Kuinka käyttää tunnusta etäyhteyden suojaamiseksi? Johdanto Active Directoryn peruskäsitteisiin. Mihin ohjelmiin sisältyy mainos

Kukaan aloittelija, joka on lyhennetty lyhenteestä AD, ihmettelee, mikä on Active Directory? Active Directory on Microsoftin kehittämä hakemistopalvelu Windows-verkkotunnusverkoille. Se sisältyy useimpiin Windows Server -käyttöjärjestelmiin prosesseina ja palveluina. Alun perin palvelu käsitteli vain verkkotunnuksia. Windows Server 2008: n jälkeen AD: stä on kuitenkin tullut nimi monille hakemistopohjaisille identiteettipalveluille. Tämä tekee Active Directorysta paremman oppimispaikan aloittelijoille.

Perusmääritelmä

Palvelinta, joka käyttää Active Directory -verkkotunnuspalveluita, kutsutaan verkkotunnuksen ohjaimeksi. Se todentaa ja valtuuttaa kaikki Windows-verkkotunnuksen käyttäjät ja tietokoneet, määrittää ja valvoa kaikkien tietokoneiden suojauskäytäntöjä sekä asentaa tai päivittää ohjelmistoja. Esimerkiksi, kun käyttäjä kirjautuu sisään tietokoneeseen, joka sisältyy Windows-toimialueeseen, Active Directory tarkistaa toimitetun salasanan ja määrittää, onko objekti järjestelmänvalvoja tai tavallinen käyttäjä. Sen avulla voit myös hallita ja tallentaa tietoja, tarjota todennus- ja valtuutusmekanismeja ja luoda puitteet muiden vastaavien palveluiden käyttöönotolle: varmennepalvelut, yhdistetyt ja kevyet hakemisto- ja oikeuksienhallintapalvelut.

Active Directory käyttää LDAP-versioita 2 ja 3, Microsoftin Kerberos-versiota ja DNS: ää.

Mikä on Active Directory? Yksinkertaisin sanoin monimutkaisesta

Verkkotietojen seuranta on työläs tehtävä. Jopa pienissä verkoissa käyttäjillä on yleensä vaikeuksia löytää verkkotiedostoja ja tulostimia. Ilman jonkinlaista hakemistoa keskisuuria ja suuria verkkoja ei voida hallita, ja heillä on usein vaikeuksia löytää resursseja.

Microsoft Windowsin aiemmissa versioissa oli palveluita, joiden avulla käyttäjät ja järjestelmänvalvojat löytävät tietoja. Verkottuminen on hyödyllistä monissa ympäristöissä, mutta ilmeinen haitta on sen hankala käyttöliittymä ja arvaamattomuus. WINS Manager- ja Server Manager -sovelluksia voidaan käyttää järjestelmäluettelon tarkastelemiseen, mutta niitä ei ollut saatavana loppukäyttäjille. Järjestelmänvalvojat käyttivät User Manager -sovellusta lisätäksesi ja poistaakseen täysin eri tyyppisiä verkkoobjekteja. Nämä sovellukset osoittautui tehottomiksi työskennellä suurissa verkoissa, ja herättivät kysymyksen, miksi yrityksen Active Directoryssa?

Hakemisto on sen yleisimmässä merkityksessä täydellinen luettelo objekteista. Puhelinluettelo on tyyppinen hakemisto, johon tallennetaan tietoja ihmisistä, yrityksistä ja julkishallinnon organisaatioista ne sisältävät yleensä nimiä, osoitteita ja puhelinnumeroita. Kysymyksen esittäminen Active Directory - mitä se on, yksinkertaisesti sanomalla voidaan sanoa, että tämä tekniikka on samanlainen kuin hakemisto, mutta se on paljon joustavampi. AD tallentaa tietoja organisaatioista, sivustoista, järjestelmistä, käyttäjistä, osakkeista ja muista verkkoobjekteista.

Johdanto Active Directoryn peruskäsitteisiin

Miksi organisaatio tarvitsee Active Directoryn? Kuten Active Directoryn johdannossa mainittiin, palvelu tallentaa tietoja verkkokomponenteista. Active Directory aloittelijoille -sovelluksessa todetaan olevan antaa asiakkaille mahdollisuuden löytää esineitä nimitilaansa. Tämä T termi (jota kutsutaan myös konsolipuuksi) tarkoittaa aluetta, jolla verkkokomponentti voi sijaita. Esimerkiksi kirjan sisällysluettelo luo nimitilan, jossa luvut voidaan yhdistää sivunumeroihin.

DNS on konsolipuu, joka ratkaisee isäntänimet IP-osoitteiksipuhelinluettelot tarjoavat nimitilan puhelinnumeroiden nimien erottelukyvylle. Kuinka tämä toimii Active Directoryssa? AD tarjoaa konsolipuun verkko-objektien nimien määrittämiseen itse kohteille ja pystyy ratkaisemaan monenlaisia \u200b\u200bobjekteja, mukaan lukien verkon käyttäjät, järjestelmät ja palvelut.

Objektit ja ominaisuudet

Kaikkia, joita Active Directory valvoo, pidetään kohteina. Voimme sanoa yksinkertaisin sanoin, että tämä on Active Directoryssa on mikä tahansa käyttäjä, järjestelmä, resurssi tai palvelu. Yleistä termiä objekti käytetään, koska AD pystyy seuraamaan monia elementtejä, ja monet objektit voivat jakaa yhteisiä määritteitä. Mitä se tarkoittaa?

Attribuutit kuvaavat Active Directory -objekteja, esimerkiksi kaikki mukautetut objektit jakavat attribuutteja käyttäjän nimen tallentamiseksi. Tämä koskee myös heidän kuvaustaan. Järjestelmät ovat myös objekteja, mutta niillä on erillinen määritteet, jotka sisältävät isäntänimen, IP-osoitteen ja sijainnin.

Minkä tahansa erityyppisen objektin käytettävissä olevaa attribuuttijoukkoa kutsutaan kaavaksi. Se tekee esineluokat erilaisiksi toisistaan. Kaaviotiedot tallennetaan tosiasiallisesti Active Directoryan. Suojausprotokollan tämä käyttäytyminen on erittäin tärkeää, osoittaa se, että järjestelmän avulla järjestelmänvalvojat voivat lisätä määriteobjekteja objektiluokkiin ja levittää niitä verkon kautta kaikissa toimialueen kulmissa käynnistämättä mitään verkkotunnuksen ohjaimia.

LDAP-säilö ja nimi

Kontti on erityyppinen kohde, jota käytetään palvelun toiminnan järjestämiseen. Se ei edusta fyysistä kokonaisuutta, kuten käyttäjä tai järjestelmä. Sen sijaan sitä käytetään muiden kohteiden ryhmittelyyn. Konttiobjektit voidaan sijoittaa muihin säiliöihin.

Jokaisella AD-nimikkeellä on nimi. Nämä eivät ole tottuneet, esimerkiksi Ivan tai Olga. Nämä ovat LDAP-tunnetut nimet. LDAP-tunnetut nimet ovat monimutkaisia, mutta niiden avulla voit tunnistaa kaikki hakemistossa olevat objektit yksilöllisesti sen tyypistä riippumatta.

Termi puu ja sivusto

Termiä puuta käytetään kuvaamaan objektien joukkoa Active Directoryssa. Mikä se on? Yksinkertaisesti sanottuna tämä voidaan selittää puuyhdistelmällä. Kun säilytysastiat ja esineet yhdistetään hierarkkisesti, niillä on taipumus muodostaa haara - tästä myös nimi. Aiheeseen liittyvä termi on vierekkäinen alaosa, joka viittaa puun murtumattomaan päärunkoon.

Jatkamalla metafooria termi metsä kuvaa kokoelmaa, joka ei ole osa samaa nimitilaa, mutta jolla on yhteinen skeema, kokoonpano ja yleinen luettelo. Näissä rakenteissa olevat esineet ovat kaikkien käyttäjien käytettävissä, jos turvallisuus sallii. Useisiin verkkotunnuksiin jakautuneiden organisaatioiden tulisi ryhmitellä puut yhdeksi metsäksi.

Sivusto on maantieteellinen sijainti, kuten Active Directory määrittelee. Sivustot vastaavat loogisia IP-aliverkkoja, ja sovellukset voivat sellaisenaan löytää lähimmän palvelimen verkosta. Sivustojen tietojen käyttäminen Active Directorysta voi vähentää huomattavasti WAN-liikennettä.

Active Directory -hallinta

Active Directory -laajennuksen osa - käyttäjät. Se on kätevin työkalu Active Directoryn hallintaan. Siihen pääsee suoraan Käynnistä-valikon Hallintatyökalut-työryhmästä. Se korvaa ja parantaa Windows NT 4.0: n Server Manager- ja User Manager -toimintoja.

turvallisuus

Active Directory on tärkeä rooli Windows-verkottumisen tulevaisuudessa. Järjestelmänvalvojien tulisi pystyä suojaamaan hakemisto tunkeilijoilta ja käyttäjiltä delegoidessaan tehtäviä muille järjestelmänvalvojille. Tämä on kaikki mahdollista käyttämällä Active Directory -suojausmallia, joka yhdistää pääsynhallintaluettelon (ACL) jokaisessa hakemiston säilössä ja objektimääritteessä.

Korkean hallintotavan ansiosta järjestelmänvalvoja voi myöntää yksittäisille käyttäjille ja ryhmille erilaisia \u200b\u200bkäyttöoikeustasoja objekteille ja niiden ominaisuuksille. He voivat jopa lisätä attribuutteja objekteihin ja piilottaa nämä ominaisuudet tietyiltä käyttäjäryhmiltä. Voit esimerkiksi asettaa ACL: n, jotta vain ylläpitäjät voivat tarkastella muiden käyttäjien kotipuhelimia.

Siirretty hallinto

Windows 2000 Serverille uusi käsite on delegoitu hallinto. Tämän avulla voit määrittää tehtäviä muille käyttäjille myöntämättä lisäkäyttöoikeuksia. Delegoitu hallinto voidaan osoittaa tiettyjen objektien tai vierekkäisten hakemistoalien kautta. Tämä on paljon tehokkaampi tapa myöntää auktoriteetti verkoissa.

SISÄÄN kun kaikki globaalin verkkotunnuksen järjestelmänvalvojan oikeudet määritetään jollekin, käyttäjälle voidaan antaa luvat vain tietyssä alaryhmässä. Active Directory tukee perintöä, joten kaikki uudet objektit perivät ACL: n niiden säilöstä.

Termi "luottamussuhde"

Käsitettä "luottamussuhde" käytetään edelleen, mutta sillä on erilaiset toiminnot. Yksipuolisten ja kahdenvälisten rahastojen välillä ei ole eroa. Kaikki Active Directory -luotot ovat kaksisuuntaisia. Lisäksi ne ovat kaikki transitiivisiä. Joten, jos toimialue A luottaa verkkotunnukseen B ja B luottaa C: hen, niin alueen A ja alueen C välillä on automaattinen implisiittinen luottamussuhde.

Auditointi Active Directoryssa - mikä se on yksinkertaisesti? Tämä on turvaominaisuus, jonka avulla voit määrittää, kuka yrittää päästä esineitä, sekä kuinka onnistunut yritys on.

DNS: n (Domain Name System) käyttäminen

Erilainen DNS-järjestelmä on välttämätön jokaiselle Internet-yhteyteen kytketylle organisaatiolle. DNS tarjoaa nimeltarkkuuden yleisten nimien, kuten mspress.microsoft.com, ja raakojen IP-osoitteiden välillä, joita verkkokerroksen komponentit käyttävät kommunikointiin.

Active Directory hyödyntää laajasti DNS-tekniikkaa objektien etsimiseen. Tämä on merkittävä muutos verrattuna aiempiin Windows-käyttöjärjestelmiin, jotka edellyttävät NetBIOS-nimien ratkaisemista IP-osoitteiden avulla ja luotettavuuden WINS: ään tai muihin NetBIOS-nimien erottelutekniikoihin.

Active Directory toimii parhaiten, kun sitä käytetään Windows 2000 DNS -palvelimien kanssa. Microsoft on helpottanut järjestelmänvalvojien siirtymistä Windows 2000 DNS -palvelimille tarjoamalla siirtovelhoja, jotka opastavat järjestelmänvalvojaa prosessin läpi.

Muita DNS-palvelimia voidaan käyttää. Tässä tapauksessa järjestelmänvalvojien on kuitenkin vietettävä enemmän aikaa DNS-tietokantojen hallintaan. Mitkä ovat vivahteet? Jos et halua käyttää Windows 2000: n DNS-palvelimia, sinun on varmistettava, että DNS-palvelimet noudattavat uutta DNS: n dynaamista päivitysprotokollaa. Palvelimet luottavat dynaamiseen päivitykseen tietueidensa löytämiseksi verkkotunnuksen ohjaimista. Se ei ole mukavaa. Loppujen lopuksi ejos dynaamista päivitystä ei tueta, sinun on päivitettävä tietokannat manuaalisesti.

Windows- ja Internet-verkkotunnukset ovat nyt täysin yhteensopivia. Esimerkiksi nimi, kuten mspress.microsoft.com, identifioi verkkotunnuksesta vastaavat Active Directory -alueen ohjaimet, joten kaikki asiakkaat, joilla on DNS-käyttö, voivat löytää toimialueen ohjaimen.Asiakkaat voivat käyttää DNS-resoluutiota etsimään minkä tahansa määrän palveluita, koska Active Directory -palvelimet julkaisevat DNS-osoitteiden luettelon käyttämällä uutta dynaamista päivitystoimintoa. Nämä tiedot tunnistetaan verkkotunnuksiksi ja julkaistaan \u200b\u200bpalveluresurssitietueiden kautta. SRV RR: t noudattavat muotoaservice.protocol.domain.

Active Directory -palvelimet tarjoavat LDAP-palvelun objektin isäntäksi, ja LDAP käyttää TCP: tä taustalla olevana siirtoprotokollana. Siksi asiakas, joka etsii mspress.microsoft.com-verkkotunnuksesta Active Directory -palvelinta, etsii DNS-tietuetta sivustolle ldap.tcp.mspress.microsoft.com.

Globaali luettelo

Active Directory tarjoaa globaalin luettelon (GC) ja tarjoaa yhden lähteen minkä tahansa objektin löytämiseksi organisaation verkosta.

Globaali luettelo on Windows 2000 Server -palvelun palvelu, jonka avulla käyttäjät voivat löytää kaikki objektit, joille on annettu käyttöoikeus. Tämä toiminnallisuus on paljon parempi kuin Windowsin aiempien versioiden mukana toimitettu Etsi tietokone -sovellus. Loppujen lopuksi käyttäjät voivat etsiä mitä tahansa objektia Active Directorysta: palvelimia, tulostimia, käyttäjiä ja sovelluksia.

liikkuvan maailman kongressin osallistujien yli. Yrityksen työntekijät loivat kolme avointa Wi-Fi-pistettä lentokentän lähellä boksin läheisyyteen näyttelyssä kävijöiden rekisteröimiseksi ja nimittivät heidät vakionimillä "Starbucks", "MWC Free WiFi" ja "Airport_Free_Wifi_AENA". 4 tunnissa 2000 ihmistä liittyi näihin pisteisiin.

Kokeen tuloksena koottiin raportti, jossa Avastin työntekijät analysoivat kaikkien avoimiin Wi-Fi-pisteisiin kytkettyjen ihmisten liikennettä. Henkilökohtaiset tiedot paljastettiin myös 63%: lle yhteyshenkilöistä: kirjautumistiedot, salasanat, sähköpostiosoitteet jne. Jos sitä ei olisi ollut näyttelyssä esitetyn raportin kohdalla, kokeilun osallistujat eivät olisi koskaan tienneet, että joku olisi saanut pääsyn tietoihin.

Yhdistämme yrityksemme verkkoon kotoa, hotellia tai kahvilaa emmekä edes ymmärrä, mitä vaurioita voimme sille aiheuttaa.

Tilastollisten tutkimusten mukaan yli 40 prosenttia yrityksen työntekijöistä työskentelee etäyhteydessä vähintään yhden päivän viikossa.

Mutta osoittautuu, että Internetin välityksellä etätyötä tekevä työntekijä on paljon haavoittuvampi kuin paikallinen käyttäjä ja on mahdollinen uhka yritykselle. Siksi etäkäyttäjien turvallisuuteen on kiinnitettävä erityistä huomiota.

Uhkatekijät

Etäkäyttäjän työpaikka luo kolme uhkatekijää verrattuna paikallisen toimiston työpaikkaan:

Etäkäyttäjä on organisaation fyysisen valvonnan ulkopuolella. Todiste vaaditaan, että yrityksen resursseihin muodostaa yhteyden yrityksen työntekijä eikä hyökkääjä.
Etäkäyttäjän tietoja levitetään kanavien kautta, jotka eivät ole organisaation valvonnassa. Nämä tiedot ovat alttiita vieraan liikenteen sieppaamiselle, luvattomalle muuttamiselle ja "sekoittamiselle".
Etätyöpaikalla yritys itse ei voi tarjota fyysistä turvallisuutta. Myös käyttämäsi tietokone ei ehkä täytä kokoonpanovaatimuksia.

Siksi etäkäyttöä organisoidessaan on noudatettava kolmea tietoturvan perusperiaatetta:

luottamuksellisuus (tärkeän tiedon pitäisi olla saatavilla vain rajoitetulle ihmisryhmälle);
eheys (tietojen häviämiseen tai vääristymiseen johtavat tietojen muutokset olisi kiellettävä)
saatavuus (Tietojen olisi oltava valtuutettujen käyttäjien saatavilla, kun he sitä tarvitsevat).

Kuinka voin suojata etäkäytön?

Voit organisoida etätyöntekijöiden työn käyttämällä seuraavia suojamekanismeja:

luotettavat käyttäjän todentamiskeinot (salasanat, laitteistot, biometriset tiedot jne.);
kulunvalvontajärjestelmä (keskitetty valvonta pääsyyn yrityksen IT-resursseihin);
vPN-organisaatiotyökalu (laitteistot, ohjelmistoratkaisut, palomuurilaajennukset jne.);
keino torjua hyökkäyksiä (suojata sisäistä verkkoa ja työntekijöitä hyökkäyksiltä).

Kerromme sinulle yhdestä suojausmekanismista - VPN.

Miksi VPN?

VPN-yhteys tarjoaa turvallisemman yhteyden yritysverkkoon ja Internetiin.

VPN-sovellukset:

internet-yhteys;
pääsy yritysverkkoon ulkopuolelta;
yritysverkkokomponenttien integrointi.

Yrityksesi verkkoinfrastruktuuri voidaan varata VPN-verkkoon ohjelmistojen tai laitteistojen avulla.

Siellä on monia ilmaisia \u200b\u200bja maksettuja VPN-palveluita.

Tällaiset palvelut toimivat pääasiassa 4 protokollalla:

IPSectoimivat kuljetus- ja tunnelimuodoissa. Viestien salausta datapaketissa siirtomoodilla kutsutaan hyötykuormaksi, ja koko paketin salaamista kutsutaan tunneloimiseksi.
PPTP on point-to-point-tunnelointiprotokolla, joka käyttää tunnelointimenetelmää, jossa tiedot tallennetaan PPP-paketeina. Ne puolestaan \u200b\u200bsijoitetaan IP-paketteihin ja lähetetään määränpäähänsä.
L2TP - Kerroksen 2 tunnelointiprotokolla, joka toimii kahdella pääsolmulla: L2TP-käyttökeskittymä (LAC), L2TP-verkkopalvelin (LNS). LAC on laite, joka suorittaa puhelun loppuun, kun LNS todentaa PPP-paketit.
TLS ja SSL - salausprotokollat, jotka käyttävät todennuksen ja salauksen yhdistelmää tietojen vaihtamiseen palvelimen ja asiakkaan välillä.

Yritykselle on myös VPN-palveluita. Yksi kuuluisimmista on OpenVPN. Se on turvallinen ja edullinen palvelu.

Sen edut ovat:

Turvallisuus. Useiden salausprotokollien (HMAC, 3DES, AES, RSA) ja 2048-bittisen avaimen käyttö mahdollistaa kaikkien tietojen luotettavan salauksen.
OpenVPN: n joustavien ominaisuuksien avulla voit käynnistää yhteyden välityspalvelimen / sukkien kautta, käyttämällä erilaisia \u200b\u200bprotokollia ja DHCP: n pakotettua estämistä, sekä palomuurien kautta.
Tukee suurin osa laitteista, mukaan lukien Apple iOS ja Google Android -ympäristöt.

Onko mahdollista järjestää VPN-yhteydet käyttämättä kolmansien osapuolien ohjelmia?

Joskus ei ole mitään syytä käyttää kolmansien osapuolien palveluita, jos samanlaiset ominaisuudet on rakennettu käyttöjärjestelmään.

Haluamme osoittaa, kuinka luodaan suojattu SSTP VPN-yhteys Windowsin vakioominaisuuksia käyttämällä.

Tässä tapauksessa VPN-yhteys varmistetaan salaamalla liikenne VPN-palvelimen tarjoamalla digitaalisella varmenteella (SSL). VPN-yhteyden muodostumisen aikana asiakaskäyttöjärjestelmäohjelmisto tarkistaa VPN-palvelinvarmenteen, erityisesti tarkistaa, onko palvelinvarmenne peruutettu ja onko syytä luottaa VPN-palvelimelle varmenteen myöntäneen varmentajan juurivarmenteeseen. Siksi yksi vaatimuksista VPN-yhteyden onnistuneelle toiminnalle SSTP: n kautta on kyky päivittää juurivarmenteiden luettelo automaattisesti Internetin kautta.

SSTP on moderni ja turvallinen protokolla. Lisäetu on sen kyky työskennellä yleisesti käytetyn HTTPS-portin (TCP 443) kautta, jota käytetään säännöllisessä Web-selaamisessa, mikä tarkoittaa, että SSTP VPN -yhteys toimii lähes kaikissa Internet-yhteyksissä.

VPN ja kaksifaktorinen todennus

Itse VPN-yhteys on salattu. Sisäänkirjautumisen ja salasanan käyttäminen todennukseen VPN: ssä ei kuitenkaan ole lainkaan turvallista. Mutta on olemassa tapa - tämä on kaksifaktorinen todennus. Sen avulla käyttäjä voi varmistaa henkilöllisyytensä kahdella tavalla. On suositeltavaa käyttää laitteistoa (merkki tai älykortti) sen määrittämiseen. Sitten, kun VPN-yhteyttä muodostetaan, käyttäjän ei tarvitse salasanaa, vaan itse laite ja sen PIN-koodi.

Laitteiston tärkein etu käytettäessä VPN: ää on yksityisen avaimen ainutlaatuisuus. Se johtuu siitä, että laitteen yksityistä avainta ei voida kopioida ja toistaa. Loppujen lopuksi, jos todennusvälineet eivät ole ainutlaatuisia, niin ei voi olla varma, että käyttöoikeuden saanut käyttäjä on sama käyttäjä, jolle tämä käyttöoikeus on annettu.

Salasanan käytön tapauksessa tilanne on täysin erilainen. Kuka tahansa, joka tietoisesti tai vahingossa selvittää salasanasi, voi käyttää sitä tietämättäsi. Tämä tarkoittaa, että hän voi tehdä mitä haluaa salasanan omistajan puolesta. Tällaisen tilanteen seuraaminen on melko vaikeaa, varsinkin jos hyökkääjä on teknisesti taitava.

VPN-palvelimen määrittäminen

Aloitamme VPN-yhteyden määrittämisen ottamalla käyttöön yksinkertaisen VPN-palvelimen, joka perustuu Windows Server 2012 R2: een.

Sellaista vakiolaitteistoon asennettua palvelinta voidaan käyttää pieneen toimistoverkkoon tarve järjestää etäyhteys useille kymmenille työntekijöille (30-50 henkilölle).

VPN-palvelimen määritykset

Avataan Palvelimen hallinta ja napsauta linkkiä Lisää rooleja ja komponentteja.

Valitaan rooli Etäyhteys.

Valitaan roolipalvelu DirectAccess ja VPN (RAS).

Napsauta painiketta [Asentaa]... Tämä käynnistää etäkäyttöroolin asennusprosessin.

Valitse etäkäytön ohjatun asennustoiminnon ikkunassa Ota käyttöön vain VPN.

Lisää sen jälkeen palvelin. Ikkunassa Reititys ja etäkäyttö Valitse valikkokohta Toimia ja alakohta Lisää palvelin... Seuraavaksi vahvistetaan lisäys.

Napsauta hiiren kakkospainikkeella lisätyn palvelimen nimeä ja valitse Määritä ja ota käyttöön reititys ja etäkäyttö.

Valitse kohde Erityinen kokoonpano.

Määritettävänä kokoonpanona ilmoitamme Virtuaalisen yksityisen verkon (VPN) käyttö.

Aloitetaan palvelu, tätä varten napsautamme painiketta [Aloita palvelu].

Palvelin on melkein valmis.

Käytämme esimerkiksi yksinkertaisinta ja selkeintä tapaa - asetamme tilastollisen osoitepohjan viidelle käyttäjälle.

Avataan lisätyn palvelimen ominaisuudet.

Valitse kohde Tilastollinen osoitepooli ja napsauta painiketta [Lisätä].

Ikkunassa Uusi IPv4-osoitealue ilmoitamme aloitus- ja lopetus-IP-osoitteen.

Napsauta painiketta [Käytä]

Etäkäyttörooli on määritetty, avataan nyt palomuurin portit.

Palomuuriporttien avaaminen

varten tCP-protokolla avoimet portit 1723 ja 443 .

varten uDP-protokolla avoimet portit 1701 , 500 ja 50 .

Seuraavassa vaiheessa määritämme paikallisen suojauskäytännön.

Paikallisen suojauskäytännön määrittäminen

Avataan luettelo paikallisista suojauskäytännöistä ja valitaan kohde Käyttöoikeuksien määrittäminen.

Valitse käytäntö Salli kirjautuminen Remote Desktop Service -palvelun kautta.

Napsauta painiketta [Lisää käyttäjä tai ryhmä].

Etsi laitoksen nimi Verkkotunnuksen käyttäjät ja lisää se.

Viimeinen viimeinen vaihe on tietyn käyttäjän pääsyn määrittäminen.

