AD DS гэж юу вэ ?

1. Cisco Mongol
Facebook Group
Administrator
Dorjerdeneochir@gmail.com
Active Directory гэж юу вэ ?
2013 он

2. Active directory
Active directory нь windows domain сүлжээнд зориулагдасан Microsoft-н бүтээгдэхүүн юм.
Active directory ажилж байгаа буюу сэрвэр computer-г domain controller гэж нэрэлдэг.
Сүлжээний удирлага ба хамгаалалт нь төв байрлалаас Active directory ханддаг.
Сүлжээний windows домайн төрөлд бүх computer ба хэрэглэгч баталгаажуулалт ба
зөвөөрлөлөөр ханддаг. Сүлжээний админ эрх ба хэрэглэгчийн нэр, password –р ханддаг.
Active directory нь Lightweight Directory Access Protocol (LDAP) хувилбар 2 ба Kerberos ба
DNS хэрэглэдэг.
Active directory-н зорилго нь нь тухайн домайн орчны бүх хэрэглэгчдийн мэдээллийг
халдгалах сервер юм. AD дээр хэрэглэгчдийн нэртэй холбоотой бүхий л төрлийн
тохиргоог хийж өгдөг.
Зураг.Active directory
Sites
Active directory –н сайтын зорилго нь сүлжээнүүдийн хостын газарзүйн байрлалын
хуулбар юм.
Domains, Forests, trees,

3. Домайн
Домайн нь хэрэглэгчийн бүртгэл , компьютер , принтер, Organization unit зэргийн
сүлжээний обьектийг багтаан, тусгай обьектын хамгаалалтын систем зэргээс бүрдэнэ.
Тусгай домэйн нь өвөрмөц нэртэй бөгөөд удирдагч сүлжээг удирдах цар хүрээ ч болж
өгдөг байна. Ямар нэг домэйн өөрийн хамгаалалтын системийг агуулдаг ба бусад
домайнтэй итгэлтэй харилцаа үүсгэн хамгаалалтын харилцааг ч бий болгодог байна.
Active driver нь тусгай домайн удирдлагад ерөнхий хуулбар үйлдэн ямагт өгөгдлийн санг
хослуулан ажиллуулдаг.
Домайны онцлог




Сүлжээний бүх обьект нь заавал домайнд хамааралтай байх хэрэгтэй.
Тусгай домайн нь онцгой хамгаалалтын системйиг агуулдаг.
Тусгай домайн нь нэгээс илүү домайны удирдлагыг агццлах хэрэгтэй.
AD дээр user account, group, Organization Unit(OU)-үүдтэй ажилладаг учраас
тэдгээрийн талаар мэдлэгтэй байх шаардлагатай.
AD дээр user account, group, Organization Unit(OU)-үүдтэй ажилладаг учраас
тэдгээрийн талаар мэдлэгтэй байх шаардлагатай.
User Account
Domain болон Workgroup орчинд тухайн компьютерт нэвтрэхдээ хэрэглэгчийн нэр болон
нууц үг ашиглан нэвтэрнэ. Хэрэглэгчийн нэр гэдэг нь тухайн хэрэглэгчийн мөн болохыг
баталгаажуулах арга юм.
User Account нь 2 төрөл байдаг.


Local User Account
Domain User account
Local User Account-г зөвхөн тухайн компьютер дээр ашигладаг бөгөөд өөрөөр хэлбэл таны
үүсгсэн хэрэглэгчийн нэр зөвхөн тухайн компьютер дээр байна. Хэрэглэх боломжтой
гэсэн үг юм.
Domain user account нь domain сүлжээний орчин дахь хэрэглэгчийн нэр бөгөөд үүнийг
ашиглан тухайн сүлжээний аль ч компьютер дээр ашиглах боломжт ой хэрэглэгчийн нэр
юм.
Group
Харин Group гэдэг бол олон хэрэглэгчдийг цуглуулсан байдлыг хэлнэ. Групп үүсгэж
ашигласнаар мэдээллийг хуваарилахад илүү амархан болгож өгдөг байна. Нэг хэрэглэгч
мөн олон группуудэд харъяалагдаж болно.
Групп нь дотроо олон төрөл байна.



Local groups
Security groups
Distribution groups

4. Мөн ашиглах боломжтой хүрээгээр нь:




Domain local groups
Built-in local groups
Global groups
Universal groups
Гэсэн төрлүүдтэй байдаг. Эдгээр төрлүүд нь хамрах хүрээ болон эрхүүдээрээ өөр өөр
байдаг.
Organization unit
Organization unit нь дотроо user, groups, computers, болон бусад OU-г дотроо багтааж
байдаг. OU нь бусад өөр domain дотор байгаа objectхадгалж чадахгүй. OU нь шаталсан
байдалтай байдаг.OU ашиглах гол шалтгаан нь зөвхөн OU дээр group policy тохируулж
өгөх боломжтой байна. Иймээс OU ашиглан бүтцээ зөв гаргах чухал юм.
Organization unit-ийн онцлог




Organization unit нь удирдлагын зорилгоор хэрэглэгддэг.
Organization unit нь хэрэглэгчийн бүртгэл , бүлэг, компьютер, принтер зэргийн
Active driver доторх бүх обьектуудыг багтааж чаддаг.
Organization unit-ийг ашиглан Active driver нь үе шатлалтайгаар бүрддэг.
Organization unit нь бусад Organization unit-г багтааж болно.

