सवाल सक्रिय निर्देशिका डोमेन सेवा क्या है और यह कैसे काम करती है?


यह है एक कैननिकल प्रश्न सक्रिय निर्देशिका डोमेन सेवाओं (एडी डीएस) के बारे में।

सक्रिय निर्देशिका क्या है? यह क्या करता है और यह कैसे काम करता है?

सक्रिय निर्देशिका कैसे आयोजित की जाती है: वन, बाल डोमेन, वृक्ष, साइट, या ओयू


मुझे लगता है कि मैं जो कुछ मानता हूं वह लगभग हर रोज सामान्य ज्ञान है। उम्मीद है कि, यह प्रश्न, सबसे बुनियादी सक्रिय निर्देशिका प्रश्नों के लिए एक वैधानिक प्रश्न और उत्तर के रूप में कार्य करेगा। अगर आपको लगता है कि आप इस प्रश्न का उत्तर सुधार सकते हैं, तो कृपया संपादित करें।


136
2018-06-27 03:47


मूल


मैं ऐसा नहीं दिखाना चाहता हूं कि मैं पुन: वेश्या कर रहा हूं, लेकिन मुझे लगता है कि एडी के गैर-तकनीकी विवरण को जोड़ने के लायक है, अगर आप ऐसी परिस्थिति में भाग लेते हैं जहां आपको कम तकनीकी विवरण में इसका वर्णन करने की आवश्यकता है: serverfault.com/q/18339/7200 - Evan Anderson
इस प्रश्न के लिए संभावित लिंक: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... कुछ लोगों का नाम बताने के लिए। शायद एक कैननिकल @MDMarra क्रम में है - TheCleaner


जवाब:


सक्रिय निर्देशिका क्या है?

सक्रिय निर्देशिका डोमेन सेवा माइक्रोसॉफ्ट के निर्देशिका सर्वर है। यह प्रमाणीकरण और प्रमाणीकरण तंत्र के साथ-साथ एक ढांचा प्रदान करता है जिसमें अन्य संबंधित सेवाओं को तैनात किया जा सकता है (एडी सर्टिफिकेट सर्विसेज, एडी फेडरेटेड सर्विसेज इत्यादि)। यह एक एलडीएपी अनुपालन डेटाबेस जिसमें वस्तुओं को शामिल किया गया है। सबसे अधिक उपयोग की जाने वाली वस्तुएं उपयोगकर्ता, कंप्यूटर और समूह हैं। इन वस्तुओं को किसी भी प्रकार की तार्किक या व्यावसायिक जरूरतों से संगठनात्मक इकाइयों (ओयू) में व्यवस्थित किया जा सकता है। समूह नीति ऑब्जेक्ट्स (जीपीओ) तब किसी संगठन में विभिन्न उपयोगकर्ताओं या कंप्यूटरों के लिए सेटिंग्स को केंद्रीकृत करने के लिए ओयू से जोड़ा जा सकता है।

जब लोग "सक्रिय निर्देशिका" कहते हैं तो वे आम तौर पर "सक्रिय निर्देशिका डोमेन सेवा" का जिक्र कर रहे हैं। यह ध्यान रखना महत्वपूर्ण है कि सर्टिफिकेट सर्विसेज, फेडरेशन सर्विसेज, लाइटवेट डायरेक्टरी सर्विसेज, राइट्स मैनेजमेंट सर्विसेज इत्यादि जैसी अन्य सक्रिय निर्देशिका भूमिकाएं / उत्पाद हैं। यह उत्तर विशेष रूप से सक्रिय निर्देशिका डोमेन सेवाओं को संदर्भित करता है।

एक डोमेन क्या है और जंगल क्या है?

एक जंगल एक सुरक्षा सीमा है। अलग-अलग जंगलों में वस्तुएं एक दूसरे के साथ बातचीत करने में सक्षम नहीं होती हैं, जब तक कि प्रत्येक अलग वन के प्रशासक एक नहीं बनाते भरोसा उनके बीच। उदाहरण के लिए, एक एंटरप्राइज़ प्रशासक खाते के लिए domain1.com, जो आमतौर पर जंगल का सबसे विशेषाधिकार प्राप्त खाता होता है, नाम के दूसरे वन में कोई अनुमति नहीं होगी domain2.com, भले ही वे वन एक ही लैन के भीतर मौजूद हों, जब तक कि कोई भरोसा न हो।

यदि आपके पास कई अलग-अलग व्यावसायिक इकाइयां हैं या अलग-अलग सुरक्षा सीमाओं की आवश्यकता है, तो आपको कई वनों की आवश्यकता है।

एक डोमेन एक प्रबंधन सीमा है। डोमेन जंगल का हिस्सा हैं। जंगल में पहला डोमेन जंगल रूट डोमेन के रूप में जाना जाता है। कई छोटे और मध्यम संगठनों (और यहां तक ​​कि कुछ बड़े लोगों) में, आपको केवल एक ही वन में एक ही डोमेन मिलेगा। जंगल रूट डोमेन जंगल के लिए डिफ़ॉल्ट नामस्थान परिभाषित करता है। उदाहरण के लिए, यदि किसी नए वन में पहला डोमेन नाम दिया गया है domain1.com, तो वह जंगल रूट डोमेन है। यदि आपके पास एक बच्चे के डोमेन के लिए व्यवसाय की आवश्यकता है, उदाहरण के लिए - शिकागो में एक शाखा कार्यालय, तो आप बच्चे के डोमेन का नाम दे सकते हैं chiFQDN बाल डोमेन का होगा chi.domain1.com। आप देख सकते हैं कि बाल डोमेन का नाम वन रूट डोमेन का नाम तैयार किया गया था। यह आम तौर पर यह कैसे काम करता है। आप एक ही जंगल में अलग-अलग नामस्थान रख सकते हैं, लेकिन यह एक अलग समय के लिए कीड़े का एक अलग अलग कर सकता है।

ज्यादातर मामलों में, आप एक ही एडी डोमेन रखने के लिए हर संभव प्रयास करना और करना चाहते हैं। यह प्रबंधन को सरल बनाता है, और एडी के आधुनिक संस्करणों ने ओयू के आधार पर नियंत्रण को प्रतिनिधि बनाना बहुत आसान बना दिया है, जो बाल डोमेन की आवश्यकता को कम करता है।

मैं जो कुछ भी चाहता हूं, मैं अपने डोमेन का नाम दे सकता हूं, है ना?

ज़रुरी नहीं। dcpromo.exe, एक उपकरण जो किसी डीसी को सर्वर के प्रचार को संभालता है वह बेवकूफ-सबूत नहीं है। यह आपको अपने नामकरण के साथ खराब निर्णय लेने देता है, इसलिए यदि आप अनिश्चित हैं तो इस खंड पर ध्यान दें। (संपादित करें: डीसीप्रमो को बहिष्कृत किया गया है सर्वर 2012 में। का प्रयोग करें Install-ADDSForest PowerShell cmdlet या सर्वर प्रबंधक से AD DS स्थापित करें।)

सबसे पहले, बनाए गए टीएलडी जैसे .local, .lan, .corp, या उस अन्य बकवास का उपयोग न करें। वे टीएलडी हैं नहीं सुरक्षित। आईसीएएनएन अब टीएलडी बेच रहा है, तो आपका mycompany.corp कि आप आज का उपयोग कर रहे हैं वास्तव में कल किसी के साथ हो सकता है। यदि आप के मालिक हैं mycompany.com, तो करने के लिए स्मार्ट चीज कुछ ऐसा उपयोग है internal.mycompany.com या ad.mycompany.com आपके आंतरिक एडी नाम के लिए। यदि तुम प्रयोग करते हो mycompany.com एक बाहरी रूप से सुलभ वेबसाइट के रूप में, आपको इसे अपने आंतरिक एडी नाम के रूप में भी उपयोग करने से बचना चाहिए, क्योंकि आप एक स्प्लिट-मस्तिष्क DNS के साथ समाप्त हो जाएंगे।

डोमेन नियंत्रक और वैश्विक कैटलॉग

प्रमाणीकरण या प्राधिकरण अनुरोधों का उत्तर देने वाला एक सर्वर एक डोमेन नियंत्रक (डीसी) है। ज्यादातर मामलों में, एक डोमेन नियंत्रक की एक प्रति धारण करेगा ग्लोबल कैटलॉग। एक ग्लोबल कैटलॉग (जीसी) वस्तुओं का आंशिक सेट है सब एक जंगल में डोमेन। यह सीधे खोज योग्य है, जिसका अर्थ है कि क्रॉस-डोमेन प्रश्न आमतौर पर लक्षित डोमेन में डीसी के रेफ़रल की आवश्यकता के बिना जीसी पर किया जा सकता है। यदि डीसी पोर्ट 3268 (एसएसएल का उपयोग करते हुए 3269) पर पूछताछ की जाती है, तो जीसी पूछताछ की जा रही है। यदि पोर्ट 38 9 (एसएसएल का उपयोग करते हुए 636) पूछताछ की जाती है, तो मानक एलडीएपी क्वेरी का उपयोग किया जा रहा है और अन्य डोमेन में मौजूद वस्तुओं की आवश्यकता हो सकती है रेफरल

जब कोई उपयोगकर्ता अपने एडी क्रेडेंशियल्स का उपयोग करके एडी में शामिल होने वाले कंप्यूटर में लॉग इन करने का प्रयास करता है, तो नमकीन और धोया गया उपयोगकर्ता नाम और पासवर्ड संयोजन दोनों उपयोगकर्ता खाते और कंप्यूटर खाते में लॉग इन करने के लिए डीसी को भेजा जाता है। हाँ, कंप्यूटर लॉग भी। यह महत्वपूर्ण है, क्योंकि अगर एडी में कंप्यूटर खाते से कुछ होता है, जैसे कोई खाता रीसेट करता है या इसे हटा देता है, तो आपको एक त्रुटि मिल सकती है जो कहती है कि कंप्यूटर और डोमेन के बीच ट्रस्ट रिलेशनशिप मौजूद नहीं है। भले ही आपके नेटवर्क प्रमाण-पत्र ठीक हैं, कंप्यूटर अब डोमेन में लॉग इन करने के लिए भरोसा नहीं है।

डोमेन नियंत्रक उपलब्धता चिंताएं

मैंने सुना "मेरे पास एक प्राथमिक डोमेन नियंत्रक (पीडीसी) है और मैं बैकअप डोमेन कंट्रोलर (बीडीसी) स्थापित करना चाहता हूं" जितनी बार मैं विश्वास करना चाहता हूं। विंडोज एनटी 4 के साथ पीडीसी और बीडीसी की अवधारणा की मृत्यु हो गई। पीडीसी के लिए अंतिम आधार विंडोज 2000 संक्रमणकालीन मिश्रित मोड एडी में था जब आपके पास अभी भी एनटी 4 डीसी थी। असल में, जब तक कि आप 15+ वर्ष का समर्थन नहीं कर रहे हों इंस्टॉल करें जिसे कभी अपग्रेड नहीं किया गया है, आपके पास वास्तव में पीडीसी या बीडीसी नहीं है, आपके पास केवल दो डोमेन नियंत्रक हैं।

