Conceptes i administració d'Active Directory

18 de desembre de 2021 1266 Vistes Serveis de domini d'Active Directory

Navega per temes de publicació

Introducció

Active Directory (AD) és un servei de directori de Microsoft que emmagatzema informació sobre objectes en una xarxa. AD també facilita que els usuaris autoritzats accedeixin a les dades emmagatzemades.

Exemples d'objectes d'Active Directory són usuaris, ordinadors, impressores i altres recursos d'una xarxa.

Un usuari s'ha d'autenticar abans que l'usuari pugui iniciar sessió a una xarxa AD. Normalment, l'autenticació s'aconsegueix verificant el nom d'usuari i la contrasenya dels usuaris.

Després que un usuari iniciï sessió a la xarxa, Active Directory emmagatzema informació sobre els permisos dels usuaris (pertinences a grups, etc.) i els drets d'accés. Quan l'usuari sol·licita accés a un recurs, AD concedeix o denega l'accés. El procés de concessió o denegació d'accés s'anomena Autorització.

Aquest tutorial tractarà els conceptes principals d'AD, inclosa la seva estructura física i lògica. També cobrirà els controladors de domini, l'esquema AD, el bosc i el domini. Alguns altres conceptes que aprendràs inclouen la replicació, els rols de controlador de domini (funcions mestres d'operacions), els servidors de catàleg global, la memòria cau de membres de grup universal i els controladors de domini només de lectura.

Quan completeu aquest tutorial, podreu parlar amb confiança sobre com funciona Active Directory i entendre'n els conceptes principals. Finalment, aprendràs algunes tasques que pots realitzar amb usuaris i ordinadors d'Active Directory, llocs i serveis, dominis i confiança i molt més.

Alguns conceptes importants d'Active Directory

Active Directory té alguns conceptes molt importants que cal entendre per implementar-lo i gestionar-lo de manera eficaç. Aquests són alguns dels conceptes essencials:

Controlador de domini AD

Un control de domini AD (AD DC) és un servidor de Windows que executa els serveis de domini AD. Perquè un servidor de Windows executi el servei AD DC, s'ha de promocionar a un controlador de domini mitjançant el Gestor del servidor. Més endavant en aquest tutorial, aprendràs a promocionar un servidor de Windows a un controlador de domini.

Esquema Active Directory

El següent concepte important és AD Schema. L'esquema AD defineix les classes d'objectes i els seus atributs. Un exemple de classe d'objecte AD és un usuari. Un usuari té alguns atributs com el nom de l'usuari, el gestor, etc.

AD emmagatzema classes d'objectes i els seus atributs mitjançant l'esquema AD. L'esquema d'Active Directory té objectes estàndard com usuaris, ordinadors, impressores, etc. Tanmateix, si necessiteu objectes addicionals, podeu ampliar l'esquema. Com a exemple, haureu d'ampliar l'esquema AD abans d'instal·lar Microsoft Exchange o SCCM.

Per veure com podeu ampliar l'esquema AD, vegeu Amplieu l'esquema en el Recursos i referències addicionals al final d'aquest tutorial.

Bosc d'Active Directory

A l'estructura jeràrquica d'AD, el bosc es troba al capdamunt de l'estructura lògica d'AD. El següent nivell de la jerarquia són els dominis, després teniu les unitats organitzatives (OU). Dins de les OU teniu usuaris i ordinadors.

En conseqüència, un bosc AD conté una sèrie de dominis AD interconnectats per una relació de confiança. A continuació es mostra una il·lustració senzilla d'una jerarquia AD Forest. Per obtenir més informació sobre AD Forest, visiteu Què és un bosc d'Active Directory?

Consell professional
Quan creeu confiança entre dos dominis en un bosc, els usuaris d'un domini poden ser autenticats pel domini de confiança. A més, també es pot accedir als recursos entre dominis amb una relació de confiança. Directori actiu (AD)

Tipus de confiança AD

Podeu crear 4 tipus de relacions de confiança en un bosc AD: confiança externa, de bosc, de drecera i de domini. Per obtenir més informació sobre AD Trusts, obriu Infraestructura avançada d'Active Directory per a serveis de Windows Server 2012 R2 .

Domini AD

El domini AD és el següent nivell a la jerarquia dels boscos. Un domini AD conté una col·lecció d'objectes. Per exemple, Usuaris i Ordinadors. Els dominis s'identifiquen pels seus noms DNS, per exemple, Domain1.com, Domain2.com.

Consell professional
Els noms DNS dels dominis AD no han d'acabar en .com, també podrien acabar en .local, per exemple.

Llocs d'Active Directory

La configuració dels llocs AD normalment segueix subxarxes físiques de xarxa. La configuració de replicació dins dels llocs sol ser diferent de la configuració entre llocs.

Com a exemple, si teniu 2 controladors de domini dins de la mateixa subxarxa de xarxa, podeu configurar la rèplica entre ells per optimitzar la velocitat.

Replicació AD

Si desplegueu Active Directory en un entorn de producció, es recomana tenir almenys 2 controladors de domini (DC) al vostre domini AD. La raó d'això és òbvia: crear redundància.

Abans de continuar, deixeu-me esmentar que AD opera el que s'anomena un model multimaster. Això vol dir que tots els controladors de domini (DC) dins del domini contenen còpies d'objectes que es poden escriure. Com veureu més endavant, hi ha algunes excepcions a aquesta regla.

El fet que els objectes es puguin crear en qualsevol DC significa que hi ha necessitat de replicació entre els controladors de domini. El procés de sincronització o actualització d'objectes creats en un DC amb altres DC es coneix com a replicació.

Llegiu més sobre la replicació d'AD fent clic a Replicació de l'Active Directory en profunditat enllaç a la Secció de recursos i referències addicionals .

Màster d'operacions d'Active Directory

A la secció anterior, he esmentat que, tot i que Active Directory opera un model multimaster, hi ha excepcions a aquesta regla.

Hi ha determinades tasques dins d'un domini AD que s'han de completar mitjançant el model de mestre únic. És a dir, un controlador de domini té la funció de gestionar la tasca.

La raó principal del model de mestre únic és evitar conflictes. A causa de la naturalesa dels rols de mestre únic, si més d'un DC s'encarreguessin de la tasca al mateix temps, es crearà conflicte. Això ho entendrà millor quan llegiu els 5 rols de mestre d'operacions que es parlaran en breu.

A continuació es mostren els 5 rols FSMO (Flexible Single Master Operations) d'Active Directory.

Mestre d'esquemes

Abans en aquest tutorial, vaig parlar Esquema AD . Vaig dir que un esquema de directori actiu defineix classes d'objectes i els seus atributs. També vaig dir que de vegades potser voldreu crear classes addicionals d'esquema AD AD ampliant l'esquema.

El DC responsable d'actualitzar l'Esquema s'anomena Schema Master. Quan el mestre d'esquemes actualitza l'esquema, replica l'actualització a altres DC. Hi ha un Esquema Mestre en un Directori: aquest DC es coneix com a Schema Master.

Mestre de noms de domini

El DC assignat al rol FSMO de mestre de noms de domini és responsable d'afegir o suprimir dominis a l'espai de noms de domini de tot el bosc.

El DC Domini Naming Master també és responsable d'afegir o eliminar les referències creuades a dominis en directoris externs.

Mestre RID

Sempre que un controlador de domini crea un principal de seguretat, per exemple un usuari o un ordinador, el DC assigna a l'objecte un identificador de seguretat (SID) únic. El SID està format per un SID de domini i un ID relatiu (RID). El SID del domini és el mateix per a tots els objectes creats al domini, mentre que el RID és únic per a cada principal de seguretat creat.

Cada DC té un conjunt de RID assignat. El DC responsable d'assignar grups RID a altres DC és el RID Master.

El PDC Emulator Master

El DC que té la funció d'emulador de PDC és responsable d'autenticar els usuaris, sincronitzar els canvis de contrasenya i també responsable de la sincronització de l'hora.

També gestiona els bloquejos de comptes i reenvia errors d'autenticació a causa de contrasenyes incorrectes a altres DC.

Màster d'infraestructura (IM)

En un bosc AD multidomini, el DC assignat al rol FSMO de Mestre d'Infraestructura és responsable de mantenir actualitzades les referències d'objectes entre dominis.

Per exemple, posem per exemple que un objecte del domini 1 és referenciat per un altre objecte del domini 2. Quan es modifica l'objecte de referència, l'IM és responsable d'actualitzar les referències.

En conclusió, abans de parlar dels 5 rols de DC d'Active Directory de FSMO, vaig dir que AD opera un model multi-mestre. És a dir, tots els DC contenen còpies escrivibles de la base de dades AD.

