2002 मध्ये, माझ्या आवडत्या विद्यापीठाच्या संगणक विज्ञान विभागाच्या कॉरिडॉरच्या बाजूने चालत असताना, मी एनटी सिस्टम्स कार्यालयाच्या दारावर एक नवीन पोस्टर पाहिले. पोस्टरने गटांमध्ये गटबद्ध केलेल्या वापरकर्त्याच्या खात्यांचे चिन्ह दर्शविले, ज्यामधून, बाण इतर चिन्हांवर गेले. हे सर्व योजनाबद्धपणे एका विशिष्ट संरचनेत एकत्र केले गेले होते, एकल एंट्री सिस्टम, अधिकृतता आणि यासारखे काहीतरी लिहिले गेले होते. मला आता समजल्याप्रमाणे, त्या पोस्टरमध्ये Windows NT 4.0 डोमेन आणि Windows 2000 Active Directory सिस्टिमचे आर्किटेक्चर चित्रित केले आहे. त्या क्षणापासून, अॅक्टिव्ह डिरेक्टरीशी माझी पहिली ओळख सुरू झाली आणि लगेचच संपली, कारण नंतर एक कठीण सत्र, एक मजेदार सुट्टी होती, त्यानंतर एका मित्राने फ्रीबीएसडी 4 आणि रेड हॅट लिनक्स डिस्क्स सामायिक केली आणि पुढची काही वर्षे मी त्यात डुबकी मारली. युनिक्स सारख्या प्रणालींचे जग, परंतु मी पोस्टरमधील सामग्री कधीही विसरलो नाही.
जेव्हा मी एका कंपनीत काम करण्यासाठी गेलो तेव्हा मला परत जावे लागले आणि विंडोज सर्व्हर सिस्टमशी अधिक परिचित व्हावे लागले जेथे संपूर्ण IT इन्फ्रास्ट्रक्चरचे व्यवस्थापन सक्रिय निर्देशिकावर आधारित होते. मला आठवते की त्या कंपनीचे मुख्य प्रशासक प्रत्येक मीटिंगमध्ये कोणत्या ना कोणत्या Active Directory Best Practices बद्दल काहीतरी सांगत राहिले. आता, अॅक्टिव्ह डिरेक्ट्रीशी 8 वर्षांच्या नियतकालिक संप्रेषणानंतर, ही प्रणाली कशी कार्य करते आणि अॅक्टिव्ह डिरेक्ट्री सर्वोत्तम पद्धती काय आहेत हे मला चांगले समजले आहे.
जसे आपण आधीच अंदाज लावला आहे, आम्ही सक्रिय निर्देशिका बद्दल बोलू.
या विषयात स्वारस्य असलेल्या कोणालाही, मांजरीमध्ये आपले स्वागत आहे.

या शिफारशी Windows 7 आणि उच्चतर, Windows Server 2008/R2 स्तरावरील डोमेन्स आणि फॉरेस्ट्स आणि त्याहून वरच्या क्लायंट सिस्टम्ससाठी वैध आहेत.

मानकीकरण
अ‍ॅक्टिव्ह डिरेक्ट्रीचे नियोजन करणे हे ऑब्जेक्ट्स आणि डिरेक्टरीमधील त्यांचे स्थान नामकरणासाठी आपले स्वतःचे मानक विकसित करून सुरू केले पाहिजे. सर्व आवश्यक मानके परिभाषित करण्यासाठी एक दस्तऐवज तयार करणे आवश्यक आहे. अर्थात, आयटी व्यावसायिकांसाठी ही एक सामान्य शिफारस आहे. "प्रथम आम्ही दस्तऐवजीकरण लिहितो, आणि नंतर आम्ही या दस्तऐवजीकरणावर आधारित एक प्रणाली तयार करतो" हे तत्त्व खूप चांगले आहे, परंतु अनेक कारणांमुळे ते क्वचितच व्यवहारात लागू केले जाते. या कारणांपैकी - साधा मानवी आळस किंवा योग्य योग्यतेचा अभाव, बाकीची कारणे पहिल्या दोन मधून काढली जातात.
मी शिफारस करतो - प्रथम दस्तऐवजीकरण लिहा, त्यावर विचार करा आणि त्यानंतरच प्रथम डोमेन कंट्रोलरच्या स्थापनेसह पुढे जा.
उदाहरणार्थ, मी अॅक्टिव्ह डिरेक्ट्री ऑब्जेक्ट्सचे नाव देण्याच्या मानकांवरील दस्तऐवजाचा एक विभाग देईन.
ऑब्जेक्टचे नामकरण.

• वापरकर्ता गटांचे नाव GRUS_ (GR - गट, US - वापरकर्ते) उपसर्गाने सुरू होणे आवश्यक आहे.
• संगणक गटांचे नाव GRCP_ (GR - Group, CP - संगणक) या उपसर्गाने सुरू होऊ नये.
• प्रतिनिधी गटांचे नाव उपसर्ग GRDL_ (GR - गट, DL - प्रतिनिधी) ने सुरू होणे आवश्यक आहे.
• संसाधन प्रवेश गटांचे नाव GRRS_ (GR - गट, RS - संसाधने) उपसर्गाने सुरू होणे आवश्यक आहे.
• धोरणांसाठी गटांचे नाव GPUS_, GPCP_ (GP - गट धोरण, US - वापरकर्ते, CP - संगणक) या उपसर्गाने सुरू झाले पाहिजे.
• क्लायंट कॉम्प्युटरच्या नावामध्ये संस्थेच्या नावातील दोन किंवा तीन अक्षरे असावीत, त्यानंतर हायफनद्वारे संख्या असावी, उदाहरणार्थ, nnt-01.
• सर्व्हरची नावे फक्त दोन अक्षरांनी सुरू होणे आवश्यक आहे, त्यानंतर डॅश त्यानंतर सर्व्हरची भूमिका आणि सर्व्हर क्रमांक, उदाहरणार्थ, nn-dc01.

मी एक्टिव्ह डिरेक्ट्री ऑब्जेक्ट्सना अशा प्रकारे नाव देण्याची शिफारस करतो की तुम्हाला "वर्णन" फील्ड भरण्याची गरज नाही. उदाहरणार्थ, GPCP_Restricted_Groups या गटाच्या नावावरून, हे स्पष्ट होते की हा एक धोरणाचा गट आहे जो संगणकांना लागू होतो आणि प्रतिबंधित गट यंत्रणेचे कार्य करतो.
दस्तऐवजीकरण लिहिण्याचा तुमचा दृष्टीकोन अतिशय सखोल असावा, यामुळे बचत होईल मोठ्या संख्येनेभविष्यातील वेळ.

सर्वकाही सुलभ करा, संतुलन साधण्याचा प्रयत्न करा
सक्रिय निर्देशिका तयार करताना, तुम्ही समतोल साधण्याच्या तत्त्वाचे पालन केले पाहिजे, सोप्या आणि समजण्यायोग्य यंत्रणेची निवड केली पाहिजे.
सोल्यूशनच्या जास्तीत जास्त साधेपणासह आवश्यक कार्यक्षमता आणि सुरक्षितता प्राप्त करणे हे शिल्लकचे तत्त्व आहे.
सिस्टम तयार करण्याचा प्रयत्न करणे आवश्यक आहे जेणेकरुन त्याची रचना सर्वात अननुभवी प्रशासक किंवा वापरकर्त्यास स्पष्ट होईल. उदाहरणार्थ, एका वेळी अनेक डोमेनमधून वन रचना तयार करण्याची शिफारस होती. शिवाय, केवळ मल्टी-डोमेन स्ट्रक्चर्सच नव्हे तर अनेक जंगलांमधील संरचना देखील तैनात करण्याची शिफारस करण्यात आली होती. कदाचित अशी शिफारस "विभाजित करा आणि जिंका" या तत्त्वामुळे अस्तित्वात असेल किंवा मायक्रोसॉफ्टने प्रत्येकाला सांगितले की डोमेन ही सुरक्षा सीमा आहे आणि संस्थेचे डोमेनमध्ये विभाजन केल्याने, आम्हाला स्वतंत्र संरचना मिळतील ज्या वैयक्तिकरित्या नियंत्रित करणे सोपे आहे. परंतु सरावाने दाखवल्याप्रमाणे, एकल-डोमेन सिस्टमची देखरेख आणि नियंत्रण करणे सोपे आहे, जेथे सुरक्षा सीमा संस्थात्मक एकके (OU) आहेत, डोमेन नाहीत. म्हणून, जटिल मल्टी-डोमेन स्ट्रक्चर्स तयार करणे टाळा, OU द्वारे ऑब्जेक्ट्स गट करणे चांगले आहे.
नक्कीच, आपण कट्टरतेशिवाय कार्य केले पाहिजे - आपण अनेक डोमेनशिवाय करू शकत नसल्यास, आपल्याला जंगलांसह अनेक डोमेन तयार करण्याची आवश्यकता आहे. मुख्य गोष्ट अशी आहे की आपण काय करत आहात आणि यामुळे काय होऊ शकते हे आपल्याला समजते.
हे समजून घेणे महत्त्वाचे आहे की एक साधी सक्रिय निर्देशिका इन्फ्रास्ट्रक्चर व्यवस्थापित करणे आणि नियंत्रित करणे सोपे आहे. मी असे म्हणेन की जितके सोपे, तितके सुरक्षित.
सरलीकरणाचे तत्त्व लागू करा. समतोल साधण्याचा प्रयत्न करा.

तत्त्वाचे अनुसरण करा - "वस्तू - गट"
या ऑब्जेक्टसाठी एक गट तयार करून सक्रिय निर्देशिका ऑब्जेक्ट्स तयार करण्यास प्रारंभ करा आणि गटाला आवश्यक अधिकार आधीच नियुक्त करा. एक उदाहरण पाहू. तुम्हाला मुख्य प्रशासक खाते तयार करणे आवश्यक आहे. प्रथम हेड अ‍ॅडमिन्स ग्रुप तयार करा आणि त्यानंतरच खाते स्वतः तयार करा आणि या ग्रुपमध्ये अॅड करा. हेड अॅडमिन्स ग्रुपला मुख्य अॅडमिनिस्ट्रेटरचे अधिकार नियुक्त करा, उदाहरणार्थ, डोमेन अॅडमिन्स ग्रुपमध्ये जोडून. जवळजवळ नेहमीच असे दिसून येते की काही काळानंतर दुसरा कर्मचारी कामावर येतो ज्याला समान अधिकारांची आवश्यकता असते आणि सक्रिय निर्देशिकेच्या विविध विभागांना अधिकार देण्याऐवजी, त्याला फक्त आवश्यक गटामध्ये जोडणे शक्य होईल, ज्यासाठी सिस्टम आधीच आहे. भूमिका परिभाषित केली आणि आवश्यक अधिकार सोपवले.
अजून एक उदाहरण. तुम्हाला OU चे अधिकार वापरकर्त्यांसह सिस्टीम अ‍ॅडमिनिस्ट्रेटर्स ग्रुपमध्ये सोपवण्याची गरज आहे. थेट प्रशासक गटाला अधिकार सोपवू नका, परंतु GRDL_OUname_Operator_Accounts सारखा एक विशेष गट तयार करा ज्यांना तुम्ही अधिकार नियुक्त करता. नंतर फक्त GRDL_OUname_Operator_Accounts गटामध्ये जबाबदार प्रशासक गट जोडा. हे निश्चितपणे दिसून येईल की नजीकच्या भविष्यात, आपल्याला या OU चे अधिकार प्रशासकांच्या दुसर्‍या गटाकडे सोपविणे आवश्यक आहे. आणि या प्रकरणात, तुम्ही GRDL_OUname_Operator_Accounts प्रतिनिधी गटामध्ये प्रशासक डेटा गट जोडू शकता.
मी खालील गट रचना प्रस्तावित करतो.

• वापरकर्ता गट (GRUS_)
• प्रशासक गट (GRAD_)
• प्रतिनिधी गट (GRDL_)
• धोरण गट (GRGP_)

संगणक गट

• सर्व्हर गट (GRSR_)
• क्लायंट संगणक गट (GRCP_)

संसाधन प्रवेश गट

• सामायिक संसाधन प्रवेश गट (GRRS_)
• प्रिंटर प्रवेश गट (GRPR_)

या मार्गदर्शक तत्त्वांभोवती तयार केलेल्या प्रणालीमध्ये, जवळजवळ सर्व प्रशासन गटांना गट जोडत असेल.
समतोल ठेवा, गटांसाठी भूमिकांची संख्या मर्यादित करा आणि लक्षात ठेवा की गटाच्या नावाने त्याच्या भूमिकेचे पूर्णपणे वर्णन केले पाहिजे.

OU आर्किटेक्चर.
OU च्या आर्किटेक्चरचा सर्व प्रथम सुरक्षेच्या दृष्टीकोनातून विचार केला पाहिजे आणि या OU चे अधिकार सिस्टम प्रशासकांना सुपुर्द केले पाहिजेत. गट धोरणे त्यांच्याशी जोडण्याच्या दृष्टीने मी OU आर्किटेक्चरचे नियोजन करण्याची शिफारस करत नाही (जरी हे बर्याचदा केले जाते). काहींसाठी, माझी शिफारस थोडी विचित्र वाटेल, परंतु मी गट धोरणे OU शी लिंक करण्याची अजिबात शिफारस करत नाही. गट धोरणे विभागात अधिक वाचा.
OU प्रशासन
मी प्रशासकीय खाती आणि गटांसाठी स्वतंत्र OU वाटप करण्याची शिफारस करतो, जेथे सर्व प्रशासक आणि तांत्रिक सहाय्य अभियंत्यांची खाती आणि गट ठेवायचे. या OU मध्ये प्रवेश सामान्य वापरकर्त्यांपुरता मर्यादित असावा आणि या OU मधील वस्तूंचे व्यवस्थापन केवळ मुख्य प्रशासकांना सोपवले जावे.
OU संगणक
संगणक भूगोल आणि संगणक प्रकारांच्या संदर्भात संगणक OUs सर्वोत्तम नियोजित आहेत. वेगवेगळ्या भौगोलिक स्थानांमधील संगणकांना वेगवेगळ्या OU मध्ये वितरित करा आणि त्या बदल्यात त्यांना क्लायंट संगणक आणि सर्व्हरमध्ये विभाजित करा. सर्व्हर पुढे एक्सचेंज, एसक्यूएल आणि इतरांमध्ये विभागले जाऊ शकतात.

वापरकर्ते, सक्रिय निर्देशिकेतील अधिकार
सक्रिय निर्देशिका वापरकर्ता खाती दिली पाहिजे विशेष लक्ष. OUs बद्दलच्या विभागात नमूद केल्याप्रमाणे, वापरकर्ता खाती या खात्यांना अधिकार सोपविण्याच्या तत्त्वावर आधारित गटबद्ध केले पाहिजेत. कमीतकमी विशेषाधिकाराचे तत्त्व पाळणे देखील महत्त्वाचे आहे - वापरकर्त्याला सिस्टममध्ये जितके कमी अधिकार असतील तितके चांगले. मी शिफारस करतो की तुम्ही ताबडतोब वापरकर्त्याचा विशेषाधिकार स्तर त्याच्या खात्याच्या नावावर ठेवा. दैनंदिन कामाच्या खात्यामध्ये वापरकर्त्याचे आडनाव आणि लॅटिनमधील आद्याक्षरे असणे आवश्यक आहे (उदाहरणार्थ, IvanovIV किंवा IVIvanov). आवश्यक फील्ड आहेत: नाव, आद्याक्षरे, आडनाव, प्रदर्शन नाव (रशियन भाषेत), ईमेल, मोबाइल, नोकरीचे शीर्षक, व्यवस्थापक.
प्रशासक खाती खालील प्रकारची असणे आवश्यक आहे:

• वापरकर्ता संगणकांवर प्रशासक अधिकारांसह, परंतु सर्व्हर नाही. मालकाची आद्याक्षरे आणि त्यानंतर स्थानिक उपसर्ग असणे आवश्यक आहे (उदा. iivlocal)
• सर्व्हर आणि सक्रिय निर्देशिका प्रशासित करण्याच्या अधिकारांसह. फक्त आद्याक्षरे असणे आवश्यक आहे (उदाहरणार्थ, iiv).

दोन्ही प्रकारच्या प्रशासकीय खात्यांचे आडनाव फील्ड I अक्षराने सुरू झाले पाहिजे (उदाहरणार्थ, iPetrov P Vasily)
तुम्ही प्रशासकीय खाती सर्व्हर अ‍ॅडमिनिस्ट्रेटर आणि क्लायंट कॉम्प्युटर अ‍ॅडमिनिस्ट्रेटरमध्ये का विभक्त करावीत हे मला समजावून सांगा. सुरक्षेच्या कारणास्तव हे आवश्यक आहे. क्लायंट संगणकांच्या प्रशासकांना क्लायंट संगणकांवर सॉफ्टवेअर स्थापित करण्याचा अधिकार असेल. हे सॉफ्टवेअर काय आणि का इन्स्टॉल केले जाईल, हे निश्चितपणे सांगता येणार नाही. म्हणून, डोमेन प्रशासक अधिकारांसह प्रोग्रामची स्थापना चालवणे सुरक्षित नाही; तुम्ही संपूर्ण डोमेनशी तडजोड करू शकता. तुम्ही फक्त त्या संगणकासाठी स्थानिक प्रशासक अधिकारांसह क्लायंट संगणक प्रशासित करणे आवश्यक आहे. यामुळे "पास द हॅश" सारख्या डोमेन प्रशासकांच्या खात्यांवर अनेक हल्ले करणे अशक्य होईल. याव्यतिरिक्त, क्लायंट संगणकांच्या प्रशासकांनी टर्मिनल सेवा कनेक्शन आणि संगणकावरील नेटवर्क कनेक्शन बंद करणे आवश्यक आहे. क्लायंट कॉम्प्युटरच्या नेटवर्कवरून त्यांचा प्रवेश प्रतिबंधित करण्यासाठी तांत्रिक समर्थन आणि प्रशासकांसाठी संगणक वेगळ्या VLAN मध्ये ठेवले पाहिजेत.
वापरकर्त्यांना प्रशासक अधिकार प्रदान करणे
जर तुम्हाला एखाद्या वापरकर्त्याला प्रशासक अधिकार देण्याची आवश्यकता असेल, तर त्यांचे दैनंदिन खाते संगणकाच्या स्थानिक प्रशासक गटामध्ये कोणत्याही परिस्थितीत ठेवू नका. दैनंदिन कामाचे खाते नेहमी अधिकारांमध्ये मर्यादित असावे. त्यासाठी नेमलोकल प्रकाराचे वेगळे प्रशासकीय खाते तयार करा आणि हे खाते पॉलिसी वापरून स्थानिक प्रशासकांच्या गटात जोडा, केवळ आयटम-स्तरीय लक्ष्यीकरण वापरून वापरकर्त्याच्या संगणकावर त्याचा वापर प्रतिबंधित करा. रन एएस यंत्रणा वापरून वापरकर्ता हे खाते वापरण्यास सक्षम असेल.
पासवर्ड धोरणे
सूक्ष्म पासवर्ड धोरण वापरून वापरकर्ते आणि प्रशासकांसाठी स्वतंत्र पासवर्ड धोरणे तयार करा. वापरकर्ता संकेतशब्द किमान 8 वर्णांचा असावा आणि किमान त्रैमासिक बदलला जाणे इष्ट आहे. प्रशासकांनी दर दोन महिन्यांनी पासवर्ड बदलणे इष्ट आहे आणि तो किमान 10-15 वर्णांचा असावा आणि जटिलतेच्या आवश्यकता पूर्ण करतो.

डोमेन आणि स्थानिक गटांची रचना. प्रतिबंधित गट यंत्रणा
डोमेन संगणकावरील डोमेन आणि स्थानिक गटांची रचना प्रतिबंधित गट यंत्रणा वापरून केवळ स्वयंचलित मोडमध्ये नियंत्रित केली जावी. हे केवळ अशा प्रकारे करणे का आवश्यक आहे, मी पुढील उदाहरणासह स्पष्ट करेन. सहसा, सक्रिय निर्देशिका डोमेन तुटल्यानंतर, प्रशासक स्वतःला डोमेन प्रशासक, एंटरप्राइझ प्रशासक, यांसारख्या डोमेन गटांमध्ये जोडतात. इच्छित गटतांत्रिक समर्थन अभियंते आणि इतर वापरकर्ते देखील गटांमध्ये विभागले गेले आहेत. हे डोमेन प्रशासित करण्याच्या प्रक्रियेत, अधिकार जारी करण्याची प्रक्रिया बर्‍याच वेळा पुनरावृत्ती केली जाते आणि काल आपण अकाउंटंट नीना पेट्रोव्हना यांना तात्पुरते 1C प्रशासक गटात जोडले आहे आणि आज आपल्याला तिला या गटातून काढून टाकण्याची आवश्यकता आहे हे लक्षात ठेवणे अत्यंत कठीण आहे. जर कंपनीकडे अनेक प्रशासक असतील आणि प्रत्येकाने वेळोवेळी वापरकर्त्यांना समान शैलीत अधिकार दिले तर परिस्थिती आणखीनच बिकट होईल. एका वर्षात कोणते अधिकार कोणाला दिले जातात हे शोधणे जवळजवळ अशक्य होईल. म्हणून, गटांची रचना केवळ गट धोरणांद्वारे नियंत्रित केली जावी, जे प्रत्येक अनुप्रयोगासह सर्वकाही व्यवस्थित ठेवेल.
अंगभूत गटांची रचना
हे म्हणण्यासारखे आहे की खाते ऑपरेटर, बॅकअप ऑपरेटर, क्रिप्ट ऑपरेटर, अतिथी, प्रिंट ऑपरेटर, सर्व्हर ऑपरेटर यासारखे अंगभूत गट डोमेन आणि क्लायंट संगणकांवर रिक्त असले पाहिजेत. हे गट प्रामुख्याने जुन्या प्रणालींसह मागास सुसंगततेसाठी आवश्यक आहेत, आणि या गटांच्या वापरकर्त्यांना सिस्टममध्ये खूप अधिकार दिले जातात आणि विशेषाधिकार वाढवणारे हल्ले शक्य होतात.

स्थानिक प्रशासक खाती
प्रतिबंधित गट यंत्रणा वापरून, स्थानिक प्रशासक खाती अवरोधित करणे आवश्यक आहे स्थानिक संगणक, अतिथी खाती लॉक करा आणि स्थानिक संगणकावरील स्थानिक प्रशासक गट साफ करा. स्थानिक प्रशासक खात्यांसाठी पासवर्ड सेट करण्यासाठी कधीही गट धोरणे वापरू नका. ही यंत्रणा सुरक्षित नाही, पासवर्ड थेट पॉलिसीमधून पुनर्प्राप्त केला जाऊ शकतो. परंतु, तुम्ही स्थानिक प्रशासक खाती अवरोधित न करण्याचे ठरविल्यास, पासवर्ड योग्यरित्या सेट करण्यासाठी आणि त्यांना फिरवण्यासाठी LAPS यंत्रणा वापरा. दुर्दैवाने, LAPS कॉन्फिगरेशन पूर्णपणे स्वयंचलित नाही, आणि म्हणून सक्रिय निर्देशिका स्कीमामध्ये व्यक्तिचलितपणे विशेषता जोडणे, त्यांना अधिकार प्रदान करणे, गट नियुक्त करणे इत्यादी आवश्यक असेल. म्हणून, स्थानिक प्रशासक खाती अवरोधित करणे सोपे आहे.
सेवा खाती.
सेवा सुरू करण्यासाठी, सेवा खाती आणि gMSA यंत्रणा वापरा (Windows 2012 आणि उच्च प्रणालींवर उपलब्ध)

गट धोरणे
तयार/सुधारणा करण्यापूर्वी दस्तऐवज धोरणे.
पॉलिसी तयार करताना, "पॉलिसी - ग्रुप" तत्त्व वापरा. म्हणजेच, पॉलिसी तयार करण्यापूर्वी, प्रथम या पॉलिसीसाठी एक गट तयार करा, पॉलिसी स्कोपमधून ऑथेंटिकेटेड वापरकर्ता गट काढून टाका आणि तयार केलेला गट जोडा. पॉलिसीला OU नाही तर डोमेनच्या मुळाशी बांधा आणि पॉलिसी ग्रुपमध्ये ऑब्जेक्ट्स जोडून त्याच्या अनुप्रयोगाच्या व्याप्तीचे नियमन करा. पॉलिसीला OU शी जोडण्यापेक्षा अशी यंत्रणा अधिक लवचिक आणि समजण्यायोग्य आहे असे मी मानतो. (त्याबद्दल मी ओयू आर्किटेक्चर विभागात लिहिले आहे).
धोरणाची व्याप्ती नेहमी समायोजित करा. जर तुम्ही केवळ वापरकर्त्यांसाठी धोरण तयार केले असेल, तर संगणक संरचना अक्षम करा आणि त्याउलट, जर तुम्ही केवळ संगणकांसाठी धोरण तयार केले असेल तर वापरकर्ता संरचना अक्षम करा. या सेटिंग्जबद्दल धन्यवाद, धोरणे अधिक जलद लागू केली जातील.
पॉवर शेल वापरून पॉलिसींचा दैनिक बॅकअप सेट करा जेणेकरून कॉन्फिगरेशन त्रुटींच्या बाबतीत, तुम्ही नेहमी मूळ सेटिंग्जवर परत येऊ शकता.
सेंट्रल स्टोअर टेम्पलेट (मध्यवर्ती स्टोअर)
Windows 2008 पासून सुरुवात करून, SYSVOL मध्ये, मध्यवर्ती स्टोअरमध्ये ग्रुप पॉलिसी ADMX टेम्पलेट संग्रहित करणे शक्य झाले. याआधी, डीफॉल्टनुसार, सर्व पॉलिसी टेम्पलेट्स स्थानिक पातळीवर, क्लायंटवर संग्रहित केले जात होते. सेंट्रल स्टोअरमध्ये ADMX टेम्पलेट्स ठेवण्यासाठी, %SystemDrive%\Windows\PolicyDefinitions फोल्डरची सामग्री क्लायंट सिस्टम (Windows 7/8/8.1) मधील सबफोल्डर्ससह डोमेन कंट्रोलरच्या %SystemDrive%\Windows\SYSVOL\ वर कॉपी करा. सामग्री विलीनीकरणासह \Policies\PolicyDefinitions निर्देशिका पण बदली नाही. पुढे, तुम्ही सर्व्हर सिस्टीममधून तीच प्रत बनवावी, सर्वात जुन्यापासून सुरू होईल. शेवटी, सर्व्हरच्या सर्वात अलीकडील आवृत्तीवरून फोल्डर आणि फाइल्स कॉपी करताना, एक विलीन करा आणि पुनर्स्थित करा.

ADMX टेम्पलेट्स कॉपी करत आहे

याव्यतिरिक्त, Microsoft Office, Adobe उत्पादने, Google उत्पादने आणि इतर सारख्या कोणत्याही सॉफ्टवेअर उत्पादनांसाठी ADMX टेम्पलेट्स मध्यवर्ती स्टोरेजमध्ये ठेवल्या जाऊ शकतात. सॉफ्टवेअर विक्रेत्याच्या वेबसाइटवर जा, ग्रुप पॉलिसी ADMX टेम्पलेट डाउनलोड करा आणि ते तुमच्या कोणत्याही डोमेन कंट्रोलरवरील %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions फोल्डरमध्ये काढा. आता तुम्ही गट धोरणांद्वारे तुम्हाला आवश्यक असलेले सॉफ्टवेअर उत्पादन व्यवस्थापित करू शकता.
WMI फिल्टर्स
WMI फिल्टर फार वेगवान नसतात, म्हणून आयटम-स्तरीय लक्ष्यीकरण श्रेयस्कर आहे. परंतु जर आयटम-स्तरीय लक्ष्यीकरण वापरले जाऊ शकत नाही, आणि तुम्ही WMI वापरण्याचे ठरवले, तर मी शिफारस करतो की तुम्ही ताबडतोब स्वतःसाठी काही सर्वात सामान्य फिल्टर तयार करा: फिल्टर “केवळ क्लायंट ऑपरेटिंग सिस्टम”, “केवळ सर्व्हर ऑपरेटिंग सिस्टम”, फिल्टर “Windows 7”, फिल्टर “Windows 8”, “Windows 8.1”, “Windows 10”. जर तुझ्याकडे असेल तयार किट WMI फिल्टर, नंतर इच्छित पॉलिसीमध्ये इच्छित फिल्टर लागू करणे सोपे होईल.

सक्रिय निर्देशिका इव्हेंटचे ऑडिटिंग
डोमेन नियंत्रक आणि इतर सर्व्हरवर इव्हेंट ऑडिटिंग सक्षम करण्याचे सुनिश्चित करा. मी खालील ऑब्जेक्ट्सचे ऑडिट सक्षम करण्याची शिफारस करतो:

• ऑडिट संगणक खाते व्यवस्थापन - यश, अपयश
• इतर खाते व्यवस्थापन कार्यक्रमांचे ऑडिट करा - यश, अपयश
• ऑडिट सुरक्षा गट व्यवस्थापन - यश, अपयश
• ऑडिट वापरकर्ता खाते व्यवस्थापन - यश, अपयश

• Kerberos प्रमाणीकरण सेवा ऑडिट - अयशस्वी
• इतर खाते लॉगऑन इव्हेंटचे ऑडिट - अयशस्वी
• ऑडिट ऑडिट धोरण बदल - यश, अपयश

ऑडिट विभागात कॉन्फिगर केले जाणे आवश्यक आहे प्रगत ऑडिट धोरण कॉन्फिगरेशनआणि विभागात सेटिंग समाविष्ट करण्याचे सुनिश्चित करा स्थानिक धोरण/सुरक्षा पर्याय - सक्ती ऑडिट धोरण उपश्रेणी सेटिंग्ज ( विंडोज व्हिस्टाकिंवा नंतर) ऑडिट पॉलिसी श्रेणी सेटिंग्ज ओव्हरराइड करण्यासाठी, जे उच्च-स्तरीय सेटिंग्ज ओव्हरराइड करेल आणि प्रगत सेटिंग्ज लागू करेल.

प्रगत ऑडिट सेटिंग्ज

मी ऑडिट सेटिंग्जवर तपशीलवार विचार करणार नाही, कारण या विषयाला समर्पित वेबवर पुरेसे लेख आहेत. मी फक्त हे जोडेन की ऑडिटिंग सक्षम करण्याव्यतिरिक्त, तुम्ही गंभीर सुरक्षा इव्हेंट्सबद्दल ई-मेल अलर्ट कॉन्फिगर केले पाहिजे. हे देखील विचारात घेण्यासारखे आहे की मोठ्या संख्येने इव्हेंट असलेल्या सिस्टममध्ये, लॉग फाइल्स गोळा आणि विश्लेषण करण्यासाठी स्वतंत्र सर्व्हर समर्पित करणे योग्य आहे.

प्रशासन आणि साफसफाईची स्क्रिप्ट
एकाच प्रकारच्या आणि वारंवार पुनरावृत्ती केलेल्या सर्व क्रिया प्रशासन स्क्रिप्ट वापरून केल्या पाहिजेत. या क्रियांपैकी: वापरकर्ता खाती तयार करणे, प्रशासक खाती तयार करणे, गट तयार करणे, OUs तयार करणे इ. स्क्रिप्टिंग ऑब्जेक्ट्स तुम्हाला तुमच्या स्क्रिप्टमध्ये सिंटॅक्स चेक तयार करून तुमच्या Active Directory ऑब्जेक्ट नेमिंग लॉजिकचा सन्मान करण्यास अनुमती देतात.
क्लिनिंग स्क्रिप्ट लिहिणे देखील फायदेशीर आहे जे आपोआप गटांची रचना नियंत्रित करतील, वापरकर्ते आणि संगणक ओळखतील जे डोमेनशी बर्याच काळापासून कनेक्ट केलेले नाहीत, आपल्या इतर मानकांचे उल्लंघन शोधतील आणि याप्रमाणे.
मानकांच्या अनुपालनाचे निरीक्षण करण्यासाठी आणि पार्श्वभूमी ऑपरेशन्स करण्यासाठी प्रशासन स्क्रिप्टचा वापर स्पष्ट अधिकृत शिफारस म्हणून मी पाहिलेला नाही. परंतु मी स्वतः स्क्रिप्ट्स वापरून स्वयंचलित मोडमध्ये तपासण्या आणि प्रक्रियांना प्राधान्य देतो, कारण यामुळे बराच वेळ वाचतो आणि बर्‍याच त्रुटी दूर होतात आणि अर्थातच, प्रशासनाकडे माझा थोडासा युनिक्स दृष्टीकोन येथे परिणाम करतो, जेव्हा दोन कमांड टाईप करणे सोपे असते. विंडोजवर क्लिक करण्यापेक्षा.

मॅन्युअल प्रशासन
प्रशासनाच्या कामकाजाचा एक भाग तुम्हाला आणि तुमच्या सहकाऱ्यांना स्वहस्ते करावे लागेल. या हेतूंसाठी, मी त्यात जोडलेल्या स्नॅप-इनसह एमएमसी कन्सोल वापरण्याची शिफारस करतो.
नंतर चर्चा केल्याप्रमाणे, तुमच्या डोमेन नियंत्रकांनी सर्व्हर कोअर मोडमध्ये कार्य करणे आवश्यक आहे, म्हणजेच संपूर्ण एडी वातावरणाचे प्रशासन केवळ कन्सोल वापरून तुमच्या संगणकावरून केले जावे. सक्रिय निर्देशिका प्रशासित करण्यासाठी, तुम्हाला तुमच्या संगणकावर रिमोट सर्व्हर अॅडमिनिस्ट्रेशन टूल्स इन्स्टॉल करणे आवश्यक आहे. कन्सोल तुमच्या संगणकावर सक्रिय निर्देशिका प्रशासक अधिकारांसह वापरकर्ता म्हणून चालवले जावे ज्यांना नियंत्रण सोपवले गेले आहे.
कन्सोलचा वापर करून अ‍ॅक्टिव्ह डिरेक्टरी व्यवस्थापित करण्याच्या कलेसाठी स्वतंत्र लेख आवश्यक आहे, आणि कदाचित एक स्वतंत्र प्रशिक्षण व्हिडिओ देखील, म्हणून मी येथे फक्त तत्त्वाबद्दल बोलत आहे.

डोमेन नियंत्रक
कोणत्याही डोमेनमध्ये, किमान दोन नियंत्रक असणे आवश्यक आहे. डोमेन नियंत्रकांकडे शक्य तितक्या कमी सेवा असाव्यात. तुम्ही डोमेन कंट्रोलरमधून फाइल सर्व्हर बनवू नये किंवा, देव मना करू नये, त्यावर टर्मिनल सर्व्हरची भूमिका वाढवू नये. WoW64 सपोर्ट पूर्णपणे काढून टाकून डोमेन कंट्रोलर्सवर सर्व्हर कोअर ऑपरेटिंग सिस्टम चालवा, यामुळे आवश्यक अपडेट्सची संख्या लक्षणीयरीत्या कमी होईल आणि त्यांची सुरक्षा वाढेल.
स्नॅपशॉट्समधून पुनर्संचयित करताना, प्रतिकृती विवादांचे निराकरण करणे कठीण होते या वस्तुस्थितीमुळे मायक्रोसॉफ्टने यापूर्वी डोमेन नियंत्रकांचे आभासीकरण करण्यास परावृत्त केले होते. इतर कारणे असतील, मी निश्चितपणे सांगू शकत नाही. आता हायपरव्हायझर्सनी कंट्रोलर्सना स्नॅपशॉटमधून रिस्टोअर करायला सांगायला शिकले आहे आणि ही समस्या नाहीशी झाली आहे. मी कोणतेही स्नॅपशॉट न घेता सर्व वेळ कंट्रोलर्स वर्च्युअलाइज केले, कारण डोमेन कंट्रोलर्सवर असे करणे अजिबात का आवश्यक आहे हे मला समजत नाही. माझ्या मते, मानक साधनांचा वापर करून डोमेन कंट्रोलरचा बॅकअप घेणे सोपे आहे. म्हणून, मी शक्य असलेल्या सर्व डोमेन नियंत्रकांना आभासीकरण करण्याची शिफारस करतो. हे कॉन्फिगरेशन अधिक लवचिक असेल. डोमेन कंट्रोलर्स वर्च्युअलाइज करताना, त्यांना वेगवेगळ्या भौतिक होस्टवर ठेवा.
तुम्हाला असुरक्षित भौतिक वातावरणात किंवा तुमच्या संस्थेच्या शाखेत डोमेन कंट्रोलर ठेवण्याची आवश्यकता असल्यास, या उद्देशासाठी RODC वापरा.

FSMO भूमिका, प्राथमिक आणि दुय्यम नियंत्रक
डोमेन कंट्रोलर FSMO भूमिका नवशिक्या प्रशासकांच्या मनात भीती निर्माण करत आहेत. बर्‍याचदा, नवशिक्या कालबाह्य कागदपत्रांचा वापर करून सक्रिय निर्देशिकाचा अभ्यास करतात किंवा इतर प्रशासकांच्या कथा ऐकतात ज्यांनी कुठेतरी काहीतरी वाचले आहे.
सर्व पाच + 1 भूमिकांसाठी, खालील थोडक्यात सांगितले पाहिजे. Windows Server 2008 सह प्रारंभ करून, यापुढे प्राथमिक आणि दुय्यम डोमेन नियंत्रक नाहीत. सर्व पाच डोमेन कंट्रोलर रोल पोर्टेबल आहेत, परंतु एकाच वेळी एकापेक्षा जास्त डोमेन कंट्रोलरवर होस्ट केले जाऊ शकत नाहीत. जर आपण नियंत्रकांपैकी एक घेतला, उदाहरणार्थ, 4 भूमिकांचा मालक होता आणि तो हटविला, तर आम्ही या सर्व भूमिका सहजपणे इतर नियंत्रकांकडे हस्तांतरित करू शकतो आणि डोमेनमध्ये काहीही भयंकर होणार नाही, काहीही खंडित होणार नाही. हे शक्य आहे कारण एखाद्या विशिष्ट भूमिकेशी संबंधित कामाची सर्व माहिती त्याच्या मालकाद्वारे थेट सक्रिय निर्देशिकामध्ये संग्रहित केली जाते. आणि जर आम्ही भूमिका दुसर्‍या नियंत्रकाकडे हस्तांतरित केली, तर ते सर्व प्रथम सक्रिय निर्देशिकेत संग्रहित माहितीची विनंती करते आणि सर्व्ह करण्यास सुरवात करते. भूमिका मालकांशिवाय डोमेन बर्याच काळासाठी अस्तित्वात असू शकते. एकमात्र "भूमिका" जी नेहमी अ‍ॅक्टिव्ह डिरेक्ट्रीमध्ये असली पाहिजे आणि त्याशिवाय सर्व काही खूप वाईट होईल, ही ग्लोबल कॅटलॉग (GC) ची भूमिका आहे, ती डोमेनमधील सर्व नियंत्रकांद्वारे घेतली जाऊ शकते. मी डोमेनमधील प्रत्येक नियंत्रकाला GC भूमिका नियुक्त करण्याची शिफारस करतो, जितके अधिक, तितके चांगले. अर्थात, तुम्ही डोमेन कंट्रोलरवर GC रोल इन्स्टॉल करू नये अशी प्रकरणे तुम्हाला सापडतील. बरं, जर तुम्हाला गरज नसेल, तर तुम्हाला करण्याची गरज नाही. कट्टरतेशिवाय शिफारसींचे अनुसरण करा.

DNS सेवा
DNS सेवा अ‍ॅक्टिव्ह डिरेक्ट्रीच्या ऑपरेशनसाठी महत्त्वपूर्ण आहे आणि ती सुरळीत चालली पाहिजे. DNS सेवा प्रत्येक डोमेन कंट्रोलरवर सर्वोत्तम ठेवली जाते आणि DNS झोन सक्रिय डिरेक्ट्रीमध्येच संग्रहित करते. जर तुम्ही DNS झोन संचयित करण्यासाठी सक्रिय निर्देशिका वापरत असाल, तर तुम्ही डोमेन कंट्रोलरवर TCP/IP कनेक्शनचे गुणधर्म कॉन्फिगर केले पाहिजेत जेणेकरून प्रत्येक कंट्रोलरकडे इतर कोणताही DNS सर्व्हर प्राथमिक DNS सर्व्हर म्हणून असेल आणि तुम्ही दुय्यम DNS सर्व्हर सेट करू शकता. पत्ता 127.0.0.1. हे कॉन्फिगरेशन आवश्यक आहे कारण सक्रिय निर्देशिका सेवेच्या सामान्य प्रारंभासाठी, कार्यरत DNS आवश्यक आहे आणि DNS सुरू होण्यासाठी, सक्रिय निर्देशिका सेवा चालू असणे आवश्यक आहे, कारण त्यात स्वतः DNS झोन आहे.
तुमच्या सर्व नेटवर्कसाठी रिव्हर्स लुकअप झोन सेट केल्याचे सुनिश्चित करा आणि PTR रेकॉर्डचे स्वयंचलित सुरक्षित अद्यतन सक्षम करा.
मी शिफारस करतो की तुम्ही अप्रचलित DNS रेकॉर्ड (dns scavenging) पासून झोनची स्वयंचलित साफसफाई देखील सक्षम करा.
तुमच्या भौगोलिक स्थानामध्ये इतर कोणतेही जलद नसतील तर DNS-फॉरवर्डर म्हणून सुरक्षित Yandex सर्व्हर निर्दिष्ट करण्याची मी शिफारस करतो.

साइट्स आणि प्रतिकृती
अनेक प्रशासक संगणकांचे भौगोलिक गट म्हणून साइट्सचा विचार करतात. उदाहरणार्थ, मॉस्को साइट, सेंट पीटर्सबर्ग साइट. हे दृश्य साइट्समध्ये सक्रिय डिरेक्ट्रीचे मूळ विभाजन नेटवर्क रहदारीचे संतुलन आणि विभक्त करण्यासाठी केले गेले होते या वस्तुस्थितीमुळे दिसून आले. मॉस्कोमधील डोमेन नियंत्रकांना हे माहित असणे आवश्यक नाही की आता सेंट पीटर्सबर्गमध्ये दहा संगणक खाती तयार केली गेली आहेत. आणि म्हणूनच, बदलांबद्दलची अशी माहिती वेळापत्रकानुसार तासातून एकदा प्रसारित केली जाऊ शकते. किंवा बँडविड्थ वाचवण्यासाठी दिवसातून एकदा आणि फक्त रात्री बदलांची प्रतिकृती बनवा.
साइट्सबद्दल, मी असे म्हणेन: साइट्स संगणकाचे तार्किक गट आहेत. चांगल्या नेटवर्क कनेक्शनद्वारे एकमेकांशी जोडलेले संगणक. आणि साइट्स स्वतः कमी बँडविड्थच्या कनेक्शनद्वारे एकमेकांशी जोडलेली आहेत, जी आमच्या काळात दुर्मिळ आहे. म्हणून, मी अ‍ॅक्टिव्ह डिरेक्ट्रीला साइट्समध्ये रिप्लिकेशन ट्रॅफिक संतुलित करण्यासाठी नाही, तर सर्वसाधारणपणे नेटवर्क लोड संतुलित करण्यासाठी आणि साइट कॉम्प्युटरवरील क्लायंट विनंत्यांच्या जलद प्रक्रियेसाठी विभाजित करतो. मी एका उदाहरणाने स्पष्ट करतो. संस्थेचे 100-मेगाबिट स्थानिक नेटवर्क आहे, जे दोन डोमेन नियंत्रकांद्वारे दिले जाते आणि एक क्लाउड आहे जिथे या संस्थेचे ऍप्लिकेशन सर्व्हर दोन इतर क्लाउड नियंत्रकांसह स्थित आहेत. मी अशा नेटवर्कला दोन साइट्समध्ये विभाजित करेन जेणेकरून नियंत्रक आत येतील स्थानिक नेटवर्कस्थानिक नेटवर्कवरून प्रक्रिया केलेल्या क्लायंट विनंत्या आणि क्लाउडमधील नियंत्रकांनी अॅप्लिकेशन सर्व्हरकडून प्रक्रिया केलेल्या विनंत्या. याव्यतिरिक्त, हे DFS आणि एक्सचेंज सेवांना विनंत्या विभक्त करेल. आणि आता मला क्वचितच 10 मेगाबिट प्रति सेकंद पेक्षा कमी इंटरनेट चॅनेल दिसत असल्याने, मी सूचना आधारित प्रतिकृती सक्षम करेन, जेव्हा सक्रिय निर्देशिकेत काही बदल होताच डेटाची प्रतिकृती तयार केली जाते.

निष्कर्ष
आज सकाळी मी विचार करत होतो की समाजात मानवी स्वार्थाचे स्वागत का केले जात नाही आणि कुठेतरी खोल पातळीवरील समज अत्यंत नकारात्मक भावनांना कारणीभूत ठरते. आणि माझ्या मनात एकच उत्तर आले की मानवजाती या पृथ्वीतलावर टिकली नसती तर भौतिक आणि बौद्धिक संसाधने कशी वाटायची हे शिकले नसते. म्हणूनच मी हा लेख तुमच्यासोबत सामायिक करत आहे आणि मला आशा आहे की माझ्या शिफारसी तुम्हाला तुमच्या सिस्टममध्ये सुधारणा करण्यात मदत करतील आणि तुम्ही समस्यानिवारण करण्यासाठी कमी वेळ घालवाल. हे सर्व सर्जनशीलतेसाठी अधिक वेळ आणि ऊर्जा सोडण्यास कारणीभूत ठरेल. सर्जनशील आणि मुक्त लोकांच्या जगात जगणे अधिक आनंददायी आहे.
शक्य असल्यास टिप्पण्यांमध्ये तुम्ही तुमचे ज्ञान आणि सक्रिय निर्देशिका तयार करण्याच्या पद्धती सामायिक केल्यास ते चांगले आहे.
सर्वांना शांती आणि चांगुलपणा!

साइटच्या विकासासाठी आपण मदत करू शकता आणि काही निधी हस्तांतरित करू शकता

सक्रिय निर्देशिका (AD) ही एक उपयुक्तता आहे ज्यासाठी डिझाइन केलेली आहे ऑपरेटिंग सिस्टममायक्रोसॉफ्ट सर्व्हर. हे मूलतः वापरकर्ता निर्देशिकांमध्ये प्रवेश करण्यासाठी हलके अल्गोरिदम म्हणून तयार केले गेले होते. पासून विंडोज आवृत्त्यासर्व्हर 2008 ने अधिकृतता सेवांसह एकत्रीकरण सादर केले.

सिस्टम सेंटर कॉन्फिगरेशन मॅनेजर वापरून सर्व नियंत्रित पीसीवर समान प्रकारच्या सेटिंग्ज आणि सॉफ्टवेअर लागू करणाऱ्या गट धोरणाचे पालन करण्याची क्षमता तुम्हाला देते.

जर ए सोप्या शब्दातनवशिक्यांसाठी, ही एक सर्व्हर भूमिका आहे जी तुम्हाला स्थानिक नेटवर्कवरील सर्व प्रवेश आणि परवानग्या एकाच ठिकाणाहून व्यवस्थापित करण्यास अनुमती देते

कार्ये आणि उद्देश

Microsoft Active Directory - (तथाकथित निर्देशिका) टूल्सचे पॅकेज जे तुम्हाला वापरकर्ते आणि नेटवर्क डेटा हाताळू देते. प्राथमिक ध्येयनिर्मिती - विस्तृत नेटवर्कमध्ये सिस्टम प्रशासकांचे कार्य सुलभ करा.