Tietyn käyttäjän pääsyn määrittäminen

Avata Palvelimen hallinta, Valitse tavara laitteisto ja alakohta Active Directory -käyttäjät ja tietokoneet.

Etsi vaaditun käyttäjän nimi, siirry siihen ominaisuudet, välilehdellä Saapuvat puhelut valitse asetus Sallia pääsy... Napsauta painiketta [Käytä].

Ja lopuksi tarkistetaan, onko etäkäyttö sallittu järjestelmän ominaisuuksissa.

Avaa tämä järjestelmän ominaisuudet valitsemalla kohde Etäkäytön määrittäminen ja aseta kytkin Salli etäyhteydet tähän tietokoneeseen.

Siinä kaikki, palvelimen asennus on nyt valmis. Perustetaan nyt VPN-yhteys tietokoneelle, jota käytetään etäkäyttöön.

VPN-yhteyden muodostaminen

VPN: n asettaminen Windows 10 -tietokoneeseen on erittäin helppoa. Asennaksesi sen tarvitset tilitiedot (kirjautumistunnus, salasana), palvelimen IP-osoitteen ja Internet-yhteyden. Laitteiden kaksifaktorisen todennuksen järjestämiseen tarvitaan tunnus.

Sinun ei tarvitse asentaa ylimääräisiä ohjelmia, Windowsilla on jo kaikki.

Aloitetaan asettaminen. Esimerkiksi laitteistosta käytän laitetta avainten ja varmenteiden turvalliseen varastointiin Rutoken PKI EDS.

Yhteyden määrittämiseen tarvitaan varmenne, joka sisältää älykortin kirjautumis- ja asiakastodennuskäytännöt.

Olemme jo kuvanneet tällaisen varmenteen luomisprosessin. Linkki kuvaukseen.

Avataan ikkuna. Napsauta linkkiä Luo ja määritä uusi yhteys tai verkko.

Ikkuna aukeaa Yhteyden tai verkon luominen... Valitse kohta Yhteys työpaikkaan ja napsauta painiketta [Edelleen].

Kenttä Internet-osoite ilmoitamme VPN-palvelimen tiedot.

Kenttä Kohteen nimi ilmoitamme VPN-yhteyden nimen.

Valitse ruutu Käytä älykorttia ja napsauta painiketta Luo.

VPN-yhteys on luotu. Mutta meidän on muutettava sen parametreja.

Avaa ikkuna uudelleen Verkko-ja jakamiskeskus ja napsauta linkkiä Muuta adapterin asetuksia.

Ikkunassa Verkkoyhteydet Napsauta hiiren kakkospainikkeella luodun VPN-yhteyden nimeä ja valitse kohde ominaisuudet.

Mennään välilehteen turvallisuus ja valitse seuraavat parametrit.

Nämä VPN-yhteysasetukset ovat riittävät, jotta onnistuneesti muodostetaan yhteys määritettyyn verkkoon suojatulla VPN-protokollalla. Sen jälkeen kun VPN-yhteys on valmis, kaikki tietokoneen verkkoliikenne ohjataan oletuksena määritetyn verkon yhdyskäytävään. Tämä voi johtaa siihen, että samalla kun muodostat yhteyden VPN: ään, Internet-resurssien kanssa työskenteleminen ei ole mahdollista. Voit poistaa tämän ongelman siirtymällä välilehteen Netto, napsauta riviä IP-versio 4 (TCP / IPv4) ja napsauta painiketta ominaisuudet.

Napsauta painiketta sivulla, jolla on IP-version 4 ominaisuudet [Lisäksi].

Poista valinta ruudusta Käytä oletusyhdyskäytävää etäverkossa.

Vahvistamme kaikki tehdyt muutokset. Määritysprosessi on valmis.

Nyt tarkistetaan yhteys.

Napsauta kuvaketta työpöydän tehtäväpalkissa Internet-yhteys ja valitse luotu VPN-yhteys. Ikkuna aukeaa parametrit.

Napsauta VPN-yhteyden nimeä ja napsauta painiketta Kytkeä.

Kirjoita tunnuksen PIN-koodi ja napsauta painiketta [OK].

Seurauksena on, että luotu VPN-yhteys muodostetaan.

Voit tarkistaa VPN-yhteyden tilan avaamalla ikkunan Verkkoyhteydet, löydämme luodun yhteyden nimen. Sen tilan tulisi olla "Yhdistetty".

Jos haluat katkaista VPN-yhteyden samassa ikkunassa, etsi luotu yhteys, napsauta hiiren kakkospainikkeella sen nimeä ja valitse kohde Yhdistä / irrota.

Tehdään yhteenveto

Kun VPN-yhteys on muodostettu, kaikki liikenne alkaa kulkea VPN-palvelimen kautta.

VPN-liikennesuojauksen luotettavuus on siinä, että vaikka hyökkääjät sieppaisivat lähetetyn tiedon jollakin tavalla, he eivät silti pysty käyttämään sitä, koska tiedot ovat salattuja.

Ja jos asennat myös erityisiä sovelluksia liikenteen seuraamiseksi ja määrittämiseksi, voit suodattaa liikennettä onnistuneesti. Tarkista esimerkiksi automaattisesti virusten varalta.

Toivon, että onnistuimme vakuuttamaan, että VPN on yksinkertainen, edullinen ja mikä tärkeintä turvallista!

Active Directory on järjestelmänhallintapalvelu. Ne ovat paljon parempi vaihtoehto paikallisille ryhmille ja mahdollistavat tietokoneverkkojen luomisen tehokkaalla hallinnalla ja luotettavalla tietosuojalla.

Jos et ole aiemmin havainnut Active Directory -käsitettä etkä tiedä kuinka nämä palvelut toimivat, tämä artikkeli on sinulle. Katsotaan, mitä tämä käsite tarkoittaa, mitkä ovat tällaisten tietokantojen edut ja miten ne voidaan luoda ja määrittää alkuperäistä käyttöä varten.

Active Directory on erittäin kätevä tapa hallita järjestelmää. Active Directoryn avulla voit hallita tietojasi tehokkaasti.

Näiden palveluiden avulla voit luoda yhden tietokannan, jota verkkotunnuksen ohjaimet hallitsevat. Jos omistat yrityksen, käytät toimistoa, hallitset yleensä monien ihmisten toimintaa, joiden on oltava yhdistyneitä, tällainen verkkotunnus on hyödyllinen.

Se sisältää kaikki esineet - tietokoneet, tulostimet, faksit, käyttäjätilit ja paljon muuta. Tietoja sijaitsevien verkkotunnusten summaa kutsutaan "metsäksi". Active Directory -kanta on toimialuepohjainen ympäristö, jossa kohteiden lukumäärä voi olla jopa 2 miljardia. Voitko kuvitella tämän asteikon?