5. Tree
Tree домайны нэгдэл юм. Tree нь нэг домайнаас бүтдэг, Tree нь домайны үе шатлал бүхий
бүтэц юм. Tree дотор байгаа домайн нь үргэлжилсэн нэрний зайг агуулах бөгөөд тусгай
Tree-ын хамгийн том домайныг root domain гэнэ. Tree доторх домайн удирдлага нь 2талын
итгэлтэй харилцааг байгуулан, хооронд нь холбодог. 2 талын найдвартай харилцааг
байгуулснаар Forest доторх бүх домайн нь бусад бүх домайнуудтай 2талын найдвартай
харилцааг бий болгодог.
Зураг: tree
Tree-ын онцлог




Хамгийн том домайныг эс тооцон бүх домайн нь заавал эх домайны нэрийг
багтаасан байна.
Tree доторх бүх домайнууд нь хоорондоо 2 талын найдвартай харилцааг агуулдаг.
Tree доторх бүх домайнууд нь ижил схемтэй байна. Схем нь Active driver дотор
хадгалах боломжтой бүх обьектын хэлбэрийг, зохицуулдаг.
Tree доторх бүх домайнууд нь ижил Global Catalog-ыг агуулдаг.

6. Forest
Forest гэдэг нь домайн болон Tree-үүд бөөгнөрөн хоорондоо 2 талын найдвартай
харилцааг байгуулсан бүлэг юм. Forest доторх домайнууд нь үргэлжилсэн нэрийн орон
зайг агуулдаггүй.
Forest-ын онцлог




Forest нь домайн хоорондын харилцааг бий болгодог.
Forest доторх Tree нь нэг нэгдсэн схемтэй байна.
Forest доторх Tree нь нийтийн Global Catalog-тай байна.
Forest доторх Tree нь үргэлжилсэн нэрийн орон зайтай боловч Forest-ыг бий
болгодог домайн нь үргэлжилсэн нэрийн орон зайг үүсгэдэггүй.
Зураг forest
windows server 2008r2 дээрх active directory –н шинэ зүйл.
Windows server 2008r2 дахь Active directory@ domain services (AD DS) нь active directory
удирдах маш олон шинэ сайжруулалт агуулсан.
Windows server дэхь шинэ сайжруулалт




PowerShell Cmdlets
Active Directory Administrative center
Active directory Best Practice Analyzer
Recycle Bin for AD

7. 


Managed Service accounts
Offline Domain Join
Authentication Assurance
Powershell cmdlets
windows server powershell–д зориулагдасан active directory загвар нь удирдах, тохируулах,
оновчтой үйл үг ба өгүүлбэр хэрэглэж command line-с ашиглах болсон. Мөн Exchange
server, group policy, бусад үйлчилгээтэй амархан ажиллах болсон.
Active Directory Administrative Center
Active directory administrative center нь task-oriented administration model –тэй болсон. Томоохон
dataset дэмжих болсон. Active directory administrative center нь AD DS удирдах task-orient хэрэглэж
IT мэрэгжилтэний ажиллах бүтээмжийг нэмж өгсөн.
Active directory Best Practice Analyzer
Active directory best Practices Analyzer ( BPA) нь IT мэрэгжилтэн active directory –г тараан
байгуулхад хамгийн сайн туршилтаар тусалж өгдөг. BPA нь powershell cmdlets хэрэглэдэг.
Recycle Bin for AD
Active directory –н санамсаргүй уналтанд active directory Recycle Run хэрэглэдэг.
Бизнессийн сул согсолтын нэг шалгаан нь active directory –н санамсаргүй уналт юм.
Энэхүү асуудлыг AD ба Active directory lightweight directory service (AD LDS) нь active
directory Recycle bin хэрэглэдэг. Энэ шинэж чанар windows server 2008r2 дээр forest
functional level болж хэрэглэгдэг.
Managed Service accounts
Managed service account нь service account-н менежмент хялбар болгож өгсөн. Windows
server 2008r2 нь domain functional level –д шинэ service principal names (SPNs)-н
менежмент нь илүү сайжирсан.
Offline Domain Join
Offline domain join нь datacenter дэхь computer-н хандалтыг хялбарчилж өгсөн. Тараан
байралсан домайнд ханддах чадвар нь сайжирсан.
Authentication mechanism Assurance
Өгөгдөллийн санд ханддах баталгаажуулалтын аргыг authentication mechanism assurance –с
эх үүсвэр application авах боломжтой болсон. Administrator нь өөр өөр шинж чанраар
замчилж чаддаг. Баталгаажуулалтын төрөл ба бат бөх байдал агуулж чаддаг.