Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Для чего нужен контроллер домена

Зачем организации нужна Active Directory?

Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?

Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.

В первой статье и пойдет речь о таком фундаменте – службах Active Directory. Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…

А разговор начнем с простых понятий – домена и служб Active Directory.

Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.

Службы Active Directory (службы активного каталога) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.

База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.

Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.

Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.

Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.

1. Единая точка аутентификации

В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).

2. Единая точка управления политиками

В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.

3. Повышенный уровень информационной безопасности

Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.

4. Интеграция с корпоративными приложениями и оборудованием

Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.

Читать еще:  Webgl как включить в yandex браузере

5. Единое хранилище конфигурации приложений

Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.

Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).

Что такое контроллер домена

Администратор 26 Сентябрь 2014 Просмотров: 13874

Что такое контроллер домена

Контроллер домена обеспечивает централизованное управление сетевыми устройствами, то есть доменами. В контроллере хранится вся информация с учетных записей и параметров пользователей сети. Это параметры безопасности, локальной политики и многие другие. Это, своего рода, сервер, который полностью контролирует определенную сеть или сетевую группу. Контроллер домена — это, своего рода, набор специального программного обеспечения, которое осуществляет запуск различных служб Active Directory. Контроллеры работают под управлением определенных операционных систем, таких как Windows server 2003. Мастер установки Active Drive позволяет создавать контроллеры доменов.

В операционной системе Windows NT, как основной сервер, используется основной контроллер домена. Другие используемые серверы используются как резервные контроллеры. Основные контроллеры PDС могут решать различные задачи, связанные с членством пользователей в группах, создание и изменение паролей, добавление пользователей и многие другие. После чего данные передаются на дополнительные контроллеры BDC.

В качестве контроллера домена может использоваться программное обеспечение Samba 4, если установлена операционная система Unix. Это ПО также поддерживает и другие операционные системы, такие как windows 2003, 2008, 2003 R2 и 2008 R2. Каждая из операционных систем при необходимости может расширяться в зависимости от конкретных требований и параметров.

Применение контроллеров домена

Используются контроллеры доменов многими организациями, в которых расположены компьютеры, подключенные между собой и в сеть. В контроллерах хранятся данные каталогов и осуществляется контроль входа и выхода пользователей в систему, а также управление взаимодействием между ними.

Организациям, использующим контроллер домена, необходимо решить то, какое количество их будет использоваться, распланировать архивирование данных, физическую безопасность, обновление сервера и другие необходимые задачи.

Если компания или организация небольшая и в ней используется всего одна доменная сеть, то достаточно использовать два контролера, которые способны обеспечить высокую стабильность, отказоустойчивость и высокий уровень доступности сети. В сетях, которые делятся на определенное количество сайтов, на каждом из них устанавливается по одному контроллеру, что позволяет добиться необходимой работоспособности и надежности. Благодаря использованию контроллеров на каждом сайте, можно значительно упростить вход пользователей в систему и сделать его более быстрым.

Сетевой трафик можно оптимизировать, чтобы это сделать, необходимо установить время обновлений репликации тогда, когда нагрузка на сеть будет минимальной. Настройка репликации позволит значительно упростить работу и сделать ее более производительной.

Добиться максимальной производительности в работе контроллера можно в том случае, если домен будет являться глобальным каталогом, что позволит запрашивать любые объекты по конкретному весу. При этом важно помнить, что включение глобального каталога влечет за собой значительное увеличение трафика репликации.

Контроллер домена хозяина лучше не включать, если используется больше одного контроллера домена. При использовании контроллера домена очень важно заботиться о безопасности, потому как он становится достаточно доступным для злоумышленников, желающих завладеть необходимыми для обмана данными.

Особенности установки дополнительных контроллеров домена

Для того чтобы добиться более высокой надежности в работе необходимых сетевых служб, необходима установка дополнительных контроллеров домена. В результате, можно добиться значительно более высокой стабильности, надежности и безопасности в работе. Быстродействие сети в таком случае станет значительно выше, что является очень важным параметром для организаций, которые используют контроллер домена.

Для того чтобы контроллер домена работал правильно, необходимо произвести некоторые подготовительные работы. Первое, что нужно сделать, это проверить параметры TCP/IP, они должны быть правильно установлены для сервера. Важнее всего проверить DNS имена на сопоставления.

Для безопасной работы контроллера домена необходимо использовать файловую систему NTFS, обеспечивающую более высокую безопасность в сравнении с файловыми системами FAT 32. Для установки на сервере нужно создать один раздел в файловой системе NTFS, на котором будет находиться системный том. Также обязательно необходим доступ к DNS серверу с сервера. Служба DNS устанавливается на этом или дополнительном сервере, который должен поддерживать ресурсные записи.

Для того чтобы правильно настроить контроллер домена, можно использовать Мастер настройки, с помощью которого можно добавлять выполнение определенных ролей. Для этого нужно будет зайти в раздел администрирование через панель управления. В качестве роли сервера необходимо указать контроллер домена.

Контроллер доменов на сегодняшний день является незаменимым для сетей и сайтов, которыми пользуются различные организации, учреждения и компании во всех сферах деятельности человека. Благодаря ему, обеспечивается высокая производительность в работе и безопасность, которая в компьютерных сетях имеет особое значение. Роль контроллера домена очень важна, потому как он позволяет осуществлять управление областями домена, построенными на компьютерных сетях. В каждой операционной системе есть определенные нюансы, связанные с работой контроллеров домена, но принцип и его назначение везде одинаковое, поэтому разобраться с настройками не так сложно, как может показаться в самом начале. Тем не менее, очень важно, чтобы настройкой контроллеров домена занимались специалисты, чтобы в конечном итоге получить высокую производительность и безопасность во время работы.

Для чего нужен контроллер домена

Содержание статьи:

Процессы, действующие внутри ИТ-инфраструктуры тесно взаимосвязаны с работой доменов и элементами, дающими возможность контролировать их работу. Сам домен, как отдельный элемент в сетях, работа которых построена на базе различных операционных систем (чаще Windows, но решения существуют и для Unix и их аналогов) представляет собой объединенный комплекс учетных записей (отдельных ПК или пользователей) с централизованным управлением. А направлять его работу в нужное русло помогает контроллер домена.

Локальные и глобальные сети: вопросы безопасности

Зачем домену необходим отдельный элемент управления? И какую роль выполняет в его работе контроллер? Рассмотрим инфраструктурные процессы более подробно.

Управляемые операционными системами рабочие станции содержат множество компонентов — тех самых учётных записей, которые позволяют пользователям производить подключение и вести работу в рамках локальных сетей. При этом сама по себе учётная запись в этом случае не может выступать в роли элемента контроля доступа к ресурсам сети. То есть в рамках взаимодействия рабочая станция/локальный ПК, пользователь не имеющий прав административного доступа не может производить вмешательство в работу станции. А имеет только доступ к управлению локальными ресурсами своего компьютера.

Читать еще:  Webgl яндекс браузер

Почему же нельзя обеспечить равные права доступа для всех пользователей/машин/учетных записей? Теоретически это возможно. Правда, для предоставления расширенных прав доступа администратору придётся каждый раз вручную вносить изменения в настройки каждого локального компьютера, использующегося в качестве элемента контроля. Проще говоря, каждый элемент в сети теоретически может обладать расширенными правами доступа к ресурсам. Но для практической реализации такой схемы необходимо либо ограничение объёмов самой сети (например, в рамках одного небольшого офиса), либо внедрение принципиально иных механизмов контроля доступа.

Удаленное обслуживание компьютеров

Удаленное обслуживание компьютеров грамотное решение для вашего бизнеса.
Узнать больше>>>

Ещё один немаловажный момент касается непосредственно самих учётных записей, локализующихся на конкретном домене в рамках системы под управлением Windows или другой ОС. Фактически, «привязка» учётной записи с расширенными правами доступа к конкретному ПК означает, что в случае его выхода из строя, доступ к этой записи будет утрачен временно или на постоянной основе. А это — лазейка в обеспечении инфраструктурной безопасности, которая может стать причиной гораздо более серьёзных проблем в будущем. Впрочем, всё это теория, поскольку сами по себе Windows-системы ( и не только они) изначально ориентированы на определённый тип взаимодействия, где локальные учётные записи могут применяться только для контроля за безопасностью локальных же сетевых ресурсов.

Контроль за работой домена и управление процессами

Какую же роль во всём этом играет контроллер домена? На самом деле в данном случае он представляет собой разновидность сервера, обладающего возможностями для объединения данных и централизации процессов контроля над ними. Проще говоря, при помощи контроллера домена решаются проблемы доступа к данным сети с любой из имеющихся в его реестрах учетной записи (при отсутствии иных ограничений). То есть домен обеспечивает контроль доступа к данным сети на уровне сервера. А управление самим доменом осуществляется при помощи контроллера, выступающего в роли механизма обеспечения безопасности, осуществляющего аутентификацию пользовательских данных при поступлении запроса.

Контроллер домена и его функции

Если с назначением контроллера домена всё более-менее ясно, с его функциональными особенностями всё не так просто. Ведь таких элементов в системе может быть несколько. И каждый из них, по сути, будет иметь равное значение. И роль контроллера домена в данном случае заключается в хранении базы данных (для Windows-систем она будет именоваться Active Directory), содержащей информацию обо всех объектах домена.

То есть, фактически, аутентификация — проверка пары логин/пароль для каждого пользователя, происходит именно через базу данных. И именно такие элементы, именуемые службами активного каталога, по сути, являются основой, необходимой для закладки ИТ-инфраструктуры на предприятии или в организации. А контроллер домена в этом случае позволяет производить управление всеми элементами каталога независимо от того, насколько разветвленной будет его структура и сколько учётных записей будет храниться в базах данных.

Сам принцип использования доменов в ИТ-инфраструктуре предполагает возможности для разделения полномочий. Так, в рамках общей инфраструктуры можно создать отдельные домены для подразделений и филиалов, с предоставлением прав доступа системного администрирования специалистам, работающим «на местах». При этом контроль за такими субдоменами в любом случае будет оставаться за основной системой управления.

Домены дают возможности и для предоставления «гостевого» доступа — в рамках совместной работы или обмена информацией между организациями.

А для того, чтобы функционирование доменов, работающих на базе Active Directory (или её аналогов), было максимально бесперебойным и надёжно защищенным от любых внешних и внутренних угроз, ИТ-инфраструктура должна предусматривать размещение дублей контроллеров домена для каждого отдельного элемента системы. Проще говоря, в случае выхода из строя одного контроллера с хранящейся на нём базой данных работу должен продолжить его аналог/аналоги, на которые в штатном режиме работы производится репликация всех получаемых и обновляемых данных.

Для повышения уровня надёжности контроллеров домена их так же можно дополнить DNS-серверами.

Контроллеры домена:
бесспорное преимущество для организаций и бизнеса

Что даёт организации выбор централизованной системы управления на базе контроллеров домена?

Первое и основное преимущество — объединённая база данных, через которую производится аутентификация пользователей. Настраивать права доступа и устанавливать ограничения для конкретных групп пользователей с использованием контроллера домена будет куда проще. А главное — процессы управления этими данными будут максимально простыми и понятными, а добавить новую учётную запись или удалить одну из них можно будет буквально в считанные секунды.

Иерархия в Active Directory выстроена по групповому принципу. Соответственно, процессы управления, обеспечивающие контроль за применением устанавливаемых политик, правил, норм безопасности в данном случае можно будет осуществлять централизованно, просто устанавливая для каждой группы пользователей единые параметры настройки. А при добавлении в базу данных новой учётной записи она сразу получает все необходимые настройки и параметры безопасности по умолчанию. Эта практика применима не только в отношении конкретного ПО (браузеров и пр.). С помощью введения единого стандарта безопасности можно назначать доступные для подключения устройства (например, принтеры или другую офисную технику).

Ещё одно весомое достоинство использования контроллеров домена в качестве серверов для хранения баз данных — повышение сетевой безопасности. Достигается оно и за счёт собственной защиты централизованного хранилища пользовательской информации, и за счет применения более совершенных аутентификационных протоколов.

Использование контроллера домена для хранения информации и управления данными позволяет облегчить интеграцию этого элемента с другими компонентами системы — прокси-серверами, почтовыми службами. Фактически, централизация приводит к тому, что имея одну и ту же учётную запись для аутентификации, пользователь имеет возможность использовать дополнительные инструменты для работы в сети.

Контроллеры доменов — важный элемент безопасности, позволяющий обеспечивать надёжную защиту данных в рамках ИТ-инфраструктуры и дающий возможность для упрощения процессов управления доступа. Планируете оптимизировать процессы сетевого доступа на предприятии? Или хотите нарастить уровень системной безопасности до современных стандартов? Специалисты компании «БитПрофи» помогут вам решить любые проблемы, связанные с развертыванием сетевой инфраструктуры различной степени сложности. И дадут все необходимые рекомендации по переходу на систему хранения данных с использованием контроллеров домена.

Обслуживание компьютеров: калькулятор

А вы знаете сколько стоит обслуживание компьютеров именно вашей организации?
Узнать больше>>>

Контроллер домена

Контроллер домена в компьютерных сетях — сервер, контролирующий область компьютерной сети (домен).

С программной точки зрения, на большинстве Unix-подобных систем в качестве контроллера домена выступает пакет прикладных программ Samba.

Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

В Windows NT для надежности создается в связке с основным контроллером домена, резервный контроллер домена. В Windows 2000 и Windows Server 2003 все равны.

Читать еще:  Не показывает картинки в браузере яндекс

  • Викифицировать статью.
  • Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.
  • Добавить иллюстрации.

Wikimedia Foundation . 2010 .

Смотреть что такое «Контроллер домена» в других словарях:

Контроллер — (англ. controller регулятор, управляющее устройство): В Викисловаре есть статья « … Википедия

Контроллёр — Контроллер (калька с англ. controller регулятор, управляющее устройство) устройство управления в электронике и вычислительной технике: Игровой контроллер Контроллер домена Контроллер прерываний Контроллер электрического двигателя (например у… … Википедия

FSMO — Значимость предмета статьи поставлена под сомнение. Пожалуйста, покажите в статье значимость её предмета, добавив в неё доказательства значимости по частным критериям значимости или, в случае если частные критерии значимости для… … Википедия

Роль (Active Directory) — FSMO (англ. Flexible single master operations, операции с одним исполнителем) типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции. В зависимости от типа… … Википедия

Active Directory — («Активные директории», AD) LDAP совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения… … Википедия

Групповая политика — Эта статья или раздел нуждается в переработке. Статья представляет собой учебник вместо энциклопедической статьи Пожалуйста, улучшите статью в соответствии с правилами написания с … Википедия

Samba — Тип сетевая файловая система Разработчик The Samba Team Написана на … Википедия

Узел (Active Directory) — У этого термина существуют и другие значения, см. Узел (значения). Узел (в рамках терминологии Active Directory), сайт (калька от англ. site) сегмент сети, отделённый от других сегментов дорогими и/или медленными соединениями (обычно… … Википедия

Сайт (Active Directory) — Узел (в рамках терминологии Active Directory), сайт (калька от англ. site) сегмент сети, отделённый от других сегментов дорогими и/или медленными соединениями (обычно через интернет или поставщика телематических услуг). При этом в каждом узле… … Википедия

Иерархия объектов Active Directory — Иерархия объектов Active Directory взаимоотношения и свойства различных объектов Active Directory. Содержание 1 Структурные объекты 2 Административные объекты … Википедия

Обзор возможностей Active Directory: фундамент для инфраструктуры

Службы Active Directory (AD) — решение от компании Microsoft позволяющее объединить различные объекты сети (компьютеры, сервера, принтера, различные сервисы) в единую систему. В данном случае AD выступают в роли каталога (базы данных), в котором хранится информация о пользователях, ПК, серверах, сетевых и периферийных устройствах.

Для реализации данного решения, необходим специальный сервер — контроллер домена. Именно он будет выполнять функции аутентификации пользователей и устройств в сети, а также выступать в качестве хранилища базы данных. При попытке использовать любой из объектов (ПК, сервер, принтер) сети, выполняется обращение к контроллеру домена, который либо разрешает это действие (есть необходимые права), либо блокирует его.

Давайте разберемся в возможностях Active Directory, а также особенностях реализации, необходимых для надежной работы.

Единая точка аутентификации

Поскольку контроллер домена Active Directory хранит всю информацию об инфраструктуре и пользователях, вы легко можете использовать его для входа систему. Так, все данные пользователей (логины и пароли) хранятся в единой базе данных, что существенно упрощает работу с ними. При авторизации все компьютеры обращаются к этой базе данных, благодаря чему вносимые изменения будут применены ко всем компьютерам сети. Также с помощью AD реализуются политики безопасности, благодаря котором можно ограничить (либо разрешить) доступ к определенным серверам.

Удобное управление политиками

С помощью Active Directory можно поделить компьютеры на различные рабочие группы (организационные подразделения). Это существенно упрощает использование инфраструктуры в двух случаях:

  1. Изменение существующих настроек группы. Поскольку настройки хранятся в единой базе данных, при их модификации, они будут применены для всех компьютеров, относящихся к этой группе.
  2. Добавление нового пользователя. Он автоматически получает установленные для его группы настройки, что существенно ускоряет создание новой учетной записи.

В зависимости от пользователя (учетной записи, которая используется) и его группы можно ввести ограничение на использование функционала операционной системы. Например, вы можете ограничить установку приложений всем кроме администраторов.

Безопасность

Службы Active Directory существенно увеличивают защиту корпоративной сети. Так, все данные (учетные записи) хранятся на контроллерах доступа, которые защищены от внешнего доступа. Кроме того, для аутентификации в AD используется протокол Kerberos (протокол для взаимной аутентификации клиента и сервера перед установкой соединения, в нем учтена перехвата и модификации пакетов, что повышает его надежность), который значительно безопаснее аналога в рабочих группах.

Удобный обмен файлами

С помощью AD достаточно легко реализуется технология Distributed File System (DFS), которая используется для управления файлами. Фактически, это распределенная сеть для хранения файлов — физически они располагаются на нескольких серверах, но логически находятся в одном месте.

Это удобная функция, позволяющая масштабировать существующую инфраструктуру, добавляя новые сервера, а не заменяя ими старые.

Интеграция сервисов и оборудования

Службы Active Directory позволяют организовать все оборудование и сервисы в единую систему. Например, присутствует поддержка стандарта LDAP (протокол для доступа к службе каталогов X.500), который позволяет работать с почтовыми и прокси серверами (Exchange Server и ISA Server соответственно). Поддерживаются не только продукты Microsoft, но и сторонние решения:

  • IP-телефония;
  • 1С;
  • шлюз удаленных рабочих столов (Remote Desktop Gateway).

Стоит отметить, возможность интеграции с Windows Server используя протокол RADIUS. Благодаря которому можно использовать VPN подключение для работы вне офиса.

Особенности Active Directory

Active Directory является центральным узлом инфраструктуры предприятия, поэтому в случае его отказа все ПК и сервера будут недоступны. Поэтому можно выделить несколько основных пунктов, позволяющих обеспечить бесперебойное круглосуточное функционирование системы.

Наличие дублирующего контроллера доменов

Вся база данных хранится на контроллере доменов Active Directory, поэтому при его отказе, вся система будет недоступна. Для обеспечения отказоустойчивости следует развернуть 1 или более дублирующих контроллеров доменов и настроить автоматическую репликацию всех изменений. В данном случае, при выходе из строя одного из контроллеров работоспособность сети не нарушается, ведь оставшиеся продолжают работать.

Регулярные бэкапы

Надежная система резервного копирования позволяет быстро восстановить работоспособность сервера. При использовании одного контроллера доменов резервное копирование не позволяет избежать простоя, но значительно снижает временные затраты на восстановление сервера.

Отличным решением будет использование и резервного копирования, и дублирующего контроллера доменов. В It-lite используется оба решения, что позволяет гарантировать высокую надежность системы.

Внедрение Active Directory

Как видим, работоспособность служб AD влияет на возможность использовать всю IT-инфраструктуру компании. Поэтому рациональнее обратиться к квалифицированным специалистам, что позволит достичь максимальной надежности. Наши сотрудники обладают большим опытом работы с Active Directory (службы используются внутри компании) и оказывают услуги по внедрению (разработке с нуля), настройке и поддержке AD. Кроме того, специалисты IT-Lite могут выполнить миграцию со старых версий Active Directory на новые.

Ссылка на основную публикацию
Adblock
detector