступность сервера;Server availability
  • монитор производительности с предупреждениями о высокой загрузке процессора и памяти;Performance monitor alerts for high CPU and memory usage
  • состояние служб Windows, относящихся к доменным службам Active Directory;The status of Windows services specific to AD DS
  • последние предупреждения, связанные со службами каталогов, и записи ошибок в журнале событий;Recent Directory Services-related warning and error entries in the event log
  • анализ выполнения рекомендаций для контроллера домена, проводимый на основе набора правил Майкрософт.Best Practice analysis of a domain controller against a set of Microsoft-recommended rules

Рекомендации и ограничения для настраиваемых подразделенийCustom OU considerations and limitations

При создании пользовательских подразделений в управляемом домене Azure AD DS обеспечивается дополнительная гибкость управления пользователями и применением групповых политик.When you create custom OUs in an Azure AD DS managed domain, you gain additional management flexibility for user management and applying group policy. По сравнению с локальной средой AD DS, существуют некоторые ограничения и рекомендации при создании и управлении пользовательской структурой подразделений в Azure AD DS.Compared to an on-premises AD DS environment, there are some limitations and considerations when creating and managing a custom OU structure in Azure AD DS:

  • Для создания пользовательских подразделений пользователи должны быть членами группы администраторов контроллера домена AAD .To create custom OUs, users must be a member of the AAD DC Administrators group.
  • Пользователю, создающему настраиваемое подразделение, предоставляются права администратора (полный доступ) над этим подразделением и является владельцем ресурса.A user that creates a custom OU is granted administrative privileges (full control) over that OU and is the resource owner.

    По умолчанию группа администраторов контроллера домена AAD также имеет полный контроль над пользовательским подразделением.By default, the AAD DC Administrators group also has full control of the custom OU.

  • Будет создано подразделение по умолчанию для пользователей AADDC , которое содержит все синхронизированные учетные записи пользователей из вашего клиента Azure AD.A default OU for AADDC Users is created that contains all the synchronized user accounts from your Azure AD tenant.

    Вы не можете перемещать пользователей или группы из подразделения AADDC Users в пользовательские подразделения, которые вы создаете.You can’t move users or groups from the AADDC Users OU to custom OUs that you create. В пользовательские подразделения можно перемещать только учетные записи пользователей или ресурсы, созданные в управляемом домене AD DS Azure.Only user accounts or resources created in the Azure AD DS managed domain can be moved into custom OUs.

  • Учетные записи пользователей, группы, учетные записи служб и объекты компьютеров, созданные в пользовательских подразделениях, недоступны в клиенте Azure AD.User accounts, groups, service accounts, and computer objects that you create under custom OUs aren’t available in your Azure AD tenant.

    Эти объекты не отображаются с помощью API Graph Azure AD или в пользовательском интерфейсе Azure AD. они доступны только в управляемом домене Azure AD DS.These objects don’t show up using the Azure AD Graph API or in the Azure AD UI; they’re only available in your Azure AD DS managed domain.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий