सक्रिय निर्देशिका डोमेन सेवा क्या है और यह कैसे काम करती है?


144

यह सक्रिय निर्देशिका डोमेन सेवा (AD DS) के बारे में एक Canonical प्रश्न है

सक्रिय निर्देशिका क्या है? यह क्या करता है और यह कैसे काम करता है?

कैसे सक्रिय निर्देशिका का आयोजन किया जाता है: वन, बाल डोमेन, वृक्ष, साइट, या OU


मैं अपने आप को यह समझाता हूं कि मैं जो कुछ भी जानता हूं, उसके बारे में सामान्य ज्ञान है। यह प्रश्न, उम्मीद है, एक विहित प्रश्न के रूप में सेवा करेगा और सबसे बुनियादी सक्रिय निर्देशिका प्रश्नों के उत्तर देगा। यदि आपको लगता है कि आप इस प्रश्न का उत्तर सुधार सकते हैं, तो कृपया संपादित करें।


7
मैं ऐसा नहीं देखना चाहता कि मैं rep-whoring कर रहा हूं, लेकिन मुझे लगता है कि यह AD के गैर-तकनीकी विवरण से लिंक करने के लायक है, भी, यदि आप ऐसी स्थिति में भाग लेते हैं, जहां आपको इसे कम तकनीकी विवरण में वर्णन करने की आवश्यकता है: सर्वरफॉल्ट .com / q / 18339/7200
इवान एंडरसन

इस प्रश्न के संभावित लिंक: serverfault.com/questions/568606/… - - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878/… बस कुछ नाम बताएं । हो सकता है कि एक विहित आदेश @MDMarra
TheCleaner

जवाबों:


153

सक्रिय निर्देशिका क्या है?

सक्रिय निर्देशिका डोमेन सेवाएँ Microsoft की निर्देशिका सर्वर है। यह प्रमाणीकरण और प्राधिकरण तंत्र के साथ-साथ एक ढांचा प्रदान करता है जिसके भीतर अन्य संबंधित सेवाओं को तैनात किया जा सकता है (AD प्रमाणपत्र सेवा, AD Federated Services, आदि)। यह एक LDAP अनुरूप डेटाबेस है जिसमें ऑब्जेक्ट्स होते हैं। सबसे अधिक इस्तेमाल की जाने वाली वस्तुएं उपयोगकर्ता, कंप्यूटर और समूह हैं। इन वस्तुओं को किसी भी तार्किक या व्यावसायिक आवश्यकताओं के द्वारा संगठनात्मक इकाइयों (OU) में व्यवस्थित किया जा सकता है। समूह नीति ऑब्जेक्ट्स (GPOs) को तब किसी संगठन में विभिन्न उपयोगकर्ताओं या कंप्यूटरों के लिए सेटिंग्स को केंद्रीकृत करने के लिए OUs से जोड़ा जा सकता है।

जब लोग कहते हैं "सक्रिय निर्देशिका" वे आम तौर पर "सक्रिय निर्देशिका डोमेन सेवाओं" का उल्लेख कर रहे हैं। यह ध्यान रखना महत्वपूर्ण है कि अन्य सक्रिय निर्देशिका भूमिकाएं / उत्पाद हैं जैसे कि सर्टिफिकेट सर्विसेज, फेडरेशन सर्विसेज, लाइटवेट डायरेक्ट्री सर्विसेज, राइट्स मैनेजमेंट सर्विसेज आदि। यह उत्तर विशेष रूप से सक्रिय निर्देशिका डोमेन सेवाओं को संदर्भित करता है।

एक डोमेन क्या है और एक जंगल क्या है?

एक जंगल एक सुरक्षा सीमा है। जब तक प्रत्येक अलग जंगल के व्यवस्थापक उनके बीच एक विश्वास पैदा नहीं करते, तब तक अलग-अलग जंगलों की वस्तुएँ एक-दूसरे के साथ बातचीत करने में सक्षम नहीं होती हैं। उदाहरण के लिए, एक एंटरप्राइज़ एडमिनिस्ट्रेटर खाता domain1.com, जो सामान्य रूप से किसी जंगल का सबसे विशेषाधिकार प्राप्त खाता है, के पास एक दूसरे जंगल में नामित किसी domain2.comभी प्रकार की कोई अनुमति नहीं होगी , भले ही वे वन उसी लैन के भीतर मौजूद हों, जब तक कि वहां कोई भरोसा न हो। ।

यदि आपके पास कई अलग-अलग व्यावसायिक इकाइयाँ हैं या अलग-अलग सुरक्षा सीमाओं की आवश्यकता है, तो आपको कई वनों की आवश्यकता है।

एक डोमेन एक प्रबंधन सीमा है। डोमेन एक जंगल का हिस्सा हैं। एक जंगल में पहले डोमेन को वन रूट डोमेन के रूप में जाना जाता है। कई छोटे और मध्यम संगठनों (और यहां तक ​​कि कुछ बड़े लोग) में, आप केवल एक ही जंगल में एक ही डोमेन पाएंगे। फ़ॉरेस्ट रूट डोमेन फ़ॉरेस्ट के लिए डिफ़ॉल्ट नामस्थान को परिभाषित करता है। उदाहरण के लिए, यदि किसी नए फ़ॉरेस्ट में पहले डोमेन का नाम है domain1.com, तो वह फ़ॉरेस्ट रूट डोमेन है। यदि आपके पास चाइल्ड डोमेन के लिए व्यवसाय की आवश्यकता है, उदाहरण के लिए - शिकागो में एक शाखा कार्यालय, तो आप चाइल्ड डोमेन का नाम दे सकते हैं chi। चाइल्ड डोमेन का FQDN होगाchi.domain1.com। आप देख सकते हैं कि चाइल्ड डोमेन का नाम प्रीपेड फ़ॉरेस्ट रूट डोमेन नाम था। यह आमतौर पर यह कैसे काम करता है। आप एक ही जंगल में नामस्थानों को विस्थापित कर सकते हैं, लेकिन यह एक अलग समय के लिए कीड़े के पूरे अलग-अलग डिब्बे हो सकते हैं।

ज्यादातर मामलों में, आप एक ही विज्ञापन डोमेन के लिए हर संभव कोशिश करना चाहते हैं। यह प्रबंधन को सरल करता है, और AD के आधुनिक संस्करण OU के आधार पर नियंत्रण को सौंपना बहुत आसान बनाते हैं, जो बाल डोमेन की आवश्यकता को कम करता है।

मैं अपने डोमेन को नाम दे सकता हूं जो भी मैं चाहता हूं, ठीक है?

ज़रुरी नहीं। dcpromo.exe, एक डीसी को सर्वर के प्रचार को संभालने वाला उपकरण बेवकूफ-प्रूफ नहीं है। यह आपको अपने नामकरण के साथ बुरे निर्णय लेने देता है, इसलिए यदि आप अनिश्चित हैं तो इस खंड पर ध्यान दें। (संपादित करें: dcpromo सर्वर 2012 में पदावनत है। Install-ADDSForestPowerShell cmdlet का उपयोग करें या प्रबंधक प्रबंधक से AD को स्थापित करें।)

सबसे पहले, TLD जैसे .Local, .lan, .corp या उस अन्य किसी भी बकवास का उपयोग न करें। जो TLD आरक्षित नहीं हैं । ICANN अब TLD को बेच रहा है, इसलिए आप mycompany.corpजो आज उपयोग कर रहे हैं, वह वास्तव में कल किसी का हो सकता है। यदि आप के मालिक हैं mycompany.com, तो ऐसा करने के लिए स्मार्ट बात की तरह कुछ का उपयोग करें internal.mycompany.comया ad.mycompany.comअपने आंतरिक ई नाम के लिए। यदि आप mycompany.comबाहरी रूप से resolvable वेबसाइट के रूप में उपयोग करते हैं , तो आपको अपने आंतरिक AD नाम के रूप में अच्छी तरह से उपयोग करने से बचना चाहिए, क्योंकि आप एक विभाजन-मस्तिष्क DNS के साथ समाप्त करेंगे।

डोमेन नियंत्रक और वैश्विक कैटलॉग

एक सर्वर जो प्रमाणीकरण या प्राधिकरण अनुरोधों का जवाब देता है वह एक डोमेन नियंत्रक (DC) है। ज्यादातर मामलों में, एक डोमेन नियंत्रक ग्लोबल कैटलॉग की एक प्रति रखेगा । एक ग्लोबल कैटलॉग (जीसी) एक जंगल में सभी डोमेन में वस्तुओं का एक आंशिक सेट है । यह सीधे खोजे जाने योग्य है, जिसका अर्थ है कि क्रॉस-डोमेन क्वेरीज़ को आमतौर पर लक्ष्य डोमेन में डीसी के लिए एक रेफरल की आवश्यकता के बिना जीसी पर किया जा सकता है। यदि पोर्ट 3268 (SSL का उपयोग करते हुए 3269) पर एक डीसी को क्वेर किया जाता है, तो GC को क्वियर किया जा रहा है। यदि पोर्ट 389 (636 यदि SSL का उपयोग कर रहा है) को क्वेर किया जाता है, तो एक मानक LDAP क्वेरी का उपयोग किया जा रहा है और अन्य डोमेन में मौजूद वस्तुओं को रेफरल की आवश्यकता हो सकती है ।

जब कोई उपयोगकर्ता अपने AD क्रेडेंशियल्स का उपयोग करके AD से जुड़ने वाले कंप्यूटर में लॉग इन करने का प्रयास करता है, तो नमकीन और हैशेड यूज़रनेम और पासवर्ड संयोजन दोनों उपयोगकर्ता खाते और लॉग इन करने वाले कंप्यूटर खाते के लिए DC को भेजे जाते हैं। हाँ। कंप्यूटर लॉग इन भी करता है। यह महत्वपूर्ण है, क्योंकि यदि AD में कंप्यूटर खाते के साथ कुछ होता है, जैसे कोई व्यक्ति खाता रीसेट करता है या उसे हटाता है, तो आपको एक त्रुटि मिल सकती है जो कहती है कि कंप्यूटर और डोमेन के बीच एक विश्वास संबंध मौजूद नहीं है। भले ही आपके नेटवर्क क्रेडेंशियल्स ठीक हैं, कंप्यूटर को अब डोमेन में लॉग इन करने के लिए भरोसा नहीं किया जाता है।

डोमेन नियंत्रक उपलब्धता चिंताएं

मैं सुनता हूं "मेरे पास एक प्राथमिक डोमेन नियंत्रक (पीडीसी) है और एक बैकअप डोमेन नियंत्रक (बीडीसी) स्थापित करना चाहता हूं" और अधिक बार मैं विश्वास करना चाहूंगा। पीडीसी और बीडीसी की अवधारणा विंडोज एनटी 4 के साथ मृत्यु हो गई। PDCs के लिए अंतिम गढ़ एक Windows 2000 संक्रमणकालीन मिश्रित मोड AD में था जब आपके पास अभी भी NT4 DC था। मूल रूप से, जब तक आप एक 15+ वर्ष पुरानी स्थापना का समर्थन नहीं कर रहे हैं, जिसे कभी अपग्रेड नहीं किया गया है, तो आपके पास वास्तव में पीडीसी या बीडीसी नहीं है, आपके पास केवल दो डोमेन नियंत्रक हैं।

एकाधिक डीसी एक साथ विभिन्न उपयोगकर्ताओं और कंप्यूटरों से प्रमाणीकरण अनुरोधों का जवाब देने में सक्षम हैं। यदि कोई विफल हो जाता है, तो दूसरे आपको "प्राथमिक" बनाने के लिए बिना प्रमाणीकरण सेवाओं की पेशकश करना जारी रखेंगे, जैसे कि आपको एनटीआर दिनों में करना होगा। प्रति डोमेन कम से कम दो डीसी होना सबसे अच्छा अभ्यास है । ये DC दोनों GC की एक प्रति रखना चाहिए और दोनों DNS सर्वर होने चाहिए जो आपके डोमेन के लिए सक्रिय निर्देशिका एकीकृत DNS ज़ोन की एक प्रति भी रखते हैं।

FSMO रोल्स

"तो, अगर कोई पीडीसी नहीं हैं, तो एक पीडीसी की भूमिका क्यों है जो केवल एक डीसी हो सकती है?"

मैं यह बहुत सुनता हूं। इसमें पीडीसी एमुलेटर भूमिका है। यह पीडीसी होने से अलग है। वास्तव में, 5 लचीले एकल मास्टर संचालन भूमिकाएं (FSMO) हैं । इन्हें ऑपरेशन मास्टर भूमिका भी कहा जाता है। दो शब्द विनिमेय हैं। वे क्या हैं और वे क्या करते हैं? अच्छा प्रश्न! 5 भूमिकाएँ और उनके कार्य हैं:

डोमेन नामकरण मास्टर - प्रति वन केवल एक डोमेन नामकरण मास्टर है। डोमेन नामकरण मास्टर यह सुनिश्चित करता है कि जब एक नया डोमेन एक जंगल में जोड़ा जाता है कि यह अद्वितीय है। यदि इस भूमिका को रखने वाला सर्वर ऑफ़लाइन है, तो आप AD नामस्थान में परिवर्तन नहीं कर पाएंगे, जिसमें नए चाइल्ड डोमेन को जोड़ना जैसी चीजें शामिल हैं।

स्कीमा मास्टर - एक जंगल में केवल एक स्कीमा संचालन मास्टर होता है। यह सक्रिय निर्देशिका स्कीमा को अद्यतन करने के लिए ज़िम्मेदार है। ऐसे कार्यों की आवश्यकता होती है, जैसे कि एक डीसी या एक्सचेंज की स्थापना के रूप में विंडोज सर्वर के नए संस्करण के लिए विज्ञापन तैयार करना, स्कीमा संशोधनों की आवश्यकता होती है। इन संशोधनों को स्कीमा मास्टर से किया जाना चाहिए।

Infrastructure Master - प्रति डोमेन एक Infrastructure Master है। यदि आपके पास अपने जंगल में केवल एक ही डोमेन है, तो आपको वास्तव में इसके बारे में चिंता करने की आवश्यकता नहीं है। यदि आपके पास एक से अधिक वन हैं, तो आपको यह सुनिश्चित करना चाहिए कि यह भूमिका एक सर्वर के पास नहीं है जो कि एक GC धारक भी है जब तक कि जंगल में प्रत्येक DC एक GC नहीं है । बुनियादी ढांचा मास्टर यह सुनिश्चित करने के लिए जिम्मेदार है कि क्रॉस-डोमेन संदर्भ ठीक से संभाले जाते हैं। यदि एक डोमेन के उपयोगकर्ता को किसी अन्य डोमेन के समूह में जोड़ा जाता है, तो प्रश्न में डोमेन के लिए बुनियादी ढांचा मास्टर यह सुनिश्चित करता है कि इसे ठीक से संभाला जाए। यदि यह वैश्विक कैटलॉग पर है तो यह भूमिका सही ढंग से काम नहीं करेगी।

आरआईडी मास्टर - रिलेटिव आईडी मास्टर (आरआईडी मास्टर) डीसी को आरआईडी पूल जारी करने के लिए जिम्मेदार है। प्रति डोमेन एक RID मास्टर है। AD डोमेन में किसी भी ऑब्जेक्ट की एक अद्वितीय सुरक्षा पहचानकर्ता (SID) है। यह डोमेन आइडेंटिफ़ायर और एक रिश्तेदार आइडेंटिफ़ायर के संयोजन से बनता है। किसी दिए गए डोमेन की प्रत्येक वस्तु में एक ही डोमेन आइडेंटिफायर होता है, इसलिए सापेक्ष पहचानकर्ता वह है जो वस्तुओं को विशिष्ट बनाता है। प्रत्येक DC में उपयोग करने के लिए संबंधित ID का एक पूल होता है, इसलिए जब DC एक नई वस्तु बनाता है, तो वह एक RID को जोड़ देता है जिसका उसने अभी तक उपयोग नहीं किया है। चूंकि डीसी गैर-अतिव्यापी पूल जारी किए जाते हैं, प्रत्येक आरआईडी को डोमेन के जीवन की अवधि के लिए अद्वितीय रहना चाहिए। जब कोई DC अपने पूल में ~ 100 RID को छोड़ता है, तो वह RID मास्टर से एक नए पूल का अनुरोध करता है। यदि RID मास्टर समय की विस्तारित अवधि के लिए ऑफ़लाइन है, तो ऑब्जेक्ट निर्माण विफल हो सकता है।

PDC एम्यूलेटर - अंत में, हम उन सभी की सबसे व्यापक रूप से गलत समझा भूमिका, PDC एम्यूलेटर भूमिका प्राप्त करते हैं। प्रति डोमेन एक पीडीसी एमुलेटर है। यदि कोई विफल प्रमाणीकरण प्रयास है, तो उसे PDC एमुलेटर पर भेज दिया जाता है। पीडीसी एमुलेटर "टाई-ब्रेकर" के रूप में कार्य करता है यदि एक डीसी पर एक पासवर्ड अपडेट किया गया था और अभी तक दूसरों को दोहराया नहीं गया है। पीडीसी एमुलेटर भी सर्वर है जो पूरे डोमेन में समय सिंक को नियंत्रित करता है। अन्य सभी डीसी पीडीसी एमुलेटर से अपना समय सिंक करते हैं। सभी क्लाइंट अपना समय उस डीसी से सिंक करते हैं जो उन्होंने लॉग इन किया था। यह महत्वपूर्ण है कि सब कुछ एक दूसरे के 5 मिनट के भीतर रहे, अन्यथा केर्बरोस टूट जाता है और जब ऐसा होता है, तो सभी रोते हैं।

याद रखने वाली महत्वपूर्ण बात यह है कि ये सर्वर जिन भूमिकाओं पर चलते हैं, वे पत्थर में सेट नहीं होती हैं। यह आमतौर पर इन भूमिकाओं को स्थानांतरित करने के लिए तुच्छ है, इसलिए जब कुछ डीसी दूसरों की तुलना में थोड़ा अधिक करते हैं, अगर वे कम समय के लिए चले जाते हैं, तो आमतौर पर सब कुछ सामान्य रूप से कार्य करेगा। यदि वे लंबे समय से नीचे हैं, तो भूमिकाओं को पारदर्शी रूप से स्थानांतरित करना आसान है। यह NT4 PDC / BDC दिनों की तुलना में बहुत अच्छा है, इसलिए कृपया अपने डीसी को उन पुराने नामों से बुलाना बंद करें। :)

तो, उम ... अगर वे एक-दूसरे के स्वतंत्र रूप से कार्य कर सकते हैं तो डीसी कैसे जानकारी साझा करते हैं?

प्रतिकृति, बिल्कुल । डिफ़ॉल्ट रूप से, एक ही साइट में समान डोमेन से संबंधित डीसी 15 सेकंड के अंतराल पर एक दूसरे को अपना डेटा दोहराएंगे। यह सुनिश्चित करता है कि सब कुछ अपेक्षाकृत अद्यतित है।

कुछ "तत्काल" घटनाएं हैं जो तत्काल प्रतिकृति को ट्रिगर करती हैं। ये घटनाएँ हैं: बहुत से विफल लॉगिन के लिए एक खाता बंद कर दिया जाता है, डोमेन पासवर्ड या तालाबंदी की नीतियों में बदलाव किया जाता है, LSA रहस्य को बदल दिया जाता है, पासवर्ड को DC के कंप्यूटर खाते में बदल दिया जाता है, या RID मास्टर भूमिका को स्थानांतरित कर दिया जाता है एक नए डीसी के लिए। इनमें से कोई भी घटना तत्काल प्रतिकृति घटना को ट्रिगर करेगी।

पासवर्ड परिवर्तन अत्यावश्यक और गैर-जरूरी के बीच में आते हैं और विशिष्ट रूप से नियंत्रित किए जाते हैं। यदि किसी उपयोगकर्ता का पासवर्ड बदल दिया गया है DC01और एक उपयोगकर्ता एक कंप्यूटर में लॉग इन करने की कोशिश करता है जो DC02प्रतिकृति होने से पहले के खिलाफ प्रमाणित कर रहा है, तो आप उम्मीद करेंगे कि यह विफल हो, सही? सौभाग्य से ऐसा नहीं होता है। मान लें कि यहां एक तीसरा डीसी DC03भी है जिसे पीडीसी एमुलेटर भूमिका कहते हैं। जब DC01उपयोगकर्ता के नए पासवर्ड के साथ अपडेट किया जाता है, तो उस परिवर्तन को तुरंत DC03भी दोहराया जाता है । जब आप प्रमाणीकरण के प्रयास DC02विफल हो जाते हैं, DC02तो उस प्रमाणीकरण प्रयास को आगे बढ़ाते हैं DC03, जो यह सत्यापित करता है कि यह वास्तव में अच्छा है, और लॉगऑन की अनुमति है।

आइए DNS के बारे में बात करते हैं

DNS ठीक से काम करने वाले विज्ञापन के लिए महत्वपूर्ण है। आधिकारिक Microsoft पार्टी लाइन यह है कि किसी भी DNS सर्वर का उपयोग किया जा सकता है यदि इसे ठीक से सेट किया गया हो। यदि आप अपने AD क्षेत्रों को होस्ट करने के लिए BIND का उपयोग करते हैं, तो आप उच्च स्तर पर हैं। गंभीरता से। AD इंटीग्रेटेड DNS ज़ोन का उपयोग करने के साथ चिपकाएँ और अन्य ज़ोन्स के लिए सशर्त या वैश्विक फ़ॉर्वर्डर्स का उपयोग करें यदि आप अवश्य करें। आपके क्लाइंट को आपके AD DNS सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए, इसलिए यहां अतिरेक होना महत्वपूर्ण है। यदि आपके पास दो डीसी हैं, तो उन दोनों को DNS चलाएं और अपने ग्राहकों को नाम समाधान के लिए दोनों का उपयोग करने के लिए कॉन्फ़िगर करें।

इसके अलावा, आप यह सुनिश्चित करना चाहते हैं कि यदि आपके पास एक से अधिक DC हैं, तो वे स्वयं को DNS रिज़ॉल्यूशन के लिए पहले सूचीबद्ध नहीं करते हैं। यह एक ऐसी स्थिति पैदा कर सकता है, जहां वे "प्रतिकृति द्वीप" पर हैं, जहां वे एडी प्रतिकृति टोपोलॉजी के बाकी हिस्सों से काट दिए गए हैं और पुनर्प्राप्त नहीं कर सकते हैं। यदि आपके पास दो सर्वर हैं DC01 - 10.1.1.1और DC02 - 10.1.1.2फिर उनकी DNS सर्वर सूची को इस तरह कॉन्फ़िगर किया जाना चाहिए:

सर्वर: DC01 (10.1.1.1)
प्राइमरी DNS - 10.1.1.2
सेकेंडरी DNS - 127.0.0.1

सर्वर: DC02 (10.1.1.2)
प्राथमिक DNS - 10.1.1.1
माध्यमिक DNS - 127.0.0.1

ठीक है, यह जटिल लगता है। मैं AD का उपयोग क्यों करना चाहता हूं?

क्योंकि एक बार जब आप जानते हैं कि आप क्या कर रहे हैं, तो आप का जीवन असीम रूप से बेहतर हो जाता है। AD उपयोगकर्ता और कंप्यूटर प्रबंधन के केंद्रीकरण के साथ-साथ संसाधन के उपयोग और उपयोग के केंद्रीकरण की अनुमति देता है। एक ऐसी स्थिति की कल्पना करें जहां आपके कार्यालय में 50 उपयोगकर्ता हैं। यदि आप प्रत्येक उपयोगकर्ता को प्रत्येक कंप्यूटर पर अपना लॉगिन करना चाहते हैं, तो आपको प्रत्येक पीसी पर 50 स्थानीय उपयोगकर्ता खातों को कॉन्फ़िगर करना होगा। AD के साथ, आपको केवल एक बार उपयोगकर्ता खाता बनाना होगा और यह डिफ़ॉल्ट रूप से डोमेन पर किसी भी पीसी में लॉग इन कर सकता है। यदि आप सुरक्षा को सख्त करना चाहते हैं, तो आपको इसे 50 बार करना होगा। एक बुरे सपने की तरह, है ना? यह भी कल्पना करें कि आपके पास एक फ़ाइल साझा है जिसे आप केवल उन लोगों में से आधे को प्राप्त करना चाहते हैं। यदि आप AD का उपयोग नहीं कर रहे हैं, तो आपको या तो उनके उपयोगकर्ता नाम और पासवर्ड को सर्वर पर हाथ से दोहराने की आवश्यकता होगी, जो आपको बिना किसी कारण के एक्सेस दे सकता है, या आपको ' d को एक साझा खाता बनाना होगा और प्रत्येक उपयोगकर्ता को उपयोगकर्ता नाम और पासवर्ड देना होगा। एक तरह से इसका मतलब है कि आप जानते हैं (और लगातार अपडेट करना होगा) उपयोगकर्ताओं के पासवर्ड। दूसरे तरीके का मतलब है कि आपके पास कोई ऑडिट ट्रेल नहीं है। अच्छा नहीं, है ना?

जब आप AD सेट अप कर लेते हैं तो आपको समूह नीति का उपयोग करने की क्षमता भी प्राप्त होती है। समूह नीति उन वस्तुओं का एक समूह है जो OU से जुड़े होते हैं जो उन OU में उपयोगकर्ताओं और / या कंप्यूटर के लिए सेटिंग्स को परिभाषित करते हैं। उदाहरण के लिए, यदि आप इसे बनाना चाहते हैं ताकि "शटडाउन" 500 लैब पीसी के लिए स्टार्ट मेन्यू पर न हो, तो आप ग्रुप पॉलिसी में एक सेटिंग में कर सकते हैं। हाथ से उचित रजिस्ट्री प्रविष्टियों को कॉन्फ़िगर करने में घंटों या दिनों के खर्च करने के बजाय, आप एक बार एक समूह नीति ऑब्जेक्ट बनाते हैं, इसे सही OU या OUs से लिंक करते हैं, और इसके बारे में फिर कभी नहीं सोचना पड़ता। सैकड़ों GPO हैं जिन्हें कॉन्फ़िगर किया जा सकता है, और समूह नीति का लचीलापन प्रमुख कारणों में से एक है कि Microsoft उद्यम बाजार में बहुत प्रभावी है।


20
अच्छा किया, मार्क। बहुत बढ़िया क्यूए।
ईईएए

12
@ TheCleaner सहमत हैं, लेकिन स्टैक एक्सचेंज के मिशन का हिस्सा एक विशिष्ट विषय पर सभी उपयोगी जानकारी के लिए केंद्रीय भंडार होना है। इसलिए, जबकि विकिपीडिया पर जानकारी आम तौर पर बहुत सही और प्रासंगिक है, यह लोगों को यहां नहीं चला रहा है और "यहाँ" संबंधित सिस्टम प्रशासन के लिए वन-स्टॉप-शॉप होनी चाहिए।
एमडीएमरा

6
@RyanBolger यह सब सच है, लेकिन यह Q & A एक नौसिखिया की ओर सक्षम है। सपोर्टिबिलिटी एक बड़ी चिंता है, और Microsoft पूरी तरह से एक एडी समस्या को सुलझाने में आपकी मदद नहीं करेगा जो कि BIND (या कुछ और) चलाने पर DNS से ​​संबंधित हो सकती है। यह एक उन्नत विन्यास है जो किसी ऐसे व्यक्ति के लिए अनुशंसित नहीं है जिसे प्रश्न पूछने की आवश्यकता है "विज्ञापन क्या है और यह कैसे काम करता है।" इन सबके ऊपर, DNS एक लो-लोड भूमिका है। यदि आपके पास पहले से ही DC हैं, तो वास्तव में उन पर DNS नहीं चलाने का मामला बनाना मुश्किल है और आपके DNS बुनियादी ढांचे के बाकी हिस्सों के लिए एक वैश्विक फारवर्डर है।
एमडीएमरा

8
@RyanBolger - MDMarra से सहमत। यदि फ्रेड के पास पहले से ही एक अच्छी तरह से कामकाज और जटिल आंतरिक डीएनएस बुनियादी ढांचा है, तो फ्रेड एसएफ पर पोस्ट नहीं कर रहा है, "तो, मैं इस सक्रिय निर्देशिका चीज़ को स्थापित करने वाला हूं - कृपया मुझे इसके बारे में सब बताएं?"
mfinni

2
आपके उत्तर ने मुझे केवल एक नेटवर्क के डोमेन नियंत्रकों पर DNS सर्वर खोज क्रम की जांच करने के लिए याद दिलाया है जो मुझे विरासत में मिला है ... हाँ वे खुद का जिक्र कर रहे थे!
माय्रोन-सेमाक

20

नोट: इस उत्तर को वनों, बाल डोमेन, पेड़ों, साइटों और OUs के बीच अंतर के बारे में पूछे जाने वाले एक अलग प्रश्न से इस प्रश्न में मिला दिया गया था। यह मूल रूप से इस विशिष्ट प्रश्न के उत्तर के रूप में नहीं लिखा गया था।


जंगल

आप एक नया जंगल बनाना चाहते हैं जब आपको सुरक्षा सीमा की आवश्यकता होती है। उदाहरण के लिए, आपके पास एक परिधि नेटवर्क (DMZ) हो सकता है जिसे आप AD के साथ प्रबंधित करना चाहते हैं, लेकिन आप अपने आंतरिक AD को परिधि नेटवर्क में सुरक्षा कारणों से उपलब्ध नहीं कराना चाहते हैं। इस स्थिति में, आप उस सुरक्षा क्षेत्र के लिए एक नया फ़ॉरेस्ट बनाना चाहते हैं। यदि आप कई संस्थाएँ हैं जो एक-दूसरे पर भरोसा नहीं करते हैं, तो आप यह अलगाव भी चाहते हैं - उदाहरण के लिए एक शेल कॉर्पोरेशन जो व्यक्तिगत व्यवसायों को शामिल करता है, स्वतंत्र रूप से काम करता है। इस स्थिति में, आप चाहते हैं कि प्रत्येक संस्था का अपना जंगल हो।


बाल डोमेन

वास्तव में, आपको इनकी और आवश्यकता नहीं है। जब आप एक चाइल्ड डोमेन चाहते हैं तो इसके कुछ अच्छे उदाहरण हैं। अलग-अलग पासवर्ड पॉलिसी आवश्यकताओं के कारण एक विरासत कारण है, लेकिन यह अब मान्य नहीं है, क्योंकि सर्वर 2008 के बाद से फाइन-ग्रेन्ड पासवर्ड नीतियां उपलब्ध हैं। आपको वास्तव में केवल एक बच्चे के डोमेन की आवश्यकता है यदि आपके पास अविश्वसनीय खराब नेटवर्क कनेक्टिविटी वाले क्षेत्र हैं और आप चाहते हैं प्रतिकृति यातायात को काफी कम करने के लिए - उपग्रह WAN कनेक्टिविटी के साथ एक क्रूज जहाज एक अच्छा उदाहरण है। इस स्थिति में, प्रत्येक क्रूज़ जहाज का अपना स्वयं का चाइल्ड डोमेन हो सकता है, ताकि अपेक्षाकृत आत्म-निहित हो, जबकि एक ही कंपनी के अन्य डोमेन के समान जंगल में होने के लाभों का लाभ उठाने में सक्षम हो।


पेड़

यह एक विषम गेंद है। जब आप किसी एकल फ़ॉरेस्ट के प्रबंधन लाभों को बनाए रखना चाहते हैं, लेकिन नए DNS नामस्थान में एक डोमेन है, तो नए पेड़ों का उपयोग किया जाता है। उदाहरण के लिए corp.example.comवन जड़ हो सकता है, लेकिन आप ad.mdmarra.comएक नए पेड़ का उपयोग करके उसी जंगल में हो सकते हैं । बाल डोमेन के लिए समान नियम और सिफारिशें यहां लागू होती हैं - उन्हें संयम से उपयोग करें। वे आमतौर पर आधुनिक ADs में आवश्यक नहीं हैं।


साइट

एक साइट को आपके नेटवर्क में भौतिक या तार्किक सीमा का प्रतिनिधित्व करना चाहिए। उदाहरण के लिए, शाखा कार्यालय। विभिन्न क्षेत्रों में डोमेन नियंत्रकों के लिए प्रतिकृति पार्टनर्स को बुद्धिमानी से चुनने के लिए साइट्स का उपयोग किया जाता है। साइटों को परिभाषित किए बिना, सभी डीसी को माना जाएगा जैसे कि वे एक ही भौतिक स्थान पर थे और एक जाल टोपोलॉजी में दोहराए गए थे। व्यवहार में, अधिकांश संगठनों को तार्किक रूप से हब-एंड-स्पोक में कॉन्फ़िगर किया गया है, इसलिए इसे प्रतिबिंबित करने के लिए साइट्स और सेवाओं को कॉन्फ़िगर किया जाना चाहिए।

अन्य एप्लिकेशन साइट और सेवाओं का भी उपयोग करते हैं। DFS नामस्थान रेफरल और प्रतिकृति भागीदार चयन के लिए इसका उपयोग करता है। एक्सचेंज और आउटलुक क्वेरी के लिए "निकटतम" वैश्विक कैटलॉग खोजने के लिए इसका उपयोग करते हैं। आपके डोमेन से जुड़े कंप्यूटर इसका उपयोग "निकटतम" डीसी (एस) का पता लगाने के लिए करते हैं। इसके बिना, आपकी प्रतिकृति और प्रमाणीकरण ट्रैफ़िक वाइल्ड वेस्ट की तरह हैं।


संगठनात्मक इकाई

इन्हें इस तरह बनाया जाना चाहिए जो आपके संगठन की अनुमति और समूह नीति आवेदन के प्रतिनिधिमंडल की आवश्यकता को दर्शाता है। कई संगठनों में प्रति साइट एक OU है, क्योंकि वे GPO को इस तरह से लागू करते हैं - यह मूर्खतापूर्ण है, क्योंकि आप साइट और सेवाओं से किसी साइट पर GPO को भी लागू कर सकते हैं। अन्य संगठन विभाग या कार्य द्वारा ओयू को अलग करते हैं। यह कई लोगों के लिए समझ में आता है, लेकिन वास्तव में OU डिजाइन को आपकी आवश्यकताओं को पूरा करना चाहिए और बल्कि लचीला होना चाहिए। ऐसा करने का कोई "एक तरीका" नहीं है।

एक बहुराष्ट्रीय कंपनी के शीर्ष स्तर के किए जाने वाले OU हो सकता है North America, Europe, Asia, South America, Africaताकि वे महाद्वीप के आधार पर प्रशासनिक विशेषाधिकार प्रतिनिधि कर सकते हैं। अन्य संगठनों के शीर्ष स्तर के किए जाने वाले OU हो सकता है Human Resources, Accounting, Sales, आदि है कि उनके लिए अधिक समझ में आता है। अन्य संगठनों की न्यूनतम पॉलिसी की जरूरत है और सिर्फ Employee Usersऔर सिर्फ "फ्लैट" लेआउट का उपयोग करें Employee Computers। यहां वास्तव में कोई सही जवाब नहीं है, यह आपकी कंपनी की जरूरतों को पूरा करता है।


1
कोई अपने विज्ञापन को अच्छी तरह से जानता है .. +1
निक डब्ल्यूडब्ल्यू

3
@NickW विज्ञापन प्रश्न हैं कि मेरे 72.9k प्रतिनिधि में से 72k शायद कहाँ से आए हैं: D
MDMarra

2
और अभी भी इस समय के बाद पढ़ने के लिए एक महान टेक्नेट लेख: Technet.microsoft.com/en-us/library/bb727030.aspx - कुछ भागों को हटा दिया गया है लेकिन निश्चित रूप से पढ़ने लायक है।
क्लेनर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.