У цьому посібнику з Active Directory для початківців показано, як встановити, налаштувати та використовувати Active Directory. Можна отримати цей посібник з Active Directory у форматі PDF, надавши свою електронну адресу, і посібник буде надіслано вам на електронну пошту.
Що таке Active Directory?
Розпочнемо з визначення того, що таке Active Directory. Microsoft Active Directory (AD) – це основний компонент операційної системи сервера. Це каталог (база даних) і набір служб, що дозволяють безпечно отримувати доступ до ресурсів у мережевому середовищі Windows. Інші типи середовищ мають різні служби каталогів; наприклад, OpenLDAP використовується в різних середовищах Unix/Linux.
Переваги Active Directory
Active Directory пропонує широкий спектр переваг для організацій будь-якого розміру, тому це є головним компонентом багатьох ІТ-інфраструктур. Нижче наведено деякі ключові переваги використання Active Directory:
- Централізовані служби автентифікації та авторизації: дозволяють користувачам входити в мережу та отримувати доступ до ресурсів, наданих їм адміністраторами.
- Підтримка єдиного входу (SSO): дозволяє користувачам отримувати доступ до кількох ресурсів у мережі без необхідності входу в кожен ресурс окремо.
- Групова політика (Group Policy): дозволяє адміністраторам визначати та застосовувати параметри безпеки, налаштувань та політики для кількох комп’ютерів і користувачів у мережі.
- Централізоване управління мережевими ресурсами: такими як користувачі, групи, комп’ютери, принтери та мережеві пристрої.
- Захисні функції: такі як шифрування, контроль доступу та аудит для захисту конфіденційної інформації.
- Масштабованість: підтримує тисячі або навіть мільйони користувачів, комп’ютерів, груп та інших об’єктів в одному каталозі.
- Інтеграція з іншими продуктами та сервісами Microsoft: такими як Microsoft Exchange Server, SharePoint, Microsoft 365 та Azure.
Що робить Active Directory?
Служби, які надає або підтримує AD, включають:
- Автентифікація: процес перевірки того, що користувачі є тими, за кого вони себе видають.
- Авторизація: процес визначення, чи дозволити користувачеві доступ до запитуваних ресурсів на основі їхніх ролей та членства в групах безпеки.
- Управління ресурсами: центральне сховище для управління мережевими ресурсами, такими як комп’ютери, сервери, принтери та мережеві пристрої.
- Групова політика (Group Policy): забезпечує визначення та впровадження політик безпеки і налаштувань.
- Служби каталогу: зберігають інформацію про мережеві об’єкти, такі як користувачі, групи, комп’ютери та принтери.
- LDAP: підтримка протоколу Lightweight Directory Access Protocol для стандартного доступу до даних каталогу.
- DNS: інтеграція з системою доменних імен для надання послуг розпізнавання імен у мережі.
- Довірливі відносини: підтримка довірчих відносин між доменами для доступу до ресурсів у різних доменах.
- Реплікація: забезпечення синхронізації даних каталогу між усіма контролерами домену.
Структура Active Directory
Active Directory має ієрархічну структуру з такими компонентами:
- Forest (Ліс): контейнер верхнього рівня в Active Directory та межа безпеки, що містить один або більше доменів.
- Tree (Дерево): ієрархічна структура в межах лісу, що складається з одного або більше доменів.
- Domain (Домен): група користувачів, комп’ютерів та інших об’єктів, які зберігаються в одній базі даних Active Directory.
- OU (Організаційний підрозділ): контейнери в домені для організації та управління підмножинами об’єктів AD.
- AD object (Об’єкт AD): об’єкти Active Directory, включаючи облікові записи користувачів, комп’ютерів та групи безпеки.
Контролери домену Active Directory
Кожен домен має один або більше контролерів домену (DC), які зберігають базу даних Active Directory і забезпечують автентифікацію та авторизацію. У разі наявності декількох контролерів домену, зміни в базі даних AD на одному контролері реплікуються на інші, що забезпечує відмовостійкість.
Як створити контролер домену
Щоб створити контролер домену, потрібно виконати два кроки:
- Встановити роль служб домену Active Directory (AD DS) на машині з Windows Server.
- Підвищити сервер до контролера домену.
Встановлення ролі служб домену Active Directory на Windows Server
- Увійти на Windows Server з обліковим записом адміністратора. Відкрити “Server Manager” (диспетчер сервера) або через іконку в панелі завдань, або за допомогою пошуку в меню “Start” (Пуск).
- У верхньому меню натиснути “Manage” (Управління) та обрати “Add Roles and Features” (Додати ролі та функції).
- У “Add roles and Features Wizard”(майстрі додавання ролей та функцій) обрати “Role-based or feature-based installation” (Встановлення ролей або функцій) та натиснути “Next”(Далі).
- Переконатися, що обрано правильний сервер, та натиснути “Next”(Далі).
- На сторінці “Select server roles” (Вибір ролей сервера) обрати “Active Directory Domain Services”. У вікні, що розгорнулось, натиснути “Add Features” (Додати функції).
- На сторінці “Select features” (Вибір функцій) не обирати додаткових функцій. Натиснути “Next”(Далі).
- На сторінці “Active Directory Domain Services” переглянути інформацію та натиснути “Next”(Далі).
- Переглянути свої вибори для встановлення та натиснути “Install” (Встановити).
- Дочекатися завершення процесу встановлення, що може зайняти кілька хвилин. Потім натиснути “Close” (Закрити) для виходу з майстра.
Підвищення сервера до Domain Controller
- Після завершення встановлення з’явиться сповіщення в “Server Manager” диспетчері сервера. У сповіщенні натиснути “Promote this server to a domain controller” (Підвищити цей сервер до контролера домену).
- Після натиснення кнопки має відкритися майстер конфігурації служб домену Active Directory. Спочатку потрібно вказати, чи хоче той, хто налаштовує, додати domain controller до наявного домену, додати новий домен до наявного лісу або створити новий ліс. Для цього прикладу потрібно обрати “Add a new forest”(Додати новий ліс), ввести ім’я для кореневого домену та натиснути “Next”(Далі).
- Обрати функціональні рівні для лісу та його кореневого домену, додати можливості, такі як DNS, і встановити пароль для режиму “Directory Services Restore Mode (DSRM)” (відновлення служб каталогу). Потрібно натиснути “Next”(Далі) для продовження.
- Якщо було обрано опцію DNS, на сторінці “DNS Options”(Параметри DNS) може з’явитися попередження. Так як створюється новий ліс, це попередження можна безпечно проігнорувати. Потрібно натиснути “Next”(Далі) для продовження.
- Майстер автоматично знайде мережу в домені та призначить ім’я домену NetBIOS. Ім’я можна змінити за потреби. Потрібно натиснути “Next”(Далі) для продовження.
- На сторінці “Paths”(Шляхи) вказати місце розташування бази даних AD DS, журналів і файлів SYSVOL. Можна змінити стандартне розташування. У великих середовищах рекомендується зберігати їх на окремому диску для можливості відновлення Active Directory, якщо системний диск буде пошкоджено. Потрібно натиснути “Next”(Далі) для продовження.
- Необхідно переглянути все, що було обрано до цього і натиснути “Next”(Далі).
- Майстер перевірить, чи комп’ютер відповідає вимогам. Після підтвердження потрібно натиснути “Install”(Встановити).
- Після завершення встановлення сервер автоматично перезавантажиться. Після перезавантаження сервер стане domain controller з встановленими службами домену Active Directory.
- Для того, аби перевірити, чи була створена структура домену, потрібно відкрити Server Manager, натиснути “Tools”(Інструменти) та обрати “Active Directory Users and Computers”(Користувачі та комп’ютери Active Directory).
Встановлення інструментів адміністрування віддаленого сервера (RSAT) для управління AD
Щоб керувати Active Directory, необхідно встановити адміністративні інструменти на клієнтську машину (client machine). Щоб встановити RSAT на Windows 11, необхідно виконати наступні кроки:
- Відкрити “Settings” (Налаштування), натиснути “Apps” (Додатки) у лівій бічній панелі, а потім “Optional features” (Додаткові функції).
- Натиснути “View features” (Переглянути функції).
- Знайти “RSAT” (або просто прокрутити вниз) і поставити галочку біля “RSAT: Active Directory Domain Services and Lightweight Directory Services Tools”. Потім натиснути “Next” (Далі).
- Натиснути кнопку “Install” (Встановити), щоб розпочати процес встановлення.
- Дочекатися завершення встановлення, що може зайняти кілька хвилин. Після перезавантаження комп’ютера можна перевірити встановлення RSAT, шукаючи будь-який з інструментів RSAT, таких як “Active Directory Users and Computers” (Користувачі та комп’ютери Active Directory), у меню “Start” (Пуск).
Події Active Directory для моніторингу
Active Directory надає можливість ведення журналів для підтримки безпеки, цілісності та продуктивності служби каталогів. Моніторинг цих подій за допомогою таких інструментів, як Windows Event Viewer, допомагає виявляти підозрілу активність, щоб можна було оперативно розв’язувати проблеми та реагувати на порушення безпеки. Нижче наведено деякі загальні події, які варто контролювати:
Управління обліковими записами користувачів:
- Створення облікового запису: Event ID 4720
- Видалення облікового запису: Event ID 4726
- Увімкнення/вимкнення облікового запису: Event IDs 4722, 4725
- Зміни/скидання пароля: Event IDs 4723, 4724, 4725
- Блокування облікових записів: Event ID 4740
Управління групами:
- Створення/видалення груп: Event IDs 4727, 4731
- Зміни членства в групах: Event IDs 4728, 4729, 4732, 4733
Реплікація Active Directory:
- Успішність/неуспішність реплікації: Event IDs 4928, 4929, 4932, 4933
Операції domain controller:
- Запуск/вимкнення контролера домену/систем: Event IDs 6005, 6006, 6008, 1074
- Доступ до служби каталогу: Event IDs 2889, 2887
Автентифікація та авторизація:
- Успішні входи: Event IDs 4624, 4648, 4768
- Невдалі входи: Event IDs 4625
- Привілейований доступ: Event IDs 4672
Зміни в службі каталогу:
- Зміни LDAP: Event IDs 5136, 5137, 5138
- Зміни схеми: Event ID 5139
Сам посібник можна отримати у PDF форматі з доповненою інформацією та візуалізацією за посиланням:
