Kumpletong gabay sa pag-configure ng Active Directory sa Windows Server: pag-install, pagsasama, at pinakamahusay na kagawian

 

El Active Directory (AD) ay isa sa mga pangunahing bahagi sa anumang imprastraktura ng network batay sa teknolohiya ng Microsoft. Bagama't ito ay parang isang bagay na nakalaan para sa malalaking kumpanya, ang pagpapatupad nito ay pare-parehong nauugnay para sa mga SME o anumang organisasyong naghahanap upang isentro ang pamamahala ng mga user, device, at mga patakaran sa seguridad nito. Sa artikulong ito ay ipapakita namin sa iyo Paano i-install at i-configure ang Active Directory hakbang-hakbang, paghiwa-hiwalayin ang lahat ng detalye, pagsasama-sama ng pinakamahuhusay na kagawian, at pagtugon sa lahat mula sa pinakapangunahing pag-install hanggang sa mas advanced na mga configuration at totoong buhay na mga sitwasyon sa paggamit.

Kung naisip mo na kung paano mag-set up ng domain, kung paano lumikha ng mga user o grupo, anong mga kinakailangan ang kailangan mong matugunan bago ilunsad ang iyong unang domain controller, o kung ano ang mga pinakasecure na opsyon sa pagpapatotoo, ipapaliwanag namin ang lahat sa praktikal at detalyadong paraan dito. Huwag mag-alala kung ito ang iyong unang pagkakataon. Kung mayroon ka nang karanasan, sigurado kang matututo ka rin ng bago, dahil sinasaklaw namin ang parehong teorya at kasanayan gamit ang mga rekomendasyon upang maiwasan ang mga karaniwang pagkakamali.

Ano ang Active Directory at bakit ito napakahalaga?

Active Directory Ito ay ang sistema ng mga serbisyo ng direktoryo ng Microsoft, na responsable para sa sentralisasyon ng pamamahala ng user, computer, mapagkukunan at patakaran sa loob ng isang network environment. Ang pangunahing tungkulin nito ay mag-alok ng isang structured at secure na database kung saan ang lahat ng impormasyon na nauugnay sa mga bagay sa network: mga user, grupo, computer, printer, at maraming elemento na bumubuo sa pang-araw-araw na buhay ng anumang kumpanya.

Kabilang sa mga pinakatanyag na pakinabang nito ay ang sentralisadong kontrol, Ang standardisasyon ng pag-access at mga mapagkukunan, ang pagpapabuti sa katiwasayan at ang kakayahang magtalaga ng mga gawaing administratibo nang hindi binibitawan ang kontrol. Ginagamit ng AD ang protocol LDAP (Lightweight Directory Access Protocol) at umaasa sa Mga Serbisyo ng Domain (AD DS) upang patotohanan ang mga user at payagan ang pangangasiwa ng iba't ibang mapagkukunan sa network.

El Aktibong Direktoryo Ito ay higit pa sa simpleng paglikha ng mga user; nagbibigay-daan sa iyo na tukuyin ang mga hierarchy ng organisasyon, magtalaga ng mga pahintulot sa iba't ibang antas, i-automate ang mga gawain y tiyakin ang pagpapatuloy ng negosyo salamat sa matatag na sistema ng pagtitiklop nito at pagpapahintulot sa fault. Bukod pa rito, ang pagsasama sa iba pang mga serbisyo gaya ng Exchange, Teams, at multi-factor authentication system ay ginagawa itong mahalagang tool para sa pang-araw-araw na operasyon ng anumang IT organization.

Mga kinakailangan at pagsasaalang-alang bago magsimula

Bago ka sumisid sa pag-install at pag-configure ng Active Directory, mahalagang maging malinaw tungkol sa ilang bagay: mga kinakailangan at rekomendasyon. Ang mga puntong ito ay magliligtas sa iyo ng pananakit ng ulo at masisiguro ang malinis at mahusay na pag-install:

• hardware inirerekomendang minimum: : 64 GHz 1.4-bit na processor, hindi bababa sa 2 GB ng RAM (mas marami ang mas mahusay), at isang minimum na 32 GB ng libreng espasyo sa disk (mas marami ang inirerekomenda para sa mga kapaligiran ng produksyon).
• Sinusuportahang operating system: Windows Server 2016, 2019, 2022 (ang gabay ay may bisa para sa lahat ng mga bersyong ito hangga't na-update ang mga ito).
• May mga pribilehiyo ng administrator sa makina kung saan mo ilalagay ang AD DS.
• Tukuyin ang isang nakapirming IP address para sa iyong server. Kalimutan ang DHCP para sa domain controller; ang IP ay dapat na static.
• Bigyan ang server ng isang nagpapakilala at naaangkop na pangalan, pagsunod sa iyong panloob na patakaran sa pagbibigay ng pangalan, at lumikha ng karagdagang lokal na administrator account kung sakaling magkaroon ng anumang hindi inaasahang mga kaganapan.
• I-update ang operating system at i-install ang lahat ng security patch bago ka magsimula.

Ang pagtugon sa mga kinakailangang ito ay hindi lamang isang rekomendasyon, ito ang pundasyon kung saan mo itatayo ang natitirang bahagi ng iyong imprastraktura, kaya huwag laktawan ang anumang hakbang.

Pag-install ng Active Directory Domain Services (AD DS)

Ang unang teknikal na hakbang ay ang Pag-install ng tungkulin ng Active Directory Domain Services, na kilala rin bilang AD DS, sa iyong Windows server. Ang tungkuling ito ay nagbibigay-daan sa pagpapagana ng domain server at magbibigay-daan sa iyong i-deploy ang lahat ng mga feature ng Active Directory sa iyong network.

Ang mga hakbang sa pag-install nito ay ang mga sumusunod:

• Buksan ang administrator ng server. Sa mga modernong bersyon ng Windows Server, karaniwan itong awtomatikong bubukas kapag nag-log in ka, ngunit kung hindi, hanapin ang "Server Manager" sa search bar at ilunsad ito.
• Mag-click sa "Magdagdag ng mga tungkulin at tampok” mula sa kanang itaas.
• Piliin ang opsyon sa pag-install na nakabatay sa tungkulin o nakabatay sa tampok.
• Piliin ang iyong server mula sa listahan ng patutunguhan.
• Lagyan ng tsek ang kahon Mga Serbisyo sa Domain ng Active Directory (AD DS). Lilitaw ang isang pop-up window upang magdagdag ng mga kinakailangang tampok. Kumpirmahin at magpatuloy.
• Maaari mong iwanan ang mga default na paunang napiling mga tampok at sumulong.
• Suriin ang buod at kumpirmahin ang pag-install.
• Kapag kumpleto na ang pag-install, inirerekumenda na i-restart ang server.

At abangan! Ini-install ng prosesong ito ang tungkulin, ngunit hindi mo pa napo-promote ang server sa isang domain controller o nagagawa ang iyong domain. Makikita natin ito sa susunod na seksyon.

Pag-promote ng server sa isang domain controller at paggawa ng domain

Ang pag-install ng papel ng AD DS ay kalahati lamang ng labanan. Upang aktwal na pamahalaan ng server ang mga user, grupo at patakaran, kailangan mo itong i-promote controller ng domain at tukuyin ang iyong root domain. Ginagawa ito gamit ang kasamang wizard na hakbang-hakbang na gabay:

• Sa Server Manager, pagkatapos i-install ang AD DS, makakakita ka ng dilaw na alerto sa itaas. I-click upang palawakin ito at piliin ang “I-promote ang server na ito sa isang domain controller".
• Piliin ang pagpipilian ng Magdagdag ng bagong kagubatan (kung ito ang iyong unang controller at domain), at ilagay ang root domain name, gaya ng "company.local" o anumang napili mo. Huwag mahuli sa mga pangalan na masyadong generic o ginagamit na.
• Piliin ang antas ng paggana para sa domain at kagubatan (karaniwang piliin ang pinakabago na posible, hangga't wala kang ibang mas lumang mga driver).
• Kung gusto mo, lagyan ng tsek ang opsyon na mag-install din ng mga serbisyo ng DNS sa parehong server na ito. Inirerekomenda ito sa karamihan ng mga sitwasyon dahil pinapasimple nito ang pamamahala ng pangalan.
• Ipasok ang password para sa pagpapanumbalik ng mga serbisyo ng direktoryo. Panatilihin itong ligtas, dahil ito ay mahalaga sa kaso ng mga sakuna.
• Suriin ang lahat ng mga pagpipilian at magpatuloy sa pamamagitan ng wizard.
• Magsasagawa ang system ng mga naunang pagsusuri. Kung tama ang lahat, kumpirmahin at simulan ang proseso.
• Kapag natapos na, awtomatikong magre-restart ang server. Kapag nag-log in ka muli, mai-log in ka bilang bahagi ng bagong domain.

Pagkatapos ng mga hakbang na ito, ang iyong server ay magiging opisyal na unang domain controller sa iyong imprastraktura at makakapagsimula kang makipagtulungan sa mga user, grupo, at iba pang unit ng organisasyon.

DNS Configuration at Name Resolution

El DNS (Domain Name System) Ito ay isang mahalagang haligi para sa paggana ng Active Directory. Ang AD mismo ay umaasa sa DNS upang mahanap ang mga driver, serbisyo, at panatilihing tumatakbo ang buong system ayon sa nararapat. Samakatuwid, mahalaga na maayos na i-configure ang serbisyo ng DNS sa parehong server o sa isang karagdagang, mahusay na naka-synchronize na server.

Narito ang ilang mahahalagang punto na dapat tandaan:

• Kapag nag-install at nagpo-promote ka ng server bilang domain controller, maaari mo ring i-install ang DNS role. Ang opsyong ito ay kadalasang pinipili bilang default.
• Tiyaking ang IP address ng iyong DNS server ay kapareho ng IP address ng domain controller mismo. Kaya, sasangguni ang mga network team sa AD para sa mga panloob na resolusyon.
• set up a pasulong na search zone para sa iyong domain at, kung kinakailangan, magdagdag ng reverse lookup zone (nakakatulong ito sa reverse IP resolution).
• Sa mga katangian ng A-type na talaan ng controller server, lagyan ng check ang kahon upang gawin ang PTR record sa reverse lookup zone, na nagpapadali sa pangangasiwa at seguridad.
• Huwag kalimutang itakda mga nagpapasa mga panlabas na domain sa DNS upang malutas ng mga computer ang mga pampublikong domain (halimbawa, 8.8.8.8, 8.8.4.4 ng Google, IBM's 9.9.9.9, o Cloudflare's 1.1.1.1).

Kung ang DNS ay hindi na-configure nang tama, ang Active Directory ay maaaring makaranas ng mga problema sa pagkopya, pag-login, o kahit na mapagkukunan at lokasyon ng serbisyo. Kaya't bigyang-pansin ang seksyong ito.

Paglikha at pag-aayos ng mga bagay sa Active Directory

Sa sandaling naka-on na ang iyong domain at gumagana, ang susunod na hakbang ay ayusin ang mga bagay sa direktoryo: mga user, grupo, computer, at unit ng organisasyon (OU). Ang organisasyong ito ay susi sa mahusay na pamamahala at madaling pagpapatupad ng patakaran.