Toisin sanoen tällaisen "metsän" tai tietokannan avulla on mahdollista yhdistää suuri määrä työntekijöitä ja laitteita toimistossa, ja viittamatta paikkaan - palveluihin voidaan kytkeä myös muita käyttäjiä, esimerkiksi yrityksen toisessa kaupungissa sijaitsevasta toimistosta.

Lisäksi Active Directoryan luodaan ja yhdistetään useita verkkotunnuksia - mitä suurempi yritys, sitä enemmän työkaluja tarvitaan sen tekniikan hallitsemiseksi tietokannassa.

Lisäksi tällaista verkkoa luotaessa määritetään yksi ohjausalue ja jopa muiden verkkotunnusten myöhemmän läsnäolon yhteydessä alkuperäinen verkkotunnus pysyy silti "vanhempana" - toisin sanoen vain hänellä on täysi pääsy tiedonhallintaan.

Mihin nämä tiedot tallennetaan ja miten verkkotunnukset ovat olemassa? Ohjaimia käytetään luomaan Active Directory. Niitä on yleensä kaksi - jos jotain tapahtuu yhdelle, tiedot tallennetaan toiseen ohjaimeen.

Toinen vaihtoehto tietokannan käyttöön on, jos esimerkiksi yrityksesi tekee yhteistyötä toisen kanssa ja sinun on suoritettava yhteinen projekti. Tässä tapauksessa saatetaan tarvita luvattomien henkilöiden pääsy verkkotunnustiedostoihin, ja tässä voit luoda eräänlaisen "suhteen" kahden eri "metsän" välille, avata pääsyn vaadittuihin tietoihin vaarantamatta muun tiedon turvallisuutta.

Yleensä Active Directory on työkalu tietokannan luomiseen tiettyyn rakenteeseen riippumatta sen koosta. Käyttäjät ja kaikki laitteet yhdistetään yhdeksi "metsäksi", luodaan verkkotunnuksia, jotka sijaitsevat ohjaimissa.

On myös suositeltavaa selventää, että palvelut voivat toimia vain laitteissa, joissa on Windows-palvelinjärjestelmä. Lisäksi ohjaimille luodaan 3-4 DNS-palvelinta. Ne palvelevat verkkotunnuksen pääaluetta, ja jos yksi niistä epäonnistuu, muut palvelimet korvaavat sen.

Pienen tutustumisen jälkeen nukkeille tarkoitetusta Active Directorysta olet luonnollisesti kiinnostunut kysymyksestä - miksi vaihtaa paikallinen ryhmä koko tietokantaan? Luonnollisesti mahdollisuuksien kenttä on täällä monta kertaa laajempi, ja jotta voimme selvittää näiden järjestelmien hallinnan muiden palveluiden väliset erot, tutkitaan tarkemmin niiden etuja.

Active Directoryn edut

Active Directoryn edut ovat seuraavat:

Yhden resurssin käyttö todennukseen. Tässä tilanteessa jokaisessa tietokoneessa on lisättävä kaikki tilit, jotka edellyttävät pääsyä yleisiin tietoihin. Mitä enemmän käyttäjiä ja teknikkoja, sitä vaikeampaa on synkronoida nämä tiedot keskenään.

Joten, kun käytetään palveluita tietokannan kanssa, tilit tallennetaan yhteen pisteeseen, ja muutokset tulevat voimaan välittömästi kaikissa tietokoneissa.

Kuinka se toimii? Jokainen toimistoon saapuva työntekijä käynnistää järjestelmän ja kirjautuu tililleen. Sisäänkirjautumispyyntö lähetetään automaattisesti palvelimelle ja todentaminen tapahtuu sen kautta.

Tietyn kirjanpidon järjestyksen osalta voit aina jakaa käyttäjät ryhmiin - "Henkilöstö" tai "Kirjanpito".

Tässä tapauksessa on vielä helpompaa käyttää tietoja - jos joudut avaamaan kansion yhden osaston työntekijöille, teet sen tietokannan kautta. Yhdessä he saavat pääsyn vaadittuun datakansioon, kun taas loput asiakirjat pysyvät suljettuina.

Hallitse tietokannan kaikkia jäseniä.

Jos paikallisessa ryhmässä jokainen jäsen on itsenäinen, on vaikea hallita sitä toisesta tietokoneesta, niin verkkotunnuksille voidaan asettaa tietyt säännöt yrityksen politiikan mukaisesti.

Järjestelmänvalvojana voit määrittää käyttö- ja suojausasetukset ja ottaa ne sitten käyttöön jokaisessa käyttäjäryhmässä. Tietenkin hierarkiasta riippuen jotkut ryhmät voivat määritellä tiukempia asetuksia, kun taas toiset voivat saada pääsyn järjestelmän muihin tiedostoihin ja toimintoihin.

Lisäksi kun uusi henkilö liittyy yrityksen palvelukseen, hänen tietokoneensa vastaanottaa heti tarvittavat asetukset, joihin sisältyvät työkomponentit.

Monipuolisuus ohjelmistojen asennuksessa.

Muuten, komponenteista - Active Directoryn avulla voit määrittää tulostimia, asentaa tarvittavat ohjelmat kerralla kaikille työntekijöille, asettaa tietosuojaparametreja. Yleensä tietokannan luominen optimoi merkittävästi työtä, seuraa tietoturvaa ja yhdistää käyttäjät maksimaalisen tehokkuuden saavuttamiseksi.

Ja jos yrityksellä on erillinen apuohjelma tai erikoispalveluita, ne voidaan synkronoida verkkotunnusten kanssa ja yksinkertaistaa niiden käyttöä. Miten? Jos yhdistät kaikki yrityksessä käytetyt tuotteet, työntekijän ei tarvitse kirjoittaa erilaisia \u200b\u200bkirjautumisia ja salasanoja kirjautuakseen jokaiseen ohjelmaan - nämä tiedot jaetaan.

Nyt kun ymmärrät Active Directoryn käytön edut ja vaikutukset, katsotaanpa näiden palveluiden asennusprosessia.

Tietokannan käyttäminen Windows Server 2012: ssä

Active Directoryn asentaminen ja määrittäminen ei ole vaikeaa, ja se on myös helpompaa kuin ensi silmäyksellä näyttää.

