Резервирование и восстановление в Active Directory

Администраторам Windows-сетей не избежать знакомства с Active Directory. Эта обзорная статья будет посвящена тому, что же такое Active Directory и с чем их едят.

Включение корзины Active Directory

В настоящее время корзина не включается по умолчанию ни в одной ОС Windows Server. Чтобы использовать этот инструмент, нужно подготовить инфраструктуру, убедиться, что все контроллеры домена в лесу работают под управлением Windows Server 2008 R2 или выше, и установить режим работы леса на Windows 2008 R2 или выше.

ПРИМЕЧАНИЕ. Включение корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) может вызвать затруднения. Чтобы предварительно протестировать обновление схемы или другие изменения, которые могут оказать влияние на работу производственной среды, можно использовать технологию виртуальной лаборатории Veeam. Кроме того, виртуальная лаборатория может включать и другие критически важные виртуальные машины, чтобы на них тоже можно было внести изменения и протестировать совместимость многоуровневых приложений после внесения таких изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.

Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:

Включение корзины Active Directory
  1. При включении корзины Active Directory все tombstone-объекты превратятся в переработанные (recycled), и восстановить их после этого будет уже невозможно.
  2. Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
  3. В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell, GUI отсутствует. В Windows Server 2012 и выше появился Центр администрирования Active Directory (Active Directory Administration Center, ADAC), где все действия с корзиной можно выполнить через пользовательский интерфейс.
  4. Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.

Рис. 2. Включение корзины Active Directory в Windows Server 2012 через ADAC

Читайте также:  5 ошибок при запуске Windows 10, и что с ними делать

Что такое Active Directory в Windows и для чего это нужно

Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).

Что такое Active Directory в Windows и для чего это нужно

Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.

Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.

Что такое Active Directory в Windows и для чего это нужно

Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.

Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена. Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.

Что такое Active Directory в Windows и для чего это нужно

Логическая структура

Влогическую структуру организуют ресурсы, что позволяет искать их по именам, а не физическому расположению.

Объект

Объект (object) — это отличительный набор именованных

атрибутов, описывающих сетевой ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя могут включать его фамилию и имя, отдел

иадрес электронной почты.

ВActive Directory можно организовывать объекты в классы (classes), логически группирующие объекты. Так, классом объекта могут быть пользователи, группы, компьютеры, домены или организационные подразделения (ОП).

Организационное подразделение

Это контейнерный объект для организации объектов в логические административные группы в рамках домена. ОП может содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры, приложения и другие ОП. Иерархия ОП в домене не зависит от структуры других доменов — каждый может поддерживать собственную иерархию.

Домен

Это основная единица логической структуры в Active Directory. Группировка объектов в один или несколько доменов позволяет отразить в сети структуру предприятия.

Все сетевые объекты существуют в пределах домена, и каждый домен хранит сведения только о содержащихся в нем объектах. Теоретически каталог домена может содержать более 10 миллионов объектов, но практически проверен и поддерживается 1 миллион.

Доступ к объектам домена регламентируется списком управления доступом (Access Control List, ACL), содержащим строки контроля доступа (Access Control Entry, АСЕ). Все пол и- тики безопасности и параметры одного домена, например административные разрешения и списки ACL, не пересекаются с па-

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Что такое топология компьютерных сетей

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.
Читайте также:  Замена материнской платы без переустановки Windows

Резервирование и восстановление объектов групповых политик (GPO)

Вот и финальная заметка из серии о резервировании и восстановлении Active Directory, где мы обсудим резервное копирование и восстановление объектов групповых политик. Хотя технически групповые политики отделены от каталога Active Directory, эти два решения очень тесно связаны. Active Directory не только содержит все объекты пользователей и компьютеров, контролируемые групповыми политиками, но также предоставляет структуру, позволяющую применять данные политики к этим пользователям и компьютерам.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

Поиск объектов

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

Поиск объектов

Поиск проблемы

В большинстве случаев установка RSAT проходит без проблем. Однако есть две проблемы, с которыми вы можете столкнуться.

Первый — невозможность установить RSAT. Если это произойдет, убедитесь, что брандмауэр Windows включен. RSAT использует стандартный бэкэнд Windows Update и требует, чтобы брандмауэр был запущен и работал. Если он выключен, включите его и попробуйте снова установить RSAT.

Вторая проблема может возникнуть после установки. Некоторые пользователи пропускают вкладки или испытывают другие проблемы. Единственное решение проблем после установки — удалить и установить RSAT заново.

Если у вас есть проблемы с ADUC, вы должны проверить, правильно ли подключен его ярлык. Это должно привести к% SystemRoot% \ system32 \ Если это не так, переустановите программу.

Современная техника - портал Миникод