Kasama sa karaniwang proseso ang:

• Lumikha mga yunit ng organisasyon (OU) upang buuin ang kumpanya (ayon sa mga departamento, lokasyon, uri ng user, atbp.).
• Idagdag gumagamit at italaga sila sa kaukulang mga OU.
• Lumikha pangkat ng seguridad o pamamahagi upang mapadali ang pagtatalaga ng mga pahintulot, parehong sa antas ng mga nakabahaging folder at mapagkukunan ng network.
• Ayusin ang kagamitan sa naaangkop na mga OU, na nagpapahintulot sa mga partikular na patakaran ng grupo na mailapat batay sa lokasyon sa istraktura.

Ang gawaing administratibong ito ay maaaring gawin mula sa Console ng Mga User ng Active Directory at Computer, isang visual na tool na kasama sa system mismo. Sa ganitong paraan, maaari kang mag-drag ng mga user, gumawa ng mga bagong OU, mag-edit ng mga property, o maglipat ng mga bagay sa pagitan ng mga unit sa simple at visual na paraan.

Ang paglikha ng isang maayos at magkakaugnay na istraktura mula sa simula ay magliligtas sa iyo ng maraming sakit ng ulo sa hinaharap. Bilang karagdagan, pinapadali ng mahusay na organisasyon ang paglalapat ng mga GPO, pagtalaga ng mga pahintulot, at pagtukoy ng mga insidente o maanomalyang daloy.

Pagbabahagi ng mapagkukunan ng domain at seguridad

Ang isa sa pinakamalakas na bentahe ng Active Directory ay ang sentralisadong pamamahala ng mga pahintulot at ibinahaging mapagkukunan. Mula sa mga folder sa mga server hanggang sa mga printer o serbisyo ng network, pinapayagan ka ng AD na tiyak na tukuyin kung sino ang makaka-access sa kung ano at sa anong antas ng mga pahintulot.

Halimbawa, maaari kang lumikha ng isang nakabahaging folder sa server, bigyan ito ng mga pahintulot NTFS iniakma sa kaukulang grupo (“Human Resources” para lang sa HR group, “Finance” para lang sa accounting group, atbp.), at kontrolin ang pag-access at pagsusulat mula mismo sa AD. Hindi lamang nito pinapasimple ang pang-araw-araw na gawain ng mga user, ngunit pinapalakas din nito ang seguridad sa pamamagitan ng pagliit ng panganib ng hindi awtorisadong pag-access.

Ang trick ay palaging magtalaga ng mga pahintulot sa mga pangkat sa halip na mga user. Kaya, kapag nagbago ang isang user ng mga departamento, ilipat lang sila sa ibang grupo at awtomatikong maa-update ang kanilang mga pahintulot.

Pinakamahuhusay na kagawian sa pangangasiwa ng Active Directory

Ang pamamahala sa AD ay hindi isang beses na gawain, ngunit sa halip ay isang patuloy na pagsisikap na naiimpluwensyahan ng maraming mga kadahilanan. Narito ang ilang tip at rekomendasyon para mapanatiling ligtas at mahusay ang iyong kapaligiran:

• Pinaghihigpitan ang paggamit ng mga account ng administrator ng domain. Gamitin lamang ang mga ito kapag talagang kinakailangan at magtrabaho kasama ang mga account na may limitadong pribilehiyo hangga't maaari.
• Magpatupad ng malakas na mga patakaran sa password, dalas ng pagbabago at pagharang ng mga account pagkatapos ng ilang nabigong pagtatangka.
• Nagtatatag ng mga pag-audit at pagsubaybay upang makita ang hindi awtorisadong mga pagtatangka sa pag-access, mga kahina-hinalang pagbabago, at mga potensyal na banta.
• Idokumento ang iyong istraktura at mga pagbabago isinasagawa upang mapadali ang pagpapanatili at paglutas ng insidente.
• Gumawa ng mga regular na backup ng status ng system at mga controller ng domain. Kaya, sa kaganapan ng anumang sakuna, maaari mong ibalik ang iyong domain.
• Iwasang gumamit ng mga shared account at palaging gumamit ng mga indibidwal na account para sa bawat user at administrator.