निर्देशिकांमध्ये वापरकर्ते, गट, नेटवर्क उपकरणे, फाइल संसाधने - एका शब्दात, वस्तूंशी संबंधित विविध माहिती असते. उदाहरणार्थ, निर्देशिकेत साठवलेल्या वापरकर्त्याच्या गुणधर्म खालील असाव्यात: पत्ता, लॉगिन, पासवर्ड, मोबाइल फोन नंबर इ. निर्देशिका म्हणून वापरली जाते प्रमाणीकरण बिंदू, ज्याद्वारे आपण वापरकर्त्याबद्दल आवश्यक माहिती शोधू शकता.

काम करताना मूलभूत संकल्पना समोर आल्या

AD सह काम करताना लागू होणाऱ्या अनेक विशेष संकल्पना आहेत:

1. सर्व्हर हा संगणक आहे ज्यामध्ये सर्व डेटा असतो.
2. कंट्रोलर हा एडी रोल असलेला सर्व्हर आहे जो डोमेन वापरणाऱ्या लोकांच्या विनंत्या हाताळतो.
3. AD डोमेन हे एका अद्वितीय नावाखाली एकत्रित केलेल्या उपकरणांचा संग्रह आहे जे एकाच वेळी सामान्य निर्देशिका डेटाबेस वापरतात.
4. डेटा स्टोअर हा निर्देशिकेचा भाग आहे जो कोणत्याही डोमेन कंट्रोलरकडून डेटा संचयित आणि पुनर्प्राप्त करण्यासाठी जबाबदार आहे.

सक्रिय निर्देशिका कशा काम करतात

कामाची मुख्य तत्त्वे आहेत:

• अधिकृतता, ज्यासह वैयक्तिक संकेतशब्द प्रविष्ट करून नेटवर्कवर पीसी वापरणे शक्य होते. या प्रकरणात, खात्यातील सर्व माहिती हस्तांतरित केली जाते.
• सुरक्षा. सक्रिय निर्देशिकामध्ये वापरकर्ता ओळख वैशिष्ट्ये आहेत. कोणत्याही नेटवर्क ऑब्जेक्टसाठी, आपण दूरस्थपणे, एका डिव्हाइसवरून, आवश्यक अधिकार सेट करू शकता, जे श्रेणी आणि विशिष्ट वापरकर्त्यांवर अवलंबून असेल.
• नेटवर्क प्रशासनएका बिंदूपासून. अ‍ॅक्टिव्ह डिरेक्ट्रीसह काम करत असताना, सिस्टम अॅडमिनिस्ट्रेटरला सर्व पीसी पुन्हा कॉन्फिगर करण्याची आवश्यकता नाही, जर तुम्हाला प्रवेश अधिकार बदलण्याची आवश्यकता असेल, उदाहरणार्थ, प्रिंटरवर. बदल दूरस्थपणे आणि जागतिक स्तरावर केले जातात.
• पूर्ण DNS एकत्रीकरण. त्याच्या मदतीने, एडीमध्ये कोणताही गोंधळ नाही, सर्व उपकरणे वर्ल्ड वाइड वेब प्रमाणेच नियुक्त केली जातात.
• मोठ्या प्रमाणात. सर्व्हरचा संग्रह एकाच सक्रिय निर्देशिकाद्वारे नियंत्रित केला जाऊ शकतो.
• शोधाविविध पॅरामीटर्सनुसार बनवले जाते, उदाहरणार्थ, संगणकाचे नाव, लॉगिन.

वस्तू आणि गुणधर्म

ऑब्जेक्ट - गुणधर्मांचा एक संच, त्याच्या स्वतःच्या नावाखाली एकत्रित, नेटवर्क संसाधनाचे प्रतिनिधित्व करतो.

विशेषता - कॅटलॉगमधील ऑब्जेक्टची वैशिष्ट्ये. उदाहरणार्थ, यामध्ये वापरकर्त्याचे पूर्ण नाव, त्याचे लॉगिन समाविष्ट आहे. परंतु पीसी खात्याचे गुणधर्म या संगणकाचे नाव आणि त्याचे वर्णन असू शकतात.

“कर्मचारी” ही एक वस्तू आहे ज्यामध्ये “नाव”, “स्थिती” आणि “टॅबएन” ही वैशिष्ट्ये आहेत.

LDAP कंटेनर आणि नाव

कंटेनर हा एक प्रकारचा ऑब्जेक्ट आहे जो करू शकतो इतर वस्तूंचा समावेश आहे. डोमेन, उदाहरणार्थ, खाते ऑब्जेक्ट्स समाविष्ट करू शकतात.

त्यांचा मुख्य उद्देश आहे ऑब्जेक्ट ऑर्डरिंगचिन्हांच्या प्रकारानुसार. बर्‍याचदा, कंटेनर समान गुणधर्मांसह वस्तूंचे गट करण्यासाठी वापरले जातात.

जवळजवळ सर्व कंटेनर ऑब्जेक्ट्सच्या संग्रहासाठी मॅप करतात आणि रिसोर्सेस अनन्य सक्रिय निर्देशिका ऑब्जेक्टवर मॅप करतात. एडी कंटेनरच्या मुख्य प्रकारांपैकी एक म्हणजे संस्था एकक, किंवा ओयू (संघटनात्मक एकक). या कंटेनरमध्ये ठेवलेल्या वस्तू केवळ त्या डोमेनशी संबंधित आहेत ज्यामध्ये ते तयार केले आहेत.

लाइटवेट डायरेक्ट्री ऍक्सेस प्रोटोकॉल (LDAP) हे TCP/IP कनेक्शनसाठी मूलभूत अल्गोरिदम आहे. निर्देशिका सेवांमध्ये प्रवेश करताना सूक्ष्मतेचे प्रमाण कमी करण्यासाठी ते तयार केले गेले. तसेच, LDAP निर्देशिका डेटा क्वेरी आणि संपादित करण्यासाठी वापरल्या जाणार्‍या क्रिया परिभाषित करते.

झाड आणि साइट

डोमेन ट्री ही एक रचना आहे, डोमेनचा एक संग्रह आहे जो एक सामान्य स्कीमा आणि कॉन्फिगरेशन सामायिक करतो, एक सामान्य नेमस्पेस बनवतो आणि विश्वास संबंधांद्वारे जोडलेले असतो.

डोमेनचे जंगल म्हणजे एकमेकांशी जोडलेल्या झाडांचा संग्रह.

साइट - आयपी सबनेटमधील डिव्हाइसेसचा संग्रह, नेटवर्कच्या भौतिक मॉडेलचे प्रतिनिधित्व करते, ज्याचे नियोजन त्याच्या बांधकामाच्या तार्किक प्रतिनिधित्वाकडे दुर्लक्ष करून केले जाते. अ‍ॅक्टिव्ह डिरेक्ट्रीमध्ये n साइट्स तयार करण्याची किंवा n डोमेन एका साइटखाली एकत्र करण्याची क्षमता आहे.

सक्रिय निर्देशिका स्थापित करणे आणि कॉन्फिगर करणे

आता उदाहरण म्हणून Windows Server 2008 वापरून Active Directory सेट करण्यासाठी थेट जाऊया (इतर आवृत्त्यांवर, प्रक्रिया सारखीच आहे):

"ओके" बटणावर क्लिक करा. लक्षात घ्या की ही मूल्ये आवश्यक नाहीत. तुम्ही तुमच्या नेटवर्कवरून IP पत्ता आणि DNS वापरू शकता.

• पुढे, आपल्याला "प्रारंभ" मेनूवर जाण्याची आवश्यकता आहे, "प्रशासकीय साधने" आणि "" निवडा.
  
• "भूमिका" आयटमवर जा, "" निवडा भूमिका जोडा”.
  
• "सक्रिय निर्देशिका डोमेन सेवा" निवडा, "पुढील" वर दोनदा क्लिक करा आणि नंतर "स्थापित करा".
  
• स्थापना पूर्ण होण्याची प्रतीक्षा करा.
  
• प्रारंभ मेनू उघडा - “ धावा" फील्डमध्ये dcpromo.exe प्रविष्ट करा.
  
• "पुढील" क्लिक करा.
  
• आयटम निवडा " नवीन जंगलात नवीन डोमेन तयार करा"आणि पुन्हा "पुढील" वर क्लिक करा.
  
• पुढील विंडोमध्ये, नाव प्रविष्ट करा, "पुढील" क्लिक करा.
  
• निवडा सुसंगतता मोड(विंडोज सर्व्हर 2008).
  
• पुढील विंडोमध्ये, सर्वकाही डीफॉल्ट म्हणून सोडा.
  
• सुरू होईल कॉन्फिगरेशन विंडोDNS. त्याचा आधी सर्व्हरवर वापर होत नसल्याने प्रतिनिधी मंडळ तयार झाले नाही.
  
• स्थापनेसाठी निर्देशिका निवडा.
  
• या चरणानंतर, आपल्याला सेट करणे आवश्यक आहे प्रशासन पासवर्ड.

सुरक्षित होण्यासाठी, पासवर्डने खालील आवश्यकता पूर्ण केल्या पाहिजेत:

AD ने घटक कॉन्फिगरेशन प्रक्रिया पूर्ण केल्यानंतर, तुम्ही सर्व्हर रीस्टार्ट करणे आवश्यक आहे.

कॉन्फिगरेशन पूर्ण झाले आहे, स्नॅप-इन आणि रोल सिस्टममध्ये स्थापित केले आहेत. तुम्ही फक्त सर्व्हर कुटुंबाच्या विंडोजवर AD स्थापित करू शकता, नियमित आवृत्त्या, जसे की 7 किंवा 10, तुम्हाला फक्त व्यवस्थापन कन्सोल स्थापित करण्याची परवानगी देऊ शकतात.

सक्रिय निर्देशिका मध्ये प्रशासन

डीफॉल्टनुसार, विंडोज सर्व्हरमध्ये, सक्रिय निर्देशिका वापरकर्ते आणि संगणक कन्सोल हे संगणक ज्या डोमेनशी संबंधित आहे त्या डोमेनसह कार्य करते. तुम्ही कंसोल ट्रीद्वारे या डोमेनमधील संगणक आणि वापरकर्ता ऑब्जेक्ट्समध्ये प्रवेश करू शकता किंवा दुसर्‍या कंट्रोलरशी कनेक्ट करू शकता.

समान कन्सोल टूल्स तुम्हाला पाहण्याची परवानगी देतात अतिरिक्त पर्याय ऑब्जेक्ट्स आणि त्यांना शोधा, तुम्ही नवीन वापरकर्ते, गट तयार करू शकता आणि परवानग्यांमधून बदल करू शकता.

तसे, आहे 2 प्रकारचे गटसक्रिय निर्देशिका मध्ये - सुरक्षा आणि वितरण. सुरक्षा गट ऑब्जेक्ट्सवरील प्रवेश अधिकार मर्यादित करण्यासाठी जबाबदार आहेत, ते वितरण गट म्हणून वापरले जाऊ शकतात.

वितरण गट अधिकारांमध्ये फरक करू शकत नाहीत, परंतु ते प्रामुख्याने नेटवर्कवर संदेश वितरित करण्यासाठी वापरले जातात.

एडी डेलिगेशन म्हणजे काय

शिष्टमंडळ स्वतः आहे परवानग्या आणि नियंत्रणाच्या काही भागाचे हस्तांतरणमूळ वस्तुपासून इतर जबाबदार पक्षाकडे.

हे ज्ञात आहे की प्रत्येक संस्थेच्या मुख्यालयात अनेक सिस्टम प्रशासक असतात. वेगवेगळ्या खांद्यावर वेगवेगळी कामे सोपवली पाहिजेत. बदल लागू करण्यासाठी, तुमच्याकडे हक्क आणि परवानग्या असणे आवश्यक आहे, जे मानक आणि विशेष मध्ये विभागलेले आहेत. विशेष - विशिष्ट ऑब्जेक्टवर लागू करा, तर मानक - विद्यमान परवानग्यांचा संच जो काही कार्ये उपलब्ध किंवा अनुपलब्ध करतात.

विश्वासार्ह संबंध प्रस्थापित करणे

AD मध्ये दोन प्रकारचे विश्वासाचे संबंध आहेत: "एकदिशात्मक" आणि "द्विदिशात्मक". पहिल्या प्रकरणात, एक डोमेन दुसर्‍यावर विश्वास ठेवतो, परंतु त्याउलट नाही, अनुक्रमे, पहिल्याला दुसर्‍याच्या संसाधनांमध्ये प्रवेश आहे आणि दुसर्‍याकडे प्रवेश नाही. दुस-या स्वरूपात, विश्वास "परस्पर" आहे. "आउटगोइंग" आणि "इनकमिंग" संबंध देखील आहेत. आउटबाउंडमध्ये, पहिला डोमेन दुसऱ्यावर विश्वास ठेवतो, अशा प्रकारे दुसऱ्याच्या वापरकर्त्यांना पहिल्याची संसाधने वापरण्याची परवानगी मिळते.

स्थापनेदरम्यान, खालील प्रक्रिया पार पाडल्या पाहिजेत:

• सत्यापित करानियंत्रकांमधील नेटवर्क कनेक्शन.
• सेटिंग्ज तपासा.
• ट्यून कराबाह्य डोमेनसाठी नाव रिझोल्यूशन.
• कनेक्शन तयार कराविश्वासार्ह डोमेनवरून.
• ट्रस्टला संबोधित केलेल्या कंट्रोलरच्या बाजूने कनेक्शन तयार करा.
• तयार केलेले एकतर्फी संबंध तपासा.
• जर ए गरज आहेद्विपक्षीय संबंधांच्या स्थापनेत - स्थापना करण्यासाठी.

जागतिक निर्देशिका

हा डोमेन कंट्रोलर आहे जो जंगलातील सर्व वस्तूंच्या प्रती ठेवतो. हे वापरकर्त्यांना आणि प्रोग्राम्सना सध्याच्या जंगलातील कोणत्याही डोमेनमधील वस्तू शोधण्याची क्षमता देते गुणधर्म शोधकजागतिक कॅटलॉगमध्ये समाविष्ट आहे.

ग्लोबल कॅटलॉग (GC) मध्ये प्रत्येक डोमेनमधील प्रत्येक फॉरेस्ट ऑब्जेक्टसाठी विशेषतांचा मर्यादित संच समाविष्ट असतो. हे जंगलातील सर्व डोमेन निर्देशिका विभाजनांमधून डेटा प्राप्त करते आणि मानक सक्रिय निर्देशिका प्रतिकृती प्रक्रिया वापरून त्याची प्रतिकृती बनवते.

विशेषता कॉपी केली जाईल की नाही हे स्कीमा ठरवते. शक्यता आहे अतिरिक्त वैशिष्ट्ये कॉन्फिगर करत आहे, जी “सक्रिय निर्देशिका स्कीमा” वापरून जागतिक कॅटलॉगमध्ये पुन्हा तयार केली जाईल. जागतिक कॅटलॉगमध्ये विशेषता जोडण्यासाठी, तुम्हाला प्रतिकृती विशेषता निवडणे आणि "कॉपी" पर्याय वापरणे आवश्यक आहे. हे जागतिक कॅटलॉगमध्ये विशेषताची प्रतिकृती तयार करेल. विशेषता पॅरामीटर मूल्य isMemberOfPartialAttributeSetखरे होईल.

ला स्थान शोधाग्लोबल डिरेक्टरी, तुम्हाला कमांड लाइनवर प्रविष्ट करणे आवश्यक आहे:

Dsquery सर्व्हर -isgc

सक्रिय निर्देशिकेत डेटा प्रतिकृती

प्रतिकृती ही कॉपी करण्याची प्रक्रिया आहे जी कोणत्याही कंट्रोलरवर अस्तित्वात असलेली तितकीच अद्ययावत माहिती संग्रहित करणे आवश्यक असते तेव्हा केली जाते.

त्याची निर्मिती केली जाते ऑपरेटरच्या हस्तक्षेपाशिवाय. प्रतिकृती सामग्रीचे खालील प्रकार आहेत:

• सर्व विद्यमान डोमेनमधून डेटा प्रतिकृती तयार केल्या जातात.
• डेटा स्कीमा प्रतिकृती. डेटा स्कीमा सक्रिय डिरेक्ट्री फॉरेस्टमधील सर्व ऑब्जेक्ट्ससाठी समान असल्यामुळे, त्याच्या प्रतिकृती सर्व डोमेनमध्ये संरक्षित केल्या जातात.
• कॉन्फिगरेशन डेटा. कंट्रोलर्समध्ये बिल्डिंग कॉपी दाखवते. माहिती जंगलातील सर्व डोमेनवर लागू होते.

प्रतिकृतीचे मुख्य प्रकार म्हणजे इंट्रा-नोड आणि इंटर-नोड.

पहिल्या प्रकरणात, बदलांनंतर, सिस्टम प्रतीक्षा करते, नंतर बदल पूर्ण करण्यासाठी प्रतिकृती तयार करण्यासाठी भागीदारास सूचित करते. बदल नसतानाही, प्रतिकृती प्रक्रिया ठराविक कालावधीनंतर आपोआप होते. डिरेक्टरीमध्ये ब्रेकिंग बदल लागू केल्यानंतर, प्रतिकृती त्वरित होते.

नोड्स दरम्यान प्रतिकृती प्रक्रिया दरम्यान घडतेनेटवर्कवरील किमान भार, हे माहितीचे नुकसान टाळते.

मुख्यपृष्ठ > ऑपरेटिंग सिस्टम > विंडोज

धडा 23 सक्रिय निर्देशिका संकल्पना

या पुस्तकाच्या व्याप्तीत, तपशिलात जाणे शक्य नाही सर्वसक्रिय निर्देशिका निर्देशिका सेवा आणि Windows 2000 डोमेन वापरण्याचे पैलू, त्यामुळे हे आणि पुढील दोन अध्याय मूलभूत अटीआणि बांधकाम तत्त्वेनिर्देशिका सेवा आणि, विशेषतः, सक्रिय निर्देशिका; ही तत्त्वे समजून घेतल्याशिवाय, इतर अनेक अध्यायांची सामग्री समजून घेणे आणि प्रभावीपणे वापरणे कठीण आहे. विंडोज सिस्टम्स 2000 जटिल नेटवर्क वातावरणात. हे Windows 2000 डोमेन आणि ठराविक सक्रिय निर्देशिका प्रशासन ऑपरेशन्स (डिरेक्टरी ऑब्जेक्ट्स तयार करणे, प्रशासकीय अधिकार सोपवणे, ट्रस्ट रिलेशनशिप व्यवस्थापित करणे इ.) तैनात करण्याच्या काही पैलूंचा समावेश करते. उल्लेख केलेल्या प्रकरणांमध्ये सादर केलेल्या विषयांवर चर्चा केल्यावर, वाचक विंडोज 2000 मल्टी-डोमेन नेटवर्क वातावरणाच्या ऑपरेशन दरम्यान उद्भवलेल्या असंख्य समस्यांचे निराकरण करण्यासाठी योग्यरित्या संपर्क साधण्यास सक्षम असेल.

निर्देशिका सेवा. सामान्य समस्या

निर्देशिका सेवेचा उद्देश

सक्रिय निर्देशिका निर्देशिका सेवा ही Windows 2000 सर्व्हरमधील प्रमुख संकल्पनात्मक नवकल्पनांपैकी एक आहे यात शंका नाही.

त्याच्या मुळाशी, निर्देशिका सेवा ≈हे काही वितरित वातावरणात माहितीचे नाव देणे, संग्रहित करणे आणि पुनर्प्राप्त करण्याचे साधन आहे, जे या वातावरणातील अनुप्रयोग, वापरकर्ते आणि विविध क्लायंटसाठी उपलब्ध आहे. आपण परिचित Windows सिस्टम नोंदणी आणि Windows NT वापरकर्ता खाते सुरक्षा व्यवस्थापक (SAM) डेटाबेस आठवू शकता. नेटवर्क निर्देशिका सेवा सार्वजनिक अनुप्रयोग, फाइल्स, प्रिंटर आणि वापरकर्ता माहितीबद्दल माहिती संग्रहित करते.

अॅक्टिव्ह डिरेक्ट्री डिरेक्ट्री सेवा खालील वैशिष्ट्ये प्रदान करून जटिल कॉर्पोरेट वातावरणाचे कार्यक्षम ऑपरेशन सक्षम करते:

	एकल साइन-ऑन ऑनलाइन; वापरकर्ते ऑनलाइन नोंदणी करू शकतात एक सहवापरकर्तानाव आणि पासवर्ड, आणि त्याच वेळी प्रवेश मिळवा प्रत्येकजणनेटवर्क संसाधने (सर्व्हर, प्रिंटर, ऍप्लिकेशन्स, फाइल्स इ.) नेटवर्कवरील त्यांचे स्थान विचारात न घेता.
	माहिती सुरक्षा.ऍक्टिव्ह डिरेक्ट्रीमध्ये तयार केलेले प्रमाणीकरण आणि संसाधन प्रवेश नियंत्रणे केंद्रीकृत नेटवर्क सुरक्षा प्रदान करतात. प्रवेश अधिकार केवळ प्रत्येकासाठीच परिभाषित केले जाऊ शकत नाहीत वस्तूनिर्देशिका, पण प्रत्येक गुणधर्मऑब्जेक्टचे (विशेषता).
	केंद्रीकृत व्यवस्थापन.प्रशासक सर्व कॉर्पोरेट संसाधने केंद्रीयरित्या व्यवस्थापित करू शकतात. अनेक नेटवर्क ऑब्जेक्ट्ससाठी नियमित प्रशासन कार्यांची पुनरावृत्ती करण्याची आवश्यकता नाही.
	गट धोरणे वापरून प्रशासन.जेव्हा संगणक बूट होतो किंवा वापरकर्ता सिस्टमवर लॉग इन करतो, तेव्हा गट धोरणांच्या आवश्यकता पूर्ण केल्या जातात; त्यांची सेटिंग्ज ग्रुप पॉलिसी ऑब्जेक्ट्स (जीपीओ) मध्ये संग्रहित केली जातात आणि साइट्स, डोमेन्स किंवा संस्थात्मक युनिट्सशी "बाउंड" असतात. गट धोरणे परिभाषित करतात, उदाहरणार्थ, विविध डिरेक्टरी ऑब्जेक्ट्स किंवा संसाधनांवर प्रवेश अधिकार तसेच सिस्टममध्ये कार्य करण्यासाठी इतर अनेक "नियम".
	बदलण्याची लवचिकता.निर्देशिका सेवा कंपनी किंवा संस्थेच्या संरचनेतील बदलांचे लवचिकपणे पालन करते. या प्रकरणात, निर्देशिकेची पुनर्रचना करणे क्लिष्ट नाही आणि ते सोपे केले जाऊ शकते. याव्यतिरिक्त, व्यवसाय भागीदारांशी संवाद साधण्यासाठी आणि ई-कॉमर्सला समर्थन देण्यासाठी निर्देशिका सेवा इंटरनेटशी कनेक्ट केली जाऊ शकते.
	DNS एकत्रीकरण.सक्रिय निर्देशिका DNS शी जवळून संबंधित आहे. हे स्थानिक नेटवर्क आणि इंटरनेटच्या संसाधनांच्या नावात एकता प्राप्त करते, जे इंटरनेटशी वापरकर्ता नेटवर्कचे कनेक्शन सुलभ करते.
	निर्देशिका विस्तारक्षमता.प्रशासक कॅटलॉग स्कीमामध्ये नवीन ऑब्जेक्ट वर्ग जोडू शकतात किंवा विद्यमान वर्गांमध्ये नवीन विशेषता जोडू शकतात.
	स्केलेबिलिटी.सक्रिय निर्देशिका एकल डोमेन किंवा एकाधिक डोमेन, एकल डोमेन नियंत्रक किंवा एकाधिक डोमेन नियंत्रक ≈ म्हणजे, कोणत्याही आकाराच्या नेटवर्कच्या आवश्यकता पूर्ण करते. एका डोमेन ट्रीमध्ये अनेक डोमेन एकत्र केले जाऊ शकतात आणि अनेक डोमेन ट्री जंगलात जोडल्या जाऊ शकतात.
	माहितीची प्रतिकृती.सक्रिय निर्देशिका सेवा स्कीमामध्ये सेवा माहिती प्रतिकृती वापरते अनेक अग्रगण्य(मल्टी-मास्टर), जे तुम्हाला कोणत्याही डोमेन कंट्रोलरवरील निर्देशिकेत बदल करण्यास अनुमती देते. एका डोमेनमध्ये एकाधिक नियंत्रक असण्यामुळे दोष सहिष्णुता आणि नेटवर्क लोड वितरित करण्याची क्षमता मिळते.
	विनंती करण्यासाठी लवचिकतानिर्देशिका नेटवर्क वापरकर्ते आणि प्रशासक वापरून नेटवर्कवरील वस्तू द्रुतपणे शोधू शकतात गुणधर्मऑब्जेक्ट (उदाहरणार्थ, वापरकर्त्याचे नाव किंवा पत्ता ईमेल, प्रिंटर प्रकार किंवा स्थान इ.). हे विशेषतः आदेशासह केले जाऊ शकते प्रारंभ करा | शोधा(प्रारंभ | शोध), फोल्डर माझे नेटवर्क वातावरण(माझी नेटवर्क ठिकाणे) किंवा स्नॅप सक्रिय निर्देशिका - वापरकर्ते आणि संगणक(सक्रिय निर्देशिका वापरकर्ते आणि संगणक). शोध प्रक्रियेचे ऑप्टिमायझेशन जागतिक कॅटलॉगच्या वापराद्वारे प्राप्त केले जाते.
	मानक इंटरफेस.अनुप्रयोग विकासकांसाठी, निर्देशिका सेवा निर्देशिकेच्या सर्व वैशिष्ट्यांमध्ये (साधने) प्रवेश प्रदान करतात आणि स्वीकृत मानके आणि प्रोग्रामिंग इंटरफेस (एपीआय) चे समर्थन करतात. अ‍ॅप्लिकेशन प्रोग्राम्समधील सुरक्षा वैशिष्ट्यांसारख्या प्रणाली कार्यक्षमतेची डुप्लिकेशन टाळण्यासाठी निर्देशिका सेवा ऑपरेटिंग सिस्टमशी घट्ट जोडली जाते.

निर्देशिका आणि Windows 2000

अनेक अनुप्रयोगांसाठी निर्देशिका सेवा आवश्यक आहे. हे ऑपरेटिंग सिस्टमसाठी देखील आवश्यक आहे, जे वापरकर्ता खाती, फायली आणि अनुप्रयोगांबद्दलची माहिती, सुरक्षा धोरणे आणि बरेच काही एकाच निर्देशिकेत सहजतेने संग्रहित करतात.

काही वितरित वातावरणात मुख्य, मध्यवर्ती निर्देशिका नसल्यास, प्रत्येक अनुप्रयोगाची स्वतःची निर्देशिका असणे आवश्यक आहे, परिणामी विविध उपाय आणि माहिती संचयन यंत्रणा. उदाहरणार्थ, Windows NT सर्व्हर 4.0 वातावरणात, Microsoft Exchange पॅकेज एक निर्देशिका सेवा वापरते, दुसरा डेटाबेस वापरकर्ता खाती संग्रहित करतो आणि इतर वितरित घटक जसे की Microsoft Message Quueing Server (MSMQ) अजूनही अतिरिक्त निर्देशिका वापरतात. हे स्पष्ट आहे की समान कार्याची अंमलबजावणी करणार्‍या अनेक यंत्रणांची उपस्थिती सर्वात यशस्वी निराकरणापासून दूर आहे. बरेच चांगले - सर्व क्लायंटसाठी एकच डेटाबेस, सामान्य स्कीमा आणि माहिती नामकरण पद्धती आणि केंद्रिय प्रशासनाची क्षमता असलेली एकमेव निर्देशिका सेवा उपलब्ध आहे. सक्रिय निर्देशिका विंडोज 2000 सर्व्हरमध्ये विविध प्रकारे वापरली जाते. ऑपरेटिंग सिस्टम वापरकर्त्याची खाती, प्रिंटर आणि नेटवर्क संगणक आणि बरेच काही या निर्देशिकेत माहिती संग्रहित करते. विंडोज मॅनेजमेंट आर्किटेक्चर (विंडोज मॅनेजमेंट आर्किटेक्चर) ≈ विशेषतः, सहअनुप्रयोग घटक होस्ट करणार्‍या सर्व्हरचा शोध घेण्यासाठी निर्देशिका वापरली जाते. विविध माहिती (जसे की वापरकर्ता पत्ता पुस्तिका आणि प्रमाणपत्रे) संचयित करण्यासाठी Microsoft Exchange पॅकेजद्वारे सक्रिय निर्देशिकामध्ये प्रवेश केला जातो. DCOM आणि Microsoft Transaction Server (MTS; Windows 2000 मधील घटक सेवा म्हणतात) वर तयार केलेले अनुप्रयोग रिमोट ऑब्जेक्ट्स शोधण्यासाठी निर्देशिका सेवेमध्ये प्रवेश करू शकतात. सक्रिय निर्देशिका सध्या MSMQ मध्ये अस्तित्वात असलेल्या निर्देशिका सेवेची जागा घेईल. कारण सक्रिय निर्देशिका नवीन प्रकारची माहिती संचयित करू शकते, म्हणजेच निर्देशिका स्कीमा विस्तारित केली जाऊ शकते, एंटरप्राइझ आणि व्यावसायिक अनुप्रयोग विकासक त्यांची उत्पादने तयार करण्यासाठी विद्यमान निर्देशिका सेवा वापरू शकतात.

शब्दावली

प्रथम, निर्देशिका सेवांमध्ये वापरल्या जाणार्‍या काही मूलभूत संज्ञा (सक्रिय डिरेक्ट्रीमधील उदाहरणांसह) पाहू या, अधिक जागतिक संकल्पनांकडे वळू. एकदा त्यांच्याशी परिचित झाल्यानंतर, तुम्ही विशिष्ट निर्देशिका सेवेच्या अटी आणि संकल्पनांवर जाऊ शकता ≈ सक्रिय निर्देशिका.

आम्ही असे म्हणू शकतो की सक्रिय निर्देशिका सेवा "तीन खांबांवर उभी आहे":

सक्रिय निर्देशिका अंशतः X.500 मानकाद्वारे वर्णन केलेल्या डेटा मॉडेलची अंमलबजावणी करते. TCP/IP नेटवर्कमधील पारंपारिक DNS सेवा, विशेषतः, डोमेन कंट्रोलर शोधण्यासाठी वापरली जाते आणि LDAP प्रोटोकॉलमुळे, क्लायंट सक्रिय निर्देशिकेत नावाने शोधू शकतात. निर्देशिका आवश्यक आहेवस्तू आणि त्यांच्या गुणधर्मांमध्ये प्रवेश करा.

खाली वर्णन केलेल्या सर्व अटी आणि संकल्पना या निर्देशिकेच्या सेवेच्या या तीन "भाग" शी संबंधित आहेत (तथापि, तुम्ही असे गृहीत धरू नये की सक्रिय निर्देशिका आवश्यक आहे. फक्तहे घटक!).

ऑब्जेक्ट्स आणि ऑब्जेक्ट वर्ग

निर्देशिकेत समाविष्ट आहे घटक(प्रविष्टी) माहितीचे प्रतिनिधित्व करणारी, किंवा गुणधर्म,काही वास्तविक संबंधित वस्तूउदाहरणार्थ, संगणक, एखादी व्यक्ती किंवा संस्था. "घटक" आणि "ऑब्जेक्ट" हे शब्द अनेकदा परस्पर बदलण्याजोगे वापरले जातात, जरी एखादी वस्तू भौतिक जगाशी संबंधित असते आणि घटक हे त्याचे कॅटलॉग प्रतिनिधित्व असते.

प्रत्येक वस्तू किमान एकाची आहे ऑब्जेक्ट वर्गविशिष्ट सामान्य वैशिष्ट्यांसह वस्तूंच्या विशिष्ट कुटुंबाचे प्रतिनिधित्व करणे. ऑब्जेक्ट क्लास त्या वर्गाच्या उदाहरणांसाठी (ऑब्जेक्ट्स) सक्रिय डिरेक्ट्रीमध्ये समाविष्ट असलेल्या माहितीचा प्रकार परिभाषित करतो. ऑब्जेक्ट क्लासचे उदाहरण म्हणून, दोन मानक वर्ग आहेत: व्यक्ती आणि डोमेन. या वर्गांच्या अनेक विशेषतांमध्ये अनुक्रमे ≈ cn (Common-Name), userPassword (User-Password) आणि dc (डोमेन-घटक), url (WWW-Page-Other) आहेत. गुणधर्म जसे असू शकतात अनिवार्य(अनिवार्य) दिलेल्या वर्गासाठी (उदाहरणार्थ, cn आणि dc), आणि अतिरिक्त(पर्यायी) (वापरकर्ता पासवर्ड आणि url).

मानक ऑब्जेक्ट वर्गांव्यतिरिक्त, आपण वर्णन करू शकता अतिरिक्तविविध स्तरांशी संबंधित वर्ग (राष्ट्रीय आणि स्थानिक).

गुणधर्म आणि त्यांचे प्रकार

निर्देशिकेत प्रत्येक घटक असतो विशेषताया विशेषतांमध्ये असलेली माहिती दर्शविणारे विविध प्रकार. उदाहरणार्थ, कॉमननेम प्रकाराची विशेषता हे नाव आहे जे काही ऑब्जेक्ट ओळखते. प्रत्येक गुणधर्मामध्ये एक किंवा अधिक असू शकतात अर्थ

मानक विशेषता प्रकारांव्यतिरिक्त, तुम्ही अतिरिक्त विशेषता प्रकार तयार आणि वापरू शकता.

कंटेनर

कंटेनर(कंटेनर) ≈ एक विशिष्ट निर्देशिका सेवा ऑब्जेक्ट आहे, ज्यामध्ये, सामान्य वस्तूंप्रमाणे, कोणतेही भौतिक प्रतिनिधित्व नसते, परंतु केवळ एक संरचनात्मक संस्था म्हणून कार्य करते ≈ समूहीकरण ≈ इतर निर्देशिका ऑब्जेक्ट्स. कंटेनरचे एक सामान्य उदाहरण आहे संघटनात्मक एकके,किंवा विभाग(खालील विभाग पहा "LDAP पाने आणि कंटेनर"),डोमेनमधील वैयक्तिक संसाधन गट किंवा वापरकर्त्यांचे प्रशासन सुलभ करण्यासाठी वापरले जाते.

निर्देशिका माहिती वृक्ष

कॅटलॉग आयटम म्हणून आयोजित केले जातात श्रेणीबद्ध वृक्ष,डिरेक्टरी इन्फॉर्मेशन ट्री (डीआयटी, डिरेक्टरी इन्फॉर्मेशन ट्री किंवा फक्त डिरेक्टरी ट्री) म्हणतात. झाडाच्या मुळाच्या जवळ असलेल्या वस्तू सामान्यत: मोठ्या संस्थांचे प्रतिनिधित्व करतात, जसे की संस्था किंवा कंपन्या; या झाडाच्या फांद्यांवर (पाने) असलेले घटक सोप्या वस्तूंचे प्रतिनिधित्व करतात ≈ वापरकर्ते, उपकरणे, संगणक.

निर्देशिका स्कीमा

निर्देशिका स्कीमा(डिरेक्टरी स्कीमा) हा नियमांचा एक संच आहे जो निर्देशिकेच्या झाडाची रचना, ऑब्जेक्ट क्लासेसची घोषणा आणि वाक्यरचना आणि निर्देशिकेमध्ये समाविष्ट असलेल्या विशेषतांचे प्रकार वर्णन करतो.

कॅटलॉग स्कीमा हे सुनिश्चित करते की कॅटलॉगमधील सर्व जोडणे किंवा बदल या नियमांचे पालन करतात आणि अवैध घटक, चुकीचे गुणधर्म प्रकार किंवा वर्ग दिसण्यापासून प्रतिबंधित करतात.

अ‍ॅक्टिव्ह डिरेक्टरीमध्ये, डिरेक्टरीमध्येच स्टोअर केलेल्या ऑब्जेक्टक्लास उदाहरणांचा संच म्हणून स्कीमा लागू केला जातो. अशा प्रकारे, सक्रिय निर्देशिका अनेक निर्देशिकांपेक्षा वेगळी असते, जिथे स्कीमा एका मजकूर फाइलमध्ये संग्रहित केली जाते जी निर्देशिका सुरू झाल्यावर वाचली जाते. जेव्हा एखादी स्कीमा एका निर्देशिकेत संग्रहित केली जाते, तेव्हा वापरकर्ता अनुप्रयोग त्यात प्रवेश करू शकतात आणि त्यात समाविष्ट असलेल्या वस्तू आणि गुणधर्मांबद्दल जाणून घेऊ शकतात. सक्रिय निर्देशिका स्कीमा डायनॅमिकली अपडेट केली जाऊ शकते: सुधारित आणि विस्तारित.

नेमस्पेस

कोणतीही निर्देशिका सेवा प्रामुख्याने ए नेमस्पेस(नावस्थान). नेमस्पेस हे कोणतेही मर्यादित क्षेत्र आहे ज्यामध्ये एखाद्या वस्तूचे स्वतःचे गुणधर्म किंवा त्या नावाशी संबंधित माहिती नावाने संदर्भित केली जाऊ शकते. एखाद्या नावाचे ऑब्जेक्ट रेफरन्समध्ये रूपांतर करण्याच्या प्रक्रियेला म्हणतात नाव ठराव.(उदाहरणार्थ, टेलिफोन डिरेक्टरीमध्ये, ग्राहकाचे नाव त्याचा फोन नंबर, पत्ता इ. शोधले जाते. फाइल सिस्टम ही नेमस्पेस आहे ज्यामध्ये फाइल स्वतःच फाइलच्या नावाने शोधली जाऊ शकते.)

सक्रिय निर्देशिका निर्देशिका सेवा

Windows 2000 सर्व्हर स्थापित करताना आणि Windows 2000 डोमेन (किंवा Windows NT 4.0 सह मिश्रित डोमेन) आयोजित करताना, आपल्याला सामान्यत: निर्देशिका सेवांच्या काही मूलभूत संकल्पनांची आणि विशेषतः सक्रिय निर्देशिकाची ठोस माहिती असणे आवश्यक आहे. याशिवाय, विंडोज 2000 सर्व्हर योग्यरित्या कॉन्फिगर करणे देखील शक्य नाही, डोमेन प्रभावीपणे व्यवस्थापित करणे सोडा.

डोमेन आणि डोमेन कंट्रोलर

कोणत्याही निर्देशिका सेवेचे मुख्य घटक एक डेटाबेस असतात ज्यामध्ये आपल्याला आवश्यक असलेली माहिती आणि एक किंवा अधिक प्रोटोकॉल असतात जे वापरकर्त्यांना डेटा वितरीत करतात.

सक्रिय निर्देशिका कोणत्याही सार्वजनिक माहितीसाठी स्टोरेज प्रदान करते. इतर डिरेक्टरी सेवांप्रमाणे, ऍक्टिव्ह डिरेक्ट्री माहिती संग्रहित करण्यासाठी काही यंत्रणा आणि त्यात प्रवेश करण्यासाठी प्रोटोकॉल प्रदान करते.

Active Directory ची रचना समजून घेण्यासाठी, प्रथम Windows 2000 आणि मागील आवृत्त्यांमधील फरक पाहू. Windows 2000-आधारित संगणक अजूनही डोमेनमध्ये जोडलेले आहेत. डोमेन ≈हे एक सुप्रसिद्ध गट प्रशासन उपाय आहे जे प्रत्येक वापरकर्त्यास विशिष्ट डोमेनमध्ये खाते प्रदान करते. तथापि, Windows NT सर्व्हर 4.0 च्या विपरीत, ज्याने डोमेनला साधी स्ट्रिंग नावे (NetBIOS नावे) दिली, Windows 2000 सर्व्हर वातावरणात, प्रत्येक डोमेनचे नाव डोमेन नेम सिस्टम (DNS) नामकरण नियमांनुसार असणे आवश्यक आहे. होय, डोमेन मुख्य कार्यालयअपडेटवर नवीन प्रकारचे नाव मिळू शकते mainqfflce.company.com.प्रत्येक डोमेनमध्ये, एक किंवा अधिक संगणकांनी डोमेन नियंत्रक म्हणून काम केले पाहिजे. Windows 2000 सर्व्हर वातावरणात, प्रत्येक डोमेन कंट्रोलरमध्ये त्या डोमेनच्या Active Directory डेटाबेसची संपूर्ण प्रत असते. ऍक्टिव्ह डिरेक्ट्री क्लायंट आणि डेटाबेस यांच्यात संवाद साधण्यासाठी एक्स्टेंडेड स्टोरेज इंजिन (ESE) आणि दोन भिन्न प्रोटोकॉल म्हणून ओळखले जाते. डोमेन कंट्रोलर शोधण्यासाठी, क्लायंट DNS मध्ये वर्णन केलेला प्रोटोकॉल वापरतो, सध्या TCP/IP नेटवर्कसाठी वापरली जाणारी "मानक" निर्देशिका सेवा. अॅक्टिव्ह डिरेक्टरी (आकृती 23-1) मधील डेटा ऍक्सेस करण्यासाठी क्लायंट लाइटवेट डायरेक्ट्री ऍक्सेस प्रोटोकॉल (LDAP) वापरतो.

DNS आणि सक्रिय निर्देशिका सेवा

बहुतेक आधुनिक TCP/IP नेटवर्क DNS सेवा वापरतात, ज्याचा मुख्य उद्देश लक्षात ठेवण्यास सोप्या नावांचे निराकरण करणे आहे. company.com IP पत्त्यांवर. हे करण्यासाठी, प्रत्येक DNS सर्व्हर संगणकावर संसाधन माहिती रेकॉर्डचा संच असतो. प्रत्येक रेकॉर्डमध्ये काही प्रकार असतो जो संग्रहित माहितीचे स्वरूप आणि हेतू निर्धारित करतो. उदाहरणार्थ, संगणकाचे डोमेन नाव दिलेल्या IP पत्त्यामध्ये रूपांतरित करण्यासाठी A रेकॉर्ड वापरला जातो आणि विशिष्ट मेल डोमेनमध्ये मेल सर्व्हर शोधण्यासाठी MX रेकॉर्डचा वापर केला जातो. प्रत्येक DNS सर्व्हरला जागतिक DNS नेमस्पेसमध्ये त्याचे स्थान "माहित" असते, जे निराकरण न झालेल्या क्वेरी इतर सर्व्हरवर पाठवण्याची परवानगी देते. म्हणून, ≈ तात्काळ नसले तरी≈ जवळजवळ प्रत्येक क्लायंट विनंतीला योग्य सर्व्हर सापडतो जो आवश्यक माहिती संग्रहित करतो.

सक्रिय निर्देशिका आणि DNS सेवांचे एकत्रीकरण तीन पैलूंमध्ये मानले जाऊ शकते:

सक्रिय निर्देशिका कोणत्याही मानक, DNS सेवेची संपूर्ण अंमलबजावणी वापरू शकते: Windows 2000 सर्व्हरसह समाविष्ट केलेला DNS सर्व्हर वापरणे आवश्यक नाही (उदाहरणार्थ; तुम्ही BIND 8.1.x वापरू शकता). तथापि, ही एक चांगली निवड आहे कारण Windows 2000 मॉड्यूल एकमेकांशी अधिक सुसंगत आहेत (झोन स्टोरेज आणि प्रतिकृती इ.) कारण तुम्ही निवडलेला DNS सर्व्हर नवीनतम मानकांसह अद्ययावत असणे आवश्यक आहे. उदाहरणार्थ, सक्रिय निर्देशिकेला SRV रेकॉर्डला सपोर्ट करणारा DNS सर्व्हर आवश्यक आहे. या प्रकारच्या नोंदी (SRV रेकॉर्ड), RFC 2052 नुसार, क्लायंटला आवश्यक नेटवर्क सेवा शोधण्याची परवानगी देतात. सक्रिय निर्देशिकामध्ये, प्रत्येक Windows 2000 डोमेनची LDAP सेवा DNS सेवेतील काही SRV रेकॉर्डद्वारे दर्शविली जाते. अशा एंट्रीमध्ये त्या डोमेन कंट्रोलरचे DNS नाव असते, ज्याद्वारे Active Directory क्लायंट डोमेन कंट्रोलर संगणकाचा IP पत्ता शोधू शकतात. एकदा इच्छित नियंत्रक स्थित झाल्यानंतर, क्लायंट त्यावर संग्रहित सक्रिय निर्देशिका डेटामध्ये प्रवेश करण्यासाठी LDAP प्रोटोकॉल वापरू शकतो.

विंडोज 2000 सर्व्हर देखील समर्थन देते डायनॅमिक होस्ट नामकरण सेवा,डायनॅमिक DNS. RFC 2136 नुसार, डायनॅमिक DNS दूरस्थ प्रणालींना DNS डेटाबेसमध्ये बदल करण्यास अनुमती देण्यासाठी DNS प्रोटोकॉलचा विस्तार करते. उदाहरणार्थ, कनेक्ट करताना, विशिष्ट डोमेन कंट्रोलर स्वतःसाठी SRV रेकॉर्ड जोडू शकतो, प्रशासकाला अशा गरजेपासून मुक्त करतो.

पाने आणि LDAP कंटेनर

एकदा योग्य डोमेन कंट्रोलर DNS वापरून स्थित झाल्यानंतर, LDAP प्रोटोकॉल सक्रिय निर्देशिका डेटामध्ये प्रवेश करण्यासाठी वापरला जातो. DNS प्रमाणे, LDAP हे IETF द्वारे विकसित केलेले एक मानक आहे आणि 1980 च्या दशकाच्या मध्यात तयार केलेल्या अत्याधुनिक परंतु व्यापकपणे वापरल्या जाणार्‍या X.500 निर्देशिका सेवेतून उतरलेले आहे. RFC 1777 मध्ये वर्णन केल्याप्रमाणे सक्रिय निर्देशिका केवळ LDAP प्रोटोकॉलच्या आवृत्ती 2 ला समर्थन देत नाही, तर RFC 2251 मध्ये परिभाषित केल्यानुसार आवृत्ती 3 चे देखील समर्थन करते. आजकाल, जवळजवळ सर्व निर्देशिका सेवा प्रदाते LDAP- सुसंगत उत्पादने ऑफर करतात, त्यामुळे तृतीय-पक्ष LDAP क्लायंट प्रवेश करू शकतात. LDAP - सक्रिय निर्देशिका सर्व्हर. LDAP प्रोटोकॉल TCP/IP च्या वर चालतो आणि ≈ प्रोटोकॉलच्या नावाप्रमाणे ≈ क्लायंट डिरेक्टरीमध्ये कसे प्रवेश करू शकतात हे परिभाषित करते. ऍक्सेस मेकॅनिझम व्यतिरिक्त, हा प्रोटोकॉल निर्देशिकेतील माहितीसाठी नामकरण पद्धती लागू करतो, स्पष्टपणे वर्णन करतो

या माहितीची रचना. क्लायंटसाठी, LDAP डेटाबेसमध्ये संग्रहित केलेला सर्व डेटा श्रेणीबद्ध ट्री म्हणून सादर केला जातो. प्रत्येक ट्री नोड (वस्तू किंवा घटक) एकतर असू शकतो कंटेनर(कंटेनर), किंवा पत्रक(पान). त्यांच्यातील फरक अगदी स्पष्ट आहे: कंटेनरमध्ये इतर घटक असू शकतात, परंतु पाने असू शकत नाहीत.

प्रत्येक घटक (कंटेनर किंवा लीफ) एक ऑब्जेक्ट वर्ग आहे जो गुणधर्म परिभाषित करतो (याला देखील म्हणतात गुणधर्म)हा घटक. कंटेनर आणि पाने दोन्हीमध्ये गुणधर्म असल्याने, निर्देशिका ट्रीमध्ये संग्रहित माहिती सर्व नोड्समध्ये वितरीत केली जाते. विशिष्ट सक्रिय निर्देशिका डेटाबेसमध्ये समाविष्ट असलेल्या माहितीचा प्रकार (ऑब्जेक्ट क्लासेस आणि विशेषता प्रकार) त्या निर्देशिकेसाठी परिभाषित केलेल्या स्कीमाद्वारे निर्धारित केला जातो. अॅक्टिव्ह डिरेक्टरीमध्ये, प्रत्येक डिरेक्टरीचा स्कीमा थेट डिरेक्टरीमध्ये संग्रहित घटकांद्वारे दर्शविला जातो. मायक्रोसॉफ्ट एक मानक स्कीमा परिभाषित करते, परंतु वापरकर्ते आणि सॉफ्टवेअर डेव्हलपर नवीन विशेषता वर्ग आणि प्रकार जोडू शकतात. डिरेक्टरी स्कीमा बदलणे हे एक उपयुक्त वैशिष्ट्य आहे ज्याचा वापर अत्यंत सावधगिरीने केला पाहिजे, कारण अशा बदलांचे खूप महत्त्वपूर्ण परिणाम होऊ शकतात.

अ‍ॅक्टिव्ह डिरेक्ट्री स्कीमा खूपच जटिल आहे आणि त्यात शेकडो आणि शेकडो ऑब्जेक्ट क्लासेस आणि विशेषता प्रकार आहेत. काही मनोरंजक वर्ग उदाहरण म्हणून खाली सूचीबद्ध आहेत:

	वापरकर्ता ≈ विशिष्ट डोमेन वापरकर्त्याचे वर्णन करतो. या वर्गाच्या गुणधर्मांपैकी: canonicalName (प्रामाणिक नाव), userPrincipalName (पूर्ण वापरकर्ता नाव), homePostalAddress (घरचा पोस्टल पत्ता), टेलिफोन नंबर (फोन नंबर), थंबनेलफोटो (फोटो).
	प्रिंट रांग≈ क्लायंटला काही प्रिंटर शोधण्याची परवानगी देते. विशेषतांमध्ये हे समाविष्ट आहे: स्थान (स्थान), प्रिंट स्टेटस (प्रिंटर स्थिती) आणि प्रिंटभाषा (प्रिंटर भाषा).
	संगणक≈ डोमेनमधील काही संगणक ओळखतो. या वर्गाच्या अनेक गुणधर्मांपैकी हे आहेत: ऑपरेटिंग सिस्टम (ऑपरेटिंग सिस्टम), ऑपरेटिंग सिस्टम सर्व्हिसपॅक, dNSHostName (DNS होस्टनाव), आणि मशीनरोल (कॉम्प्युटर असाइनमेंट; ही विशेषता निर्दिष्ट करते की हा संगणक डोमेन कंट्रोलर, सदस्य सर्व्हर किंवा वर्कस्टेशन आहे की नाही).
	संस्थात्मक एकक≈ विशिष्ट डोमेनच्या उपविभागांचे वर्णन करते. सर्वात महत्वाचे.विशेषता आहे oi (संस्थात्मक युनिटचे नाव). डोमेनमधील माहितीची रचना करण्यात संस्थात्मक एकके खूप महत्त्वाची भूमिका बजावतात (हे थोड्या वेळाने वर्णन केले जाईल).

प्रत्येक सक्रिय निर्देशिका घटक आणि कोणत्याही घटकाच्या प्रत्येक विशेषतामध्ये प्रवेश नियंत्रण सूची (ACL) असते जी विशिष्ट घटक आणि विशेषतांमध्ये प्रवेश करण्यासंबंधी वापरकर्त्यांचे अधिकार आणि क्षमता परिभाषित करते. उदाहरणार्थ, ACL काही वापरकर्त्यांना घटकाचे गुणधर्म वाचण्याची परवानगी देऊ शकते, इतर वापरकर्त्यांना काही विशेषता वाचण्याची आणि सुधारण्याची परवानगी देऊ शकते आणि इतरांना घटकाचा प्रवेश नाकारू शकते. प्रभावी प्रवेश नियंत्रण मजबूत क्लायंट प्रमाणीकरणाशिवाय अशक्य आहे, सक्रिय निर्देशिका या उद्देशासाठी कर्बेरॉस प्रोटोकॉल वापरते. (Kerberos हे IETF द्वारे तयार केलेले मानक आहे आणि अनेक विक्रेत्यांद्वारे समर्थित आहे; Windows 2000 मध्ये वितरित सुरक्षिततेसाठी एक प्रमुख तंत्रज्ञान.)

सक्रिय निर्देशिकेत नामकरण यंत्रणा

Windows 2000 मधील प्रत्येक डोमेनचे DNS नाव आहे, परंतु DNS नावे सक्रिय निर्देशिका डेटाबेसच्या वैयक्तिक घटकांना नाव देण्यासाठी वापरली जात नाहीत. LDAP नावे "याच्या ऐवजी वापरली जावीत. LDAP प्रोटोकॉलच्या आवश्यकतांनुसार, निर्देशिका घटकाच्या गुणधर्मांपैकी एक (किंवा क्वचितच ≈ अनेक) या घटकाला नाव देण्यासाठी वापरला जातो. उदाहरणार्थ, एक उदाहरण ओळखण्यासाठी ( घटक) वापरकर्ता ऑब्जेक्ट वर्गाच्या, विशेषता मूल्य cn वापरले जाऊ शकते; आणि वर्ग संस्थात्मक युनिटच्या ऑब्जेक्टसाठी ≈ ou विशेषताचे मूल्य.

अंजीर वर. BHV साठी अतिशय सोप्या Windows 2000 डोमेनसाठी आकृती 23-2 एक काल्पनिक रचना दाखवते. या कंपनीचे दोन संरचनात्मक विभाग आहेत (विक्री विभाग आणि संपादकीय गट) आणि कंपनीचे डोमेन नाव ≈ bhv.com आहे असे समजू या. त्यांच्या कार्यात्मक कर्तव्यांनुसार, संपादकीय गटाचे सदस्य प्रशासन आणि संपादकांमध्ये विभागलेले आहेत. जवळजवळ प्रत्येक डोमेन नेमस्पेस विभाजित करण्यासाठी विभाग किंवा संस्थात्मक एकके (OUs) वापरते आणि डेमो डोमेन अपवाद नाही. डोमेन रूटच्या खाली दोन उपविभाग आहेत: विक्री(विक्री विभाग) आणि कार्यालय(संपादकीय गट). प्रत्येक विभागाचे नाव त्याच्या ou गुणधर्माच्या मूल्याद्वारे निर्धारित केले जाते.

विक्री विभागाच्या खाली वर्ग वापरकर्त्याच्या वस्तू आहेत. प्रत्येक ऑब्जेक्टचे नाव en (Common-Name) विशेषता द्वारे परिभाषित केले जाते आणि हे ऑब्जेक्ट डोमेन वापरकर्त्यांबद्दल माहिती संग्रहित करतात. संघटनात्मक युनिट कार्यालय आणखी दोन विभागांमध्ये विभागले गेले आहे: अॅडमिन्सआणि संपादकखाली वैयक्तिक कामगारांसाठी कॅटलॉग घटक आहेत, ज्यांची नावे देखील sp द्वारे निर्धारित केली जातात.

डायरेक्टर सारख्या विशिष्ट घटकाबद्दल माहिती मिळविण्यासाठी, क्लायंटने या घटकासाठी एक अद्वितीय नाव निर्दिष्ट करणे आवश्यक आहे, ज्याला म्हणतात विशिष्ट,किंवा नावाने ओळखले जाते(प्रतिष्ठित नाव). एक विशिष्ट नाव हे नावांचा संच आहे जो डोमेन ट्रीच्या मुळापासून स्वारस्याच्या घटकापर्यंतचा मार्ग प्रतिबिंबित करतो. संचालक घटकासाठी, उदाहरणार्थ, प्रतिष्ठित नाव cn=Director, ou=Admms, dc=bhv, dc=eom असे असेल. नावाच्या शेवटच्या दोन घटकांमध्ये, dc म्हणजे डोमेन घटक,हे घटक LDAP नियमांनुसार डोमेनचे DNS नाव दर्शवतात. प्रतिष्ठित नावे सक्रिय निर्देशिका डेटाबेसमधील नोड्स अद्वितीयपणे ओळखतात, परंतु ते "अनुकूल" नसतात. नावात (cn=, ou=, dc=, इ.) सर्व विशेषता प्रकार स्पष्टपणे सूचीबद्ध न करणे शक्य आहे, परंतु हे नाव //bhv.com/Admins/Director असे लिहा. प्रसारित केलेल्या LDAP पॅकेटमध्ये नेहमी विशिष्ट नाव समाविष्ट असते, परंतु वापरकर्ता इंटरफेसमध्ये नावाचा अधिक सोयीस्कर आणि सोपा प्रकार वापरला जाऊ शकतो. प्रतिष्ठित नावाव्यतिरिक्त, प्रत्येक निर्देशिका ऑब्जेक्टमध्ये आहे संबंधित प्रतिष्ठित नाव(सापेक्ष प्रतिष्ठित नाव), जे या ऑब्जेक्टचे स्वतःचे गुणधर्म आहे आणि झाडाच्या मुळापासून ऑब्जेक्टपर्यंत नावांची साखळी म्हणून तयार होत नाही. अशा प्रकारे, संचालक घटकासाठी, उदाहरणार्थ, संबंधित विशिष्ट नाव cn=Director असेल. या घटकाच्या पालकांसाठी, संबंधित विशिष्ट नाव ≈ ou=Admins आहे. सक्रिय निर्देशिकेत अनेक आहेत नामकरण संदर्भ(नामकरण संदर्भ), किंवा विभाग(विभाजन), जे डिरेक्ट्रीचे पूर्ण, संलग्न उपवृक्ष आहेत आणि प्रतिकृती लक्ष्य आहेत. प्रत्येक सक्रिय निर्देशिका सर्व्हरमध्ये किमान तीन नामकरण संदर्भ असतात:

डोमेन संस्था: जंगल आणि झाडे

Windows 2000 डोमेन डेटाबेस Windows NT 4.0 डोमेनसह शक्य होते त्यापेक्षा लक्षणीयरीत्या अधिक आयटम संचयित करू शकतो, म्हणून ज्या संस्थेच्या नेटवर्कवर एकाधिक डोमेन आहेत ती आता त्यांना एका डोमेनमध्ये एकत्र करू शकते. तथापि, काही परिस्थितींमध्ये, एका संस्थेसाठी एकाधिक डोमेन असणे उपयुक्त आहे. अशा प्रकरणांमध्ये, ऍक्टिव्ह डिरेक्ट्री तुम्हाला डोमेनचे विविध मार्गांनी गटबद्ध करण्याची परवानगी देते (जरी हे आवश्यक नसते).

संलग्न "समीप" DNS नावे असलेली डोमेन एकत्र केली जाऊ शकतात डोमेन ट्री(डोमेन ट्री), किंवा डोमेन ट्री(अंजीर 23.3).

अशा पदानुक्रमामध्ये डोमेनचे गटबद्ध करण्याचे काय फायदे आहेत? रूट डोमेनमध्ये शोधण्याची क्षमता दिसते, जी चाइल्ड डोमेनमधील आयटम देखील तपासते. याव्यतिरिक्त, ट्रीमध्ये समाविष्ट असलेल्या सर्व डोमेनमधील आपोआप तयार झालेल्या द्वि-मार्गी विश्वास संबंधांची उपस्थिती संपूर्ण नेटवर्कचे प्रशासन मोठ्या प्रमाणात सुलभ करते. तुम्ही डोमेन ग्रुप देखील करू शकता, नाही"समीप" DNS नावे असणे. याचा परिणाम म्हणून, होईल वन(फॉरेस्ट), ज्यामध्ये अनेक डोमेन आणि/किंवा डोमेन ट्री असतात. डोमेन ट्री प्रमाणे, जंगलातील सर्व डोमेन द्वि-मार्गी विश्वास संबंधांद्वारे जोडलेले असतात, एक सामान्य स्कीमा, कॉन्फिगरेशन आणि जागतिक कॅटलॉग सामायिक करतात. डोमेन ट्री आणि फॉरेस्ट मधील मुख्य फरक हा आहे की झाडातील सर्व डोमेनना "संलग्न" DNS नावे असणे आवश्यक आहे, तर जंगलातील डोमेनमध्ये नाही.

विश्वासार्ह नाते

Windows 2000 डोमेन आणि Windows NT 4.0 डोमेनमधील मूलभूत फरक हा आहे की सर्व Windows 2000 डोमेन Kerberos प्रोटोकॉल वापरून तयार केलेल्या ट्रांझिटिव्ह ट्रस्ट रिलेशनशिपद्वारे जोडलेले आहेत. हे संबंध डीफॉल्टनुसार, स्वयंचलितपणे सेट केले जातात आणि द्विदिशात्मक असतात. ट्रांझिटिव्हिटी या वस्तुस्थितीचा संदर्भ देते की झाडातील सर्व डोमेन एकमेकांवर विश्वास ठेवतात: म्हणजे जर डोमेन A डोमेन B वर विश्वास ठेवतो आणि डोमेन B डोमेन C वर विश्वास ठेवतो, तर डोमेन A देखील डोमेन C वर विश्वास ठेवतो. हा दृष्टीकोन उच्च स्तरीय सुरक्षितता राखून डोमेन प्रशासन सुलभ करतो.

माहितीसाठी शोधा:
निर्देशांक आणि जागतिक कॅटलॉग

LDAP प्रोटोकॉल वापरून, जर क्लायंटला ही ऑब्जेक्ट कोणत्या डोमेनचे नाव आहे आणि ऑब्जेक्टचे विशिष्ट नाव माहित असेल तर ऑब्जेक्ट (एलिमेंट) मध्ये प्रवेश करणे सोपे आहे. जर क्लायंटला फक्त डोमेन नाव माहित असेल आणि ऑब्जेक्टचे विशिष्ट नाव माहित नसेल तर काय? चला असे गृहीत धरू की क्लायंटला ऑब्जेक्टच्या केवळ काही गुणधर्मांची मूल्ये माहित आहेत. अ‍ॅक्टिव्ह डिरेक्ट्री शोधली जाऊ शकते फक्त एट्रिब्यूटचे मूल्य जाणून. उदाहरणार्थ, डिरेक्टरी क्वेरी केल्याने डायरेक्टरच्या मूल्यासह वर्ग वापरकर्त्याच्या सर्व ऑब्जेक्ट्स शोधू शकतात. डिरेक्टरीमधील आयटमची एकूण संख्या बरीच मोठी असल्याने, हा शोध मंद असू शकतो. शोधांचा वेग वाढवण्यासाठी, अॅक्टिव्ह डिरेक्ट्री तुम्हाला दिलेल्या प्रकारच्या विशेषता अनुक्रमित करण्याची परवानगी देते.

अधिक जटिल प्रकरणासाठी, समजा क्लायंटला माहित आहे की कोणत्या जंगलात शोध घ्यायचा आहे, परंतु त्या जंगलातील कोणत्या डोमेनमध्ये विशेषता आहे हे माहित नाही. जरी या गुणधर्मासाठी निर्देशांक असला तरीही, जंगलातील प्रत्येक डोमेन शोधणे वेळ घेणारे असू शकते. या समस्येचे निराकरण करण्यासाठी, सक्रिय निर्देशिका आहे जागतिक कॅटलॉग(ग्लोबल कॅटलॉग, जीसी). डोमेनच्या झाड किंवा जंगलातील सर्व डोमेन एक सामान्य, एकल वैश्विक निर्देशिका वापरतात ज्यामध्ये त्या डोमेनच्या प्रत्येक घटकाची प्रत असते. तथापि, प्रत्येक घटकाची केवळ काही वैशिष्ट्ये जागतिक कॅटलॉगमध्ये समाविष्ट केली आहेत - ज्या जंगलाच्या "स्केल" वर स्वारस्य असू शकतात. ऍक्टिव्ह डिरेक्ट्रीमध्ये मानक प्रति-ऑब्जेक्ट विशेषतांचा एक संच असतो जो नेहमी जागतिक कॅटलॉगमध्ये उपस्थित असतो, परंतु स्नॅप-इनसह सक्रिय निर्देशिका योजना(सक्रिय निर्देशिका स्कीमा) प्रशासक जागतिक कॅटलॉगमध्ये संग्रहित करण्यासाठी त्यांचे स्वतःचे गुणधर्म देखील निर्दिष्ट करू शकतात (फक्त हे लक्षात ठेवा की स्कीमा बदलण्यासाठी जंगलातील सर्व डोमेनसाठी जागतिक कॅटलॉगमध्ये संचयित केलेल्या सर्व ऑब्जेक्ट विशेषतांचे संपूर्ण समक्रमण आवश्यक आहे आणि हे करू शकते. लक्षणीय नेटवर्क रहदारी होऊ शकते). वैकल्पिकरित्या, तुम्ही शोधांना गती देण्यासाठी जागतिक कॅटलॉगमध्ये विशेषता प्रकार देखील अनुक्रमित करू शकता.

शोधण्याव्यतिरिक्त, जागतिक कॅटलॉग सक्रिय निर्देशिकाची आणखी एक मुख्य वैशिष्ट्ये लागू करते - नेटवर्कवर एकल साइन-ऑन. मध्ये कार्यरत डोमेनमध्ये बहुतेक(नेटिव्ह) मोड, जागतिक कॅटलॉग सार्वत्रिक गटांबद्दल माहिती संग्रहित करते, ज्यामध्ये भिन्न डोमेनचे सदस्य समाविष्ट असू शकतात.

नेटवर्कवर सक्रिय निर्देशिका क्लायंटची नोंदणी करताना ही माहिती वापरली जाते. खरं तर, केवळ वापरकर्तेच नाही, तर सर्व ऑब्जेक्ट्स (उदाहरणार्थ, प्रत्येक संगणक) जे ऍक्टिव्ह डिरेक्टरी विरुद्ध प्रमाणीकृत करतात त्यांनी जागतिक कॅटलॉग सर्व्हरशी संपर्क साधला पाहिजे. वापरकर्त्याच्या नोंदणीच्या वेळी जागतिक कॅटलॉग उपलब्ध नसल्यास, तो वापरकर्ता केवळ स्थानिक पातळीवर नोंदणी करण्यास सक्षम असेल आणि ऑनलाइन नाही. अपवाद डोमेन प्रशासन गटाचे सदस्य आहेत.

डीफॉल्टनुसार, जागतिक कॅटलॉग जंगलातील पहिल्या डोमेन कंट्रोलरवर स्वयंचलितपणे तयार केले जाते. ते साठवते पूर्णडोमेनसाठी सर्व सक्रिय निर्देशिका ऑब्जेक्ट्सची एक प्रत ज्याच्या मालकीची आहे, आणि आंशिकएक प्रत (म्हणजे, सर्व गुणधर्म जागतिक कॅटलॉगमध्ये संग्रहित केले जात नाहीत, परंतु केवळ काही) इतर सर्व डोमेनशी संबंधित असलेल्या वस्तू ज्या जंगल बनवतात.

जागतिक कॅटलॉगचे स्थान बदला

नोंदणी विनंत्या शोधण्यासाठी आणि सेवा देण्यासाठी तुमच्या नेटवर्क वातावरणाच्या आवश्यकतांवर आधारित तुम्ही कोणत्याही डोमेन कंट्रोलरला ग्लोबल कॅटलॉग सर्व्हर म्हणून नियुक्त करू शकता. या उद्देशासाठी, सक्रिय स्नॅप-इन वापरले जाते. निर्देशिका ≈ सेवांसाठी साइट(सक्रिय निर्देशिका साइट्स आणि सेवा): त्यामध्ये तुम्हाला आवश्यक डोमेन कंट्रोलर निवडणे आवश्यक आहे आणि गुणधर्म विंडो उघडणे आवश्यक आहे: NTDS सेटिंग(NTDS सेटिंग्ज गुणधर्म), ज्यामध्ये ग्लोबल बॉक्स चेक करा कॅटलॉग(ग्लोबल कॅटलॉग). त्याच वेळी, नेटवर्कमध्ये आधीपासूनच जागतिक कॅटलॉग सर्व्हर त्यांची स्थिती टिकवून ठेवतात आणि नेटवर्कमध्ये (दोन किंवा अधिक) असे अनेक सर्व्हर असल्यास, नेहमीच्या प्रतिकृती यंत्रणा आणि वेळापत्रकांचा वापर करून त्यांच्या दरम्यान डेटा प्रतिकृती सुरू होते.

प्रतिकृती

प्रतिकृतीकॅटलॉगमधील डेटाची (प्रतिकृती, डुप्लिकेशन) (वेगवेगळ्या संगणकांवर कॅटलॉगच्या प्रतींचे संचयन) कार्यप्रदर्शन आणि उपलब्धता (विश्वसनीयता) सुधारते. इतर सर्व निर्देशिका सेवांप्रमाणे, सक्रिय निर्देशिका डेटाची प्रतिकृती बनवण्याची परवानगी देते. अंजीर मध्ये दाखवल्याप्रमाणे. 23.4, जेव्हा क्लायंट डिरेक्टरी एंट्री बदलतो, तेव्हा बदल त्या डोमेनमधील सर्व डोमेन कंट्रोलर्सवर प्रतिरूपित केले जातात. कारण LDAP प्रतिकृतीला समर्थन देत नाही, सक्रिय निर्देशिका हे कार्य पूर्ण करण्यासाठी मायक्रोसॉफ्टने विकसित केलेले विविध प्रोटोकॉल वापरते.

Windows NT सर्व्हर 4.0 मध्ये निर्देशिका प्रतिकृती यंत्रणा देखील आहे (जी या उत्पादनात खूप सोपी आहे), ज्यासाठी डोमेन कंट्रोलर कार्य करते किंवा , प्राथमिक डोमेन कंट्रोलर (PDC) किंवा बॅकअप डोमेन कंट्रोलर (BDC) म्हणून. विंडोज 2000 सर्व्हरमध्ये असे कोणतेही फरक नाहीत: आहे एकल संकल्पना डोमेन नियंत्रक.

या बदलांची कारणे खालीलप्रमाणे आहेत. Windows NT सर्व्हर 4.0 मध्ये, फक्त PDC वर संग्रहित डेटाची प्रत सुधारली जाऊ शकते. याउलट, सक्रिय निर्देशिका तथाकथित वापरते मल्टी-मास्टर प्रतिकृती(शब्दशः ≈ "अनेक मास्टर डोमेन नियंत्रकांसह प्रतिकृती"). प्रत्येक डोमेन कंट्रोलरकडे त्याच्या डोमेन डेटाबेसची संपूर्ण वाचन/लेखन प्रत असते. क्लायंट कोणतीही प्रत बदलू शकतो, त्यानंतर सर्व बदल या डोमेनमधील इतर डोमेन नियंत्रकांवर संग्रहित केलेल्या इतर सर्व प्रतींवर प्रसारित केले जातात (फक्त निर्देशिका नोंदींचे बदललेले गुणधर्म कॉपी केले जातात). जर दोन क्लायंट एकाच वेळी घटकाचे समान गुणधर्म बदलतात, तर शेवटचा बदल केला जाईल (जरी हे लक्षात घ्यावे की आवृत्ती क्रमांक, टाइमस्टॅम्प नव्हे, सामान्यतः बदलांची अंतिम आवृत्ती निर्धारित करण्यासाठी वापरली जातात).

असे समजू नका की सक्रिय निर्देशिका प्रतिकृती खूप नेटवर्क रहदारी निर्माण करते. प्रथम, संपूर्ण वस्तू पाठविल्या जात नाहीत, परंतु केवळ बदललेगुणधर्म दुसरे म्हणजे, प्रसारित केलेली माहिती यांच्यातीलसाइट्स (म्हणजे, अधिक हळू, नियमानुसार, चॅनेल), स्वयंचलितपणे संकुचित केल्या जातात.

प्रतिकृतीची यंत्रणा आणि ते कसे व्यवस्थापित करावे हे समजून घेण्यासाठी, भूमिका स्पष्टपणे समजून घेणे आवश्यक आहे मुख्य नियंत्रक ऑपरेशन्स (ऑपरेशन्समास्टर) नंतर या प्रकरणात वर्णन केले आहे.

साइट्स

एकाधिक डोमेन नियंत्रकांवर सक्रिय निर्देशिका डेटाची प्रतिकृती करणे अर्थपूर्ण आहे. तथापि, कल्पना करा की डोमेन मोठ्या क्षेत्रात स्थित आहे, कदाचित त्यातही विविध देश. अशा डोमेनमध्ये अनेक डोमेन नियंत्रक असू शकतात जे एकमेकांपासून मोठ्या प्रमाणावर विभक्त आहेत. क्लायंट, निर्देशिका सेवेमध्ये प्रवेश करताना, जवळच्या परिसरात असल्यास, रिमोट कंट्रोलरसह कार्य करू नये!

ऍक्सेस "स्थानिकीकरण" करण्यासाठी, ऍक्टिव्ह डिरेक्ट्री प्रशासकांना एका डोमेनला अनेकांमध्ये विभाजित करण्याची परवानगी देते साइट्स(साइट), अंजीर मध्ये दर्शविल्याप्रमाणे. २३.५. साइट ही एक किंवा अधिक IP सबनेट्स असते जी नेटवर्कच्या त्या भागाचा भाग असतात जिथे संगणकांमधील कनेक्शन जलद आणि विश्वासार्ह असतात. खरं तर, साइट संपूर्ण नेटवर्कच्या संप्रेषण चॅनेलचे भौतिक टोपोलॉजी प्रदर्शित करतात. उदाहरणार्थ, इथरनेट वापरून साइटला एकमेकांशी जोडलेले अनेक सबनेट बनवणे अर्थपूर्ण आहे. जेव्हा क्लायंट DNS द्वारे डोमेन कंट्रोलर शोधतो, तेव्हा तो डोमेन कंट्रोलर क्लायंट दिलेल्या डोमेन कंट्रोलरच्या साइटवर आहे की नाही हे निर्धारित करतो. तसे नसल्यास, क्लायंट ज्या साइटवर आहे त्याच साइटवर असलेल्या दुसर्‍या डोमेन कंट्रोलरकडे क्लायंटला "सुपुर्द" केले जाते.

सक्रिय निर्देशिका प्रतिकृती मूलत: दरम्यान केली जाते साइट्स,दरम्यान नाही डोमेनमानक प्रकरणात, साइटशी संबंधित संगणकांमधील प्रतिकृती (इंटर-साइट प्रतिकृती) वेगवेगळ्या साइट्सच्या संगणकांमधील (इंटर-साइट प्रतिकृती) पेक्षा अधिक वारंवार केली जाते. प्रशासक प्रतिकृतींची वारंवारता नियंत्रित करू शकतात, जरी बँडविड्थमुळे यांच्यातीलडेटा हस्तांतरण दरापेक्षा कमी साइट्स आतसाइट, साइट्समधील प्रतिकृती जवळजवळ नेहमीच कमी वारंवार असते. कार्यप्रदर्शन सुधारण्यासाठी, साइट्समधील प्रतिकृती दरम्यान हस्तांतरित केलेला डेटा संकुचित केला जातो, ज्यामुळे कमी-स्पीड लिंकचा अधिक कार्यक्षम वापर होतो जे साइट्सला लिंक करतात.

बेसिक ऑपरेशन्स कंट्रोलर्स

आधीच नमूद केल्याप्रमाणे, सक्रिय निर्देशिका मल्टी-मास्टर प्रतिकृती लागू करते. तथापि, निर्देशिकेतील काही बदल सिंगल-मास्टर मोडमध्ये करणे अधिक फायदेशीर (अधिक कार्यक्षम) आहेत, ज्याला म्हणतात मुख्य ऑपरेशन कंट्रोलर(ऑपरेशन मास्टर), जे असे सर्व बदल व्यवस्थापित करते.

मुख्य ऑपरेशन्स कंट्रोलर काही फंक्शन्स करण्यासाठी जबाबदार आहे, ज्याला म्हणतात भूमिकाऑपरेशन्स कंट्रोलर. डोमेन किंवा फॉरेस्टमधील वेगवेगळ्या डोमेन कंट्रोलरना या भूमिका नियुक्त केल्या जाऊ शकतात आणि एका डोमेन कंट्रोलरकडून दुसऱ्या डोमेन कंट्रोलरमध्ये हस्तांतरित केल्या जाऊ शकतात, त्यांची व्याख्या वेगळी आहे ≈ एका मुख्य नियंत्रकासह लवचिक ऑपरेशन्स(लवचिक सिंगल मास्टर ऑपरेशन्स, FSMO).

ऑपरेशन्स कंट्रोलर रोल्स (FSMO)

जेव्हा एक नवीन डोमेन तयार केले जाते (जंगलातील पहिले डोमेन), तेव्हा डोमेन कंट्रोलर, सक्रिय निर्देशिका स्थापित केल्यानंतर, त्याच्याद्वारे राखून ठेवलेल्या पाच वेगवेगळ्या FSMO भूमिका प्राप्त करतात. मोठ्या नेटवर्कमध्ये (अनेक नियंत्रक किंवा डोमेनसह), तुम्ही (कधीकधी गरज)यापैकी काही भूमिका इतर डोमेन नियंत्रकांकडे हस्तांतरित करा. तथापि, प्रत्येकाला काही भूमिका नियुक्त केल्या आहेत जंगले,आणि इतर प्रत्येक मध्ये उपस्थित असणे आवश्यक आहे डोमेन,जंगलात प्रवेश करणे.

जंगलासाठी अद्वितीय भूमिका

खालील दोन भूमिका जंगलात फक्त एका नियंत्रकाला नियुक्त केल्या जाऊ शकतात:

डोमेनसाठी अद्वितीय भूमिका

खालील तीन भूमिका डोमेनमधील एका नियंत्रकाला नियुक्त केल्या जाऊ शकतात; ते जंगलात जागतिक नाहीत:

	RID होस्ट(रिलेटिव्ह आयडी मास्टर, आरआयडी मास्टर). या भूमिकेतील नियंत्रक त्याच्या डोमेनमधील सर्व नियंत्रकांसाठी सापेक्ष अभिज्ञापक (RID) अनुक्रम व्युत्पन्न करतो. जेव्हा कंट्रोलरवर "वापरकर्ता", "गट" किंवा "संगणक" प्रकारचा ऑब्जेक्ट तयार केला जातो, तेव्हा त्या ऑब्जेक्टला एक अद्वितीय सुरक्षा अभिज्ञापक (SID) नियुक्त केला जातो, जो डोमेन SID मधून तयार होतो (सर्व SID साठी समान ते डोमेन) आणि संबंधित अभिज्ञापक (डोमेनमध्ये तयार केलेल्या प्रत्येक SID साठी अद्वितीय). जेव्हा सापेक्ष अभिज्ञापकांची श्रेणी (पूल) संपते, तेव्हा डोमेन कंट्रोलर कंट्रोलरकडून नवीन श्रेणीची विनंती करतो जी RID मास्टर असते.
	PDC होस्ट(प्राथमिक डोमेन कंट्रोलर (PDC) एमुलेटर). डोमेनमध्ये नॉन-Windows 2000 क्लायंट संगणक किंवा Windows NT बॅकअप डोमेन कंट्रोलर (BDCs) समाविष्ट असल्यास, एमुलेटर PDC Windows NT प्राथमिक डोमेन कंट्रोलर (PDC) म्हणून कार्य करते. हे क्लायंट पासवर्ड बदलांवर प्रक्रिया करते आणि BDC कंट्रोलर्सवर इन्फोबेस अपडेट करते. PDC मास्टर त्याच्या डोमेनमधील इतर कोणत्याही डोमेन कंट्रोलरवर पासवर्ड बदल प्राप्त करणारा पहिला आहे. चुकीच्या पासवर्डमुळे डोमेन कंट्रोलर वापरकर्त्याचे प्रमाणीकरण करण्यात अयशस्वी झाल्यास, नोंदणी विनंती नाकारण्यापूर्वी PDC मास्टर म्हणून काम करणार्‍या नियंत्रकाकडे नोंदणी विनंती प्रथम पाठवली जाते.
	पायाभूत सुविधा होस्ट(इन्फ्रास्ट्रक्चर मास्टर). जेव्हा हे ऑब्जेक्ट बदलतात तेव्हा इन्फ्रास्ट्रक्चर कंट्रोलर इतर डोमेनमधील ऑब्जेक्ट्सचे सर्व इंट्राडोमेन संदर्भ अपडेट करतो. उदाहरणार्थ, जर एखाद्या गटाच्या सदस्याचे नाव बदलले असेल (आणि हा गट सदस्य गटाच्या तुलनेत वेगळ्या डोमेनमध्ये असेल) किंवा गटातून काढून टाकला असेल, तर इन्फ्रास्ट्रक्चर मास्टर हा कंट्रोलर ग्रुपमधील लिंक्स अपडेट करतो. गट सदस्य. लिंक अद्यतने मल्टी-मास्टर मोडमध्ये प्रतिरूपित केली जातात. डोमेनमध्ये असल्यास अनेकडोमेन कंट्रोलर, तर तुम्ही त्या डोमेन कंट्रोलरला इन्फ्रास्ट्रक्चर मास्टर रोल देऊ नये ज्यावर ग्लोबल कॅटलॉग स्थित आहे: या प्रकरणात, इन्फ्रास्ट्रक्चर मास्टर कार्य करणार नाही, कारण जेव्हा ऑब्जेक्ट्स असतात तेव्हा या ऑब्जेक्ट्सचे क्रॉस-डोमेन संदर्भ अद्यतनित केले जाणार नाहीत. बदलले (हलवले). जेव्हा सर्व डोमेन नियंत्रक हे जागतिक कॅटलॉग सर्व्हर असतात, तेव्हा कोणता इन्फ्रास्ट्रक्चर मास्टर आहे हे महत्त्वाचे नसते.

FSMO भूमिकांचे हस्तांतरण

FSMO भूमिका हस्तांतरित करण्यासाठी, संपूर्ण जंगलासाठी अद्वितीय,स्नॅप-इन वापरले जातात सक्रिय निर्देशिका योजना(सक्रिय निर्देशिका स्कीमा) (स्कीमा मास्टर असाइनमेंटसाठी) आणि सक्रिय निर्देशिका - डोमेन आणि ट्रस्ट(सक्रिय निर्देशिका डोमेन आणि ट्रस्ट) ("डोमेन नेमिंग मास्टर" भूमिका नियुक्त करण्यासाठी). संबंधित स्नॅप-इनच्या विंडोमध्ये, आपल्याला संरचनेच्या रूटसाठी संदर्भ मेनू कॉल करणे आवश्यक आहे, कमांड निवडा डोमेन कंट्रोलरशी कनेक्ट करत आहे(डोमेन कंट्रोलर बदला) आणि इच्छित डोमेन कंट्रोलरशी कनेक्ट करा. नंतर संदर्भ मेनूमधून कमांड निवडा मास्टरऑपरेशन्स (ऑपरेशन मास्टर) आणि दिसत असलेल्या विंडोमध्ये, बटण दाबून बदला(बदला), निवडलेल्या डोमेन नियंत्रकाकडे भूमिकेचे हस्तांतरण पुष्टी करा.

FSMO भूमिका अद्वितीय dm डोमेन,स्नॅप-इन वापरून डोमेन नियंत्रकांना नियुक्त केले जातात सक्रिय निर्देशिका - संगणक वापरकर्ते(सक्रिय निर्देशिका वापरकर्ते आणि संगणक), ज्याच्या विंडोमध्ये, संरचना पॅनेलवर, डोमेन निवडा आणि त्याच्या संदर्भ मेनूमध्ये - होस्ट कमांड ऑपरेशन्सत्याच नावाची विंडो उघडत आहे. या विंडोमध्ये, IV टॅबवर, PDCआणि पायाभूत सुविधातुम्ही विद्यमान ऑपरेशन्स मास्टर्स पाहू शकता आणि योग्य भूमिका घेणारे डोमेन कंट्रोलर निवडू शकता.

ऑपरेशन्सच्या मुख्य नियंत्रकांचे अपयश

एक कायदेशीर प्रश्न उद्भवू शकतो: जर यापैकी एक असेल तर काय होईल फक्त एक(कारण हा FSMO संकल्पनेचा भाग आहे) डोमेन किंवा फॉरेस्टमध्ये विशिष्ट भूमिका असणारा प्राथमिक ऑपरेशन कंट्रोलर आहे का? नेटवर्कची दोष सहिष्णुता कशी सुनिश्चित केली जाईल? नेटवर्क चालू ठेवण्यासाठी काही ऑपरेशन्स कंट्रोलर भूमिका खूप महत्वाच्या असतात. इतर ऑपरेशन्स कंट्रोलर बर्‍याच काळासाठी सहजपणे अनुपस्थित असू शकतात: नेटवर्कवर काही ऑपरेशन्स केल्यावरच अपयश लक्षात येईल.

आम्ही नेटवर्कचे संपूर्ण आरोग्य पुनर्संचयित करण्यासाठी विद्यमान परिस्थितींचे तपशीलवार वर्णन करणार नाही, हे सांगणे पुरेसे आहे की काही कारणास्तव काही मुख्य ऑपरेशन कंट्रोलर अनुपलब्ध झाल्यास, त्याची भूमिका असू शकते. जप्त(जप्त करा), म्हणजे दुसऱ्या डोमेन कंट्रोलरकडे सक्तीने हस्तांतरण करा.

सक्रिय निर्देशिकेतील API

अनेक नेटवर्क रिसोर्स डिरेक्टरी आहेत, जसे की LDAP डिरेक्टरी, Active Directory, Banyan StreetTalk, Microsoft Windows NT Directory Service, Novel Directory Service, आणि application-specific Directories जसे Lotus Notes, cc:Mail, किंवा Microsoft Exchange. या सर्व निर्देशिका सेवांचे स्वतःचे प्रोग्रामिंग इंटरफेस आहेत, जे निर्देशिका प्रशासन (कारण प्रत्येक निर्देशिका स्वतंत्रपणे व्यवस्थापित केली जाते) आणि संस्थेमध्ये वापरल्या जाणार्‍या निर्देशिकांमध्ये प्रवेश करणार्‍या एंटरप्राइझ अनुप्रयोगांची निर्मिती या दोन्ही गोष्टी गुंतागुंतीत करतात.

मायक्रोसॉफ्ट ऍक्टिव्ह डिरेक्ट्री सर्व्हिस इंटरफेस (ADSI), COM प्रोग्रामिंग इंटरफेसचा एक संच वापरताना समस्येचे निराकरण पाहते, ज्याद्वारे वापरकर्ते आणि स्वतंत्र सॉफ्टवेअर विक्रेते (ISVs) विविध निर्देशिकेसह नोंदणी करण्यासाठी एकच सु-डिझाइन केलेला इंटरफेस वापरू शकतात. सेवा, त्यामध्ये प्रवेश करणे आणि या सेवा व्यवस्थापित करणे.

सर्वात सामान्य आणि मुक्त डेटाबेस प्रवेश इंटरफेसपैकी एक म्हणजे ओपन डेटा बेस कनेक्टिव्हिटी (ODBC). हा इंटरफेस जवळजवळ सर्व रिलेशनल डेटाबेसद्वारे समर्थित आहे. ADSI चा विचार "निर्देशिका सेवांसाठी ODBC" म्हणून केला जाऊ शकतो. ADSI तुम्हाला यंत्रणा तयार करण्याची परवानगी देते (म्हणतात ADSI प्रदाता, ADSI-प्रदाते) विशिष्ट निर्देशिकेच्या प्रकाराची माहिती ऍक्सेस करण्यासाठी. ADSI वापरून लिहिलेले अनुप्रयोग ADSI प्रदाता असलेल्या कोणत्याही निर्देशिका सेवांसह कार्य करतील. हे वेगवेगळ्या डिरेक्टरी वापरण्याच्या समस्येचे मुक्त, सार्वत्रिक समाधान प्रदान करते (आकृती 23.6). Windows NT सर्व्हर 4.0 मध्ये आधीपासूनच अनेक विक्रेते आहेत

विविध निर्देशिका सेवांसाठी ADSI, आणि Windows 2000 Server मध्ये Active Directory साठी ADSI प्रदाता आहे.

ADSI COM ऑब्जेक्ट मॉडेलवर आधारित आहे, जे डिरेक्टरी ऍक्सेस स्क्रिप्टिंग सुलभ करते. उदाहरणार्थ, ऍडमिनिस्ट्रेटर ऍक्टिव्ह डिरेक्ट्रीच्या काही घटकांना मूल्ये नियुक्त करण्यासाठी स्क्रिप्ट तयार करू शकतो. सॉफ्टवेअर डेव्हलपर हे API वापरू शकतात, उदाहरणार्थ, कॅटलॉग आयटम पार्स करण्यासाठी. निम्न-स्तरीय C/C++ प्रोग्रामिंगसाठी, Active Directory मध्ये एक मानक LDAP API देखील आहे, जो C-फंक्शन कॉलचा संच म्हणून परिभाषित केला आहे आणि RFC 1823 मध्ये वर्णन केले आहे. ADSI इंटरफेस हे ओपन डिरेक्टरी सर्व्हिस इंटरफेस (ODSI) घटकांपैकी एक आहेत. विंडोज ओपन सर्व्हिसेस आर्किटेक्चर (WOSA, विंडोज ओपन सर्व्हिसेस आर्किटेक्चर) मध्ये. स्पष्टतेसाठी, ADSI चे मुख्य फायदे टेबलमध्ये सूचीबद्ध आहेत. २३.१.

तक्ता 23.1.सक्रिय निर्देशिका सेवा इंटरफेस (ADSI) चे फायदे

वैशिष्ट्यपूर्ण	फायदे
मोकळेपणा	कोणताही निर्देशिका सेवा प्रदाता ADSI-प्रदाता तयार करू शकतो; वापरकर्ते त्यांच्या प्रशासनाच्या सर्व शक्यता राखून त्यांच्यासाठी सोयीची कोणतीही निर्देशिका सेवा निवडू शकतात.
निर्देशिका स्वातंत्र्य	प्रशासन साधने विशिष्ट निर्देशिका सेवेशी जोडलेली नाहीत आणि एक अनुप्रयोग वेगवेगळ्या निर्देशिकांसह कार्य करू शकतो. यामुळे प्रोग्राम डिझाइन आणि देखरेखीचा खर्च कमी होतो.
जावा समर्थन	Java COM ADS ऑब्जेक्ट्ससह! निर्देशिका सेवांमध्ये सुलभ प्रवेशासह ऍपलेट आणि Java अनुप्रयोग प्रदान करा
सुरक्षितता	ADSI प्रोग्रामॅटिक ऑथेंटिकेशन मॉडेल (प्रमाणीकरण मॉडेल) आणि अधिकृतता (अधिकृतीकरण मॉडेल) चे समर्थन करते
साधे प्रोग्रामिंग मॉडेल	तुम्ही विशिष्ट निर्देशिका सेवा प्रदात्याच्या API च्या तपशीलात न जाता प्रशासकीय आणि इतर निर्देशिका-देणारं कार्यक्रम तयार करू शकता.
OLE ऑटोमेशन सर्व्हर	निर्देशिकांसह कार्य करणारे अनुप्रयोग तयार करण्यासाठी, तुम्ही कोणतीही OLE ऑटोमेशन कंट्रोलर डेव्हलपमेंट टूल्स (Visual Basic, PERL, Rexx, C/C++ आणि इतर) वापरू शकता. प्रशासक आणि विकासक त्यांची उत्पादकता वाढवून त्यांना परिचित असलेल्या कोणत्याही डिझाइन टूल्सचा वापर करू शकतात
वैशिष्ट्यांचा मोठा संच	समान ADSI मॉडेल्स साध्या स्क्रिप्टिंग आणि जटिल अनुप्रयोगांसाठी वापरले जाऊ शकतात
विस्तारक्षमता	निर्देशिका सेवा प्रदाते, ISV आणि अंतिम वापरकर्ते ADSI मध्ये नवीन वस्तू आणि कार्ये जोडू शकतात जे इंटरफेसची क्षमता वाढवतात किंवा विशिष्ट आवश्यकता पूर्ण करतात.

सक्रिय निर्देशिका आणि उद्योग मानके (RFC)

टेबलमध्ये. तक्ता 23-2 मध्ये Windows 2000 सर्व्हरसह समाविष्ट असलेल्या सक्रिय निर्देशिका निर्देशिका सेवा आणि DNS सर्व्हरमध्ये लागू केलेल्या काही प्रमुख मानकांची सूची आहे.

तक्ता 23.2.सक्रिय निर्देशिका आणि DNS शी संबंधित टिप्पण्या (RFCs) साठी विनंत्या

डोमेन हे एंटरप्राइझच्या नेटवर्क इन्फ्रास्ट्रक्चरमधील मुख्य प्रशासकीय एकक आहे, ज्यामध्ये वापरकर्ते, संगणक, प्रिंटर, शेअर्स इत्यादी सर्व नेटवर्क वस्तूंचा समावेश होतो. डोमेनच्या संग्रहाला (पदानुक्रम) जंगल म्हणतात. प्रत्येक कंपनीचे बाह्य आणि अंतर्गत डोमेन असू शकते.

उदाहरणार्थ, साइट हे इंटरनेटवरील एक बाह्य डोमेन आहे जे नाव नोंदणीकर्त्याकडून खरेदी केले गेले होते. हे डोमेन आमची वेब साइट आणि मेल सर्व्हर होस्ट करते. lankey.local - एक अंतर्गत सक्रिय निर्देशिका निर्देशिका सेवा डोमेन जे वापरकर्ता खाती, संगणक, प्रिंटर, सर्व्हर आणि कॉर्पोरेट अनुप्रयोग होस्ट करते. काहीवेळा बाह्य आणि अंतर्गत डोमेन नावे समान केली जातात.

मायक्रोसॉफ्ट ऍक्टिव्ह डिरेक्ट्री एंटरप्राइझ युनिफाइड डिरेक्ट्री सिस्टमसाठी मानक बनली आहे. सक्रिय निर्देशिका-आधारित डोमेन जगातील जवळजवळ सर्व कंपन्यांमध्ये लागू केले गेले आहे, आणि मायक्रोसॉफ्टचे या मार्केटमध्ये व्यावहारिकदृष्ट्या कोणतेही प्रतिस्पर्धी शिल्लक नाहीत, त्याच नोव्हेल निर्देशिका सेवा (NDS) चा वाटा नगण्य आहे आणि उर्वरित कंपन्या हळूहळू स्थलांतरित होत आहेत. चालू निर्देशिका.

