Úvod do služby AD DS

Definování služby AD DS

Služba AD DS a její související služby tvoří základ pro podnikové sítě, na kterých běží operační systémy Windows. Databáze SLUŽBY AD DS je centrálním úložištěm všech objektů domény, jako jsou uživatelské účty, účty počítačů a skupiny. Služba AD DS poskytuje prohledávatelný, hierarchický adresář a metodu použití konfigurace a nastavení zabezpečení pro objekty v podniku.

Služba AD DS obsahuje logické i fyzické komponenty. Měli byste pochopit, jak komponenty služby AD DS spolupracují, abyste mohli efektivně spravovat infrastrukturu. Kromě toho můžete použít možnosti služby AD DS k provádění akcí, jako jsou:

  • Instalace, konfigurace a aktualizace aplikací
  • Správa infrastruktury zabezpečení
  • Povolení služby vzdáleného přístupu a technologie DirectAccess
  • Vydávání a správa digitálních certifikátů

 

Jaké jsou logické komponenty?

Logické komponenty služby AD DS jsou struktury, které používáte k implementaci návrhu služby AD DS, který je vhodný pro organizaci. Následující tabulka popisuje typy logických komponent, které databáze služby AD DS obsahuje.

Logická komponenta

Popis

Oddíl

Oddíl neboli kontext pojmenování je část databáze SLUŽBY AD DS. I když se databáze skládá z jednoho souboru s názvem Ntds.dit, různé oddíly obsahují různá data. Například oddíl schématu obsahuje kopii schématu služby Active Directory. Konfigurační oddíl obsahuje objekty konfigurace doménové struktury a oddíl domény obsahuje uživatele, počítače, skupiny a další objekty specifické pro doménu. Služba Active Directory ukládá kopie oddílů na více řadičích domény a aktualizuje je prostřednictvím replikace adresáře.

Schéma

Schéma je sada definic typů objektů a atributů, které používáte k definování objektů vytvořených ve službě AD DS.

Doména

Doména je logický kontejner pro správu objektů, jako jsou uživatelé a počítače. Doména se mapuje na konkrétní oddíl a doménu můžete uspořádat s relacemi nadřazenosti a podřízenosti k jiným doménám.

Doménový strom

Doménový strom je hierarchická kolekce domén, které sdílejí společnou kořenovou doménu a souvislý obor názvů DNS (Domain Name System).

Les

Doménová struktura je kolekce jedné nebo více domén, které mají společný kořenový adresář služby AD DS, společné schéma a společný globální katalog.

OU

Organizační jednotce je objekt kontejneru pro uživatele, skupiny a počítače, který poskytuje architekturu pro delegování práv správce a správy propojením objektů zásad skupiny (GPO).

Kontejner

Kontejner je objekt, který poskytuje organizační architekturu pro použití ve službě AD DS. Můžete použít výchozí kontejnery nebo můžete vytvořit vlastní kontejnery. Objekty zásad skupiny nemůžete propojit s kontejnery.

Jaké jsou fyzické komponenty?

Fyzické komponenty ve službě AD DS jsou objekty, které jsou hmotné nebo které popisují hmotné komponenty v reálném světě.

Snímek obrazovky s lokalitami a službami Active Directory Správce vybral uzel Lokality. Zobrazené jsou dvě weby, Seattle a Vancouver. Zobrazí se také dvě podsítě.

Následující tabulka popisuje některé fyzické součásti služby AD DS.

Fyzická komponenta

Popis

Řadič domény

Řadič domény obsahuje kopii databáze SLUŽBY AD DS. U většiny operací může každý řadič domény zpracovávat změny a replikovat změny do všech ostatních řadičů domény v doméně.

Úložiště dat

Kopie úložiště dat existuje na každém řadiči domény. Databáze SLUŽBY AD DS používá technologii databáze Microsoft Jet a ukládá informace o adresáři do souboru Ntds.dit a přidružených souborů protokolů. Složka C:\Windows\NTDS ukládá tyto soubory ve výchozím nastavení.

Server globálního katalogu

Server globálního katalogu je řadič domény, který je hostitelem globálního katalogu, což je částečná kopie všech objektů v doménové struktuře s více doménami jen pro čtení. Globální katalog urychlí vyhledávání objektů, které mohou být uloženy na řadičích domény v jiné doméně v doménové struktuře.

Řadič domény jen pro čtení (RODC)

Řadič domény jen pro čtení je speciální instalace služby AD DS jen pro čtení. Řadiče domény jen pro čtení jsou běžné ve firemních pobočkách, kde fyzické zabezpečení není optimální, podpora IT je méně pokročilá než v hlavních podnikových centrech nebo obchodní aplikace musí běžet na řadiči domény.

Web

Lokalita je kontejner pro objekty SLUŽBY AD DS, jako jsou počítače a služby specifické pro fyzické umístění. To je ve srovnání s doménou, která představuje logickou strukturu objektů, jako jsou uživatelé a skupiny, kromě počítačů.

Podsíť

Podsíť je část síťových IP adres organizace přiřazené počítačům v lokalitě. Lokalita může mít více než jednu podsíť.

Definování uživatelů, skupin a počítačů

Kromě komponent a objektů vysoké úrovně obsahuje služba AD DS i další objekty, jako jsou uživatelé, skupiny a počítače.

Vytváření uživatelských objektů

Ve službě AD DS musíte poskytnout všem uživatelům, kteří vyžadují přístup k síťovým prostředkům pomocí uživatelského účtu. S tímto uživatelským účtem se uživatelé můžou ověřit v doméně služby AD DS a přistupovat k síťovým prostředkům.

Ve Windows Serveru je uživatelský účet objekt, který obsahuje všechny informace, které definují uživatele. Uživatelský účet zahrnuje:

  • Uživatelské jméno.
  • Heslo uživatele.
  • Členství ve skupinách.

Uživatelský účet obsahuje také nastavení, která můžete nakonfigurovat na základě požadavků vaší organizace.

Snímek obrazovky s uživatelským účtem Jane Dow v Centru správy služby Active Directory

Uživatelské jméno a heslo uživatelského účtu slouží jako přihlašovací údaje uživatele. Objekt uživatele obsahuje také několik dalších atributů, které popisují a spravují uživatele. K vytváření a správě uživatelských objektů ve službě AD DS můžete použít následující:

  • Centrum správy služby Active Directory.
  • Uživatelé a počítače služby Active Directory.
  • Centrum pro správu Systému Windows.
  • Windows PowerShell.
  • Nástroj příkazového dsadd řádku.

Co jsou účty spravovaných služeb?

Mnoho aplikací obsahuje služby, které nainstalujete na server, který je hostitelem programu. Tyto služby se obvykle spouští při spuštění serveru nebo se aktivují jinými událostmi. Služby se často spouštějí na pozadí a nevyžadují žádnou interakci uživatele. Pokud chcete službu spustit a ověřit, použijte účet služby. Účet služby může být účet, který je místní pro počítač, například předdefinovaná místní služba, síťová služba nebo místní systémové účty. Účet služby můžete také nakonfigurovat tak, aby používal účet založený na doméně umístěný ve službě AD DS.

Aby bylo možné centralizovat správu a splnit požadavky programu, mnoho organizací se rozhodne použít účet založený na doméně ke spouštění programových služeb. I když to přináší určitou výhodu oproti používání místního účtu, existuje řada souvisejících problémů, jako je například následující:

  • K bezpečné správě hesla účtu služby může být potřeba další úsilí o správu.
  • Může být obtížné určit, kde se účet založený na doméně používá jako účet služby.
  • Ke správě hlavního názvu služby (SPN) může být potřeba další úsilí při správě správy.

Windows Server podporuje objekt služby AD DS s názvem účet spravované služby, který používáte k usnadnění správy účtů služeb. Účet spravované služby je třída objektů AD DS, která umožňuje:

  • Zjednodušená správa hesel
  • Zjednodušená správa hlavního názvu služby (SPN).

Co jsou skupinové účty spravované služby?

Skupinové účty spravované služby (gMSA) umožňují rozšířit možnosti standardních účtů spravovaných služeb na více než jeden server ve vaší doméně. Ve scénářích serverové farmy s clustery vyrovnávání zatížení sítě (NLB) nebo servery služby IIS je často potřeba spouštět systémové nebo programové služby ve stejném účtu služby. Účty spravované služby úrovně Standard nemůžou poskytovat funkce účtu spravované služby službám, které běží na více než jednom serveru. GMSA umožňuje nakonfigurovat více serverů tak, aby používaly stejný účet spravované služby a stále si zachovaly výhody, které poskytují účty spravovaných služeb, jako je automatická údržba hesel a zjednodušená správa hlavního názvu služby( SPN).

Aby bylo možné podporovat funkce účtu spravované služby skupiny, musí vaše prostředí splňovat následující požadavek:

  • Na řadiči domény v doméně musíte vytvořit kořenový klíč KDS.

Pokud chcete vytvořit kořenový klíč KDS, spusťte následující příkaz z modulu Active Directory pro Windows PowerShell na řadiči domény Windows Serveru.

PowerShell 
Add-KdsRootKey –EffectiveImmediately

Účty spravované služby skupiny vytvoříte pomocí New-ADServiceAccount rutiny Prostředí Windows PowerShell s parametrem –PrinicipalsAllowedToRetrieveManagedPassword .

Příklad:

PowerShell 
New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Co jsou delegovaná účty spravované služby?

Windows Server 2025 zavádí nový typ účtu služby s názvem Delegovaný účet spravované služby (dMSA). Typ účtu dMSA umožňuje uživatelům přecházet z tradičních účtů služeb na účty počítačů, které mají spravované a plně randomizované klíče, a zároveň zakázat původní hesla účtu služby. Ověřování dMSA je propojené s identitou zařízení, což znamená, že k účtu mají přístup jenom zadané identity počítačů mapované v AD. Pomocí nástroje dMSA můžou uživatelé zabránit běžnému problému získávání přihlašovacích údajů pomocí ohroženého účtu, který je přidružený k tradičním účtům služeb.

Účty dMSA a gMSA jsou dva typy účtů spravovaných služeb, které se používají ke spouštění služeb a aplikací ve Windows Serveru. DMSA spravuje správce a používá se ke spuštění služby nebo aplikace na konkrétním serveru. Služba GMSA je spravovaná službou AD a používá se ke spuštění služby nebo aplikace na více serverech. Mezi další rozdíly patří:

  • Použití konceptů gMSA k omezení rozsahu použití pomocí Credential Guard k vytvoření vazby ověřování počítače
  • Ochrana Credential Guard se dá použít k vylepšení zabezpečení v dMSA tím, že automaticky obmění hesla a vazbu všech lístků účtů služeb. Starší účty se pak zaknou, aby se zlepšilo zabezpečení.
  • I když jsou účty gMSA zabezpečené pomocí počítačů generovaných a automaticky nahraných hesel, hesla stále nejsou svázaná a je možné je ukrást.

Co jsou objekty skupiny?

I když může být praktické přiřazovat oprávnění a práva jednotlivým uživatelským účtům v malých sítích, stává se to nepraktické a neefektivní ve velkých podnikových sítích.

Pokud například několik uživatelů potřebuje stejnou úroveň přístupu ke složce, je efektivnější vytvořit skupinu, která obsahuje požadované uživatelské účty, a pak skupině přiřadit požadovaná oprávnění.

 Tip

Jako přidanou výhodu můžete změnit oprávnění uživatelů k souborům tak, že je přidáte nebo odeberete ze skupin a nebudete oprávnění k souborům upravovat přímo.

Před implementací skupin ve vaší organizaci musíte porozumět rozsahu různých typů skupin služby AD DS. Kromě toho musíte pochopit, jak pomocí typů skupin spravovat přístup k prostředkům nebo přiřazovat práva a povinnosti správy.

Snímek obrazovky s dialogovým oknem Vytvořit skupinu: Obchodní manažeři v Centru pro správu Systému Windows

Typy skupin

V podnikové síti Windows Serveru existují dva typy skupin, které jsou popsány v následující tabulce.

Typ skupiny

Popis

Zabezpečení

Skupiny zabezpečení jsou povolené zabezpečení a používáte je k přiřazování oprávnění různým prostředkům. Skupiny zabezpečení můžete použít v položkách oprávnění v seznamech řízení přístupu (ACL) k řízení zabezpečení přístupu k prostředkům. Pokud chcete ke správě zabezpečení použít skupinu, musí se jednat o skupinu zabezpečení.

Distribuce

E-mailové aplikace obvykle používají distribuční skupiny, které nejsou povolené zabezpečením. Skupiny zabezpečení můžete použít také jako prostředek distribuce pro e-mailové aplikace.

 Poznámka

Při vytváření skupiny zvolíte typ a obor skupiny. Typ skupiny určuje možnosti skupiny.

Obory skupin

Windows Server podporuje nastavení rozsahu skupin. Rozsah skupiny určuje rozsah schopností nebo oprávnění skupiny i členství ve skupině. Existují čtyři obory skupin.

  • Místní. Tento typ skupiny použijete pro samostatné servery nebo pracovní stanice, na serverech členů domény, které nejsou řadiči domény nebo na pracovních stanicích členů domény. Místní skupiny jsou k dispozici pouze v počítači, kde existují. Důležité charakteristiky místní skupiny jsou:

    • Možnosti a oprávnění můžete přiřadit pouze k místním prostředkům, což znamená na místním počítači.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

  • Místní doména. Tento typ skupiny používáte především ke správě přístupu k prostředkům nebo k přiřazování přístupových práv a odpovědností za správu. Na řadičích domény v doméně služby AD DS existují místní skupiny, takže obor skupiny je místní pro doménu, ve které se nachází. Mezi důležité charakteristiky místních doménových skupin patří:

    • Možnosti a oprávnění můžete přiřadit pouze k místním prostředkům domény, což znamená na všech počítačích v místní doméně.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

  • Globální. Tento typ skupiny používáte především ke konsolidaci uživatelů, kteří mají podobné charakteristiky. Globální skupiny můžete například použít k připojení uživatelů, kteří jsou součástí oddělení nebo geografického umístění. Mezi důležité charakteristiky globálních skupin patří:

    • Schopnosti a oprávnění můžete přiřadit kdekoli v doménové struktuře.
    • Členové můžou být pouze z místní domény a mohou zahrnovat uživatele, počítače a globální skupiny z místní domény.

  • Univerzální. Tento typ skupiny používáte nejčastěji v sítích s více doménami, protože kombinuje charakteristiky místních doménových skupin i globálních skupin. Důležité charakteristiky univerzálních skupin jsou konkrétně:

    • Schopnosti a oprávnění můžete přiřadit kdekoli v doménové struktuře podobně jako přiřazování pro globální skupiny.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

Co jsou počítačové objekty?

Počítače, jako jsou uživatelé, jsou objekty zabezpečení v tomhle:

  • Mají účet s přihlašovacím jménem a heslem, které se automaticky mění v pravidelných intervalech.
  • Ověří se v doméně.
  • Můžou patřit do skupin a mít přístup k prostředkům a můžete je nakonfigurovat pomocí zásad skupiny.

Účet počítače začne jeho životní cyklus při vytváření objektu počítače a jeho připojení k doméně. Po připojení účtu počítače k doméně patří každodenní úlohy správy:

  • Konfigurace vlastností počítače
  • Přesouvání počítače mezi organizačními procesory
  • Správa samotného počítače.
  • Přejmenování, resetování, zakázání, povolení a nakonec odstranění objektu počítače.

Snímek obrazovky s dialogovým oknem Vytvořit počítač: SEA-CL5 v Centru správy služby Active Directory

Kontejner počítačů

Než ve službě AD DS vytvoříte objekt počítače, musíte ho umístit. Kontejner Počítače je integrovaný kontejner v doméně služby AD DS. Tento kontejner je výchozím umístěním účtů počítače, když se počítač připojí k doméně.

Tento kontejner není organizační jednotky. Místo toho se jedná o objekt třídy Container. Jeho běžný název je CN=Computers. Mezi kontejnerem a organizační jednotky existují drobné, ale důležité rozdíly. V rámci kontejneru nemůžete vytvořit organizační jednotky, takže kontejner Počítače nemůžete rozdělit. Objekt zásad skupiny také nelze propojit s kontejnerem. Proto doporučujeme, abyste místo kontejneru Počítače vytvořili vlastní organizační jednotky pro hostitelské objekty počítače.

 

Definování doménových struktur a domén služby AD DS

Doménová struktura služby AD DS je kolekce jednoho nebo více stromů služby AD DS, které obsahují jednu nebo více domén služby AD DS. Domény ve sdílené složce doménové struktury:

  • Společný kořen.
  • Společné schéma.
  • Globální katalog.

Doména SLUŽBY AD DS je logický kontejner pro správu objektů, jako jsou:

  • Uživatelé
  • Skupiny
  • Počítače

 

Co je doménová struktura SLUŽBY AD DS?

Doménová struktura je kontejner nejvyšší úrovně ve službě AD DS. Každá doménová struktura je kolekce jednoho nebo více stromů domény, které sdílejí společné schéma adresáře a globální katalog. Doménový strom je kolekce jedné nebo více domén, které sdílejí souvislý obor názvů. Kořenová doména doménové struktury je první doména, kterou vytvoříte v doménové struktuře.

Kořenová doména doménové struktury obsahuje objekty, které neexistují v jiných doménách v doménové struktuře. Vzhledem k tomu, že tyto objekty vždy vytváříte na prvním řadiči domény, může doménová struktura obsahovat pouze jednu doménu s jedním řadičem domény nebo se může skládat z několika domén napříč několika stromy domény.

Následující obrázek se zobrazí Contoso.com jako kořenová doména doménové struktury. Pod sebou jsou dvě domény, Adatum.com v samostatném stromu a Seattle.Contoso.com jako podřízený prvek Contoso.com.

Obrázek, který zobrazuje hierarchii domén, jak je popsáno v předchozím textu.

V kořenové doméně doménové struktury existují následující objekty:

  • Role hlavního schématu.
  • Role hlavního názvového serveru domény.
  • Skupina Enterprise Admins
  • Skupina Schema Admins

 Poznámka

I když se role hlavního serveru pro pojmenování schématu a domény přiřazují zpočátku v kořenové doméně na prvním vytvořeném řadiči domény, můžete je přesunout do jiných řadičů domény kdekoli v doménové struktuře.

Doménová struktura služby AD DS se často popisuje takto:

  • Hranice zabezpečení. Ve výchozím nastavení nemají žádní uživatelé mimo doménovou strukturu přístup k žádným prostředkům v doménové struktuře. Kromě toho všechny domény v doménové struktuře automaticky důvěřují ostatním doménám v doménové struktuře. To usnadňuje přístup k prostředkům pro všechny uživatele v doménové struktuře bez ohledu na doménu, do které patří.
  • Hranice replikace. Doménová struktura služby AD DS je hranice replikace pro oddíly konfigurace a schématu v databázi služby AD DS. Proto organizace, které chtějí nasadit aplikace s nekompatibilními schématy, musí nasadit další doménové struktury. Doménová struktura je také hranicí replikace globálního katalogu. Globální katalog umožňuje najít objekty z libovolné domény v doménové struktuře.

 Tip

Organizace obvykle vytváří pouze jednu doménovou strukturu.

V každé doméně existují následující objekty (včetně kořenové struktury):

  • Role hlavního serveru RID.
  • Role hlavního serveru infrastruktury.
  • Role hlavního emulátoru primárního řadiče domény.
  • Skupina Domain Admins.

Co je doména SLUŽBY AD DS?

Doména služby AD DS je logický kontejner pro správu uživatelů, počítačů, skupin a dalších objektů. Databáze SLUŽBY AD DS ukládá všechny doménové objekty a každý řadič domény ukládá kopii databáze.

Následující obrázek zobrazuje doménu SLUŽBY AD DS. Obsahuje uživatele, počítače a skupiny.

Obrázek zobrazující doménu služby AD DS obsahující uživatele, počítače a skupiny

Nejčastěji používané objekty jsou popsány v následující tabulce:

Objekt

Popis

Uživatelské účty

Uživatelské účty obsahují informace o uživatelích, včetně informací potřebných k ověření uživatele během procesu přihlášení a sestavení přístupového tokenu uživatele.

Účty počítačů

Každý počítač připojený k doméně má ve službě AD DS účet. Účty počítačů můžete použít pro počítače připojené k doméně stejným způsobem jako uživatelské účty pro uživatele.

Skupiny

Skupiny uspořádají uživatele nebo počítače, aby se zjednodušila správa oprávnění a objektů zásad skupiny v doméně.

 Poznámka

Služba AD DS umožňuje, aby jedna doména obsahovala téměř dvě miliardy objektů. To znamená, že většina organizací potřebuje nasadit jenom jednu doménu.

Doména služby AD DS se často popisuje takto:

  • Hranice replikace. Když provedete změny libovolného objektu v doméně, řadič domény, ve kterém došlo ke změně, replikuje tuto změnu do všech ostatních řadičů domény v doméně. Pokud v doménové struktuře existuje více domén, replikují se do jiných domén jenom podmnožina změn. Služba AD DS používá model replikace s více hlavními servery, který umožňuje každému řadiči domény provádět změny objektů v doméně.
  • Jednotka pro správu. Doména služby AD DS obsahuje účet správce a skupinu Domain Admins. Ve výchozím nastavení je účet Správce členem skupiny Domain Admins a skupina Domain Admins je členem každé místní skupiny Administrators počítačů připojených k doméně. Ve výchozím nastavení mají členové skupiny Domain Admins úplnou kontrolu nad každým objektem v doméně.

 Poznámka

Účet správce v kořenové doméně doménové struktury má další práva.

Doména služby AD DS poskytuje:

  • Ověřování. Pokaždé, když se počítač připojený k doméně spustí nebo se uživatel přihlásí k počítači připojenému k doméně, služba AD DS ho ověří. Ověřování ověřuje, že počítač nebo uživatel má správnou identitu ve službě AD DS, a to ověřením přihlašovacích údajů.
  • Autorizace Systém Windows používá k určení, jestli mají ověření uživatelé přistupovat k prostředkům pomocí autorizačních technologií a technologií řízení přístupu.

 Tip

Organizace s decentralizovanými strukturami pro správu nebo více míst můžou zvážit implementaci více domén ve stejné doménové struktuře, aby vyhovovaly potřebám správy.

Co jsou vztahy důvěryhodnosti?

Vztahy důvěryhodnosti služby AD DS umožňují přístup k prostředkům ve složitém prostředí SLUŽBY AD DS. Když nasadíte jednu doménu, můžete snadno udělit přístup k prostředkům v rámci domény uživatelům a skupinám z domény. Při implementaci více domén nebo doménových struktur byste měli zajistit, aby byly zavedeny odpovídající vztahy důvěryhodnosti, aby byl zajištěn stejný přístup k prostředkům.

V doménové struktuře AD DS s více doménami se obousměrné přechodné vztahy důvěryhodnosti generují automaticky mezi doménami služby AD DS, aby mezi všemi doménami služby AD DS existovala cesta důvěryhodnosti.

 Poznámka

Vztahy důvěryhodnosti vytvořené automaticky v doménové struktuře jsou všechny tranzitivní vztahy důvěryhodnosti, což znamená, že pokud doména A důvěřuje doméně B a doméně B důvěřuje doméně C, pak doména A důvěřuje doméně C.

Můžete nasadit jiné typy vztahů důvěryhodnosti. Následující tabulka popisuje hlavní typy důvěryhodnosti.

Typ důvěryhodnosti

Popis

Směr

Popis

Nadřazený a podřízený objekt

Tranzitivní

Obousměrný

Když přidáte novou doménu SLUŽBY AD DS do existujícího stromu služby AD DS, vytvoříte nové vztahy důvěryhodnosti nadřazeného a podřízeného objektu.

Kořen stromu

Tranzitivní

Obousměrný

Když vytvoříte nový strom služby AD DS v existující doménové struktuře služby AD DS, automaticky vytvoříte nový vztah důvěryhodnosti kořene stromu.

Externí

Nepřenositelné

Jednosměrné nebo dvoucestné

Externí vztahy důvěryhodnosti umožňují přístup k prostředkům s systém Windows NT doménou 4.0 nebo doménou SLUŽBY AD DS v jiné doménové struktuře. Můžete je také nastavit tak, aby poskytovaly architekturu pro migraci.

Sféra

Tranzitivní nebo netransitivní

Jednosměrné nebo dvoucestné

Sféra důvěryhodnosti vytváří cestu ověřování mezi doménou služby Ad DS systému Windows Server a sférou protokolu Kerberos verze 5 (v5), která se implementuje pomocí jiné adresářové služby než AD DS.

Doménová struktura (úplná nebo selektivní)

Tranzitivní

Jednosměrné nebo dvoucestné

Vztahy důvěryhodnosti mezi doménovými strukturami služby AD DS umožňují dvěma doménovými strukturami sdílet prostředky.

Zástupce

Nepřenositelné

Jednosměrné nebo dvoucestné

Nakonfigurujte vztahy důvěryhodnosti zástupců, abyste zkrátili dobu potřebnou k ověření mezi doménami služby AD DS, které jsou v různých částech doménové struktury SLUŽBY AD DS. Ve výchozím nastavení neexistují žádné vztahy důvěryhodnosti klávesových zkratek a pokud je vyžaduje, musí je správce vytvořit.

Když nastavíte vztahy důvěryhodnosti mezi doménami ve stejné doménové struktuře, mezi doménovými strukturami nebo s externí sférou, Windows Server vytvoří důvěryhodný objekt domény pro ukládání informací o důvěryhodnosti, jako je tranzitivita a typ, ve službě AD DS. Windows Server ukládá tento důvěryhodný objekt domény do systémového kontejneru ve službě AD DS.

Definování organizačních jednotek

Organizační jednotky je objekt kontejneru v rámci domény, pomocí kterého můžete konsolidovat uživatele, počítače, skupiny a další objekty. Objekty zásad skupiny (GPO) můžete propojit přímo s organizační jednotky, abyste mohli spravovat uživatele a počítače obsažené v organizační jednotky. Můžete také přiřadit manažera organizační jednotky a přidružit oddíl MODELU COM+ k organizační jednotky.

Nové organizační jednotky ve službě AD DS můžete vytvořit pomocí:

  • Centrum správy služby Active Directory.
  • Uživatelé a počítače služby Active Directory.
  • Centrum pro správu Systému Windows.
  • Windows PowerShell s modulem Active Directory PowerShell.

 

Proč vytvářet organizační jednotky?

Existují dva důvody vytvoření organizační jednotky:

  • Chcete-li konsolidovat objekty, aby bylo snazší je spravovat použitím objektů zásad skupiny na kolektivní. Když přiřadíte objekty zásad skupiny organizačnímu objektu, použijí se nastavení pro všechny objekty v organizační jednotky. Objekty zásad skupiny jsou zásady, které správci vytvářejí za účelem správy a konfigurace nastavení pro počítače nebo uživatele. Objekty zásad skupiny nasadíte tak, že je propojíte s organizačními procesory, doménami nebo lokalitami.
  • Delegování správy objektů v organizační jednotce. Oprávnění ke správě můžete přiřadit organizační jednotky a delegovat tak řízení této organizační jednotky uživateli nebo skupině v rámci služby AD DS, a to kromě skupiny Domain Admins.

Organizační jednotky můžete použít k reprezentaci hierarchických logických struktur v rámci vaší organizace. Můžete například vytvořit organizační jednotky, které představují oddělení ve vaší organizaci, zeměpisné oblasti v rámci vaší organizace nebo kombinaci obou oddělení a geografických oblastí. Organizační jednotky můžete použít ke správě konfigurace a používání uživatelských, skupinových a počítačových účtů na základě modelu organizace.

Co jsou obecné kontejnery?

Služba AD DS obsahuje několik předdefinovaných kontejnerů nebo obecných kontejnerů, jako jsou uživatelé a počítače. Tyto kontejnery ukládají systémové objekty nebo fungují jako výchozí nadřazené objekty do nových objektů, které vytvoříte. Nezaměňujte tyto obecné objekty kontejneru s organizačními objekty. Hlavním rozdílem mezi organizačními procesory a kontejnery jsou možnosti správy. Kontejnery mají omezené možnosti správy. Objekt zásad skupiny například nemůžete použít přímo u kontejneru.

Snímek obrazovky Uživatelé a počítače služby Active Directory Správce vybral doménu

Při instalaci služby AD DS se ve výchozím nastavení vytvoří organizační jednotka řadiče domény a několik obecných objektů kontejneru. Služba AD DS primárně používá některé z těchto výchozích objektů, které jsou ve výchozím nastavení také skryté. Ve výchozím nastavení se zobrazí následující objekty:

  • Doména. Nejvyšší úroveň hierarchie organizace domény.
  • Integrovaný kontejner. Kontejner, který ukládá několik výchozích skupin.
  • Kontejner počítačů. Výchozí umístění pro nové účty počítačů, které vytvoříte v doméně.
  • Kontejner cizích objektů zabezpečení. Výchozí umístění důvěryhodných objektů z domén mimo místní doménu služby AD DS, kterou přidáte do skupiny v místní doméně služby AD DS.
  • Kontejner účtů spravovaných služeb Výchozí umístění pro účty spravovaných služeb. Služba AD DS poskytuje automatickou správu hesel v účtech spravovaných služeb.
  • Kontejner Uživatelé Výchozí umístění pro nové uživatelské účty a skupiny, které vytvoříte v doméně. Kontejner Users také obsahuje správce, účty hostů pro doménu a některé výchozí skupiny.
  • Organizační jednotka řadičů domény Výchozí umístění pro účty počítačů řadičů domény. Toto je jediná organizační jednotky, která se nachází v nové instalaci služby AD DS.

Při výběru rozšířených funkcí můžete zkontrolovat několik kontejnerů. Následující tabulka popisuje objekty, které jsou ve výchozím nastavení skryté.

Objekt

Popis

Ztráty a nálezy

Tento kontejner obsahuje osamocené objekty.

Data programu

Tento kontejner obsahuje data služby Active Directory pro aplikace Microsoftu, jako je Active Directory Federation Services (AD FS) (AD FS).

Systémový

Tento kontejner obsahuje integrovaná nastavení systému.

Kvóty NTDS

Tento kontejner obsahuje data kvóty adresářové služby.

Zařízení TPM

Tento kontejner ukládá informace o obnovení pro zařízení TPM (Trusted Platform Module).

 Poznámka

Kontejnery v doméně služby AD DS nemůžou mít propojené objekty zásad skupiny. Pokud chcete propojit objekty zásad skupiny, aby se použily konfigurace a omezení, vytvořte hierarchii organizačních jednotek a propojte s nimi objekty zásad skupiny.

Použití hierarchického návrhu

Administrativní potřeby organizace určují návrh hierarchie organizačních jednotek. Geografická, funkční, zdrojová nebo uživatelská klasifikace můžou mít vliv na návrh. Bez ohledu na pořadí by hierarchie měla co nejúčelněji a flexibilně spravovat prostředky služby AD DS. Pokud například potřebujete určitým způsobem nakonfigurovat všechny počítače správců IT, můžete všechny počítače seskupit do organizační jednotky a pak přiřadit objekt zásad skupiny ke správě těchto počítačů.

Můžete také vytvářet organizační jednotky v jiných organizačních jednotkách. Vaše organizace může mít například více poboček, z nichž každý má vlastního správce IT, který zodpovídá za správu uživatelských a počítačových účtů. Každá kancelář může mít navíc různá oddělení s různými požadavky na konfiguraci počítače. V této situaci můžete vytvořit organizační jednotky pro každou kancelář a pak v rámci každého z těchto organizačních jednotek vytvořit organizační jednotky pro správce IT a organizační jednotky pro každé z ostatních oddělení.

I když neexistuje žádný limit počtu úrovní ve struktuře organizační jednotky, omezte strukturu organizační jednotky na hloubku maximálně 10 úrovní, abyste zajistili možnosti správy. Většina organizací používá k zjednodušení správy pět úrovní nebo méně.

 Poznámka

Aplikace, které pracují se službou AD DS, mohou uplatňovat omezení hloubky organizační jednotky v hierarchii pro části hierarchie, které používají.

Správa objektů a jejich vlastností ve službě AD DS

Správa prostředí SLUŽBY AD DS je jednou z nejběžnějších úloh, které provádí IT specialista. Ke správě služby AD DS můžete použít několik nástrojů.

Centrum správy služby Active Directory

Centrum správy služby Active Directory poskytuje grafické uživatelské rozhraní, které je založené na prostředí Windows PowerShell. Toto rozšířené rozhraní umožňuje provádět správu objektů služby AD DS pomocí navigace orientované na úlohy a nahrazuje funkce Uživatelé a počítače služby Active Directory.

Snímek obrazovky Centra pro správu služby Active Directory. Administrátor vybral organizační jednotku IT v doméně Contoso.com.

Mezi úlohy, které můžete provádět pomocí Centra správy služby Active Directory, patří:

  • Vytváření a správa uživatelských, počítačových a skupinových účtů
  • Vytváření a správa organizačních jednotek
  • Připojení k více doménám a jejich správa v rámci jedné instance Centra správy služby Active Directory.
  • Vyhledávání a filtrování dat služby AD DS vytvořením dotazů
  • Vytváření a správa jemně odstupňovaných zásad hesel
  • Obnovení objektů z koše služby Active Directory
  • Správa objektů, které funkce dynamického řízení přístupu vyžaduje.

Windows Admin Center (Centrum pro správu Windows)

Windows Admin Center je webová konzola, kterou můžete použít ke správě serverových počítačů a počítačů se systémem Windows 10. Centrum pro správu Systému Windows obvykle slouží ke správě serverů místo použití nástrojů pro vzdálenou správu serveru (RSAT).

Windows Admin Center funguje s libovolným prohlížečem, který je kompatibilní s moderními standardy, a můžete ho nainstalovat do počítačů se systémem Windows 10 a Windows Server s desktopovým prostředím.

 Poznámka

Windows Admin Center byste neměli instalovat na serverový počítač, který je nakonfigurovaný jako řadič domény služby AD DS.

Při snížení počtu výjimek podporuje Windows Admin Center nejaktuálnější funkce pro správu Windows Serveru a Windows 10. Společnost Microsoft však hodlá, aby Centrum pro správu Systému Windows nakonec podporovalo všechny funkce správy, které jsou momentálně dostupné prostřednictvím rsAT.

Snímek obrazovky Centra pro správu Windows. Administrátor vybral Správce serveru. Zobrazí se podokno Přehled pro server s názvem SEA-DC1.

Pokud chcete používat Windows Admin Center, musíte si ho nejdřív stáhnout a nainstalovat. Centrum pro správu Systému Windows si můžete stáhnout z webu pro stažení microsoftu. Po stažení a instalaci centra Windows Admin Center musíte na místní bráně firewall povolit příslušný port TCP. Na počítači s Windows 10 (v samostatném režimu) se ve výchozím nastavení nastaví na 6516. Ve Windows Serveru (v režimu brány) se ve výchozím nastavení nastaví na TCP 443. V obou případech ho můžete během instalace změnit.

 Poznámka

Pokud nepoužíváte certifikát od důvěryhodné certifikační autority, při prvním spuštění windows Admin Center se zobrazí výzva k výběru klientského certifikátu. Ujistěte se, že jste vybrali certifikát označený jako klient windows Admin Center.

Nástroje pro vzdálenou správu serveru

RsAT je kolekce nástrojů, které umožňují vzdáleně spravovat role a funkce Windows Serveru.

Snímek obrazovky s dialogovým oknem Přidat volitelnou funkci Zobrazí se seznam nástrojů RSAT.

 Poznámka

Nástroje RSAT povolíte z aplikace Nastavení. V Nastavení vyhledejte možnost Spravovat volitelné funkce, vyberte Přidat funkci a pak z vráceného seznamu vyberte příslušné nástroje pro vzdálenou správu serveru. Výběrem možnosti Nainstalovat tuto funkci přidáte.

Konzoly dostupné v nástroji RSAT můžete nainstalovat na počítače se systémem Windows 10 nebo na serverových počítačích, na kterých běží možnost Server s desktopovým prostředím instalace Windows Serveru. Až do zavedení centra Windows Admin Center byly konzoly RSAT primárními grafickými nástroji pro správu operačního systému Windows Server.

Další nástroje pro správu služby AD DS

Další nástroje pro správu, které používáte k provádění správy služby AD DS, jsou popsány v následující tabulce.

Nástroj pro správu

Popis

Modul služby Active Directory pro prostředí Windows PowerShell

Modul Active Directory pro Windows PowerShell podporuje správu služby AD DS a je to jedna z nejdůležitějších komponent pro správu. Správce serveru a Centrum správy služby Active Directory jsou založené na prostředí Windows PowerShell a používají rutiny k provádění jejich úloh.

Uživatelé a počítače služby Active Directory

Uživatelé a počítače služby Active Directory je modul snap-in konzoly MMC (Microsoft Management Console), který spravuje nejběžnější prostředky, včetně uživatelů, skupin a počítačů. I když tento modul snap-in znáte mnoho správců, centrum správy služby Active Directory ho nahrazuje a poskytuje další možnosti.

Lokality a služby Active Directory

Modul snap-in Lokality a služby MMC služby Active Directory spravuje replikaci, topologii sítě a související služby.

Doména služby Active Directory a vztahy důvěryhodnosti

Modul snap-in konzoly MMC Doména služby Active Directory a vztahy důvěryhodnosti konfiguruje a udržuje vztahy důvěryhodnosti na úrovních funkčnosti domény a doménové struktury.

Modul snap-in Schéma služby Active Directory

Modul snap-in Schéma služby Active Directory konzoly MMC zkoumá a upravuje definice atributů a tříd objektů služby AD DS. Nemusíte ho často kontrolovat ani měnit. Proto není ve výchozím nastavení zaregistrovaný modul snap-in Schéma služby Active Directory.

 

Předchozí článek Další článek