Домен Active Directory

Наша взаимовыгодная связь https://banwar.org/

Домен - це основна адміністративна одиниця в мережевій інфраструктурі підприємства, в яку входять всі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси і т.д. Сукупність (ієрархія) доменів називається лісом. У кожної компанії може бути зовнішній і внутрішній домен.

Наприклад lankey.ru - зовнішній домен в мережі Інтернет, який був придбаний у реєстратора імен. В даному домені розміщений наш WEB-сайт і поштовий сервер. lankey.local-внутрішній домен служби каталогів Active Directory, в якому розміщуються облікові записи користувачів, комп'ютерів, принтерів, серверів і корпоративних додатків. Іноді зовнішні і внутрішні доменні імена роблять однаковими.

Microsoft Active Directory стала стандартом систем єдиного каталогу підприємства. Домен на базі Active Directory впроваджено практично у всіх компаніях світу, і на цьому ринку у Microsoft практично не залишилося конкурентів, частка того ж Novell Directory Service (NDS) пренебрежимо мала, та й залишилися компанії поступово мігрують на Active Directory.

Active Directory (Служба каталогів) являє собою розподілену базу даних, яка містить всі об'єкти домену. Доменному середовищі Active Directory є єдиною точкою аутентифікації і авторизації користувачів і додатків в масштабах підприємства. Саме з організації домену та розгортання Active Directory починається побудова ІТ-інфраструктури підприємства. База даних Active Directory зберігається на виділених серверах - контролерах домену. Служба Active Directory є роллю серверних операційних систем Microsoft Windows Server. В даний момент компанія Ланка виробляє впровадження доменів Active Directory на базі операційної системи Windows Server 2008 R2.

Розгортання служби каталогів Active Directory в порівнянні з робочою групою (Workgroup) дає наступні переваги:

• Єдина точка аутентифікації. Коли комп'ютери працюють в робочій групі, у них немає єдиної бази даних користувачів, у кожного комп'ютера вона своя. Тому за замовчуванням жоден з користувачів не має доступу по мережі до комп'ютера іншого користувача або сервера. А, як відомо, сенс мережі, як раз в тому, щоб користувачі могли взаємодіяти. Співробітникам потрібно спільний доступ до документів або додатків. В робочій групі на кожному комп'ютері або сервері доведеться вручну додавати повний список користувачів, яким потрібен мережевий доступ. Якщо раптом, один із співробітників захоче змінити свій пароль, то його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається з 10 комп'ютерів, але якщо їх 100 або 1000, то використання робочої групи буде неприйнятним. При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Всі користувачі домена слід включати до групи, наприклад, «Бухгалтерія», «Кадри», «Фінансовий відділ» і т.д. Досить один раз задати дозволу для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів і додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, яка включається до відповідної групи, і все! Через пару хвилин новий співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ, на всіх серверах і комп'ютерах. Якщо співробітник звільняється, то досить заблокувати або видалити його обліковий запис, і він відразу втратить доступ до всіх комп'ютерів, документів і додатків.
• Єдина точка управління політиками. У мережі (робочій групі) всі комп'ютери рівноправні. Жоден з комп'ютерів не може керувати іншим, все комп'ютери налаштовані по-різному, неможливо проконтролювати ні дотримання єдиних політик, ні правил безпеки. При використанні єдиного каталогу Active Directory, всі користувачі і комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дозволяють задати єдині налаштування і параметри безпеки для групи комп'ютерів і користувачів. При додаванні в домен нового комп'ютера або користувача, він автоматично отримує настройки, які відповідають прийнятим корпоративним стандартам. Також за допомогою політик можна централізовано призначити користувачам мережеві принтери, встановити необхідні додатки, задати параметри безпеки Інтернет-браузера, налаштувати додатки Microsoft Office і т.д.
• Інтеграції з корпоративними додатками і устаткуванням. Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується сотнями додатків, такими як поштові сервера (Exchange, Lotus, Mdaemon), ERP-системи (Dynamics, CRM), проксі-сервери (ISA Server, Squid) і ін. Причому це не тільки додатки під Microsoft Windows, але і сервери на базі Linux. Переваги такої інтеграції полягає в тому, що користувачеві не потрібно пам'ятати велику кількість логінів і паролів для доступу до того чи іншого додатка, у всіх додатках користувач має одні й ті ж облікові дані, тому що його аутентифікація відбувається в єдиному каталозі Active Directory. Крім того, співробітникові не потрібно по кілька разів вводити свій логін і пароль, досить увімкнути комп'ютер один раз увійти в систему, і в подальшому користувач буде автоматично аутентифицироваться у всіх додатках. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістю мережевого обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні до маршрутизатора CISCO по VPN.
• Єдине сховище конфігурації додатків. Деякі додатки зберігають свою конфігурацію в Active Directory, наприклад Exchange Server або Office Communications Server. Розгортання служби каталогів Active Directory є обов'язковою умовою для роботи цих програм. Також в службі каталогів можна зберігати конфігурацію сервера доменних імен DNS. Зберігання конфігурації додатків в службі каталогів є вигідним з точки зору гнучкості і надійності. Наприклад, в разі повної відмови сервера Exchange, вся його конфігурація залишиться недоторканою, тому що зберігається в Active Directory. І для відновлення працездатності корпоративної пошти, досить буде перевстановити Exchange сервер в режимі відновлення.
• Підвищений рівень інформаційної безпеки. Використання Active Directory значно підвищує рівень безпеки мережі. По-перше - це єдине і захищене сховище облікових записів. У мережі облікові дані користувачів зберігаються в локальній базі даних облікових записів (SAM), яку теоретично можна зламати, заволодівши комп'ютером. У доменній середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерів домену, які, як правило, захищені від зовнішнього доступу. По-друге при використанні доменної середовища для аутентифікації використовується протокол Kerberos, який значно безпечніше, ніж NTLM, що використовується в робочих групах. Крім того, для входу користувачів в систему можна використовувати двухфакторную аутентифікацію за допомогою смарт-карт. Тобто щоб співробітник отримав доступ до комп'ютера, йому буде потрібно ввести свій логін і пароль, а також вставити свою смарт-карту.

Масштабованість і відмовостійкість служби каталогів Active Directory

Служба каталогів Microsoft Active Directory має широкі можливості масштабування. У лісі Active Directory може бути створено понад 2-х мільярдів об'єктів, що дозволяє впроваджувати службу каталогів в компаніях з сотнями тисяч комп'ютерів і користувачів. Ієрархічна структура доменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен, зі своїми політиками, своїми користувачами і групами. Для кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому все одно дочірні домени підкоряються батьківським.

Крім того, Active Directory дозволяє налаштувати довірчі відносини між доменними лісами. Кожна компанія має власний ліс доменів, кожен з яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративних ресурсів співробітникам з компаній-партнерів. Наприклад, за участю в спільних проектах співробітникам з компаній партнером може спільно знадобитися працювати з загальними документами або додатками. Для цього між лісами організацій можна налаштувати довірчі відносини, що дозволить співробітникам з однієї організації авторизуватися в домені інший.

Відмовостійкість служби каталогів забезпечується шляхом розгортання 2-х і більше серверів - контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. У разі виходу з ладу одного з контролерів домену, працездатність мережі не порушується, тому що продовжують працювати залишилися. Додатковий рівень відмовостійкості забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, які обслуговують основну зону домену. І в разі відмови одного з DNS серверів, продовжать працювати залишилися, причому вони будуть доступні, як на читання, так і на запис, що не можна забезпечити, використовуючи, наприклад, DNS сервера BIND на базі Linux.

Переваги переходу на Windows Server 2008 R2

Навіть якщо у вашій компанії вже розгорнута служба каталогів Active Directory на базі Windows Server 2003, то ви можете отримати цілий ряд переваг, перейшовши на Windows Server 2008 R2. Windows Server 2008 R2 надає наступні додаткові можливості:

1. Контролер домену тільки для читання RODC (Read-only Domain Controller). Контролери домену зберігають облікові записи користувачів, сертифікати та багато іншої конфіденційної інформації. Якщо сервери розташовані в захищених ЦОД-ах, то про збереження даної інформації можна бути спокійним, але що робити, якщо котроллер домену коштує в філії в загальнодоступному місці. В даному випадку існує ймовірність, що сервер вкрадуть зловмисники і зламають його. А потім використовують ці дані для організації атаки на вашу корпоративну мережу, з метою крадіжки або знищення інформації. Саме для запобігання таких випадків у філіях встановлюють контролери домену тільки для читання (RODC). По-перше RODC-контролери не зберігають паролі користувачів, а лише кешують їх для прискорення доступу, а по-друге вони використовують односторонню реплікацію, тільки з центральних серверів до філії, але не назад. І навіть, якщо зловмисники заволодіють RODC контролером домену, то вони не отримають паролі користувачів і не зможуть завдати шкоди основній мережі.

2. Відновлення видалених об'єктів Active Directory. Майже кожен системний адміністратор стикався з необхідністю відновити випадково видалену обліковий запис користувача або цілої групи користувачів. У Windows 2003 для цього було потрібно відновлювати службу каталогів з резервної копії, якої часто не було, але навіть якщо вона і була, то відновлення займало досить багато часу. У Windows Server 2008 R2 з'явилася корзина Active Directory. Тепер при видаленні користувача або комп'ютера, він потрапляє в корзину, з якої він може бути відновлений за пару хвилин протягом 180 днів з збереженням всіх первинних атрибутів.

3. Спрощене управління. У Windows Server 2008 R2 було внесено ряд змін, значно скорочують навантаження на системних адміністраторів і полегшують управління ІТ-інфраструктурою. Наприклад з'явилися такі кошти, як: Аудит змін Active Directory, що показує, хто, що і коли міняв; політики складності паролів налаштовує на рівні груп користувачів, раніше це було можливо зробити тільки на рівні домену; нові засоби управління користувачами і комп'ютерами; шаблони політик; управління за допомогою командного рядка PowerShell і т.д.

Впровадження служби каталогів Active Directory

Служба каталогів Active Directory - є серцем ІТ-інфраструктури підприємства. У разі її відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів і додатків. Тому служба каталогів повинна бути ретельно спроектована і розгорнута, з урахуванням всіх можливих нюансів. Наприклад, структура сайтів повинна будуватися на основі фізичної топології мережі і пропускної здатності каналів між філіями або офісами компанії, тому що від цього безпосередньо залежить швидкість входу користувачів в систему, а також реплікація між контролерами домена. Крім того, на підставі топології сайтів Exchange Server 2007/2010 здійснює маршрутизацію пошти. Також потрібно правильно розрахувати кількість і розміщення серверів глобального каталогу, які зберігають списки універсальних груп, і безліч інших часто використовуваних атрибутів всіх доменів лісу. Саме тому компанії покладають завдання по впровадженню, реорганізації або міграції служби каталогів Active Directory на системних інтеграторів. Проте, потрібно не помилитися при виборі системного інтегратора, слід переконатися, що він сертифікований на виконання даного виду робіт і має відповідні компетенції.

Компанія Ланка є сертифікованим системним інтегратором і має статус Microsoft Gold Certified Partner. Ланка має компетенцію Datacenter Platform (Advanced Infrastructure Solutions), що підтверджує наш досвід і кваліфікацію в питаннях пов'язаних з розгортанням Active Directory і впровадженням серверних рішень компанії Microsoft.

Всі роботи в проектах виконують сертифіковані Microsoft інженери MCSE, MCITP, які мають багатий досвід участі у великих і складних проектах з побудови ІТ-інфраструктур і впровадження доменів Active Directory.

Компанія Ланка розробить ІТ-інфраструктуру, розгорне службу каталогів Active Directory і забезпечить консолідацію всіх наявних ресурсів підприємства в єдиний інформаційний простір. Впровадження Active Directory допоможе знизити сукупну вартість володіння інформаційною системою, а також підвищити ефективність спільного використання загальних ресурсів. Ланка також надає послуги з міграції доменів, об'єднанню і поділу ІТ-інфраструктур при злиттях і поглинаннях, обслуговування та підтримки інформаційних систем.

Приклади деяких проектів по впровадженню Active Directory, реалізованих компанією Ланка:

Замовник Опис рішення

У зв'язку з вчиненням угоди з купівлі 100% акцій компанії ВАТ «СИБУР-Міндобрива» (згодом перейменований у ВАТ "СДС-Азот") Холдингової компаній "Сибірський діловий союз" в грудні 2011 року, виникла необхідність у відділенні ІТ-інфраструктури ВАТ «СДС -Азот »від мережі Холдингу СИБУР.

Команія Ланка справила міграцію служби каталогів Active Directory підрозділи СИБУР-Міндобрива з мережі холдингу СИБУР в нову інфраструктуру. Також були Перенс облікові записи користувачів, комп'ютери і програми. За результатами проекту від замовника отримано лист подяки .

У зв'язку з реструктуризацією бізнесу, було виконано розгортання служби каталогів Active Directory для центрального офісу та 50 московських і регіональних магазинів. Служба каталогів забезпечила централізоване уравленія усіма ресурсами підприємства, а також аутентифікацію і авторизацію всіх користувачів. В рамках комплексного проекту по створенню ІТ-інфраструктури підприємства, компанія Ланка виконала розгортання домену Active Directory для керуючої компанії та 3-х регіональних підрозділів. Для кожної філії був створений окремий сайт, в кожному сайті було розгорнуто по 2 контролера домену. Також були розгорнуті служби сертифікації. Всі сервіси були развёртнути на віртуальних машинах під керуванням Microsoft Hyper-V. Якість роботи компанії Ланка було відзначено відкликанням . В рамках комплексного проекту по створенню корпоративної інформаційної системи, було вироблено розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. Система була розгорнута з використанням технологиии віртуалізації серверів під управлінням Microsoft Hyper-V. Служба каталогів забезпечила єдину аутентифікацію і авторизацію всіх співробітників лікарні, а тажке забезпечила функціонування таких додатків, як Exchange, TMG, SQL та ін. Виконано розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. З метою скорочення витрат інсталяція проведена в системі віртуалізації серверів на базі Microsoft Hyper-V. В рамках комплексного проекту по створенню ІТ-інфраструктури підприємства була розгорнута служба каталогів на базі Windows Server 2008 R2. Всі контролери домену були розгорнуті з використанням системи віртуалізації серверів Microsoft Hyper-V. Якість роботи підтверджено отриманим від замовника відкликанням . У найкоротші терміни відновлена ​​працездатність служби каталогів Active Directory в критичній для бізнесу ситуації. Фахівці "Ланка" буквально за пару годин відновили працездатність кореневого домена і написали інструкцію по відновленню реплікації 80 філіальних підрозділів. За оперативність і якість роботи від замовника було отримано відгук .

В рамках комплексного проекту по створенню ІТ-інфраструктури був розгорнутий домен Active Directory на базі Windows Server 2008 R2. Працездатність служби каталогів була забезпечена за допомогою 5 контролерів домену, розгорнутих на кластері віртуальних машин. Резервне копіювання служби каталогів було реалізовано за допомогою Microsoft Data Protection Manager 2010. Якість роботи підтверджено відкліканням . В рамках комплексного проекту з побудови корпоративної інформаційної системи виконано розгортання служби єдиного каталогу Active Directory на базі Windows Server 2008. ІТ-інфраструктура була побудована із застосуванням віртуалізації Hyper-V. Після завершення проекту було укладено договір на подальше обслуговування інформаційної системи. Качесто роботи підтверджено відкліканням . Нафтогазові технології В рамках комплексного проекту по створенню ІТ-інфраструктури, виконано розгортання єдиного каталогу Active Directory на базі Windows Server 2008 R2. Проект був виконаний за 1 місяць. Після завершення проекту, був укладений договір на подальше обслуговування системи. Якість роботи підтверджено відкліканням . Виконано розгортання Active Directory на базі Windows Server 2008 в рамках проекту по впровадженню Exchange Server 2007.

Проведена реорганізація служби каталогів Active Directory на базі Windows Server 2003 перед впровадженням Exchange Server 2007. Якість роботи підтверджено відкліканням . Вироблено розгортання служби каталогів Active Directory на базі Windows Server 2003 R2. Після завершення проекту було укладено договір на подальше обслуговування системи. Якість роботи підтверджено відкліканням . Вироблено розгортання Active Directory на базі Windows Server 2003. Після завершення проекту було укладено договору на подальший супровід системи.