सक्रिय निर्देशिका (निर्देशिका सेवा) एक वितरित डेटाबेस आहे ज्यामध्ये सर्व डोमेन ऑब्जेक्ट्स असतात. अ‍ॅक्टिव्ह डिरेक्ट्री डोमेन वातावरण हे संपूर्ण एंटरप्राइझमधील वापरकर्ते आणि अनुप्रयोगांसाठी प्रमाणीकरण आणि अधिकृततेचे एकल बिंदू आहे. एंटरप्राइझच्या आयटी पायाभूत सुविधांचे बांधकाम डोमेनच्या संघटनेसह आणि सक्रिय निर्देशिकाच्या उपयोजनासह आहे. सक्रिय निर्देशिका डेटाबेस समर्पित सर्व्हरवर संग्रहित केला जातो - डोमेन नियंत्रक. मायक्रोसॉफ्ट विंडोज सर्व्हर ऑपरेटिंग सिस्टममध्ये सक्रिय निर्देशिका ही एक भूमिका आहे. सध्या, LanKey विंडोज सर्व्हर 2008 R2 ऑपरेटिंग सिस्टमवर आधारित सक्रिय निर्देशिका डोमेनची अंमलबजावणी करत आहे.

कार्यसमूहावर सक्रिय निर्देशिका निर्देशिका सेवा उपयोजित केल्याने खालील फायदे मिळतात:

• प्रमाणीकरणाचा एकल बिंदू. जेव्हा संगणक कार्यसमूहात काम करतात तेव्हा त्यांच्याकडे एकच वापरकर्ता डेटाबेस नसतो, प्रत्येक संगणकाचा स्वतःचा डेटाबेस असतो. म्हणून, डीफॉल्टनुसार, कोणत्याही वापरकर्त्यास दुसर्‍या वापरकर्त्याच्या संगणकावर किंवा सर्व्हरवर नेटवर्क प्रवेश नाही. आणि, जसे तुम्हाला माहिती आहे, नेटवर्कचा अर्थ फक्त वापरकर्ते संवाद साधू शकतात. कर्मचाऱ्यांना कागदपत्रे किंवा अर्ज सामायिक करणे आवश्यक आहे. प्रत्येक संगणक किंवा सर्व्हरवरील कार्यसमूहात, आपल्याला नेटवर्क प्रवेशाची आवश्यकता असलेल्या वापरकर्त्यांची संपूर्ण यादी व्यक्तिचलितपणे जोडावी लागेल. जर अचानक, एखाद्या कर्मचार्‍याला त्याचा पासवर्ड बदलायचा असेल तर तो सर्व संगणक आणि सर्व्हरवर बदलणे आवश्यक आहे. नेटवर्कमध्ये 10 संगणक असल्यास ते ठीक आहे, परंतु त्यापैकी 100 किंवा 1000 असल्यास, कार्यसमूह वापरणे अस्वीकार्य असेल. सक्रिय निर्देशिका डोमेन वापरताना, सर्व वापरकर्ता खाती एका डेटाबेसमध्ये संग्रहित केली जातात आणि सर्व संगणक अधिकृततेसाठी त्यात प्रवेश करतात. सर्व डोमेन वापरकर्ते योग्य गटांमध्ये समाविष्ट आहेत, उदाहरणार्थ, "लेखा", "कार्मचारी", "वित्तीय विभाग", इ. विशिष्ट गटांसाठी एकदाच परवानग्या सेट करणे पुरेसे आहे आणि सर्व वापरकर्त्यांना कागदपत्रे आणि अनुप्रयोगांमध्ये योग्य प्रवेश मिळेल. जर एखादा नवीन कर्मचारी कंपनीत आला तर त्याच्यासाठी एक खाते तयार केले जाते, जे योग्य गटात समाविष्ट केले जाते, आणि तेच! काही मिनिटांनंतर, नवीन कर्मचाऱ्याला सर्व नेटवर्क संसाधनांमध्ये प्रवेश मिळतो ज्यामध्ये त्याला सर्व सर्व्हर आणि संगणकांवर प्रवेश करण्याची परवानगी दिली पाहिजे. जर एखाद्या कर्मचार्‍याने नोकरी सोडली तर त्याचे खाते ब्लॉक करणे किंवा हटवणे पुरेसे आहे आणि तो त्वरित सर्व संगणक, कागदपत्रे आणि अनुप्रयोगांवर प्रवेश गमावेल.
• धोरण व्यवस्थापनाचा एकच मुद्दा. पीअर-टू-पीअर नेटवर्क (वर्कग्रुप) मध्ये, सर्व संगणक समान असतात. कोणताही संगणक दुसऱ्यावर नियंत्रण ठेवू शकत नाही, सर्व संगणक वेगळ्या पद्धतीने कॉन्फिगर केलेले आहेत, एकसमान धोरणे किंवा सुरक्षा नियमांचे पालन नियंत्रित करणे अशक्य आहे. एकल सक्रिय निर्देशिका निर्देशिका वापरताना, सर्व वापरकर्ते आणि संगणक पदानुक्रमानुसार संस्थात्मक युनिट्समध्ये वितरीत केले जातात, त्यापैकी प्रत्येक एकसमान गट धोरणांच्या अधीन आहे. धोरणे तुम्हाला संगणक आणि वापरकर्त्यांच्या गटासाठी एकसमान सेटिंग्ज आणि सुरक्षा सेटिंग्ज सेट करण्याची परवानगी देतात. जेव्हा डोमेनमध्ये नवीन संगणक किंवा वापरकर्ता जोडला जातो, तेव्हा ते स्वीकृत कॉर्पोरेट मानकांचे पालन करणार्‍या सेटिंग्ज आपोआप प्राप्त करतात. तसेच, धोरणे वापरून, तुम्ही वापरकर्त्यांना नेटवर्क प्रिंटर मध्यवर्ती नियुक्त करू शकता, सेट आवश्यक अनुप्रयोग, इंटरनेट ब्राउझर सुरक्षा सेटिंग्ज सेट करा, Microsoft Office अनुप्रयोग कॉन्फिगर करा आणि बरेच काही.
• कॉर्पोरेट ऍप्लिकेशन्स आणि उपकरणांसह एकत्रीकरण. ऍक्टिव्ह डिरेक्ट्रीचा मोठा फायदा म्हणजे LDAP मानकांचे पालन करणे, ज्याला मेल सर्व्हर (एक्सचेंज, लोटस, एमडेमॉन), ईआरपी सिस्टम (डायनॅमिक्स, सीआरएम), प्रॉक्सी सर्व्हर (ISA सर्व्हर, स्क्विड) सारख्या शेकडो ऍप्लिकेशन्सद्वारे समर्थित आहे. , इ. आणि हे केवळ मायक्रोसॉफ्ट विंडोज ऍप्लिकेशन्सच नाही तर लिनक्स-आधारित सर्व्हर देखील आहेत. या इंटिग्रेशनचे फायदे म्हणजे विशिष्ट ऍप्लिकेशन ऍक्सेस करण्यासाठी वापरकर्त्याला मोठ्या संख्येने लॉगिन आणि पासवर्ड लक्षात ठेवण्याची आवश्यकता नाही; सर्व ऍप्लिकेशन्समध्ये, वापरकर्त्याकडे समान क्रेडेन्शियल्स आहेत, कारण. त्याचे प्रमाणीकरण एकाच सक्रिय निर्देशिका निर्देशिकेत होते. याव्यतिरिक्त, कर्मचार्‍याला त्याचे लॉगिन आणि पासवर्ड अनेक वेळा प्रविष्ट करण्याची आवश्यकता नाही, संगणक सुरू करताना एकदाच लॉग इन करणे पुरेसे आहे आणि भविष्यात सर्व अनुप्रयोगांमध्ये वापरकर्त्याचे स्वयंचलितपणे प्रमाणीकरण केले जाईल. विंडोज सर्व्हर RADIUS प्रोटोकॉलसह सक्रिय निर्देशिका एकत्रीकरण प्रदान करते, जे विविध प्रकारच्या नेटवर्क उपकरणांद्वारे समर्थित आहे. अशा प्रकारे, उदाहरणार्थ, VPN द्वारे CISCO राउटरशी कनेक्ट करताना डोमेन वापरकर्त्यांचे प्रमाणीकरण प्रदान करणे शक्य आहे.
• युनिफाइड ऍप्लिकेशन कॉन्फिगरेशन स्टोअर. काही ऍप्लिकेशन्स त्यांचे कॉन्फिगरेशन ऍक्टिव्ह डिरेक्ट्रीमध्ये संग्रहित करतात, जसे की एक्सचेंज सर्व्हर किंवा ऑफिस कम्युनिकेशन सर्व्हर. या ऍप्लिकेशन्सने कार्य करण्यासाठी सक्रिय निर्देशिका निर्देशिका सेवा उपयोजित करणे ही एक पूर्व शर्त आहे. तुम्ही डिरेक्टरी सेवेमध्ये DNS डोमेन नेम सर्व्हरचे कॉन्फिगरेशन देखील स्टोअर करू शकता. निर्देशिका सेवेमध्ये अनुप्रयोग कॉन्फिगरेशन संचयित करणे लवचिकता आणि विश्वासार्हतेच्या दृष्टीने फायदेशीर आहे. उदाहरणार्थ, एक्सचेंज सर्व्हर पूर्ण अपयशी झाल्यास, त्याचे संपूर्ण कॉन्फिगरेशन अबाधित राहील, कारण सक्रिय निर्देशिका मध्ये संग्रहित. आणि कॉर्पोरेट मेलची कार्यक्षमता पुनर्संचयित करण्यासाठी, पुनर्प्राप्ती मोडमध्ये एक्सचेंज सर्व्हर पुन्हा स्थापित करणे पुरेसे असेल.
• वर्धित पातळीमाहिती सुरक्षा. सक्रिय निर्देशिका वापरल्याने नेटवर्क सुरक्षा मोठ्या प्रमाणात सुधारते. प्रथम, हे खात्यांचे एकल आणि सुरक्षित संचयन आहे. पीअर-टू-पीअर नेटवर्कमध्ये, वापरकर्ता क्रेडेन्शियल स्थानिक खाते डेटाबेस (एसएएम) मध्ये संग्रहित केले जातात, जे सैद्धांतिकरित्या संगणक ताब्यात घेऊन हॅक केले जाऊ शकतात. डोमेन वातावरणात, डोमेन वापरकर्त्यांसाठीचे सर्व पासवर्ड समर्पित सर्व्हर, डोमेन नियंत्रकांवर संग्रहित केले जातात, जे सहसा बाह्य प्रवेशापासून संरक्षित असतात. दुसरे म्हणजे, डोमेन वातावरण वापरताना, प्रमाणीकरणासाठी Kerberos प्रोटोकॉल वापरला जातो, जो कार्यसमूहांमध्ये वापरल्या जाणार्‍या NTLM पेक्षा जास्त सुरक्षित आहे. वापरकर्त्यांना साइन इन करण्यासाठी तुम्ही स्मार्ट कार्ड वापरून द्वि-घटक प्रमाणीकरण देखील वापरू शकता. त्या. एखाद्या कर्मचार्‍याला संगणकावर प्रवेश मिळवण्यासाठी, त्याला त्याचे लॉगिन आणि पासवर्ड प्रविष्ट करणे आवश्यक आहे, तसेच त्याचे स्मार्ट कार्ड देखील घालावे लागेल.

सक्रिय निर्देशिका स्केलेबिलिटी आणि लवचिकता

मायक्रोसॉफ्ट ऍक्टिव्ह डिरेक्ट्री डिरेक्ट्री सेवा अत्यंत स्केलेबल आहे. सक्रिय निर्देशिका जंगलात 2 अब्जाहून अधिक वस्तू तयार केल्या जाऊ शकतात, ज्यामुळे शेकडो हजारो संगणक आणि वापरकर्ते असलेल्या कंपन्यांमध्ये निर्देशिका सेवा लागू करणे शक्य होते. डोमेनची श्रेणीबद्ध रचना तुम्हाला तुमची आयटी पायाभूत सुविधा सर्व शाखा आणि कंपन्यांच्या प्रादेशिक विभागांमध्ये लवचिकपणे वाढवण्याची परवानगी देते. कंपनीच्या प्रत्येक शाखेसाठी किंवा विभागासाठी, स्वतःची धोरणे, स्वतःचे वापरकर्ते आणि गटांसह स्वतंत्र डोमेन तयार केले जाऊ शकते. प्रत्येक चाइल्ड डोमेनसाठी, प्रशासकीय अधिकार स्थानिक सिस्टम प्रशासकांना सोपवले जाऊ शकतात. त्याच वेळी, मूल डोमेन अजूनही पालकांच्या अधीन आहेत.

याव्यतिरिक्त, सक्रिय निर्देशिका तुम्हाला डोमेन फॉरेस्ट्समधील विश्वास संबंध सेट करण्याची परवानगी देते. प्रत्येक कंपनीकडे डोमेनचे स्वतःचे जंगल असते, प्रत्येकाची स्वतःची संसाधने असतात. परंतु कधीकधी भागीदार कंपन्यांमधील कर्मचार्‍यांना तुमच्या कॉर्पोरेट संसाधनांमध्ये प्रवेश प्रदान करणे आवश्यक असू शकते. उदाहरणार्थ, संयुक्त प्रकल्पांमध्ये सहभागी होताना, भागीदार कंपन्यांच्या कर्मचार्‍यांना सामान्य कागदपत्रांवर किंवा अनुप्रयोगांवर एकत्र काम करण्याची आवश्यकता असू शकते. हे करण्यासाठी, संस्थांच्या जंगलांमध्ये विश्वासाचे संबंध स्थापित केले जाऊ शकतात, जे एका संस्थेतील कर्मचार्यांना दुसर्याच्या डोमेनमध्ये लॉग इन करण्यास अनुमती देईल.

प्रत्येक डोमेनमध्ये 2 किंवा अधिक सर्व्हर - डोमेन नियंत्रक तैनात करून निर्देशिका सेवेची फॉल्ट टॉलरन्स प्रदान केली जाते. सर्व बदल डोमेन नियंत्रकांदरम्यान आपोआप प्रतिरूपित केले जातात. डोमेन नियंत्रकांपैकी एक अयशस्वी झाल्यास, नेटवर्क प्रभावित होत नाही, कारण बाकीचे काम सुरू ठेवा. सक्रिय निर्देशिका मधील डोमेन नियंत्रकांवर DNS सर्व्हर होस्ट करून लवचिकतेचा अतिरिक्त स्तर प्रदान केला जातो, जो प्रत्येक डोमेनला प्राथमिक डोमेन झोनमध्ये सेवा देणारे एकाधिक DNS सर्व्हर ठेवण्याची परवानगी देतो. आणि DNS सर्व्हरपैकी एक अयशस्वी झाल्यास, उर्वरित कार्य करणे सुरू ठेवेल, आणि ते वाचन आणि लेखन दोन्हीसाठी उपलब्ध असतील, जे वापरून खात्री केली जाऊ शकत नाही, उदाहरणार्थ, BIND चे Linux-आधारित DNS सर्व्हर.

Windows Server 2008 R2 वर जाण्याचे फायदे

जरी तुमच्या कंपनीने Windows Server 2003-आधारित Active Directory आधीच तैनात केली असली तरीही, Windows Server 2008 R2 वर जाऊन तुम्ही अनेक फायदे मिळवू शकता. Windows Server 2008 R2 खालील अतिरिक्त वैशिष्ट्ये प्रदान करते:

रीड-ओन्ली डोमेन कंट्रोलर (RODC). डोमेन नियंत्रक वापरकर्ता खाती, प्रमाणपत्रे आणि इतर बरीच संवेदनशील माहिती संग्रहित करतात. सर्व्हर सुरक्षित डेटा सेंटरमध्ये असल्यास, आपण या माहितीच्या सुरक्षिततेबद्दल शांत राहू शकता, परंतु जर डोमेन नियंत्रक सार्वजनिक ठिकाणी असलेल्या शाखेत असेल तर काय होईल. या प्रकरणात, सर्व्हर हल्लेखोरांकडून चोरून ते हॅक केले जाण्याची शक्यता आहे. आणि मग ते या डेटाचा वापर माहिती चोरण्यासाठी किंवा नष्ट करण्यासाठी तुमच्या कॉर्पोरेट नेटवर्कवर हल्ला आयोजित करण्यासाठी करतात. शाखांमध्ये केवळ-वाचनीय डोमेन नियंत्रक (RODCs) स्थापित केले जातात अशा प्रकरणांना प्रतिबंध करण्यासाठी. प्रथम, RODC नियंत्रक वापरकर्ता संकेतशब्द संचयित करत नाहीत, परंतु केवळ प्रवेशास गती देण्यासाठी ते कॅशे करतात आणि दुसरे म्हणजे, ते फक्त मध्यवर्ती सर्व्हरपासून शाखेपर्यंत एक-मार्ग प्रतिकृती वापरतात, परंतु परत नाही. आणि जरी हल्लेखोरांनी RODC डोमेन कंट्रोलरचा ताबा घेतला तरीही, त्यांना वापरकर्ता संकेतशब्द प्राप्त होणार नाहीत आणि ते मुख्य नेटवर्कचे नुकसान करू शकणार नाहीत.

हटविलेले सक्रिय निर्देशिका ऑब्जेक्ट्स पुनर्संचयित करत आहे. जवळजवळ प्रत्येक सिस्टम प्रशासकाला चुकून हटवलेले वापरकर्ता खाते किंवा वापरकर्त्यांचा संपूर्ण गट पुनर्संचयित करण्याची आवश्यकता आहे. Windows 2003 मध्ये, यासाठी बॅकअपमधून निर्देशिका सेवा पुनर्संचयित करणे आवश्यक आहे, जे सहसा अस्तित्वात नव्हते, परंतु जरी ते झाले तरीही, पुनर्संचयित करण्यास बराच वेळ लागला. Windows Server 2008 R2 ने Active Directory Recycle Bin सादर केले. आता, जेव्हा एखादा वापरकर्ता किंवा संगणक हटवला जातो, तेव्हा तो रीसायकल बिनमध्ये जातो, जेथून 180 दिवसांच्या आत सर्व मूळ गुणधर्म जतन करून तो काही मिनिटांत पुनर्संचयित केला जाऊ शकतो.

सरलीकृत व्यवस्थापन. Windows Server 2008 R2 मध्ये, सिस्टीम प्रशासकांवरील भार लक्षणीयरीत्या कमी करण्यासाठी आणि आपल्या IT पायाभूत सुविधा व्यवस्थापित करणे सोपे करण्यासाठी अनेक बदल करण्यात आले आहेत. उदाहरणार्थ, अशी साधने आहेत: सक्रिय निर्देशिका बदलांचे ऑडिट, कोणी काय आणि केव्हा बदलले हे दर्शविते; संकेतशब्द जटिलता धोरणे वापरकर्ता गटांच्या स्तरावर कॉन्फिगर केलेली होती, पूर्वी हे केवळ डोमेन स्तरावर करणे शक्य होते; नवीन वापरकर्ता आणि संगणक व्यवस्थापन साधने; धोरण टेम्पलेट्स; PowerShell कमांड लाइन वापरून व्यवस्थापन, इ.

सक्रिय निर्देशिका लागू करणे

अ‍ॅक्टिव्ह डिरेक्ट्री डिरेक्ट्री सेवा ही एंटरप्राइझच्या IT पायाभूत सुविधांचे केंद्र आहे. तो अयशस्वी झाल्यास, संपूर्ण नेटवर्क, सर्व सर्व्हर, सर्व वापरकर्त्यांचे काम ठप्प होईल. कोणीही संगणकावर लॉग इन करू शकणार नाही, त्यांच्या कागदपत्रांमध्ये आणि अनुप्रयोगांमध्ये प्रवेश करू शकणार नाही. म्हणून, सर्व संभाव्य बारकावे लक्षात घेऊन निर्देशिका सेवा काळजीपूर्वक डिझाइन आणि तैनात करणे आवश्यक आहे. उदाहरणार्थ, साइट्सची रचना नेटवर्कच्या भौतिक टोपोलॉजी आणि कंपनीच्या शाखा किंवा कार्यालयांमधील चॅनेलच्या बँडविड्थच्या आधारावर तयार केली पाहिजे, कारण. हे वापरकर्त्याच्या लॉगऑनच्या गतीवर तसेच डोमेन कंट्रोलर्समधील प्रतिकृतीवर थेट परिणाम करते. याव्यतिरिक्त, साइट टोपोलॉजीवर आधारित, एक्सचेंज सर्व्हर 2007/2010 मेल रूटिंग करते. तुम्हाला जागतिक कॅटलॉग सर्व्हरची संख्या आणि प्लेसमेंटची योग्यरित्या गणना करणे देखील आवश्यक आहे जे सार्वत्रिक गटांच्या सूची आणि जंगलातील सर्व डोमेनवर इतर सामान्यपणे वापरल्या जाणार्‍या विविध गुणधर्मांची सूची संग्रहित करतात. म्हणूनच कंपन्या सिस्टम इंटिग्रेटर्सकडे सक्रिय निर्देशिका निर्देशिका सेवेची अंमलबजावणी, पुनर्रचना किंवा स्थलांतर करण्याचे कार्य सोडतात. तथापि, सिस्टम इंटिग्रेटर निवडताना आपण चूक करू नये, आपण हे सुनिश्चित केले पाहिजे की तो या प्रकारचे कार्य करण्यासाठी प्रमाणित आहे आणि त्याच्याकडे योग्य क्षमता आहे.

LanKey एक प्रमाणित सिस्टम इंटिग्रेटर आहे आणि मायक्रोसॉफ्ट गोल्ड प्रमाणित भागीदार आहे. LanKey कडे डेटासेंटर प्लॅटफॉर्म (अ‍ॅडव्हान्स्ड इन्फ्रास्ट्रक्चर सोल्युशन्स) क्षमता आहे, जी ऍक्टिव्ह डिरेक्ट्रीच्या तैनाती आणि Microsoft कडून सर्व्हर सोल्यूशन्सच्या अंमलबजावणीशी संबंधित प्रकरणांमध्ये आमच्या अनुभवाची आणि पात्रतेची पुष्टी करते.

सर्व प्रकल्प कार्य Microsoft-प्रमाणित MCSE, MCITP अभियंते द्वारे केले जातात, ज्यांना IT पायाभूत सुविधा तयार करण्यासाठी आणि सक्रिय निर्देशिका डोमेनची अंमलबजावणी करण्यासाठी मोठ्या आणि जटिल प्रकल्पांमध्ये भाग घेण्याचा समृद्ध अनुभव आहे.

LanKey एक IT इन्फ्रास्ट्रक्चर विकसित करेल, सक्रिय निर्देशिका निर्देशिका सेवा उपयोजित करेल आणि सर्व उपलब्ध एंटरप्राइझ संसाधनांचे एकाच माहितीच्या जागेत एकत्रीकरण सुनिश्चित करेल. अॅक्टिव्ह डिरेक्ट्रीच्या अंमलबजावणीमुळे माहिती प्रणालीच्या मालकीची एकूण किंमत कमी होण्यास मदत होईल, तसेच सामान्य संसाधने सामायिक करण्याची कार्यक्षमता वाढेल. LanKey डोमेन स्थलांतर, एकत्रीकरण आणि IT इन्फ्रास्ट्रक्चर्सचे विलीनीकरण आणि अधिग्रहण, देखभाल आणि माहिती प्रणालीचे समर्थन दरम्यान विभक्त करण्यासाठी सेवा देखील प्रदान करते.

LanKey द्वारे लागू केलेल्या काही सक्रिय निर्देशिका अंमलबजावणी प्रकल्पांची उदाहरणे:

ग्राहक	उपाय वर्णन
	डिसेंबर 2011 मध्ये सायबेरियन बिझनेस युनियन होल्डिंग कंपनीच्या OAO SIBUR-Minudobreniya (नंतर नाव बदलले OAO SDS-Azot) मधील 100% स्टेक खरेदीच्या व्यवहारासंदर्भात, OAO SDS-Azot च्या IT पायाभूत सुविधांना वेगळे करणे आवश्यक झाले. "SIBUR होल्डिंगच्या नेटवर्कवरून. LanKey ने SIBUR मिनोडोब्रेनिया विभागाची सक्रिय निर्देशिका निर्देशिका सेवा SIBUR होल्डिंग नेटवर्कमधून नवीन पायाभूत सुविधांमध्ये स्थलांतरित केली आहे. वापरकर्ता खाती, संगणक आणि अनुप्रयोग देखील स्थलांतरित केले गेले आहेत. प्रकल्पाच्या परिणामी, ग्राहकांकडून धन्यवाद पत्र प्राप्त झाले.
	व्यवसायाच्या पुनर्रचनेच्या संबंधात, मध्यवर्ती कार्यालय आणि 50 मॉस्को आणि प्रादेशिक स्टोअरसाठी सक्रिय निर्देशिका निर्देशिका सेवा तैनात करण्यात आली होती. निर्देशिका सेवेने सर्व एंटरप्राइझ संसाधनांचे केंद्रीकृत व्यवस्थापन तसेच सर्व वापरकर्त्यांचे प्रमाणीकरण आणि अधिकृतता प्रदान केली आहे.
	एंटरप्राइझ IT इन्फ्रास्ट्रक्चर तयार करण्याच्या सर्वसमावेशक प्रकल्पाचा भाग म्हणून, LanKey ने यासाठी सक्रिय निर्देशिका डोमेन तैनात केले. व्यवस्थापन कंपनीआणि 3 प्रादेशिक विभाग. प्रत्येक शाखेसाठी स्वतंत्र साइट तयार केली गेली आणि प्रत्येक साइटवर 2 डोमेन नियंत्रक तैनात केले गेले. प्रमाणपत्र सेवा देखील तैनात करण्यात आल्या आहेत. मायक्रोसॉफ्ट हायपर-व्ही चालवणाऱ्या व्हर्च्युअल मशीनवर सर्व सेवा तैनात केल्या गेल्या. LanKey च्या कामाची गुणवत्ता पुनरावलोकनाद्वारे लक्षात घेण्यात आली.
	कॉर्पोरेट तयार करण्यासाठी सर्वसमावेशक प्रकल्पाचा भाग म्हणून माहिती प्रणाली, Windows Server 2008 R2 वर आधारित सक्रिय निर्देशिका निर्देशिका सेवेची तैनाती करण्यात आली. मायक्रोसॉफ्ट हायपर-व्ही चालवणाऱ्या सर्व्हर व्हर्च्युअलायझेशन तंत्रज्ञानाचा वापर करून सिस्टम तैनात करण्यात आली होती. निर्देशिका सेवेने सर्व रुग्णालयातील कर्मचार्‍यांसाठी एकच प्रमाणीकरण आणि अधिकृतता प्रदान केली आणि एक्सचेंज, टीएमजी, एसक्यूएल इ. सारख्या अनुप्रयोगांचे कार्य सुनिश्चित केले.
	Windows Server 2008 R2 वर आधारित सक्रिय निर्देशिका निर्देशिका सेवेची तैनाती. खर्च कमी करण्यासाठी, मायक्रोसॉफ्ट हायपर-व्ही वर आधारित सर्व्हर वर्च्युअलायझेशन सिस्टममध्ये स्थापना केली गेली.
	एंटरप्राइझ IT इन्फ्रास्ट्रक्चर तयार करण्याच्या सर्वसमावेशक प्रकल्पाचा भाग म्हणून, Windows Server 2008 R2 वर आधारित निर्देशिका सेवा तैनात करण्यात आली. मायक्रोसॉफ्ट हायपर-व्ही सर्व्हर वर्च्युअलायझेशन सिस्टम वापरून सर्व डोमेन नियंत्रक तैनात केले गेले. ग्राहकांकडून मिळालेल्या अभिप्रायाद्वारे कामाच्या गुणवत्तेची पुष्टी केली जाते.
	कमीत कमी वेळेत, एक गंभीर व्यवसाय परिस्थितीत सक्रिय निर्देशिका निर्देशिका सेवेची कार्यक्षमता पुनर्संचयित केली गेली. LanKey तज्ञांनी अक्षरशः काही तासांत रूट डोमेन पुनर्संचयित केले आणि 80 शाखा कार्यालयांची प्रतिकृती पुनर्संचयित करण्यासाठी सूचना लिहिल्या. कामाची कार्यक्षमता आणि गुणवत्तेसाठी ग्राहकांकडून अभिप्राय प्राप्त झाला.
	IT इन्फ्रास्ट्रक्चर तयार करण्याच्या सर्वसमावेशक प्रकल्पाचा भाग म्हणून, Windows Server 2008 R2 वर आधारित सक्रिय निर्देशिका डोमेन तैनात केले गेले. व्हर्च्युअल मशीन्सच्या क्लस्टरवर तैनात केलेल्या 5 डोमेन नियंत्रकांचा वापर करून निर्देशिका सेवा कार्यप्रदर्शन सुनिश्चित केले गेले. मायक्रोसॉफ्ट डेटा प्रोटेक्शन मॅनेजर 2010 वापरून निर्देशिका सेवा बॅकअप लागू करण्यात आला होता. अभिप्रायाद्वारे कामाच्या गुणवत्तेची पुष्टी केली गेली.
	कॉर्पोरेट माहिती प्रणाली तयार करण्याच्या सर्वसमावेशक प्रकल्पाचा एक भाग म्हणून, विंडोज सर्व्हर 2008 वर आधारित युनिफाइड निर्देशिका सेवा सक्रिय निर्देशिका तैनात करण्यात आली होती. आयटी पायाभूत सुविधा हायपर-व्ही व्हर्च्युअलायझेशन वापरून तयार करण्यात आली होती. प्रकल्प पूर्ण झाल्यानंतर माहिती प्रणालीच्या पुढील देखभालीसाठी करार करण्यात आला. अभिप्रायाद्वारे कामाची गुणवत्ता पुष्टी केली जाते.
तेल आणि वायू तंत्रज्ञान	IT इन्फ्रास्ट्रक्चर तयार करण्याच्या सर्वसमावेशक प्रकल्पाचा एक भाग म्हणून, Windows Server 2008 R2 वर आधारित एक एकीकृत सक्रिय निर्देशिका तैनात करण्यात आली. हा प्रकल्प 1 महिन्यात पूर्ण झाला. प्रकल्प पूर्ण झाल्यानंतर यंत्रणेच्या पुढील देखभालीसाठी करार करण्यात आला. कामाची गुणवत्ता पुनरावलोकनाद्वारे पुष्टी केली जाते.
	एक्सचेंज सर्व्हर 2007 अंमलबजावणी प्रकल्पाचा भाग म्हणून विंडोज सर्व्हर 2008 वर आधारित सक्रिय डिरेक्ट्रीची तैनाती.
	एक्सचेंज सर्व्हर 2007 लागू करण्यापूर्वी विंडोज सर्व्हर 2003-आधारित सक्रिय निर्देशिका निर्देशिका सेवेची पुनर्रचना केली. कामाची गुणवत्ता अभिप्रायाद्वारे पुष्टी केली जाते.
	Windows Server 2003 R2 वर आधारित सक्रिय निर्देशिका निर्देशिका सेवेची तैनाती. प्रकल्प पूर्ण झाल्यानंतर यंत्रणेच्या पुढील देखभालीसाठी करार करण्यात आला. कामाची गुणवत्ता पुनरावलोकनाद्वारे पुष्टी केली जाते.
	विंडोज सर्व्हर 2003 वर आधारित सक्रिय निर्देशिका तैनात करण्यात आली होती. प्रकल्प पूर्ण झाल्यानंतर, पुढील सिस्टम देखरेखीसाठी करारावर स्वाक्षरी करण्यात आली.

आमच्या मागील लेखांमध्ये, आम्ही निर्देशिका सेवा आणि सक्रिय निर्देशिका संबंधित सामान्य समस्यांवर चर्चा केली आहे. आता सरावासाठी पुढे जाण्याची वेळ आली आहे. परंतु सर्व्हरकडे धावण्याची घाई करू नका, तुमच्या नेटवर्कमध्ये डोमेन रचना तैनात करण्यापूर्वी, तुम्हाला त्याची योजना आखणे आवश्यक आहे आणि वैयक्तिक सर्व्हरचा उद्देश आणि त्यांच्यामधील परस्परसंवादाच्या प्रक्रियेची स्पष्ट कल्पना असणे आवश्यक आहे.

तुम्ही तुमचा पहिला डोमेन कंट्रोलर तयार करण्यापूर्वी, तुम्हाला त्याच्या ऑपरेशनच्या मोडवर निर्णय घेण्याची आवश्यकता आहे. ऑपरेशनचा मोड उपलब्ध पर्याय निर्धारित करतो आणि वापरल्या जाणार्‍या ऑपरेटिंग सिस्टमच्या आवृत्तीवर अवलंबून असतो. आम्ही सर्व संभाव्य मोड्सचा विचार करणार नाही, या क्षणी संबंधित असलेल्या वगळता. असे तीन मोड आहेत: विंडोज सर्व्हर 2003, 2008 आणि 2008 R2.

Windows Server 2003 मोड फक्त तेव्हाच निवडला जावा जेव्हा या OS वरील सर्व्हर तुमच्या इन्फ्रास्ट्रक्चरमध्ये आधीच तैनात केलेले असतील आणि तुम्ही यापैकी एक किंवा अधिक सर्व्हर डोमेन कंट्रोलर म्हणून वापरण्याची योजना करत असाल. इतर प्रकरणांमध्ये, खरेदी केलेल्या परवान्यांवर अवलंबून, तुम्हाला Windows Server 2008 किंवा 2008 R2 मोड निवडण्याची आवश्यकता आहे. हे लक्षात ठेवले पाहिजे की डोमेन ऑपरेशन मोड नेहमी वाढविला जाऊ शकतो, परंतु तो कमी करणे शक्य होणार नाही (बॅकअप कॉपीमधून पुनर्संचयित करणे वगळता), त्यामुळे संभाव्य विस्तार, शाखांमधील परवाने इत्यादी विचारात घेऊन या समस्येकडे काळजीपूर्वक संपर्क साधा. . इ.

आम्ही आता डोमेन कंट्रोलर तयार करण्याच्या प्रक्रियेचा तपशीलवार विचार करणार नाही, आम्ही नंतर या समस्येकडे परत येऊ, परंतु आता आम्ही तुमचे लक्ष या वस्तुस्थितीकडे आकर्षित करू इच्छितो की डोमेन कंट्रोलरच्या संपूर्ण सक्रिय निर्देशिका संरचनेत असावे. किमान दोन. अन्यथा, तुम्ही स्वतःला अनावश्यक जोखमीला सामोरे जात आहात, कारण एकल डोमेन कंट्रोलर अयशस्वी झाल्यास, तुमची AD संरचना पूर्णपणे नष्ट. अद्ययावत बॅकअप असल्यास हे चांगले आहे आणि आपण त्यामधून पुनर्प्राप्त करू शकता, कोणत्याही परिस्थितीत, या सर्व वेळेस आपले नेटवर्क पूर्णपणे अर्धांगवायू होईल.

म्हणून, प्रथम डोमेन नियंत्रक तयार केल्यानंतर लगेच, नेटवर्क आकार आणि बजेट विचारात न घेता, आपल्याला दुसरा तैनात करणे आवश्यक आहे. दुसरा नियंत्रक नियोजनाच्या टप्प्यावर प्रदान केला पाहिजे आणि त्याशिवाय, एडी तैनात करणे देखील हाती घेण्यासारखे नाही. तसेच, डोमेन कंट्रोलरची भूमिका इतर कोणत्याही सर्व्हर भूमिकांसह एकत्र करू नका, एडी डेटाबेससह ऑपरेशन्सची विश्वासार्हता सुनिश्चित करण्यासाठी, डिस्कवर लेखन कॅशिंग अक्षम केले आहे, ज्यामुळे डिस्क सबसिस्टम कार्यप्रदर्शनात तीव्र घट होते (हे डोमेन कंट्रोलर्सचे दीर्घ लोडिंग देखील स्पष्ट करते).

परिणामी, आमच्या नेटवर्कने खालील फॉर्म घेतले पाहिजे:

लोकप्रिय मान्यतेच्या विरुद्ध, डोमेनमधील सर्व नियंत्रक समान आहेत; प्रत्येक कंट्रोलरमध्ये आहे संपूर्ण माहितीसर्व डोमेन ऑब्जेक्ट्सबद्दल आणि क्लायंटची विनंती देऊ शकते. परंतु याचा अर्थ असा नाही की नियंत्रक अदलाबदल करण्यायोग्य आहेत, या बिंदूचा गैरसमज अनेकदा एडी अपयशी ठरतो आणि एंटरप्राइझ नेटवर्कचा डाउनटाइम होतो. असे का होत आहे? FSMO च्या भूमिकेबद्दल लक्षात ठेवण्याची वेळ आली आहे.

जेव्हा आपण पहिला कंट्रोलर तयार करतो, तेव्हा त्यात सर्व उपलब्ध भूमिका असतात, आणि तो जागतिक कॅटलॉग देखील असतो, दुसऱ्या कंट्रोलरच्या आगमनाने, पायाभूत सुविधा मास्टर, RID मास्टर आणि PDC एमुलेटरच्या भूमिका त्यामध्ये हस्तांतरित केल्या जातात. प्रशासकाने DC1 सर्व्हर तात्पुरते अक्षम करण्याचा निर्णय घेतल्यास, उदाहरणार्थ, धुळीपासून स्वच्छ करण्यासाठी काय होईल? पहिल्या दृष्टीक्षेपात, हे ठीक आहे, ठीक आहे, डोमेन "केवळ-वाचनीय" मोडवर स्विच करेल, परंतु ते कार्य करेल. परंतु आम्ही जागतिक कॅटलॉगबद्दल विसरलो, आणि ज्या अनुप्रयोगांची आवश्यकता असेल, जसे की एक्सचेंज, तुमच्या नेटवर्कवर तैनात केले असेल, तर तुम्ही सर्व्हरवरून कव्हर काढण्यापूर्वी तुम्हाला त्याबद्दल माहिती मिळेल. तुम्ही असमाधानी वापरकर्त्यांकडून शिकता आणि व्यवस्थापनाला आनंद होण्याची शक्यता नाही.

ज्यावरून निष्कर्ष निघतो: जंगलात किमान दोन जागतिक कॅटलॉग असावेत आणि सर्वात चांगले म्हणजे प्रत्येक डोमेनमध्ये एक. आमच्याकडे जंगलात एक डोमेन असल्याने, दोन्ही सर्व्हर जागतिक निर्देशिका असणे आवश्यक आहे, हे तुम्हाला कोणत्याही समस्यांशिवाय कोणत्याही सर्व्हरला देखभालीसाठी घेण्यास अनुमती देईल, कोणत्याही FSMO भूमिकांच्या तात्पुरत्या अनुपस्थितीमुळे AD अयशस्वी होत नाही, परंतु केवळ ते बनते. नवीन वस्तू तयार करणे अशक्य.

डोमेन प्रशासक म्हणून, तुम्हाला FSMO भूमिका तुमच्या सर्व्हरमध्ये कशी वितरित केली जातात आणि सर्व्हर डिकमिशन करताना स्पष्टपणे समजून घेणे आवश्यक आहे दीर्घकालीनया भूमिका इतर सर्व्हरवर हस्तांतरित करा. आणि FSMO भूमिका असलेला सर्व्हर अपरिवर्तनीयपणे अयशस्वी झाल्यास काय होईल? हे ठीक आहे, जसे आम्ही आधीच लिहिले आहे, कोणत्याही डोमेन कंट्रोलरमध्ये सर्व आवश्यक माहिती असते आणि जर असा उपद्रव झाला तर, तुम्हाला नियंत्रकांपैकी एकाद्वारे आवश्यक भूमिका कॅप्चर करणे आवश्यक आहे, यामुळे निर्देशिका सेवेचे संपूर्ण ऑपरेशन पुनर्संचयित होईल. .

वेळ निघून जातो, तुमची संस्था वाढते आणि शहराच्या दुसऱ्या बाजूला तिची शाखा आहे आणि एंटरप्राइझच्या एकूण पायाभूत सुविधांमध्ये त्यांचे नेटवर्क समाविष्ट करणे आवश्यक होते. पहिल्या दृष्टीक्षेपात, काहीही क्लिष्ट नाही, आपण कार्यालयांमध्ये एक संप्रेषण चॅनेल सेट करा आणि त्यात एक अतिरिक्त नियंत्रक ठेवा. सर्व काही ठीक होईल, परंतु एक गोष्ट आहे. तुम्ही या सर्व्हरवर नियंत्रण ठेवू शकत नाही, आणि म्हणून त्यात अनधिकृत प्रवेश शक्य आहे आणि स्थानिक प्रशासक तुम्हाला त्याच्या पात्रतेबद्दल शंका घेण्यास प्रवृत्त करतो. अशा परिस्थितीत कसे राहायचे? या हेतूंसाठी, विशेषत: एक विशेष प्रकारचा नियंत्रक आहे: केवळ-वाचनीय डोमेन नियंत्रक (RODC), हे वैशिष्ट्य Windows Server 2008 आणि नंतरच्या डोमेन फंक्शनल मोडमध्ये उपलब्ध आहे.

केवळ-वाचनीय डोमेन कंट्रोलरमध्ये सर्व डोमेन ऑब्जेक्ट्सची संपूर्ण प्रत असते आणि ती जागतिक कॅटलॉग असू शकते, परंतु तुम्हाला AD संरचनेत कोणतेही बदल करण्याची परवानगी देत ​​​​नाही, ते तुम्हाला कोणत्याही वापरकर्त्याला स्थानिक प्रशासक म्हणून नियुक्त करण्याची परवानगी देखील देते, जे त्याला या सर्व्हरची पूर्णपणे सेवा करण्याची परवानगी द्या, परंतु पुन्हा AD सेवांमध्ये प्रवेश न करता. आमच्या बाबतीत, डॉक्टरांनी हेच आदेश दिले.

आम्ही RODC शाखेत सेट केले, सर्वकाही कार्य करते, तुम्ही शांत आहात, परंतु वापरकर्ते लांब लॉगिनबद्दल तक्रार करण्यास सुरवात करतात आणि महिन्याच्या शेवटी रहदारी बिले जास्त दर्शवतात. काय चालु आहे? डोमेन कंट्रोलरच्या समतुल्यतेबद्दल पुन्हा एकदा लक्षात ठेवण्याची वेळ आली आहे, क्लायंट आपली विनंती कोणत्याही डोमेन कंट्रोलरला पाठवू शकतो, अगदी दुसर्या शाखेत देखील. धीमे आणि बहुधा व्यस्त संप्रेषण चॅनेल लक्षात घ्या - हे लॉगिन विलंबाचे कारण आहे.

या परिस्थितीत आपले जीवन विषारी करणारे पुढील घटक म्हणजे प्रतिकृती. तुम्हाला माहिती आहे की, डोमेन कंट्रोलरपैकी एकावर केलेले सर्व बदल आपोआप इतरांना प्रसारित केले जातात आणि या प्रक्रियेला प्रतिकृती म्हणतात, ते तुम्हाला प्रत्येक कंट्रोलरवरील डेटाची अद्ययावत आणि सातत्यपूर्ण प्रत ठेवण्याची परवानगी देते. प्रतिकृती सेवेला आमच्या शाखेबद्दल आणि संथ संप्रेषण वाहिनीबद्दल माहिती नाही, आणि म्हणून कार्यालयातील सर्व बदल ताबडतोब शाखेत प्रतिरूपित केले जातील, चॅनेल लोड करणे आणि रहदारीचा वापर वाढवणे.

येथे आम्ही AD साइट्सच्या संकल्पनेच्या जवळ आलो आहोत, ज्याचा इंटरनेट साइट्ससह गोंधळ होऊ नये. सक्रिय निर्देशिका साइट्ससंथ आणि/किंवा अस्थिर दुव्यांद्वारे इतर क्षेत्रांपासून विभक्त केलेल्या क्षेत्रांमध्ये निर्देशिका सेवेची रचना भौतिकरित्या विभाजित करण्याचा एक मार्ग दर्शवा. साइट्स सबनेटच्या आधारावर तयार केल्या जातात आणि सर्व क्लायंट विनंत्या त्यांच्या साइटच्या नियंत्रकांना प्रथम पाठवल्या जातात, प्रत्येक साइटमध्ये जागतिक कॅटलॉग असणे देखील अत्यंत इष्ट आहे. आमच्या बाबतीत, आम्हाला दोन साइट तयार करण्याची आवश्यकता आहे: AD साइट 1केंद्रीय कार्यालयासाठी आणि AD साइट 2एखाद्या शाखेसाठी, अधिक तंतोतंत, कारण डीफॉल्टनुसार AD संरचनेत आधीपासून एक साइट असते, ज्यामध्ये पूर्वी तयार केलेल्या सर्व वस्तूंचा समावेश असतो. आता अनेक साइट्स असलेल्या नेटवर्कमध्ये प्रतिकृती कशी होते ते पाहू.

आम्ही असे गृहीत धरू की आमची संस्था थोडी वाढली आहे आणि मुख्य कार्यालयात चार डोमेन नियंत्रक आहेत, एका साइटच्या नियंत्रकांमधील प्रतिकृती म्हणतात. अंतर्जातआणि त्वरित घडते. प्रतिकृती टोपोलॉजी कोणत्याही डोमेन नियंत्रकांमध्ये तीनपेक्षा जास्त प्रतिकृती चरण नसतील या अटीसह रिंग योजनेनुसार तयार केले आहे. रिंग योजना 7 नियंत्रकांसह जतन केली जाते, प्रत्येक नियंत्रक दोन जवळच्या शेजाऱ्यांसह कनेक्शन स्थापित करतो, मोठ्या संख्येने नियंत्रकांसह अतिरिक्त कनेक्शन दिसतात आणि सामान्य रिंग, जसे की होती, एकमेकांवर लावलेल्या रिंगच्या गटात बदलते.

इंटरसाइटप्रतिकृती वेगळ्या प्रकारे होते, प्रत्येक डोमेनमध्ये एक सर्व्हर (ब्रिजहेड सर्व्हर) स्वयंचलितपणे निवडला जातो, जो दुसर्या साइटच्या समान सर्व्हरशी कनेक्शन स्थापित करतो. डीफॉल्टनुसार, प्रतिकृती प्रत्येक 3 तासांनी (180 मिनिटे) एकदा येते, तथापि, आम्ही आमचे स्वतःचे प्रतिकृती शेड्यूल सेट करू शकतो आणि रहदारी वाचवण्यासाठी, सर्व डेटा संकुचित स्वरूपात हस्तांतरित केला जातो. साइटवर फक्त RODC असल्यास, प्रतिकृती दिशाहीनपणे होते.

अर्थात, आम्ही ज्या विषयांना स्पर्श केला ते खूप खोल आहेत आणि या सामग्रीमध्ये आम्ही त्यांना थोडेसे स्पर्श केले आहे, परंतु हे आवश्यक किमान ज्ञान आहे जे तुम्हाला एंटरप्राइझ इन्फ्रास्ट्रक्चरमध्ये सक्रिय निर्देशिकाच्या व्यावहारिक अंमलबजावणीपूर्वी असणे आवश्यक आहे. हे संरचनेच्या देखभाल आणि विस्तारादरम्यान तैनाती आणि आणीबाणीच्या परिस्थितीत मूर्ख चुका टाळेल आणि उपस्थित केलेल्या प्रत्येक विषयावर अधिक तपशीलवार चर्चा केली जाईल.