Sa pamamagitan ng pagpapatupad ng pinakamahuhusay na kagawian na ito, mababawasan mo ang panganib ng mga isyu sa seguridad at gagawing mas madali ang pang-araw-araw na operasyon ng iyong departamento ng IT.

Advanced na Pagsasama: Mga Karagdagang Server, Mga Tungkulin ng FSMO, at Cross-Domain Trust

Sa katamtaman at malalaking kapaligiran ng enterprise, kadalasang kinakailangan na mag-deploy ng higit sa isang domain controller upang mapabuti ang kalabisan at kakayahang magamit. Ang pag-install ng pangalawa (o pangatlo) na controller ng domain ay kinokopya ang impormasyon at tinitiyak na patuloy na gagana ang iyong network kahit na nabigo ang isa sa mga controller.

Bilang karagdagan, ang Active Directory ay nagtatalaga ng isang serye ng mga espesyal na tungkulin na tinatawag FSMO (Flexible Single Master Operations) na gumaganap ng mga kritikal na function: Schema Master, Domain Naming Master, RID Master, PDC Emulator at Infrastructure Master. Ang pag-unawa kung saan matatagpuan ang mga tungkuling ito, pagsubaybay sa mga ito, at paglilipat sa kanila kung kinakailangan ay mahalaga sa wastong paggana ng domain.

Hindi gaanong mahalaga ang pagsasaayos ng interdomain trust relationships o sa pagitan ng mga kagubatan, na nagbibigay-daan sa mga user mula sa iba't ibang domain na ma-access ang mga nakabahaging mapagkukunan sa ilalim ng ligtas at mahusay na tinukoy na mga panuntunan.

Active Directory Web Services (ADWS): Advanced na Pamamahala at Automation

Dahil ang Windows Server 2008 R2, ang serbisyo Active Directory Web Services (ADWS) Nagbibigay ng modernong web interface na nagbibigay-daan sa iyong makipag-ugnayan sa AD DS at AD LDS instance mula sa mga application, script, at external na tool gaya ng PowerShell o ang Active Directory Administrative Center.

Kung ihihinto ang serbisyo ng ADWS, hindi na magiging available ang remote na pamamahala para sa mga tool gaya ng PowerShell. Samakatuwid, ipinapayong iwanan itong naka-configure sa awtomatikong mode:

• Buksan ang "Run" (Windows+R), i-type services.msc at hanapin ang serbisyong “Active Directory Web Services”.
• I-edit ang mga property, itakda ang uri ng startup sa "Awtomatiko," at kung hindi ito tumatakbo, i-click ang "Start."

Ulitin ang prosesong ito sa lahat ng nauugnay na AD server upang matiyak ang sentralisado at secure na pamamahala.

Secure na pagpapatotoo at mga advanced na opsyon: LDAP, LDAPS, SSO, at multi-factor na pagpapatotoo

Ang puso ng Active Directory ay ang pagpapatunay. Ang seguridad sa pag-access ay nakasalalay sa naaangkop na mga protocol at pamamaraan para sa pagpapatunay ng mga user. Narito ang ilang mahahalagang susi:

• Binabatay ng Active Directory ang pagpapatunay LDAP, ngunit upang matiyak ang pagiging kumpidensyal, ipinapayong i-activate LDAPS (LDAP sa SSL/TLS) hangga't maaari. Sa ganitong paraan, naka-encrypt ang mga kredensyal sa paglalakbay at maiiwasan ang mga pag-atake sa pagharang.
• Para sa mga kumplikadong kapaligiran, posible na i-deploy multi-factor na pagpapatunay (halimbawa, sa PhoneFactor), na nagpapahintulot sa paggamit ng isang beses na mga code, tawag, SMS o push notification upang patunayan ang pagkakakilanlan.
• El Single Sign-On (SSO) ginagawang mas madali ang buhay para sa mga user, dahil sa isang pag-log in, maa-access nila ang maraming application na isinama sa domain.
• Huwag kalimutang subaybayan ang mga nabigong pagtatangka at itakda pag-timeout o mga awtomatikong lock para protektahan ka mula sa mga malupit na pag-atake.