Palveluiden lataamiseksi sinun on ensin suoritettava seuraava:

Muuta tietokoneen nimeä: napsauta "Käynnistä", avaa Ohjauspaneeli, kohta "Järjestelmä". Valitse "Muuta parametreja" ja kirjoita isäntätietokoneen uusi arvo Ominaisuudet-riville "Tietokoneen nimi" vastapäätä "Muuta".
Käynnistä tietokone uudelleen.
Aseta verkkoasetukset seuraavasti:
- Avaa ohjauspaneelin kautta valikko verkkojen ja jakamisen avulla.
- Korjaa sovittimen asetukset. Napsauta hiiren kakkospainikkeella Ominaisuudet ja avaa Verkko-välilehti.
- Napsauta luettelon ikkunassa Internet-protokollaa numerolla 4 ja napsauta sitten uudelleen "Ominaisuudet".
- Syötä tarvittavat asetukset, esimerkiksi: IP-osoite - 192.168.10.252, aliverkon peite - 255.255.255.0, pääaliväylä - 192.168.10.1.
- Määritä rivillä "Ensisijainen DNS-palvelin" paikallisen palvelimen osoite, kohdassa "Vaihtoehtoinen ..." - muut DNS-palvelimien osoitteet.
- Tallenna muutokset ja sulje ikkunat.

Asenna Active Directory -roolit seuraavasti:

Avaa "Server Manager" alusta.
Valitse valikosta Lisää roolit ja ominaisuudet.
Ohjattu toiminto käynnistyy, mutta voit ohittaa ensimmäisen kuvausikkunan.
Tarkista rivi "Roolien ja ominaisuuksien asentaminen", siirry eteenpäin.
Valitse tietokoneesi ja asenna Active Directory siihen.
Merkitse luettelosta rooli, jonka haluat ladata - tapauksessasi se on "Active Directory Domain Services".
Näkyviin tulee pieni ikkuna, joka kehottaa sinua lataamaan palveluihin tarvittavat komponentit - hyväksy se.
Sitten sinua pyydetään asentamaan muut komponentit - jos et tarvitse niitä, ohita tämä vaihe napsauttamalla Seuraava.
Ohjattu asennustoiminto näyttää ikkunan, jossa kuvataan asenntamiasi palveluita - lue eteenpäin ja siirry eteenpäin.
Näkyviin tulee luettelo komponenteista, joita aiomme asentaa - tarkista, onko kaikki oikein, ja jos on, paina asianmukaista painiketta.
Sulje ikkuna, kun prosessi on valmis.
Siinä kaikki - palvelut ladataan tietokoneellesi.

Active Directoryn määrittäminen

Asenna verkkotunnuspalvelu suorittamalla seuraava:

Suorita saman nimen määritystoiminto.
Napsauta keltaista osoitinta ikkunan yläosassa ja valitse Estä palvelimen rooli verkkotunnuksen ohjaimeksi.
Napsauta Lisää uusi "metsä" ja luo nimi juuriverkkotunnukselle, napsauta sitten Seuraava.
Määritä metsän ja alueen toimintotasot - useimmiten ne ovat samat.
Keksiä salasana, mutta muista se. Jatka edelleen.
Sen jälkeen saatat nähdä varoituksen siitä, että verkkotunnusta ei ole siirretty, ja ehdotuksen verkkotunnuksen tarkistamiseksi - voit ohittaa nämä vaiheet.
Seuraavassa ikkunassa voit muuttaa polkua tietokantahakemistoihin - tee tämä, jos ne eivät sovi sinulle.
Nyt näet kaikki parametrit, jotka aiot asettaa - katso jos olet valinnut ne oikein ja siirry eteenpäin.
Sovellus tarkistaa, täyttyvätkö ehdot, ja jos kommentteja ei ole tai ne eivät ole kriittisiä, napsauta Asenna.
Asennuksen valmistuttuaan tietokone käynnistyy uudelleen.

Saatat myös miettiä, kuinka lisätä käyttäjä tietokantaan. Käytä tätä varten "Active Directory -käyttäjät tai tietokoneet" -valikko, joka löytyy ohjauspaneelin "Hallinta" -osiosta, tai käytä tietokanta-asetusvalikkoa.

Jos haluat lisätä uuden käyttäjän, napsauta hiiren kakkospainikkeella verkkotunnuksen nimeä ja valitse ”Luo” ”Alijako” -kohdan jälkeen. Näet ikkunan, johon sinun on annettava uuden osaston nimi - se toimii kansiona, johon voit kerätä käyttäjiä eri osastoille. Samalla tavalla voit myöhemmin luoda vielä muutama osasto ja sijoittaa kaikki työntekijät oikein.

Kun olet luonut laitoksen nimen, napsauta sitä hiiren kakkospainikkeella ja valitse "Uusi", sen jälkeen - "Käyttäjä". Nyt kaikki on jäljellä vain tarvittavien tietojen syöttäminen ja käyttäjän käyttöasetusten määrittäminen.

Kun uusi profiili on luotu, napsauta sitä valitsemalla pikavalikko ja avaa "Ominaisuudet". Poista "Tili" -välilehdessä "Estä ..." -kohdan vieressä oleva valintamerkki. Siinä kaikki.

Yleinen päätelmä on, että Active Directory on tehokas ja hyödyllinen järjestelmänhallintatyökalu, joka auttaa yhdistämään kaikki työntekijöiden tietokoneet yhdeksi ryhmäksi. Palveluiden avulla voit luoda turvallisen tietokannan ja optimoida merkittävästi työn ja tietojen synkronoinnin kaikkien käyttäjien välillä. Jos yrityksesi ja muu työpaikka liittyy sähköisiin tietokoneisiin ja verkkoon, sinun on yhdistettävä tilit ja valvottava työtä ja yksityisyyttä, Active Directoryan perustuvan tietokannan asentaminen on hieno ratkaisu.

Active Directory - Laajennettava ja skaalautuva Active Directory (Active Directory) -hakemistopalvelu mahdollistaa verkon resurssien tehokkaan hallinnan.
Active Directory on hierarkkisesti järjestetty verkkoobjektitietovarasto, joka tarjoaa kätevät välineet näiden tietojen löytämiselle ja käyttämiselle. Tietokonetta, jossa on Active Directory, kutsutaan verkkotunnuksen ohjaimeksi. Lähes kaikki hallinnolliset tehtävät liittyvät Active Directoryan.
Active Directory -tekniikka perustuu vakiomuotoisiin Internet-protokollia ja auttaa määrittelemään verkon rakenne selkeästi, katso lisätietoja siitä, kuinka Active Directory -toimialue otetaan käyttöön tyhjästä.

Active Directory ja DNS

Active Directory käyttää verkkotunnusjärjestelmää.

Active Directoryn hallinta

Active Directory luo tietokonetilejä, yhdistää ne toimialueeseen ja hallitsee tietokoneita, toimialueen ohjaimia ja organisaatioyksiköitä (OU).

