Ano ang Aktibong Directory? Isang hakbang-hakbang na tutorial

Habang lumago ang pagiging kumplikado ng mga mapagkukunan ng networking, ang mga serbisyo sa direktoryo ay naging mas mahalaga para sa pamamahala ng imprastruktura ng IT. Walang serbisyo sa direktoryo na may mas malaking pangalan kaysa sa Aktibong Direktoryo. Ang serbisyo ng direktoryo ng Microsoft ay itinatag bilang isang tool na staple sa gitna ng mga administrador ng network. Sa tutorial na Aktibong Directory na ito ay titingnan namin kung ano ang Aktibong Direktoryo, kung paano gamitin ito, at mga tool ng Aktibong Directory tulad ng SolarWinds Access Rights Manager. Kasama sa mga paksa ang:

  • Ano ang Aktibong Direktoryo?
  • Ano ang ginagawa ng Aktibong Directory?
  • Paano Mag-set up ng Aktibong Direktoryo
  • Paano Gumamit ng Aktibong Directory: Pagse-set up ng isang Domain Controller, Paglikha ng Mga Gumagamit ng Directory
  • Mga Aktibong Directory Mga Kaganapan sa Direktoryo
  • Mga Pakikipag-ugnay sa Tiwala (at Mga Uri ng Tiwala)
  • Isang Pangkalahatang-ideya ng Mga Aktibong Mga Kagubatan at Mga Puno
  • Aktibong Pag-uulat ng Directory (kasama ang SolarWinds Access Rights Manager)

Ano ang Aktibong Direktoryo? 

Aktibong Direktoryo ay isang serbisyo ng direktoryo o lalagyan na nag-iimbak ng mga bagay ng data sa iyong lokal na kapaligiran sa network. Ang serbisyo ay nagtatala ng data sa mga gumagamit, aparato, mga aplikasyon, mga pangkat, at aparato sa isang hierarchical structure.

Ang istraktura ng data ay ginagawang posible upang mahanap ang mga detalye ng mga mapagkukunan na konektado sa network mula sa isang lokasyon. Sa esensya, ang Aktibong Direktoryo ay kumikilos tulad ng isang phonebook para sa iyong network upang madali kang maghanap at pamahalaan ang mga aparato.

Ano ang ginagawa ng Aktibong Directory? 

Maraming mga kadahilanan kung bakit gumagamit ng mga serbisyo ng direktoryo ang mga negosyo tulad ng Aktibong Direktoryo. Ang pangunahing dahilan ay kaginhawaan. Pinapayagan ng Aktibong Directory ang mga gumagamit na mag-log on at pamahalaan ang iba’t ibang mga mapagkukunan mula sa isang lokasyon. Ang mga kredensyal sa pag-login ay pinag-isa upang mas madaling pamahalaan ang maraming mga aparato nang hindi kinakailangang magpasok ng mga detalye ng account upang ma-access ang bawat indibidwal na makina.

Paano mag-setup ng Aktibong Directory (kasama ang RSAT) 

Upang magsimula kakailanganin mo munang tiyakin na mayroon ka Windows Professional o Windows Enterprise naka-install kung hindi mo magagawang i-install Mga tool sa Pamamahala ng Remote Server. Pagkatapos gawin ang mga sumusunod:

Para sa Windows 10 Bersyon 1809:

  1. Mag-right-click sa Magsimula pindutan at pumunta sa Mga setting > Apps > Pamahalaan ang mga opsyonal na tampok > Magdagdag ng tampok.
  2. Piliin ngayon RSAT: Aktibong Direktoryo ng Mga Serbisyo ng Domain ng Direktoryo at Magaang Directory Tool.
  3. Sa wakas, pumili I-install pagkatapos ay pumunta sa Magsimula > Mga Kasangkapan sa Pamamahala ng Windows upang ma-access ang Aktibong Directory kapag kumpleto ang pag-install.


Para sa Windows 8 (At Windows 10 Bersyon 1803) 

  1. I-download at i-install ang tamang bersyon ng Mga Tagagamit ng Server Administrator para sa iyong aparato: Windows 8, Windows 10.
  2. Susunod, i-click ang kanan Magsimula pindutan at piliin Control Panel > Mga Programa > Mga Programa at Tampok > I-off o i-off ang mga tampok ng Windows.
  3. Slide down at mag-click sa Mga tool sa Pamamahala ng Remote Server pagpipilian.
  4. Ngayon mag-click sa Mga tool sa Pangangasiwa ng Papel.
  5. Mag-click sa AD DS at AD LDS Tools at i-verify Mga Tool sa AD DS ay nasuri.
  6. Pindutin Ok.
  7. Pumunta sa Magsimula > Mga Kagamitan sa Pamamahala sa Magsimula menu upang ma-access ang Aktibong Directory.

Paano gamitin ang Aktibong Directory: Paano Mag-set up ng isang Domain Controller, Paglikha ng Mga Gumagamit ng Directory 

Paano mag-setup ng isang Domain Controller

Ang isa sa mga unang bagay na kailangan mong gawin kapag gumagamit ng Aktibong Directory ay upang mag-set up ng isang domain controller. Ang isang domain controller ay isang gitnang computer na tutugon sa mga kahilingan sa pagpapatunay at patunayan ang iba pang mga computer sa buong network. Ang domain controller nag-iimbak ng mga kredensyal sa pag-login ng lahat ng iba pang mga computer at mga printer.

Ang lahat ng iba pang mga computer ay kumokonekta sa domain controller upang ang gumagamit ay maaaring patunayan ang bawat aparato mula sa isang lokasyon. Ang bentahe nito ay hindi kinakailangang pamahalaan ng administrator ang dose-dosenang mga kredensyal sa pag-login.

Ang proseso ng pag-set up ng isang domain controller ay medyo simple. Magtalaga ng isang static na IP address sa iyong Domain Controller at i-install ang Mga Aktibong Serbisyo ng Domain ng Directory o ADDS. Sundin ngayon ang mga tagubiling ito:

  1. Buksan Tagapamahala ng Server at i-click Buod ng Mga Papel > Magdagdag ng mga tungkulin at tampok.
  2. Mag-click Susunod.
  3. Piliin Mga Serbisyo sa Remote na Desktop pag-install kung gumagamit ka ng isang domain controller sa isang virtual machine o pumili pag-install na batay sa papel o tampok na batay.
  4. Pumili ng isang server mula sa pool ng server.
  5. Piliin Serbisyo ng Direktoryo ng Aktibong Directory ng Directorys mula sa listahan at mag-click Susunod.
  6. Iwanan ang mga Tampok na naka-check sa pamamagitan ng default at pindutin Susunod.
  7. Mag-click Awtomatikong i-restart ang patutunguhan ng server kung kinakailangan at i-click I-install. Isara ang window sa sandaling kumpleto na ang pag-install.
  8. Kapag na-install ang tungkulin ng ADDS isang notification ay magpapakita sa tabi ng Pamahalaan menu. Pindutin Itaguyod ang server na ito sa isang domain controller.
  9. Mag-click ngayon Magdagdag ng isang bagong kagubatan at ipasok ang a Root domain name. Pindutin Susunod.
  10. Piliin ang Antas ng pag-andar ng domain nais mo at magpasok ng isang password sa I-type ang Directory Services Ibalik ang Mode (DSRM password) seksyon. Mag-click Susunod.
  11. Kapag nag-click ang pahina ng Mga Pagpipilian sa DNS Susunod muli.
  12. Maglagay ng domain sa NetBios pangalan ng domain kahon (mas mabuti ang kapareho ng pangalan ng root domain). Pindutin Susunod.
  13. Pumili ng isang folder upang maiimbak ang iyong database at mag-log file. Mag-click Susunod.
  14. Pindutin I-install tapusin. I-reboot ang iyong system ngayon.


Paglikha ng Mga Aktibong Gumagamit ng Directory

Mga gumagamit at computer ay ang dalawang pinaka pangunahing mga bagay na kakailanganin mong pamahalaan kapag gumagamit ng Aktibong Directory. Sa seksyong ito, titingnan namin kung paano lumikha ng mga bagong account sa gumagamit. Ang proseso ay medyo simple, at ang pinakamadaling paraan upang pamahalaan ang mga gumagamit ay sa pamamagitan ng Mga Aktibong Gumagamit ng Directory at Computer o ADUC tool na kasama ng Mga tool sa Pamamahala ng Remote Server o RSAT pack Maaari mong mai-install ang ADUC sa pamamagitan ng pagsunod sa mga tagubilin na nakalista sa ibaba:


I-install ang ADUC sa Windows 10 Bersyon 1809 at Mas mataas:

  1. Mag-right-click sa Magsimula pindutan at i-click Mga setting > Apps, pagkatapos ay mag-click Pamahalaan ang mga opsyonal na tampok > Magdagdag ng tampok.
  2. Piliin RSAT: Aktibong Direktoryo ng Mga Serbisyo ng Domain ng Direktoryo at Magaang Directory Tool.
  3. Piliin I-install at maghintay para makumpleto ang pag-install.
  4. Pumunta sa Magsimula > Mga Kasangkapan sa Pamamahala ng Windows upang ma-access ang tampok.


I-install ang ADUC sa Windows 8 at Windows 10 Bersyon 1803 o mas mababa: 

  1. I-download at i-install ang Remote Server Administrator Tools para sa iyong bersyon ng Windows. Maaari mong gawin ito mula sa isa sa mga link na ito:
    Remote Server Administrator Tools para sa Windows 10, Remote Server Administrator Tools para sa Windows 8, o Remote Server Administrator Tools para sa Windows 8.1.
  1. Mag-click sa kanan Magsimula > Control Panel > Mga Programa > Mga Programa at Tampok > I-off o i-off ang mga tampok ng Windows.
  2. Mag-scroll pababa at piliin ang Mga tool sa Pamamahala ng Remote Server.
  3. Palawakin Mga tool sa Tagapangasiwa ng Papel > AD DS at AD LDS Tools.
  4. Suriin Mga Tool sa AD DS at pindutin Ok.
  5. Pumunta sa Magsimula > Mga Kagamitan sa Pamamahala at piliin Mga Aktibong Gumagamit ng Directory at Mga Computer.


Paano Gumawa ng mga Bagong Gumagamit na may ADUC 

  1. Buksan ang Tagapamahala ng Server, pumunta sa Mga tool menu at piliin Mga Aktibong Gumagamit ng Directory at Mga Computer.
  2. Palawakin ang domain at i-click Mga gumagamit.
  3. Mag-right-click sa kanang pane at pindutin Bago > Gumagamit.
  4. Kapag ang mga kahon ng Bagong Object-User na kahon ay nagpasok ng a Pangalan, Huling pangalan, Pangalan ng logon ng gumagamit at i-click Susunod.
  5. Maglagay ng password at pindutin Susunod.
  6. Mag-click Tapos na.
  7. Ang bagong account ng gumagamit ay matatagpuan sa Mga gumagamit seksyon ng ADUC.

Mga Aktibong Directory Mga Kaganapan sa Direktoryo 

Tulad ng lahat ng mga anyo ng imprastraktura, ang Aktibong Directory ay kailangang bantayan upang manatiling protektado. Ang pagsubaybay sa serbisyo ng direktoryo ay mahalaga para mapigilan ang mga pag-atake sa cyber at paghahatid ng pinakamahusay na karanasan sa end-user sa iyong mga gumagamit.

Sa ibaba ay ililista namin ang ilan sa mga pinakamahalagang kaganapan sa network na dapat mong tingnan. Kung nakakita ka ng alinman sa mga kaganapang ito, dapat mong siyasatin ang karagdagang ASAP upang matiyak na ang iyong serbisyo ay hindi nakompromiso.

Kasalukuyang Windows Kaganapan IDLegacy Windows Kaganapan IDDeskripsyon
4618 N / A Ang isang pattern ng kaganapan sa seguridad ay kinikilala.
4649 N / A Isang pag-atake ng replay ay napansin (potensyal na isang maling positibo).
4719 612 Nabago ang isang patakaran sa pag-audit ng system.
4765 N / A Idinagdag ang Kasaysayan ng SID sa isang account.
4766 N / A Nabigo ang pagtatangka upang magdagdag ng Kasaysayan ng SID.
4794 N / A Sikaping ilunsad ang Directory Services Restore Mode.
4897 801 Pinagana ang paghihiwalay ng tungkulin.
4964 N / A Ang mga espesyal na grupo ay naatasan ng isang bagong logo.
5124 N / A Nai-update ang seguridad sa Serbisyo ng Responder ng OCSP.
N / A 550 Potensyal na atake ng DoS.
1102 517 Ang tala ng pag-audit ay na-clear.

Isang Pangkalahatang-ideya ng Mga Aktibong Mga Kagubatan at Mga Puno 

Ang mga kagubatan at mga puno ay dalawang termino na maririnig mo ng maraming kapag delving sa Aktibong Directory. Ang mga salitang ito ay tumutukoy sa lohikal na istraktura ng Aktibong Directory. Sa madaling sabi, a puno ay isang nilalang na may isang solong domain o grupo ng mga bagay na sinusundan ng mga domain ng bata. Ang isang kagubatan ay isang pangkat ng mga domain pagsamahin. Kailan maraming mga puno ay pinagsama-sama na sila ay naging isang kagubatan.

Ang mga punungkahoy sa kagubatan ay nagkokonekta sa bawat isa sa pamamagitan ng a tiwala sa relasyon, na nagbibigay-daan sa iba’t ibang mga domain na magbahagi ng impormasyon. Lahat Awtomatikong magtiwala ang bawat isa sa bawat isa upang ma-access mo ang mga ito gamit ang parehong impormasyon ng account na ginamit mo sa root domain.

Ang bawat kagubatan ay gumagamit ng isang pinag-isang database. Logically, ang kagubatan ay nakaupo sa pinakamataas na antas ng hierarchy at ang puno ay matatagpuan sa ilalim. Ang isa sa mga hamon na nasa tagapangasiwa ng network kapag nagtatrabaho sa Aktibong Direktoryo ay ang pamamahala ng mga kagubatan at panatilihing ligtas ang direktoryo.

Halimbawa, ang isang network administrator ay tungkulin sa pagpili sa pagitan ng a disenyo ng solong kagubatan o disenyo ng multi-forest. Ang disenyo ng solong-gubat ay simple, murang gastos at madaling pamahalaan kasama ang isang kagubatan na binubuo ng buong network. Sa kaibahan, ang isang disenyo ng multi-forest ay naghahati sa network sa iba’t ibang mga kagubatan na mabuti para sa seguridad ngunit ginagawang mas kumplikado ang pangangasiwa.

Mga Pakikipag-ugnay sa Tiwala (at Mga Uri ng Tiwala) 

Tulad ng nabanggit sa itaas, ang mga tiwala ay ginagamit upang mapadali ang komunikasyon sa pagitan ng mga domain. Pinapagana ng mga pinagkakatiwalaan ang pagpapatunay at pag-access sa mga mapagkukunan sa pagitan ng dalawang mga nilalang. Ang mga pagtitiwala ay maaaring isang one-way o two-way sa kalikasan. Sa loob ng isang tiwala, ang dalawang domain ay nahahati sa isang mapagkakatiwalaang domain at isang pinagkakatiwalaang domain.

Sa isang one-way na tiwala, ang ang pag-access sa domain ay naka-access sa mga detalye ng pagpapatunay ng mapagkakatiwalaang domain upang ang gumagamit ay maaaring ma-access ang mga mapagkukunan mula sa ibang domain. Sa isang two-way na tiwala, ang parehong mga domain ay tatanggap ng mga detalye ng pagpapatunay ng iba. Lahat mga domain sa loob ng isang kagubatan tiwala sa bawat isa awtomatikong, ngunit maaari ka ring mag-set up ng mga tiwala sa pagitan ng mga domain sa iba’t ibang mga kagubatan upang maglipat ng impormasyon.

Maaari kang lumikha ng mga tiwala sa pamamagitan ng Bagong Trabaho Wizard. Ang Bagong Tiwala Wizard ay isang wizard ng pagsasaayos na nagbibigay-daan sa iyo upang lumikha ng mga bagong relasyon sa tiwala. Dito maaari mong tingnan ang Pangalan ng Domain, Uri ng Tiwala, at Transitive katayuan ng umiiral na mga pagtitiwala at piliin ang uri ng tiwala na nais mong likhain.

Mga Uri ng Tiwala 

Mayroong isang hanay ng mga uri ng tiwala sa Aktibong Directory. Inilista namin ang mga ito sa talahanayan sa ibaba:

Uri ng Pagkatiwala sa Uri ng TiwalaDirectionDefault? Paglalarawan
Magulang at anak Transitive Dalawang paraan Oo Ang tiwala ng magulang at anak ay naitatag kapag ang isang domain ng bata ay idinagdag sa isang punong domain.
Puno-ugat Transitive Dalawang paraan Oo Ang isang tiwala sa puno-ugat ay itinatag sa sandaling ang isang punong domain ay nilikha sa loob ng isang kagubatan.
Panlabas Non-transitive One-way o two-way Hindi Nagbibigay ng access sa mga mapagkukunan sa isang domain ng Windows NT 4.0 o isang domain na matatagpuan sa ibang kagubatan na hindi suportado ng isang tiwala sa kagubatan.
Realm Transitive o di-transitive One-way o two-way Hindi Bumubuo ng isang relasyon sa tiwala sa pagitan ng isang hindi Windows Kerberos lupain at isang Windows Server 2003 domain.
Kagubatan Transitive One-way o two-way Hindi Ibinahagi ang mga mapagkukunan sa pagitan ng mga kagubatan.
Shortcut Transitive One-way o two-way Hindi Binabawasan ang mga oras ng logon ng gumagamit sa pagitan ng dalawang mga domain sa loob ng kagubatan ng Windows Server 2003.

Aktibong Pag-uulat ng Direktoryo kasama ang SolarWinds Access Rights Manager (FREE TRIAL)

Ang pagbuo ng mga ulat sa Aktibong Direktoryo ay mahalaga para sa pag-optimize ng pagganap at manatili alinsunod sa pagsunod sa regulasyon. Isa sa mga pinakamahusay na tool sa pag-uulat ng Aktibong Directory ay SolarWinds Access Rights Manager (ARM). Ang tool ay nilikha upang madagdagan ang kakayahang makita kung paano ginagamit at pinamamahalaan ang mga kredensyal ng direktoryo. Halimbawa, maaari mong tingnan ang mga account na may mga hindi secure na pagsasaayos at pag-abuso sa kredensyal na maaaring magpahiwatig ng isang pag-atake sa cyber.

SolarWinds Access Rights Manager

Gamit ang tool na pang-third-party SolarWinds Access Rights Manager ay kapaki-pakinabang sapagkat binibigyan ka nito ng impormasyon at mga tampok na mas mahirap o imposibleng ma-access nang direkta sa Aktibong Direktoryo.

Pati na rin ang pagbuo ng mga ulat na maaari mong awtomatikong tatanggalin ang mga hindi aktibo o nag-expire na account target ng cybercriminals na iyon. SolarWinds Access Rights Manager nagsisimula sa $ 3,444 (£ 2,829). Mayroon ding isang 30-araw na libreng pagsubok bersyon na maaari mong i-download.

Ang Mga Karapatan sa Pag-access ng SolarWinds AccessDownload ang 30-araw na LIBRE Pagsubok

Aktibong Tutorial ng Directory: Ang Mga Pangunahing Kaalaman 

Ang Aktibong Directory ay isa sa mga pinakamahusay na tool para sa pamamahala ng mga mapagkukunan sa iyong network. Sa artikulong ito, scratched lang namin ang ibabaw ng potensyal ng tool na ito. Kung gumagamit ka ng Aktibong Directory na tandaan na ito ay isang potensyal na entry point para sa mga cyber attackers. Ang paggawa ng tala ng mga pangunahing kaganapan sa direktoryo at gumamit ng isang monitor ng direktoryo ay pupunta sa isang mahabang paraan patungo sa pag-minimize ng panganib ng isang nakakahamak na atake at protektahan ang pagkakaroon ng iyong serbisyo.