Ang pag-configure sa mga serbisyong ito ay maaaring mangailangan ng paggawa ng mga certificate, pagsasaayos ng mga patakaran sa Firebox o katulad, at pagsubok ng mga koneksyon mula sa interface ng pamamahala upang ma-verify na gumagana nang tama ang lahat.

Pagsasama ng mga panlabas na kagamitan at serbisyo (VPN, mga aplikasyon, mga hybrid na network)

Sa pagsasagawa, maraming kapaligiran ang nangangailangan ng Active Directory na isama sa mga panlabas na device (mga firewall, appliances, remote network, cloud services, atbp.). Sa katunayan, ang pagpapatunay ng user para sa VPN, ang pag-access sa mga web application o monitoring system ay karaniwang dumadaan sa AD.

Ang pagsasama ay binubuo ng:

• I-configure ang mga external na device o application para tumuro sa iyong AD server bilang isang LDAP/LDAPS authentication source.
• Idagdag ang mga kinakailangang parameter (domain, pangalan ng controller o IP, base sa paghahanap).
• I-verify ang koneksyon at mga pahintulot, subukan ang pag-login mula sa panlabas na device bago ito ilagay sa produksyon.
• Para sa mga VPN o firewall, maaari kang tumukoy ng maraming domain, mag-configure ng mga backup na server, at gumamit ng mga advanced na opsyon tulad ng SSO upang pasimplehin ang karanasan ng user.

Upang mapanatili ang seguridad, palaging tiyaking gumamit ng mga naka-encrypt na channel at wastong patunayan ang mga certificate ng server sa lahat ng panlabas na koneksyon.

Pamamahala at pagpapanatili: pag-edit, pagsubok, at pagtanggal ng mga domain at server

Ang pang-araw-araw na pangangasiwa ng Active Directory ay nagsasangkot ng mga gawain tulad ng pag-edit ng mga umiiral nang domain, pagsuri ng mga koneksyon, at secure na pag-alis ng mga domain o server na hindi na ginagamit. Narito ang isang maliit na praktikal na gabay:

• Mula sa management console (Fireware Web UI, halimbawa), maaari mong subukan ang koneksyon sa AD server at i-verify na ang mga user ay matagumpay na makakapag-authenticate.
• Kung kailangan mong tanggalin ang isang domain, piliin ang target na domain, pindutin ang "Tanggalin" at kumpirmahin ang pagkilos; Kung ang server ay isang pangunahing domain controller, kakailanganin mong ilipat ang mga tungkulin ng FSMO at i-demote muna ito bago ito tanggalin.
• Palaging idokumento ang mga pagbabagong ginawa at tiyaking i-update ang iyong imprastraktura upang maiwasan ang mga reference sa mga domain o server na wala na.

Ang aktibong pagpapanatili, na may regular na pagsubok, pagsubaybay, at dokumentasyon, ay ang pundasyon para sa isang matatag at ligtas na imprastraktura.

I-configure at pamahalaan Active Directory Ito ay isang kumplikado ngunit napakalaking kapakipakinabang na gawain na gumagawa ng pagkakaiba sa anumang kapaligiran sa IT. Sa pamamagitan ng pagsunod sa mga hakbang na ito at mabubuting kagawian, ang iyong network ay magkakaroon ng matatag, organisadong istraktura na handang lumago, pagsamahin ang mga bagong serbisyo at harapin ang mga kasalukuyang banta. cybersecurity. Sa sentido komun at pagpaplano, ang aktibong pamamahala ng direktoryo ang magiging pinakamahusay mong kakampi sa pagtiyak ng mahusay at secure na pamamahala ng lahat ng mapagkukunan ng kumpanya.