Hallinnointi- ja tukityökalut ovat Active Directoryn hallintaa varten. Seuraavassa luetellut työkalut toteutetaan MMC: n (Microsoft Management Console) lisäosien muodossa:

Active Directory - käyttäjien ja tietokoneiden (Active Directory Users and Computers) avulla voit hallita käyttäjiä, ryhmiä, tietokoneita ja organisaatioyksiköitä (OU);
Active Directory - verkkotunnuksia ja luottamustoimintoja (Active Directory -domeeneja ja luottamustoimia) käytetään toimimaan verkkotunnusten, toimialuepuiden ja toimialuemetsien kanssa;
Active Directory - sivustot ja palvelut (Active Directory Sites and Services) mahdollistavat sivustojen ja aliverkkojen hallinnan;
Tuloksena olevaa käytäntöjoukkoa käytetään nykyisen käyttäjä- tai järjestelmäkäytännön tarkasteluun ja politiikan muutosten suunnitteluun.
Microsoft Windows 2003 Server: ssä voit käyttää näitä laajennuksia suoraan Hallintatyökalut-valikosta.

Toinen hallinnollinen työkalu, Active Directory Schema -laajennus, antaa sinun hallita ja muokata hakemistojärjestelmää.

Active Directoryn komentorivipalvelut

Active Directory -objektien hallintaan on komentorivityökaluja, joiden avulla voit suorittaa monenlaisia \u200b\u200bhallintotehtäviä:

DSADD - lisää tietokoneet, yhteystiedot, ryhmät, käyttäjätilit ja käyttäjät Active Directoryan.
DSGET - Näyttää Active Directoryan rekisteröityjen tietokoneiden, yhteystietojen, ryhmien, PO: ien, käyttäjien, sivustojen, aliverkkojen ja palvelimien ominaisuudet.
DSMOD - muuttaa tietokoneiden, yhteystietojen, ryhmien, PO: ien, käyttäjien ja palvelimien ominaisuuksia, jotka on rekisteröity Active Directory -hakemistoon.
DSMOVE - Siirtää yhden kohteen uuteen sijaintiin verkkotunnuksessa tai nimeää objektin uudelleen siirtämättä.
DSQXJERY - etsii tietokoneita, yhteystietoja, ryhmiä, OP: it, käyttäjiä, sivustoja, aliverkkoja ja palvelimia Active Directoryssa määriteltyjen perusteiden mukaisesti.
DSRM - poistaa objektin Active Directorysta.
NTDSUTIL - Voit tarkastella sivusto-, verkkotunnus- tai palvelintietoja, hallita operaatioiden päälliköitä ja ylläpitää Active Directory -tietokantaa.

Active Directory on Microsoftin hakemistopalvelu Windows NT -perheen käyttöjärjestelmille.

Tämän palvelun avulla järjestelmänvalvojat voivat käyttää ryhmäkäytäntöä varmistaakseen käyttöympäristön asetusten, ohjelmistojen asennuksen, päivitysten ja muun yhdenmukaisuuden.

Mikä on Active Directoryn ydin ja mitä tehtäviä se ratkaisee? Jatka lukemista.

Vertaisverkko- ja monitasoiset verkottumisperiaatteet

Mutta syntyy toinen ongelma, entä jos PC2: n käyttäjä2 päättää vaihtaa salasanansa? Sitten, jos käyttäjä1 muuttaa tilin salasanaa, käyttäjä2 ei voi käyttää resurssia PC1: llä.

Toinen esimerkki: meillä on 20 työasemaa, joissa on 20 tiliä, ja haluamme myöntää pääsyn joillekin. Tätä varten meidän on luotava 20 tiliä tiedostopalvelimelle ja tarjottava pääsy vaadittuun resurssiin.

Ja jos ei ole 20 vaan 200?

Kuten ymmärrät, verkonhallinta tällä lähestymistavalla muuttuu täydelliseksi helvetiksi.

Siksi työryhmälähestymistapa soveltuu pienille toimistoverkoille, joissa ei ole enempää kuin 10 tietokonetta.

Jos verkossa on yli 10 työasemaa, lähestymistapa tulee rationaalisesti perusteltuksi, jolloin yhdelle verkkosolmulle siirretään oikeudet todennuksen ja valtuutuksen suorittamiseen.

Tämä sivusto on verkkotunnuksen ohjain - Active Directory.

Verkkotunnuksen ohjain

Rekisterinpitäjä ylläpitää tilitietokantaa, ts. se pitää kirjaa sekä PC1: stä että PC2: sta.

Nyt kaikki tilit rekisteröidään kerran ohjaimessa, ja paikallisten tilien tarve muuttuu merkityksettömäksi.

Kun käyttäjä kirjautuu sisään tietokoneelle syöttämällä käyttäjänimen ja salasanan, nämä tiedot lähetetään suljetussa muodossa toimialueen ohjaimeen, joka suorittaa todennus- ja valtuutustoimenpiteet.

Sen jälkeen ohjain antaa kirjautuneelle käyttäjälle jotain passista, jolla hän työskentelee edelleen verkossa ja jonka hän esittää muiden verkkoon kuuluvien tietokoneiden pyynnöstä palvelimille, joiden resursseihin hän haluaa muodostaa yhteyden.

Tärkeä! Verkkotunnuksen ohjain on tietokone, jossa on Active Directory ja joka hallitsee käyttäjän pääsyä verkkoresursseihin. Se tallentaa resursseja (kuten tulostimia, jaetut kansiot), palvelut (kuten sähköposti), ihmiset (käyttäjä- ja käyttäjäryhmätilit), tietokoneet (tietokonetilit).

Tällaisten tallennettujen resurssien määrä voi saavuttaa miljoonia esineitä.

Seuraavat MS Windows -versiot voivat toimia verkkotunnuksen ohjaimina: Windows Server 2000/2003/2008/2012, Web-versioita lukuun ottamatta.

Verkkotunnuksen ohjaimen lisäksi, että se on verkon todennuksen keskus, se on myös kaikkien tietokoneiden ohjauskeskus.

Välittömästi käynnistyksen jälkeen tietokone alkaa ottaa yhteyttä verkkotunnuksen ohjaimeen kauan ennen todennusikkunaa.

Siten kirjautumistunnuksen ja salasanan syöttävän käyttäjän todentamisen lisäksi myös asiakastietokone todennetaan.

Active Directoryn asentaminen

Tarkastellaan esimerkkiä Active Directoryn asentamisesta Windows Server 2008 R2: een. Joten asentaa Active Directory -rooli siirtymällä "Palvelimen hallintaan":

Lisää "Lisää roolit" -rooli:

Valitse Active Directory Domain Services -rooli:

Ja jatkamme asennusta:

Sitten saamme ilmoitusikkunan asennetusta roolista:

Asentaessamme toimialueen ohjaimen roolin, aloitamme itse itse domain-ohjaimen asentamisen.

Napsauta "Käynnistä" ohjelman hakukentässä, kirjoita ohjatun DCPromo-nimen nimi, käynnistä se ja valitse asennusasetusten lisälaatikoiden valintaruutu: