Soru Active Directory Etki Alanı Hizmetleri nedir ve nasıl çalışır?


Bu bir Kanonik Soru Active Directory Etki Alanı Hizmetleri (AD DS) hakkında.

Active Directory nedir? Ne yapar ve nasıl çalışır?

Active Directory nasıl düzenlenir: Orman, Çocuk Alanı, Ağaç, Site veya OU


Kendimi, neredeyse her gün onun hakkında ortak bir bilgi olduğunu düşündüğüm bazı şeyleri açıklarken buluyorum. Bu soru, umarız, temel Active Directory sorularının çoğu için kanonik bir soru ve cevap olarak hizmet edecektir. Bu sorunun cevabını düzeltebileceğinizi düşünüyorsanız, lütfen düzeltin.


136
2018-06-27 03:47


Menşei


Ben rep-whoring gibi görünmek istemiyorum, ama daha az teknik ayrıntıda tanımlamanız gereken bir duruma girdiğinizde, AD'nin teknik olmayan bir tanımına da bağlanmaya değer olduğunu düşünüyorum: serverfault.com/q/18339/7200 - Evan Anderson
Bu soru için olası bağlantılar: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... Sadece birkaç isim. Belki bir kurallı olan @MDMarra - TheCleaner


Cevaplar:


Active Directory nedir?

Active Directory Etki Alanı Hizmetleri, Microsoft'un Dizin Sunucusu'dur. Kimlik doğrulama ve yetkilendirme mekanizmalarının yanı sıra diğer ilgili hizmetlerin yerleştirilebileceği bir çerçeve (AD Sertifika Hizmetleri, AD Birleşik Hizmetleri, vb.) Sağlar. O bir LDAP nesneleri içeren uyumlu veritabanı. En çok kullanılan nesneler kullanıcılar, bilgisayarlar ve gruplar. Bu nesneler, herhangi bir sayıda mantıksal veya iş gereksinimiyle organizasyon birimleri (OU'lar) halinde düzenlenebilir. Grup İlkesi Nesneleri (GPO) Daha sonra bir kuruluştaki çeşitli kullanıcılar veya bilgisayarlar için ayarları merkezileştirmek için OU'lara bağlanabilir.

Kullanıcılar "Active Directory" dediğinde, genellikle "Active Directory Etki Alanı Hizmetleri" ni kullanırlar. Sertifika Hizmetleri, Federasyon Hizmetleri, Basit Dizin Hizmetleri, Hak Yönetimi Hizmetleri, vb. Gibi diğer Active Directory rolleri / ürünleri olduğunu unutmamak önemlidir. Bu yanıt, özellikle Active Directory Etki Alanı Hizmetleri'ne atıfta bulunur.

Bir alan nedir ve orman nedir?

Orman bir güvenlik sınırıdır. Ayrı ormanlardaki nesneler birbiriyle etkileşime giremez, her ayrı ormanın yöneticileri bir güven onların arasında. Örneğin, bir Kuruluş Yöneticisi hesabı domain1.comNormalde bir ormanın en ayrıcalıklı hesabı olan, ikinci bir ormanda, hiç izin verilmeyecek. domain2.comBu ormanlar aynı LAN içinde olsa bile, bir güven söz konusu olmadığı sürece.

Birden çok bağlantı birimine sahipseniz veya ayrı güvenlik sınırlarına ihtiyacınız varsa, birden fazla ormana ihtiyacınız vardır.

Bir alan yönetim sınırlamasıdır. Alanlar bir ormanın parçasıdır. Bir ormandaki ilk etki alanı orman kök alanı olarak bilinir. Pek çok küçük ve orta ölçekli organizasyonda (ve hatta bazı büyüklerde), tek bir ormanda yalnızca tek bir alan adı bulacaksınız. Orman kök alanı, orman için varsayılan ad alanını tanımlar. Örneğin, yeni bir ormandaki ilk etki alanı adlandırılmışsa domain1.como zaman orman kök bölgesi budur. Örneğin, bir çocuk etki alanına ihtiyaç duyuyorsanız, örneğin, Şikago'da bir şube ofisi, alt etki alanına ad verebilirsiniz chi. FQDN alt alanın chi.domain1.com. Çocuk etki alanının adının orman kök etki alanının adı olduğunu görebilirsiniz. Bu tipik olarak nasıl çalışır. Aynı ormandaki ayrık ad alanlarına sahip olabilirsiniz, ancak bu farklı bir süre için tamamen ayrı bir solucan olabilir.

Çoğu durumda, tek bir AD etki alanına sahip olmak için mümkün olan her şeyi denemek ve yapmak isteyeceksiniz. Yönetimi basitleştirir ve AD'nin modern versiyonları, çocuk alanlarına olan ihtiyacı azaltan OU'ya dayalı denetimi devretmeyi çok kolaylaştırır.

İstediğim her şeyi alan adına verebilirim, değil mi?

Pek sayılmaz. dcpromo.exeBir sunucunun tanıtımını DC'ye işleyen araç salakça değildir. Adlandırma ile kötü kararlar vermenize izin vermez, bu yüzden emin değilseniz bu bölüme dikkat edin. (Düzenle: dcpromo kullanımdan kaldırıldı Server 2012'de kullanın. Install-ADDSForest PowerShell cmdlet veya Sunucu Yöneticisi'nden AD DS'yi yükleyin.)

Her şeyden önce, kullanmayın TLD gibi .local, .lan, .corp veya diğer herhangi bir bok. Bu TLD'ler değil ayrılmış. ICANN şimdi TLD satıyor, yani mycompany.corp Bugün kullandığınız, aslında yarın birine ait olabilir. Sahipseniz mycompany.como zaman akıllı şey yapmak gibi bir şey kullanmak internal.mycompany.com veya ad.mycompany.com Dahili AD adı için. Eğer kullanırsan mycompany.com Harici olarak çözülebilir bir web sitesi olarak, bunu dahili AD adınız olarak kullanmaktan kaçınmalısınız, çünkü bir bölünmüş beyin DNS ile sonuçlanacaksınız.

Etki Alanı Denetleyicileri ve Genel Kataloglar

Kimlik doğrulama veya yetkilendirme isteklerine yanıt veren bir sunucu bir Etki Alanı Denetleyicisidir (DC). Çoğu durumda, bir Etki Alanı Denetleyicisi bir kopyasını tutacaktır. Genel Katalog. Genel Katalog (GC), kısmi nesneler kümesidir. herşey ormandaki alanlar. Doğrudan aranabilirdir, yani, etki alanları arası sorgular genellikle hedef alandaki bir DC'ye yönlendirmeye gerek kalmaksızın bir GC üzerinde gerçekleştirilebilir. Bir DC 3268 bağlantı noktasında sorgulanırsa (SSL kullanılıyorsa 3269), GC sorgulanır. 389 numaralı bağlantı noktası (SSL kullanılıyorsa 636) sorgulanırsa, standart bir LDAP sorgusu kullanılıyor ve diğer etki alanlarında var olan nesneler Referans.

Bir kullanıcı AD kimlik bilgilerini kullanarak AD'ye katılan bir bilgisayara giriş yapmaya çalıştığında, kullanıcı hesabı ve giriş yapan bilgisayar hesabı için tuzlanmış ve karma kullanıcı adı ve parola birleşimi DC'ye gönderilir. Evet, bilgisayar da oturum açar. Bu önemlidir, çünkü AD'deki bilgisayar hesabına bir şey olursa, birisi hesabı sıfırlar veya siler gibi, bilgisayarla etki alanı arasında bir güven ilişkisi olmadığını söyleyen bir hata alabilirsiniz. Ağ kimlik bilgileriniz iyi olsa da, bilgisayar artık etki alanına oturum açmak için güvenilmez.

Domain Controller Kullanılabilirlik Endişeleri

"Birincil Etki Alanı Denetleyicisi (PDC) sahibiyim ve bir Yedek Etki Alanı Denetleyicisi (BDC) kurmak istiyorum" diye daha çok inanmak istiyorum. PDC'ler ve BDC'ler Windows NT4 ile öldü. PDC'lerin son kalesi, hala NT4 DC'leri olduğu zaman Windows 2000 geçiş karma modu AD idi. Temel olarak, 15 yaşından büyük bir çocuğu desteklemiyorsanız hiç yükseltilmediyse, gerçekten PDC'niz veya bir BDC'niz yok, sadece iki etki alanı denetleyiciniz var.

Birden çok DC, aynı anda farklı kullanıcılar ve bilgisayarlardan kimlik doğrulama isteklerini yanıtlayabilir. Biri başarısız olursa, diğerleri NT4 günlerinde yapmak zorunda olduğunuz gibi bir "birincil" yapmak zorunda kalmadan kimlik doğrulama hizmetleri sunmaya devam edecektir. Sahip olmak en iyi uygulamadır en azından Alan adı başına iki DC. Bu DC'lerin her ikisi de GC'nin bir kopyasına sahip olmalıdır ve her ikisi de etki alanınız için Active Directory Entegre DNS bölgelerinin bir kopyasını tutan DNS sunucuları olmalıdır.

FSMO Rolleri

"Yani, PDC yoksa, neden sadece tek bir DC'nin sahip olabileceği bir PDC rolü var?"

Bunu çok duyuyorum. Var PDC Emulator rolü. PDC olmaktan farklıdır. Aslında, orada 5 Esnek Tek Master Operations rolleri (FSMO). Bunlar ayrıca Operations Master rolleri de denir. İki terim birbiriyle değiştirilebilir. Onlar ne ve ne yapıyorlar? İyi soru! 5 rol ve işlevleri şunlardır:

Alan Adlandırma Ana - Orman başına yalnızca bir Alan Adlandırma Yetkilisi vardır. Etki Alanı Adlandırma Yöneticisi, bir ormana benzersiz olan yeni bir etki alanı eklendiğinde emin olur. Bu rolü barındıran sunucu çevrimdışıysa, yeni alt alan adları eklemek gibi şeyleri içeren AD ad alanında değişiklik yapamazsınız.

Şema Master - Ormanda sadece bir Şema Operasyon Uzmanı var. Active Directory Şemasının güncellenmesinden sorumludur. Windows Server'ın DC veya yeni bir Exchange kurulumu olarak çalışan yeni bir sürümü için AD hazırlamak gibi, bunu gerektiren görevler Şema değişikliklerini gerektirir. Bu değişiklikler Şema Yöneticisinden yapılmalıdır.

Altyapı Master - Alan adı başına bir Altyapı Yöneticisi var. Ormanda yalnızca tek bir alanınız varsa, bunun için endişelenmenize gerek yoktur. Birden fazla ormanınız varsa, bu rolün olduğundan emin olmalısınız. Ormandaki her DC bir GC olmadıkça bir GC tutucu olan bir sunucu tarafından tutulmaz.. Altyapı yöneticisi, etki alanları arası başvuruların düzgün bir şekilde ele alındığından emin olmaktan sorumludur. Bir etki alanındaki bir kullanıcı başka bir etki alanındaki bir gruba eklenirse, söz konusu etki alanlarının altyapı yöneticisi, düzgün bir şekilde işlendiğinden emin olur. Genel bir katalogdaysa, bu rol düzgün çalışmayacaktır.

RID Master - RID Havuzları, DC'ye RID havuzları vermekle sorumludur. Alan adı başına bir adet RID yöneticisi var. AD alanındaki herhangi bir nesne benzersiz bir Güvenlik Tanımlayıcısı (SID). Bu, alan adı tanımlayıcısının ve göreceli bir tanımlayıcının birleşiminden oluşur. Belirli bir alandaki her nesne aynı alan adı tanımlayıcısına sahiptir, bu nedenle göreceli tanımlayıcı nesneleri benzersiz kılan şeydir. Her bir DC'nin kullanacağı bir göreli kimlik havuzu vardır; bu nedenle, bu DC yeni bir nesne oluşturduğunda, henüz kullanılmadığı bir RID'yi ekler. DC'ler çakışan olmayan havuzlar yayınlandığından, her bir RID, etki alanının ömrü boyunca benzersiz kalmalıdır. DC, havuzunda ~ 100 RID kaldığında, RID ana ünitesinden yeni bir havuz ister. RID yöneticisi uzun bir süre çevrimdışıysa, nesne oluşturma başarısız olabilir.

PDC Emulator- Son olarak, hepsinin en yaygın yanlış anlaşılmış rolüne kavuşuyoruz, PDC Emulator rolü. Alan adı başına bir adet PDC Emulator var. Başarısız bir kimlik doğrulama girişimi varsa, PDC Öykünücüsüne iletilir. Bir DC'de bir parola güncellendiyse ve henüz başkalarına çoğaltılmamışsa, PDC Emulator "bağlantı kesici" işlevi görür. PDC Emulator aynı zamanda etki alanı boyunca zaman senkronizasyonunu kontrol eden sunucudur. Diğer tüm DC'ler PDC Emulator'undan zamanlarını senkronize eder. Tüm istemciler, oturum açtıkları DC'den zamanlarını senkronize eder. Her şeyin birbirinden 5 dakika içinde kalması önemlidir, aksi takdirde Kerberos kırılır ve bu olduğunda herkes ağlar.

Hatırlanması gereken önemli nokta, bu rollerin üzerinde çalıştığı sunucuların taşa yerleştirilmemesidir. Bu rolleri etrafta hareket ettirmek genellikle önemsizdir, bu nedenle bazı DC'ler diğerlerinden biraz daha fazla olsa da, kısa süreler boyunca aşağı inerlerse, her şey normal olarak işleyecektir. Uzun bir süredir kapalıysa, rolleri şeffaf bir şekilde aktarmak kolaydır. NT4 PDC / BDC günlerinden çok daha güzel, bu yüzden lütfen DC'lerinizi bu eski isimlerle aramayı bırakın. :)

Öyleyse, DC'ler birbirlerinden bağımsız olarak çalışabiliyorlarsa bilgiyi nasıl paylaşıyorlar?

Çoğaltma, tabiki. Varsayılan olarak, aynı sitede aynı alana ait olan DC'ler, verilerini birbirlerine 15 saniyelik aralıklarla çoğaltacaktır. Bu, her şeyin nispeten güncel olduğundan emin olur.

Hemen çoğaltmayı tetikleyen bazı "acil" olaylar var. Bu olaylar şunlardır: Çok sayıda başarısız oturum açma için bir hesap kilitlendi, etki alanı parolası veya kilitleme ilkelerinde bir değişiklik yapıldı, LSA sırrı değiştirildi, parola bir DC'nin bilgisayar hesabında değiştirildi veya RID Yöneticisi rolü aktarıldı yeni bir DC'ye. Bu etkinliklerden herhangi biri hemen bir çoğaltma olayı tetikleyecektir.

Şifre değişiklikleri acil ve acil olmayan arasında bir yere düşer ve benzersiz şekilde ele alınır. Bir kullanıcının şifresi değiştiyse DC01 ve bir kullanıcı, kimlik doğrulaması yapan bir bilgisayara giriş yapmayı dener DC02 Çoğaltma gerçekleşmeden önce, bunun başarısız olmasını beklerdin, değil mi? Neyse ki bu olmadı. Burada ayrıca üçüncü bir DC olduğunu varsayalım DC03 PDC Emulator rolünü tutar. Ne zaman DC01 kullanıcının yeni şifresiyle güncellenir, bu değişiklik hemen kopyalanır DC03 Ayrıca. Kimlik doğrulama girişimi başladığında DC02 başarısız DC02 daha sonra bu kimlik doğrulama girişimini ilerlet DC03bunun gerçekten iyi olduğunu doğrulayan ve oturum açma izni verildi.

DNS hakkında konuşalım

DNS düzgün çalışan bir AD için kritik öneme sahiptir. Resmi Microsoft parti hattı, düzgün ayarlanmışsa herhangi bir DNS sunucusunun kullanılabilmesidir. AD bölgelerini barındırmak için BIND'i kullanmaya çalışırsanız yükseksiniz. Ciddi anlamda. AD Entegre DNS bölgelerini kullanarak çalışın ve gerekiyorsa diğer bölgeler için koşullu veya global ileticiler kullanın. İstemcilerinizin AD DNS sunucularınızı kullanacak şekilde yapılandırılmış olması gerekir, dolayısıyla burada fazlalık olması önemlidir. İki DC'niz varsa, bunların hem DNS'yi çalıştırmasını sağlayın hem de istemcilerinizi her ikisini de ad çözümlemesi için kullanacak şekilde yapılandırın.

Ayrıca, birden fazla DC'niz varsa, DNS çözümü için önce kendilerini listelemediğinden emin olmak isteyeceksiniz. Bu, üzerinde bulundukları bir duruma yol açabilir "çoğaltma adası" AD çoğaltma topolojisinin geri kalanıyla bağlantısının kesildiği ve kurtarılamadığı yerler. İki sunucunuz varsa DC01 - 10.1.1.1 ve DC02 - 10.1.1.2ve sonra DNS sunucu listesi şu şekilde yapılandırılmalıdır:

Sunucu: DC01 (10.1.1.1)
  Birincil DNS - 10.1.1.2
  İkincil DNS - 127.0.0.1

Sunucu: DC02 (10.1.1.2)
  Birincil DNS - 10.1.1.1
  İkincil DNS - 127.0.0.1

Tamam, bu karmaşık görünüyor. Neden AD'yi kullanmak istiyorum?

Çünkü bir kez ne yaptığını biliyorsun, hayatın sonsuza dek daha iyi olur. AD, kullanıcı ve bilgisayar yönetiminin merkezileştirilmesine, kaynak erişiminin ve kullanımının merkezileşmesine izin verir. Bir ofiste 50 kullanıcınız olduğu bir durumu hayal edin. Her kullanıcının kendi bilgisayarlarına her giriş için sahip olmasını istediyseniz, her bilgisayarda 50 yerel kullanıcı hesabı yapılandırmanız gerekir. AD ile, sadece kullanıcı hesabını bir kez yapmanız gerekir ve varsayılan olarak alandaki herhangi bir PC'ye giriş yapabilir. Güvenliği zorlaştırmak istiyorsan, bunu 50 kere yapmak zorundasın. Bir kabus gibi, değil mi? Ayrıca, sadece bu kişilerin yarısını almak istediğiniz bir dosya paylaşımına sahip olduğunuzu hayal edin. AD kullanmıyorsanız, kullanıcı adınızı ve şifrelerinizi sunucuya elle erişerek, erişime açık bir erişim sağlamak için çoğaltmanız veya paylaşılan bir hesap oluşturmanız ve her kullanıcıya kullanıcı adı ve parola vermeniz gerekir. Tek yol, kullanıcıların şifrelerini bilmeniz (ve sürekli güncellemeniz) anlamına gelir. Diğer bir yol, denetim izninizin olmadığı anlamına gelir. İyi değil, değil mi?

Ayrıca, AD kurulumunuz olduğunda Grup İlkesi'ni kullanma yeteneğini de elde edersiniz. Grup İlkesi, kullanıcılar ve / veya OU'lardaki bilgisayarlar için ayarları tanımlayan OU'lara bağlı bir dizi nesnedir. Örneğin, "Kapat" ın 500 laboratuvar bilgisayarının başlangıç ​​menüsünde olmaması için bunu Grup İlkesi'nde tek bir ayarda yapabilirsiniz. Uygun kayıt defteri girişlerini elle yapılandırarak saatlerce veya günler geçirmek yerine, bir kez bir Grup İlkesi Nesnesi oluşturursunuz, doğru OU veya OU'lara bağlarsınız ve bunun hakkında bir daha düşünmek zorunda kalmazsınız. Yapılandırılabilen yüzlerce GPO vardır ve Grup İlkesi esnekliği, Microsoft'un kurumsal pazarda çok baskın olmasının başlıca nedenlerinden biridir.


146
2018-06-27 03:47



Aferin, Mark. Başar QA. - EEAA
@ TheCleaner Agreed, ancak Stack Exchange misyonunun bir parçası, belirli bir konu hakkında tüm yararlı bilgiler için merkezi bir depo olmaktır. Dolayısıyla, Wikipedia'daki bilgiler genellikle çok doğru ve alakalı olsa da, buradaki insanlar burayı yönlendirmiyor ve "burada", sistem yönetimiyle ilgili her şey için tek noktadan satış noktası olmalı. - MDMarra
@RyanBolger Bu tüm doğru, ama bu Q & A bir yeni başlayana yöneliktir. Desteklenebilirlik büyük bir endişe ve Microsoft kesinlikle değil BIND (veya başka bir şey) çalıştırıyorsanız, DNS ile ilgili olabilecek bir AD sorununu çözmenize yardımcı olur. "AD nedir ve nasıl çalışır?" Sorusunu sorması gereken bir kişi için önerilmeyen gelişmiş bir yapılandırmadır. Hepsinin üstünde, DNS düşük yüklü bir rol. Zaten bir DC'niz varsa, DNS'leri çalıştırmamak ve DNS altyapınızın geri kalanı için global bir iletici bulundurmak çok zor. - MDMarra
@RyanBolger - MDMarra ile anlaştı. Eğer Fred zaten iyi işleyen ve karmaşık bir dahili DNS altyapısına sahipse, Fred SF'ye "Bu yüzden bu Active Directory meselesini kurmak üzereyim - her şeyi anlat lütfen?" - mfinni
Cevabınız bana, devraldığım bir ağın etki alanı denetleyicilerinde DNS sunucusu arama sırasını kontrol etmemi hatırlattı ... Evet, kendilerine atıfta bulundular! - myron-semack


Not: Bu cevap, ormanlar, çocuk alanları, ağaçlar, siteler ve OU'lar arasındaki farklılıklar hakkında sorulan farklı bir sorudan bu soruya birleştirildi. Bu orijinal olarak bu özel soruya cevap olarak yazılmamıştı.


Orman

Güvenlik sınırına ihtiyaç duyduğunuzda yeni bir orman oluşturmak istiyorsunuz. Örneğin, AD ile yönetmek istediğiniz bir çevre ağınız (DMZ) olabilir, ancak dahili AD'nizin çevre ağında güvenlik nedeniyle kullanılmasını istemezsiniz. Bu durumda, bu güvenlik bölgesi için yeni bir orman oluşturmak istersiniz. Birbirinize güvenmeyen çok sayıda varlığınız varsa, bu ayrımı da isteyebilirsiniz - örneğin, bağımsız olarak çalışan bireysel işletmeleri kapsayan bir kabuk şirketi. Bu durumda, her bir öğenin kendi ormanına sahip olmasını istersiniz.


Çocuk Alanı

Gerçekten, bunlara daha fazla ihtiyacın yok. Bir çocuk alan adının ne zaman olmasını istediğinize dair birkaç iyi örnek vardır. Eski bir neden, farklı parola ilkesi gereklilikleridir, ancak bu, artık geçerli değil, çünkü Sunucu 2008'den beri kullanılabilecek Fine-Grained Password Policies'ler var. Gerçekten fakir ağ bağlantısına sahip ve istediğiniz alanlara sahipseniz, yalnızca bir alt etki alanına ihtiyacınız var. Çoğaltma trafiğini büyük ölçüde azaltmak için - uydu WAN bağlantısı olan bir yolcu gemisi iyi bir örnektir. Bu durumda, her gemi gemisi, aynı şirketteki diğer alanlarla aynı ormanda bulunmanın avantajlarından faydalanmaya devam ederken, nispeten kendi içinde yer alabilmek için kendi çocuk alanı olabilir.


ağaç

Bu garip bir top. Tek bir ormanın yönetim faydalarını korumak, ancak yeni bir DNS ad alanında bir etki alanına sahip olmak istediğinizde yeni ağaçlar kullanılır. Örneğin corp.example.com orman kökü olabilir, ama sahip olabilirsiniz ad.mdmarra.com aynı ormanda yeni bir ağaç kullanıyor. Çocuk alanları için aynı kurallar ve öneriler burada geçerlidir - bunları dikkatli kullanın. Genellikle modern reklamlarda gerekli değildir.


yer

Bir site ağınızda fiziksel veya mantıksal sınırı temsil etmelidir. Örneğin, şube ofisleri. Siteler farklı alanlarda etki alanı denetleyicileri için çoğaltma ortaklarını akıllıca seçmek için kullanılır. Siteleri tanımlamaksızın, tüm DC'ler aynı fiziksel konumda oldukları gibi ele alınacak ve bir kafes topolojisinde çoğaltılacaktır. Pratikte, çoğu kuruluş bir mantıksal olarak mantıksal olarak yapılandırılmıştır, bu yüzden siteler ve hizmetler bunu yansıtacak şekilde yapılandırılmalıdır.

Diğer uygulamalar da Siteleri ve Hizmetleri kullanır. DFS, ad alanı yönlendirmeleri ve çoğaltma ortağı seçimi için kullanır. Exchange ve Outlook, sorgulamak için "en yakın" genel kataloğu bulmak için bunu kullanır. Alan adı verilen bilgisayarlarınız, kimlik doğrulaması yapmak için "en yakın" DC (ler) 'i bulmak için bunu kullanır. Bu olmadan, çoğaltma ve kimlik doğrulama trafiğiniz Vahşi Batı gibidir.


Organizasyon Birimi

Bunlar, kuruluşunuzun izin ve grup ilkesi uygulaması için temsilci ihtiyacını yansıtacak şekilde oluşturulmalıdır. Birçok kuruluşun site başına bir OU'su vardır, çünkü GPO'yu bu şekilde uygularlar - bu aptalcadır çünkü GPO'yu Sitelerden ve Hizmetler'den de bir siteye uygulayabilirsiniz. Diğer kuruluşlar OU'ları departman veya işleve ayırırlar. Bu birçok insan için mantıklıdır, ancak gerçekten OU tasarımı ihtiyaçlarınızı karşılamalı ve oldukça esnektir. Bunu yapmak için "tek yönlü" yoktur.

Çok uluslu bir şirketin üst düzey OU'ları olabilir. North America, Europe, Asia, South America, Africa Böylece kıta bazında idari ayrıcalıklarını devredebilirler. Diğer kuruluşların üst düzey OU'ları olabilir. Human Resources, Accounting, Salesvb. onlar için daha anlamlısa. Diğer kuruluşlar en az politika gereksinimine sahiptir ve sadece "düz" bir düzen kullanırlar Employee Users ve Employee Computers. Burada doğru bir cevap yok, şirketin ihtiyaçlarını karşılayan her şey.


17
2018-01-28 17:06



Birisi onun AD'yi oldukça iyi biliyor .. +1 - NickW
@NickW AD soruları 72.9k rep'inin 72k'sinin muhtemelen nereden geldiğini: - MDMarra
Ve hala tüm bu zamandan sonra okumak için harika bir Technet makalesi: technet.microsoft.com/en-us/library/bb727030.aspx - Bazı parçalar değiştirildi ama kesinlikle okunmaya değer. - TheCleaner