Omówienie usług domenowych Active Directory

 

Dotyczy: Windows Server 2012

Czy wiesz, że platforma Microsoft Azure oferuje podobne funkcje w chmurze? Dowiedz się więcej o tożsamościach na platformie Microsoft Azure. Tworzenie hybrydowego rozwiązania do zarządzania tożsamościami na platformie Microsoft Azure: - Wdrażanie usługi Active Directory systemu Windows Server na maszynach wirtualnych platformy Azure. - Informacje o rozwiązaniu do zarządzania tożsamościami i dostępem w ramach pakietu Microsoft Enterprise Mobility. - Instalowanie repliki kontrolera domeny usługi Active Directory w sieci wirtualnej platformy Azure. - Zarządzanie tożsamościami w środowiskach hybrydowych z jednym lasem korzystających z uwierzytelniania w chmurze. - Więcej informacji o usłudze Azure Active Directory i sposobach jej integracji z istniejącą infrastrukturą usługi Active Directory.

Korzystając z roli serwera usług domenowych Active Directory® (AD DS), można utworzyć skalowalną, bezpieczną i łatwą w obsłudze infrastrukturę do zarządzania użytkownikami i zasobami oraz zapewnić wsparcie aplikacji obsługujących katalogi, takich jak Microsoft® Exchange Server.

W tym temacie ogólnie omówiono rolę serwera usług AD DS. Aby uzyskać więcej informacji dotyczących nowych funkcji w usługach AD DS w systemie Windows Server 2012, zobacz Co nowego w usługach domenowych Active Directory (AD DS).

Usługi AD DS udostępniają rozproszoną bazę danych, która przechowuje informacje dotyczące zasobów sieciowych i dane specyficzne dla aplikacji pochodzące z aplikacji obsługujących katalogi oraz zarządza tymi informacjami i danymi. Serwer, na którym są uruchomione usługi AD DS, jest nazywany kontrolerem domeny. Administratorzy mogą używać usług AD DS do organizowania elementów sieci, takich jak użytkownicy, komputery i inne urządzenia, w strukturze hierarchicznej. Struktura hierarchiczna zawiera las usługi Active Directory, domeny w lesie i jednostki organizacyjne w każdej domenie.

Organizowanie elementów sieci w strukturę hierarchiczną zapewnia następujące korzyści:

• Las pełni funkcję granicy zabezpieczeń organizacji i określa zakres uprawnień administratorów. Domyślnie las zawiera pojedynczą domenę zwaną domeną główną lasu.

• W lesie możesz tworzyć dodatkowe domeny, aby zapewnić partycjonowanie danych usług AD DS, co umożliwia organizacjom replikowanie danych tylko wówczas, gdy jest to potrzebne. Dzięki temu można globalnie skalować usługi AD DS za pośrednictwem sieci, która ma ograniczoną przepustowość. Domena usługi Active Directory obsługuje również kilka innych podstawowych funkcji związanych z administrowaniem, takich jak tożsamość użytkowników w całej sieci, uwierzytelnianie i relacje zaufania.

• Jednostki organizacyjne upraszczają delegowanie uprawnień, co z kolei ułatwia zarządzanie dużą liczbą obiektów. Dzięki delegowaniu właściciele mogą przekazywać pełne lub ograniczone uprawnienia do obiektów innym użytkownikom lub grupom. Delegowanie jest ważne, ponieważ ułatwia rozdzielenie zadań zarządzania dużą liczbą obiektów między zaufane osoby.

Zabezpieczenia są zintegrowane z usługami AD DS za pośrednictwem uwierzytelniania logowania i kontroli dostępu do zasobów w katalogu. Dzięki funkcji pojedynczego logowania do sieci administratorzy mogą zarządzać danymi katalogowymi i organizacją w całej sieci. Korzystając z funkcji pojedynczego logowania do sieci, autoryzowani użytkownicy sieci mogą również uzyskiwać dostęp do zasobów w dowolnej lokalizacji w sieci. Administrowanie oparte na zasadach ułatwia zarządzanie nawet najbardziej złożoną siecią.

Usługi AD DS obsługują następujące dodatkowe funkcje:

• Zestaw reguł (schemat) określający klasy obiektów i atrybutów znajdujących się w katalogu, ograniczenia i limity wystąpień tych obiektów oraz format ich nazw.

• Wykaz globalny zawierający informacje dotyczące każdego obiektu w katalogu. Korzystając z wykazu globalnego, użytkownicy i administratorzy mogą znajdować informacje katalogowe niezależnie od tego, która domena w katalogu zawiera te dane.

• Mechanizm zapytań i indeksu umożliwiający publikowanie oraz wyszukiwanie obiektów i ich właściwości przez użytkowników sieci lub aplikacje.

• Usługa replikacji dystrybuująca dane katalogowe w sieci. Wszystkie kontrolery domeny, które są dostępne do zapisu w danej domenie, uczestniczą w replikacji i zawierają kompletną kopię wszystkich informacji katalogowych tej domeny. Każda zmiana danych katalogowych jest replikowana do wszystkich kontrolerów domeny w domenie.

• Role wzorca operacji (zwane także rolami FSMO). Kontrolery domeny mające role wzorca operacji są wyznaczone do wykonywania określonych zadań w celu zapewnienia spójności i eliminacji konfliktów wpisów w katalogu.

Wymagania dotyczące uruchamiania usług domenowych Active Directory

Jaki sprzęt, oprogramowanie lub konfiguracje ustawień są wymagane do uruchomienia tej funkcji? Jakie są wymagania wstępne związane z uruchamianiem tej roli? Czy ta rola/funkcja wymaga specjalnego sprzętu?

Wymaganie	Opis
TCP/IP	Skonfiguruj odpowiednie adresy TCP/IP i DNS.
NTFS	Dyski, na których jest przechowywana baza danych, pliki dziennika i folder SYSVOL dla usług domenowych Active Directory (AD DS), muszą być umieszczone na lokalnym woluminie stałym. Folder SYSVOL należy umieścić w woluminie sformatowanym za pomocą systemu plików NTFS. Ze względów bezpieczeństwa bazę danych i pliki dziennika usługi Active Directory należy umieścić w woluminie sformatowanym za pomocą systemu plików NTFS.
Poświadczenia	Tylko lokalny administrator serwera może zainstalować nowy las usług AD DS. Aby zainstalować dodatkowy kontroler domeny w istniejącej domenie, użytkownik musi być członkiem grupy Administratorzy domeny.
Infrastruktura systemu nazw domen (DNS)	Sprawdź, czy utworzono infrastrukturę systemu DNS. Podczas instalowania usług AD DS można uwzględnić instalację serwera DNS, jeśli jest wymagana. Podczas tworzenia nowej domeny delegowanie systemu DNS jest tworzone automatycznie w ramach procesu instalacji. Utworzenie delegowania DNS wymaga poświadczeń z uprawnieniami do aktualizowania stref nadrzędnych systemu DNS. Aby uzyskać więcej informacji, zobacz Strona kreatora Opcje DNS.
Narzędzie Adprep	Polecenia narzędzia adprep.exe są automatycznie uruchamiane zgodnie z wymaganiami, aby dodać pierwszy kontroler domeny z systemem Windows Server 2012 do istniejącej usługi Active Directory. W przypadku tych poleceń obowiązują dodatkowe wymagania dotyczące poświadczeń i łączności. Aby uzyskać więcej informacji, zobacz Uruchamianie narzędzia Adprep.exe.
Kontrolery domeny tylko do odczytu (RODC)	Dodatkowe wymagania dotyczące instalowania kontrolerów RODC: Las musi mieć co najmniej poziom funkcjonalny systemu Windows Server 2003. W tej samej domenie musi być zainstalowany co najmniej jeden dostępny do zapisu kontroler domeny z systemem Windows Server 2008 lub nowszym. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania kontrolera RODC.

Uwaga

Z wyjątkiem serwera DNS, kontrolery domeny zazwyczaj nie powinny hostować innych ról serwerów.

Uruchamianie usług domenowych Active Directory

Jak wdrożyć i skonfigurować tę rolę za pomocą programu Windows PowerShell?

Instrukcje krok po kroku dotyczące instalowania i konfigurowania usług AD DS za pomocą modułu ADDSDeployment dla interfejsu wiersza polecenia programu Windows PowerShell® można znaleźć w temacie Przewodnik wdrażania usług domenowych Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Jak wdrożyć i skonfigurować tę rolę w środowisku z wieloma serwerami?

Usługi AD DS są usługami rozproszonymi zaprojektowanymi do działania na wielu kontrolerach domeny. Instrukcje krok po kroku dotyczące instalowania i konfigurowania usług AD DS na wielu kontrolerach domeny można znaleźć w temacie Przewodnik wdrażania usług domenowych Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Jak mogę uruchomić tę rolę na maszynach wirtualnych?

Usługi AD DS w systemie Windows Server 2012 obejmują zabezpieczenia na potrzeby uruchamiania na maszynach wirtualnych zapewniające bezpieczeństwo i spójność wirtualnych środowisk usług AD DS. Aby uzyskać więcej informacji dotyczących uruchamiania usług AD DS na maszynach wirtualnych, zobacz Uruchamianie kontrolerów domeny w ramach funkcji Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).

Uwagi dotyczące zabezpieczeń związane z uruchamianiem tej roli

Usługi AD DS zaprojektowano w taki sposób, aby domyślnie zapewniały bezpieczeństwo bezpośrednio po zakończeniu instalacji. Aby uzyskać więcej informacji dotyczących domyślnych ustawień zabezpieczeń dla kontrolerów domeny, zagrożeń i bezpiecznego korzystania z kontrolerów domeny, zobacz Najlepsze rozwiązania w zakresie zabezpieczania instalacji usługi Active Directory.

Uwagi dotyczące zdalnego zarządzania tą rolą

Aby zdalnie zarządzać usługami AD DS, zainstaluj Narzędzia administracji zdalnej serwera (RSAT). Istnieje 32-bitowa i 64-bitowa wersja narzędzi RSAT. Aby uzyskać więcej informacji, zobacz Narzędzia administracji zdalnej serwera (https://go.microsoft.com/fwlink/?LinkId=222628).

Uwagi dotyczące zarządzania rolą w przypadku opcji instalacji Server Core

Usługi AD DS można zainstalować na serwerze z instalacją Server Core lub serwerze z minimalnym interfejsem serwera. Jest to zalecane w sytuacjach, w których jest korzystne ograniczenie rozmiaru instalacji systemu operacyjnego, takich jak dedykowana rola serwera w centrum danych, obsługa gości w środowisku wirtualizacji lub kontrolery RODC w biurach zdalnych. Począwszy od systemu Windows Server 2012, kontroler domeny z instalacją Server Core można konwertować na instalację serwera z graficznym interfejsem użytkownika (zwaną także instalacją pełną) i na odwrót.

Uaktualnienie instalacji Server Core poprzedniej wersji systemu Windows Server jest obsługiwane, ale nie istnieje sposób uaktualnienia instalacji Server Core poprzedniej wersji systemu Windows Server bezpośrednio do instalacji serwera z graficznym interfejsem użytkownika ani uaktualnienia instalacji serwera z graficznym interfejsem użytkownika bezpośrednio do instalacji Server Core. W takim wypadku należy przeprowadzić uaktualnienie bezpośrednio do instalacji tego samego typu w systemie Windows Server 2012, a następnie wykonać konwersję zgodnie z potrzebami na inną instalację po uaktualnieniu.

Aby uzyskać więcej informacji, zobacz Opcje instalacji systemu Windows Server.

Usługi ról dla usług domenowych Active Directory

Zarządzanie tożsamościami dla systemu UNIX to usługa roli usług AD DS, którą można zainstalować tylko na kontrolerach domeny. Dwie technologie zarządzania tożsamościami dla systemu UNIX — serwer sieciowej usługi informacyjnej i synchronizacja haseł — ułatwiają integrowanie komputerów z systemem Windows® z istniejącym w przedsiębiorstwie środowiskiem UNIX. Administratorzy usług AD DS mogą używać serwera sieciowej usługi informacyjnej do zarządzania domenami sieciowej usługi informacyjnej. Funkcja Synchronizacja haseł automatycznie synchronizuje hasła między systemami operacyjnymi Windows i UNIX.

Technologie usługi roli	Opis usługi roli
Serwer sieciowej usługi informacyjnej	Umożliwia kontrolerowi domeny usługi Active Directory z systemem Microsoft Windows administrowanie sieciami z sieciową usługą informacyjną systemu UNIX. Aby uzyskać więcej informacji, zobacz Omówienie serwera sieciowej usługi informacyjnej (https://go.microsoft.com/fwlink/?LinkId=222677).
Synchronizacja haseł	Ułatwia integrowanie sieci systemów Windows i UNIX dzięki uproszczeniu procesu konserwacji bezpiecznych haseł w obu środowiskach. Aby uzyskać więcej informacji, zobacz Omówienie synchronizacji haseł (https://go.microsoft.com/fwlink/?LinkId=222676).

Dodatkowe informacje

• Instalowanie usług AD DS za pomocą programu Windows PowerShell

• Dokumentacja poleceń usług domenowych Active Directory

• Analizator najlepszych rozwiązań dla usług domenowych Active Directory

• Rozwiązywanie problemów z usługami domenowymi Active Directory