També vaig dir que tot i que en un domini AD, malgrat el model multimàser, algunes tasques només es poden realitzar mitjançant un model d'operacions d'un sol mestre. Així els 5 rols FSMO.

Dit això, ara que coneixeu els 5 rols d'operacions de mestre únic, espero que sigui fàcil veure per què un grup RID, per exemple, només pot ser assignat per un sol DC. Si 2 DC assignessin grups RID a un altre controlador de domini, hi ha un risc de solapament i dos objectes diferents poden tenir el mateix RID.

El mateix augment s'aplica als altres 4 rols FSMO comentats anteriorment.

Servidors de catàleg global (GC)

Per entendre el paper del servidor de catàleg global, us referiré al que he dit anteriorment sobre els boscos d'Active Directory. Un bosc AD conté una sèrie de dominis AD interconnectats per relacions de confiança.

Tenint això en compte, per a cada domini del bosc, tots els DC emmagatzemen dades sobre cada objecte dins el seu propi domini . Com he assenyalat anteriorment, dins d'un bosc AD, pot haver-hi necessitat de fer referència a objectes entre dominis. Perquè això funcioni de manera eficaç, s'assigna a un DC la funció de GC per emmagatzemar informació sobre TOTS els objectes dins del bosc.

Si relacioneu això amb la funció IM FSMO comentada anteriorment, serà fàcil veure per què un mestre d'infraestructura haurà de comunicar-se constantment amb un servidor GC. És per això que rep actualitzacions sobre referències d'objectes entre dominis.

El mestre d'infraestructura és responsable d'actualitzar les referències entre objectes dins d'un bosc AD. El servidor de catàleg global conté informació sobre TOTS els objectes del bosc. Té sentit lògic que l'Infrastructure Master rebi informació de referència creuada d'objectes d'un servidor GC.

Per tant, NO es recomana que a un DC se li assigni la funció de servidor de GC i de mestre d'infraestructura excepte:

  • Només hi ha un domini al bosc; en aquesta situació, el mateix DC serà responsable de tots els rols.
  • Cada DC del domini és un servidor de catàleg global

Emmagatzematge en memòria cau de membres de grups universals

Per defecte, la informació de pertinença a grups universals només s'emmagatzema als servidors del catàleg global. Per aquest motiu, en un bosc AD de diversos dominis (on hi ha grups universals) si un usuari inicia sessió al domini per primera vegada, ha d'estar disponible un servidor GC perquè es pugui processar l'inici de sessió.

Per als llocs AD petits sense un servidor de GC, és possible que altres DC estiguin habilitats per emmagatzemar informació de pertinença a grups universals. Això s'aconsegueix activant la memòria cau de membres de grups universals (UGMC) al lloc d'AD.

Consell professional
UGMC s'habilita per lloc. Quan s'habilita en un lloc d'AD, participaran tots els DC del lloc.

Controladors de domini només de lectura (RoDC)

En aquest tutorial, ja he dit que tots els DC d'un domini AD es poden escriure. Dit això, hi ha certes situacions en què és possible que vulgueu instal·lar (RoDC).

Una situació típica pot ser en un lloc remot amb una seguretat física limitada per als DC en aquesta ubicació. En aquesta circumstància, és possible que vulgueu instal·lar un DC que només pugui llegir dades d'AD, però que no pugui escriure ni actualitzar cap objecte.

Consell professional
Els RoDC només estan disponibles a Windows Server 2008 i superior.

Estructura física i lògica de l'Active Directory

Fins ara he tractat una sèrie de conceptes importants de l'Active Directory. En aquesta secció parlaré d'altres dos conceptes importants en AD: estructures físiques i lògiques d'Active Directory.

Estructura física de l'AD

L'estructura física implica coses que pots tocar i sentir. Per tant, l'estructura física d'AD són els controladors de domini i els llocs de xarxa.

Les eines que necessiteu per gestionar l'estructura física dels llocs i serveis d'Active Directory Active Directory. Més endavant en aquest tutorial parlaré de les tasques que podeu realitzar amb AD Sites and Services.

Estructura lògica d'Active Directory

En comparació amb l'estructura física de l'AD, l'estructura lògica és virtual. Els components que conformen l'estructura lògica de l'AD són: boscos, arbres, dominis, OU i catàlegs globals. Per obtenir definicions detallades de boscos, arbres, dominis, OU i catàleg global, feu clic a Preguntes sobre la infraestructura de l'Active Directory .

Administració de l'Active Directory

Fins ara hem tractat alguns conceptes importants de l'AD. Aquesta secció tracta sobre l'administració d'Active Directory. Parlaré de les següents eines AD:

  • Usuaris i ordinadors d'Active Directory
  • Llocs i serveis d'AD
  • Dominis i confiança d'Active Directory
  • Mòdul AD PowerShell
  • Consola de gestió de polítiques de grup (GPMC)

Usuaris i ordinadors d'Active Directory

Llocs i serveis d'Active Directory (AD).

Aquesta és una de les eines AD més utilitzades. Amb usuaris i ordinadors AD, podeu:

  • Crear unitats organitzatives
  • Crea contenidors
  • Autoritats Delegades
  • Crear usuaris
  • Transferència de rols RID, PDC i FSMO d'infraestructura
  • Executar consultes
  • Augmentar els nivells funcionals del domini

Llocs i serveis d'AD

A mesura que us sentiu més còmode amb l'administració de l'Active Directory, començareu a treballar amb llocs i serveis.

Podeu realitzar les tasques següents amb l'eina AD Sites and Services:

  • Activa la memòria cau per membres de grup universals (UGMC)
  • Configurar els transports entre llocs
  • Creeu noves connexions al lloc d'AD
  • Delegar el control als llocs existents
  • Crea subxarxes

Dominis i confiança d'Active Directory

Aquesta eina s'utilitza per realitzar algunes de les funcions d'administració més avançades d'AD. A continuació es mostren algunes de les tasques que podeu completar amb dominis i confiança d'Active Directory:

  • Pujar el nivell funcional del bosc
  • Transfereix la funció de mestre de noms de domini FSMO
  • Crear Forest Trust
Important
Tingueu en compte que podeu augmentar el nivell funcional del domini mitjançant Usuaris i ordinadors AD mentre feu servir dominis i confiança AD per augmentar el nivell funcional del bosc.

Mòdul AD per a Windows PowerShell

El mòdul PowerShell d'Active Directory és necessari per gestionar AD amb PowerShell. Podeu realitzar una sèrie de tasques. N'he enumerat uns quants a continuació:

  • Crear nous usuaris – New-ADUser
  • Modificar usuaris existents – Set-ADUser
  • Obteniu informació sobre els usuaris existents: Get-ADUser
  • Suprimeix els usuaris existents – Remove-ADUser

Per obtenir totes les ordres AD a PS, des del vostre DC, executeu l'ordre Get-Command. Per obtenir més informació sobre PowerShell, llegiu els tutorials següents

18 ordres de Powershell Cada administrador de Windows hauria de saber
Get-Command a PowerShell: aplicacions i ús

Consola de gestió de polítiques de grup (GPMC)

GMPC s'utilitza per gestionar la política de grup entre llocs, dominis i unitats organitzatives dins d'un o més boscos. Tot i que podeu gestionar les polítiques de grup des d'usuaris i ordinadors d'AD, GPMC ofereix més funcions.

Amb GMPC, podeu realitzar les tasques següents:

  • Crea noves polítiques de grup
  • Modifiqueu les polítiques de grup existents
  • Gestioneu totes les polítiques de grup en un contenidor: objectes de política de grup
  • Creeu i apliqueu filtres WMI a les polítiques de grup.
  • Crear models de GP i resultats de GP

Espero que us hagi estat útil aquesta Zona S.

Altres tutorials útils

  1. Serveis de domini d'Active Directory: instal·lació i configuració
  2. 35 Preguntes i respostes d'entrevistes d'Active Directory (agrupades per categories)
  3. Outlook 365: subscripció, instal·lació i configuració
  4. Com instal·lar Windows 10: pas a pas amb imatges

Recursos i referències addicionals

  1. Pas a pas: Configuració de l'Active Directory a Windows Server 2016
  2. Com ampliar l'esquema
  3. Què és un bosc d'Active Directory?
  4. Infraestructura avançada d'Active Directory per a serveis de Windows Server 2012 R2
  5. Replicació de l'Active Directory en profunditat
  6. Funcions FSMO d'Active Directory a Windows
  7. Windows Server: s'ha de col·locar la funció FSMO Mestre d'Infraestructura en un servidor de catàleg global?
  8. Windows Server: les funcions del catàleg global a Active Directory