Co je služba Active Directory? Průvodce krok za krokem

Co je služba Active Directory? Průvodce krok za krokem


S rostoucí složitostí síťových zdrojů se pro správu IT infrastruktury staly stále důležitějšími adresářové služby. Neexistuje žádná adresářová služba s větším názvem než Aktivní adresář. Adresářová služba společnosti Microsoft byla zřízena jako základní nástroj mezi správci sítě. V tomto výukovém programu Active Directory se podíváme na to, co je Active Directory, jak jej používat, a na nástroje Active Directory, jako je SolarWinds Access Rights Manager. Témata zahrnují:

  • Co je to Active Directory?
  • Co dělá služba Active Directory?
  • Jak nastavit Active Directory
  • Jak používat Active Directory: Nastavení řadiče domény, vytváření uživatelů adresáře
  • Události služby Active Directory ke sledování
  • Vztahy důvěryhodnosti (a typy důvěryhodnosti)
  • Přehled lesů a stromů služby Active Directory
  • Hlášení služby Active Directory (se správcem přístupových práv SolarWinds)

Co je to Active Directory? 

Co je služba Active Directory? Průvodce krok za krokem

Active Directory je adresářová služba nebo kontejner, který ukládá datové objekty ve vašem prostředí místní sítě. Služba zaznamenává data na uživatelé, zařízení, aplikace, skupiny, a zařízení v hierarchické struktuře.

Struktura dat umožňuje najít podrobnosti o zdrojích připojených k síti z jednoho místa. Služba Active Directory v podstatě funguje jako telefonní seznam pro vaši síť, takže můžete snadno vyhledávat a spravovat zařízení.

Co dělá služba Active Directory? 

Existuje mnoho důvodů, proč podniky používají adresářové služby, jako je Active Directory. Hlavním důvodem je pohodlí. Active Directory umožňuje uživatelům přihlásit se a spravovat různé zdroje z jednoho místa. Přihlašovací údaje jsou sjednoceny, takže je snazší spravovat více zařízení, aniž byste museli zadávat podrobnosti o účtu pro přístup k jednotlivým strojům.

Jak nastavit Active Directory (s RSAT) 

Co je služba Active Directory? Průvodce krok za krokem

Chcete-li začít, musíte se nejprve ujistit, že máte Windows Professional nebo Windows Enterprise nainstalován jinak nebudete moci nainstalovat Nástroje pro vzdálenou správu serveru. Poté proveďte následující:

Pro Windows 10, verze 1809:

  1. Klepněte pravým tlačítkem myši na Start tlačítko a jít na Nastavení > Aplikace > Spravujte volitelné funkce > Přidat funkci.
  2. Nyní vyberte RSAT: Active Directory Domain Services a Lightweight Directory Tools.
  3. Nakonec vyberte Nainstalujte pak jdi na Start > Nástroje pro správu systému Windows pro přístup ke službě Active Directory po dokončení instalace.


Pro Windows 8 (a Windows 10 verze 1803) 

  1. Stáhněte a nainstalujte správnou verzi nástrojů pro správu serveru pro své zařízení: Windows 8, Windows 10.
  2. Poté klepněte pravým tlačítkem myši na ikonu Start a vyberte Kontrolní panel > Programy > Programy a funkce > Zapnout nebo vypnout funkce Windows.
  3. Posuňte dolů a klikněte na ikonu Nástroje pro vzdálenou správu serveru volba.
  4. Nyní klikněte na Nástroje pro správu rolí.
  5. Klikněte na Nástroje AD DS a AD LDS a ověřit Nástroje AD DS byl zkontrolován.
  6. lis OK.
  7. Jít do Start > Administrativní nástroje na Start menu pro přístup k Active Directory.

Jak používat službu Active Directory: Jak nastavit řadič domény, vytváření uživatelů adresáře 

Co je služba Active Directory? Průvodce krok za krokem

Jak nastavit řadič domény

Jednou z prvních věcí, které musíte udělat při používání služby Active Directory, je nastavení řadiče domény. Řadič domény je centrální počítač, který bude odpovídat na požadavky na ověření a ověřovat ostatní počítače v síti. Řadič domény ukládá přihlašovací údaje všech ostatních počítačů a tiskárny.

Všechny ostatní počítače se připojují k řadiči domény, takže uživatel může autentizovat každé zařízení z jednoho místa. Výhodou je, že správce nebude muset spravovat desítky přihlašovacích údajů.

Proces nastavení řadiče domény je relativně jednoduchý. Přiřaďte svému řadiči domény statickou adresu IP a nainstalovat Active Directory Domain Services nebo ADDS. Nyní postupujte podle těchto pokynů:

  1. otevřeno Správce serveru a klikněte Shrnutí rolí > Přidejte role a funkce.
  2. Klikněte na další.
  3. Vybrat Služby vzdálené plochy instalace pokud implementujete řadič domény ve virtuálním počítači nebo vyberte instalace na základě rolí nebo funkcí.
  4. Vyberte server z nabídky fond serverů.
  5. Vybrat Služba Active Directory Domain Services ze seznamu a klikněte na další.
  6. Ve výchozím nastavení ponechte funkce zaškrtnuté a stiskněte další.
  7. Klikněte na V případě potřeby restartujte cílový server automaticky a klikněte Nainstalujte. Po dokončení instalace zavřete okno.
  8. Po nainstalování role ADDS se vedle Spravovat Jídelní lístek. lis Povýšte tento server do řadiče domény.
  9. Nyní klikněte Přidejte nový les a zadejte a Název kořenové domény. lis další.
  10. Vybrat Funkční úroveň domény přejete si a zadejte heslo do Zadejte režim obnovení adresářových služeb (heslo DSRM) sekce. Klikněte na další.
  11. Po zobrazení stránky Možnosti DNS klikněte na další znovu.
  12. Do domény zadejte doménu Název domény NetBios (nejlépe stejný jako název kořenové domény). lis další.
  13. Vyberte složku pro uložení databáze a souborů žurnálu. Klikněte na další.
  14. lis Nainstalujte dokončit. Váš systém se nyní restartuje.


Vytváření uživatelů služby Active Directory

Uživatelé a počítače jsou dva nejzákladnější objekty, které budete muset spravovat při používání služby Active Directory. V této části se podíváme na to, jak vytvořit nové uživatelské účty. Tento proces je relativně jednoduchý a nejjednodušší způsob, jak spravovat uživatele, je prostřednictvím Uživatelé a počítač služby Active Directory nebo nástroj ADUC, který je součástí Nástroje pro vzdálenou správu serveru nebo RSAT balíček. ADUC můžete nainstalovat podle níže uvedených pokynů:


Nainstalujte ADUC na Windows 10 verze 1809 a vyšší:

  1. Klepněte pravým tlačítkem myši na Start a klikněte na Nastavení > Aplikace, potom klikněte na Spravujte volitelné funkce > Přidat funkci.
  2. Vybrat RSAT: Active Directory Domain Services a Lightweight Directory Tools.
  3. Vybrat Nainstalujte a počkejte na dokončení instalace.
  4. Jít do Start > Nástroje pro správu systému Windows pro přístup k této funkci.


Nainstalujte ADUC na Windows 8 a Windows 10 verze 1803 nebo nižší: 

  1. Stáhněte a nainstalujte nástroje pro správu vzdáleného serveru pro vaši verzi systému Windows. Můžete to udělat jedním z těchto odkazů zde:
    Nástroje pro správu vzdáleného serveru pro Windows 10, Nástroje pro správu vzdáleného serveru pro Windows 8 nebo Nástroje pro správu vzdáleného serveru pro Windows 8.1.
  1. Klikněte pravým tlačítkem myši na Start > Kontrolní panel > Programy > Programy a funkce > Zapnout nebo vypnout funkce Windows.
  2. Přejděte dolů a vyberte Nástroje pro vzdálenou správu serveru.
  3. Rozšířit Nástroje pro správu rolí > Nástroje AD DS a AD LDS.
  4. Šek Nástroje AD DS a stiskněte OK.
  5. Jít do Start > Administrativní nástroje a vyberte Uživatelé a počítače služby Active Directory.


Jak vytvořit nové uživatele pomocí ADUC 

  1. Otevři Správce serveru, jít do Nástroje a vyberte Uživatelé a počítače služby Active Directory.
  2. Rozbalte doménu a klikněte na Uživatelé.
  3. Klikněte pravým tlačítkem na pravé podokno a stiskněte Nový > Uživatel.
  4. Když se zobrazí pole Nový objekt-uživatel, zadejte a Jméno, Příjmení, Přihlašovací jméno uživatele a klikněte další.
  5. Zadejte heslo a stiskněte další.
  6. Klikněte na Dokončit.
  7. Nový uživatelský účet lze nalézt v Uživatelé sekce ADUC.

Události služby Active Directory ke sledování 

Stejně jako všechny formy infrastruktury musí být služba Active Directory sledována, aby zůstala chráněna. Monitorování adresářové služby je nezbytné pro předcházení kybernetickým útokům a poskytování co nejlepšího dojmu koncovým uživatelům vašim uživatelům.

Níže uvádíme seznam nejdůležitějších síťových událostí, na které byste si měli dát pozor. Pokud uvidíte některou z těchto událostí, měli byste prozkoumat další ASAP a ujistit se, že vaše služba nebyla ohrožena.

Aktuální ID události WindowsLegacy ID události WindowsDescription
4618 N / A Byl rozpoznán vzor události zabezpečení.
4649 N / A Byl detekován opakovaný útok (potenciálně falešně pozitivní).
4719 612 Zásada auditu systému byla změněna.
4765 N / A Historie SID byla přidána k účtu.
4766 N / A Pokus se nepodařilo přidat historii SID k účtu.
4794 N / A Pokus o spuštění režimu obnovení adresářových služeb.
4897 801 Oddělení rolí povoleno.
4964 N / A Speciální skupině bylo přiděleno nové přihlášení.
5124 N / A Zabezpečení bylo aktualizováno v OCSP Responder Service.
N / A 550 Potenciální útok DoS.
1102 517 Protokol auditu byl vymazán.

Přehled lesů a stromů služby Active Directory 

Les a stromy jsou dva termíny, které budete hodně slyšet, když se ponoříte do služby Active Directory. Tyto výrazy odkazují na logickou strukturu služby Active Directory. Stručně, a strom je entita s jedinou doménou nebo skupinou objektů za ním následují podřízené domény. Les je skupina domén dát dohromady. Když více stromů je seskupeno do jednoho lesa.

Stromy v lese se navzájem spojují prostřednictvím a vztah důvěry, což umožňuje různým doménám sdílet informace. Všechno domény si budou navzájem důvěřovat takže k nim máte přístup se stejnými informacemi o účtu, jaké jste použili v kořenové doméně.

Každá doménová struktura používá jednu sjednocenou databázi. Logicky je les umístěn na nejvyšší úrovni hierarchie a strom je umístěn dole. Jednou z výzev, které mají správci sítě při práci s Active Directory, je správa doménových struktur a zabezpečení adresáře.

Například správce sítě bude mít za úkol zvolit mezi a jediný lesní design nebo více lesní konstrukce. Jediný doménový design je jednoduchý, levný a snadno spravovatelný, přičemž pouze jedna doménová struktura zahrnuje celou síť. Naproti tomu design s více lesy rozděluje síť na různé lesy, což je dobré z hlediska zabezpečení, ale ztěžuje správu.

Vztahy důvěryhodnosti (a typy důvěryhodnosti) 

Jak je uvedeno výše, k usnadnění komunikace mezi doménami se používají důvěryhodnosti. Trusty umožňují ověřování a přístup k prostředkům mezi dvěma entitami. Důvěryhodnosti mohou být jednosměrné nebo obousměrné povahy. V rámci důvěryhodnosti jsou dvě domény rozděleny na důvěryhodnou doménu a důvěryhodnou doménu.

V jednosměrné důvěře, důvěryhodná doména přistupuje k podrobnostem autentizace důvěryhodné domény, takže uživatel má přístup k prostředkům z jiné domény. V obousměrné důvěře budou obě domény přijímat autentizační údaje druhé. Všechno domény v doménové struktuře si navzájem důvěřují, ale můžete také nastavit důvěryhodnosti mezi doménami v různých doménových strukturách pro přenos informací.

Můžete vytvářet důvěryhodnosti prostřednictvím Průvodce novými trusty. Nový průvodce důvěryhodností je průvodce konfigurací, který vám umožní vytvořit nové vztahy důvěryhodnosti. Zde si můžete prohlédnout Doménové jméno, Typ důvěryhodnosti, a Tranzitivní stav existujících trustů a vyberte typ důvěryhodnosti, který chcete vytvořit.

Typy důvěry 

Ve službě Active Directory existuje řada typů důvěryhodnosti. V následující tabulce jsme je uvedli:

Trust TypeTransit TypeDirectionDefault? Popis
Rodič a dítě Tranzitivní Obousměrný Ano Důvěra rodičů a podřízených se vytvoří, když je do doménového stromu přidána podřízená doména.
Kořen stromu Tranzitivní Obousměrný Ano V okamžiku vytvoření doménového stromu v doménové struktuře se vytvoří důvěra kořenového stromu.
Externí Nepřechodné Jednosměrná nebo obousměrná Ne Poskytuje přístup k prostředkům v doméně Windows NT 4.0 nebo v doméně umístěné v jiné doménové struktuře, která není podporována důvěryhodností doménové struktury.
Oblast Tranzitivní nebo netranzitivní Jednosměrná nebo obousměrná Ne Vytváří vztah důvěryhodnosti mezi sférou Kerberos mimo Windows a doménou Windows Server 2003.
Les Tranzitivní Jednosměrná nebo obousměrná Ne Rozděluje zdroje mezi lesy.
Zkratka Tranzitivní Jednosměrná nebo obousměrná Ne Snižuje časy přihlášení uživatelů mezi dvěma doménami v doménové struktuře Windows Server 2003.

Hlášení služby Active Directory se správcem přístupových práv SolarWinds (ZDARMA ZKUŠEBNÍ)

Vytváření zpráv o službě Active Directory je nezbytné pro optimalizaci výkonu a zachování souladu s předpisy. Jeden z nejlepších nástrojů pro vytváření přehledů služby Active Directory je SolarWinds Správce přístupových práv (ARM). Tento nástroj byl vytvořen, aby se zviditelnilo, jak jsou pověření adresáře používána a spravována. Můžete například zobrazit účty s nezabezpečenými konfiguracemi a zneužitím pověření, které by mohly znamenat kybernetický útok.

SolarWinds Správce přístupových práv

Použití nástroje třetí strany, jako je SolarWinds Správce přístupových práv je výhodná, protože poskytuje informace a funkce, ke kterým by bylo mnohem obtížnější nebo nemožnější přímý přístup prostřednictvím služby Active Directory.

Stejně jako generování sestav můžete automaticky smazat neaktivní účty nebo účty, jejichž platnost vypršela na které se zaměřují kybernetičtí zločinci. SolarWinds Správce přístupových práv začíná na 3 444 $ (2 829 GBP). Je tam také 30denní bezplatná zkušební verze verzi, kterou si můžete stáhnout.

SolarWinds Access Rights ManagerStáhněte 30denní zkušební verzi ZDARMA

Výukový program pro Active Directory: Základy 

Active Directory je jedním z nejlepších nástrojů pro správu zdrojů ve vaší síti. V tomto článku jsme jen poškrábali povrch potenciálu tohoto nástroje. Pokud používáte službu Active Directory, nezapomeňte, že je to potenciální vstupní bod pro kybernetické útočníky. Poznamenání si klíčových událostí adresáře a použití adresářového monitoru povede dlouhou cestu k minimalizaci rizika škodlivého útoku a ochraně dostupnosti vaší služby..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

64 + = 70