एकाधिक डीसी विभिन्न उपयोगकर्ताओं और कंप्यूटरों के साथ प्रमाणीकरण अनुरोधों का उत्तर देने में सक्षम हैं। यदि कोई विफल रहता है, तो अन्य लोग "प्राथमिक" बनाने के बिना प्रमाणीकरण सेवाएं प्रदान करना जारी रखेंगे जैसे कि आपको NT4 दिनों में करना होगा। यह करने के लिए सबसे अच्छा अभ्यास है कम से कम प्रति डोमेन दो डीसी। इन डीसी दोनों को जीसी की प्रतिलिपि रखना चाहिए और दोनों DNS सर्वर होना चाहिए जो आपके डोमेन के लिए सक्रिय निर्देशिका एकीकृत DNS ज़ोन की प्रतिलिपि रखते हैं।

एफएसएमओ भूमिकाएं

"तो, यदि कोई पीडीसी नहीं है, तो पीडीसी की भूमिका क्यों है जो केवल एक डीसी हो सकती है?"

मैं यह बहुत सुनता हूँ। वहां एक है पीडीसी एम्यूलेटर भूमिका। यह पीडीसी होने से अलग है। वास्तव में, वहाँ हैं 5 लचीला एकल मास्टर ऑपरेशंस भूमिकाएं (एफएसएमओ)। इन्हें ऑपरेशंस मास्टर रोल भी कहा जाता है। दो शर्तें अदलाबदल योग्य हैं। वे क्या हैं और वे क्या करते हैं? अच्छा प्रश्न! 5 भूमिकाएं और उनके कार्य हैं:

डोमेन नामकरण मास्टर - प्रति वन केवल एक डोमेन नामकरण मास्टर है। डोमेन नामकरण मास्टर यह सुनिश्चित करता है कि जब एक नया डोमेन जंगल में जोड़ा जाता है तो यह अद्वितीय होता है। यदि इस भूमिका को धारण करने वाला सर्वर ऑफ़लाइन है, तो आप एडी नेमस्पेस में बदलाव नहीं कर पाएंगे, जिसमें नए बच्चे डोमेन जोड़ने जैसी चीजें शामिल हैं।

स्कीमा मास्टर - जंगल में केवल एक स्कीमा ऑपरेशंस मास्टर है। सक्रिय निर्देशिका स्कीमा को अपडेट करने के लिए यह ज़िम्मेदार है। जिन कार्यों को इसकी आवश्यकता होती है, जैसे डीसी या एक्सचेंज की स्थापना के रूप में काम कर रहे विंडोज सर्वर के नए संस्करण के लिए एडी तैयार करना, स्कीमा संशोधनों की आवश्यकता है। ये संशोधन स्कीमा मास्टर से किया जाना चाहिए।

इंफ्रास्ट्रक्चर मास्टर - प्रति डोमेन एक इंफ्रास्ट्रक्चर मास्टर है। यदि आपके जंगल में केवल एक ही डोमेन है, तो आपको इसके बारे में चिंता करने की ज़रूरत नहीं है। यदि आपके पास कई वन हैं, तो आपको यह सुनिश्चित करना चाहिए कि यह भूमिका है एक सर्वर द्वारा आयोजित नहीं किया जाता है जो एक जीसी धारक भी है जब तक कि वन में प्रत्येक डीसी एक जीसी नहीं है। बुनियादी ढांचा मास्टर यह सुनिश्चित करने के लिए ज़िम्मेदार है कि क्रॉस-डोमेन संदर्भ ठीक तरह से संभाले जाते हैं। यदि किसी डोमेन में किसी उपयोगकर्ता को किसी अन्य डोमेन में किसी समूह में जोड़ा जाता है, तो डोमेन के लिए आधारभूत संरचना मास्टर यह सुनिश्चित करता है कि इसे ठीक से संभाला जा सके। यदि यह वैश्विक सूची में है तो यह भूमिका सही ढंग से कार्य नहीं करेगी।

आरआईडी मास्टर - संबंधित आईडी मास्टर (आरआईडी मास्टर) डीसी को आरआईडी पूल जारी करने के लिए ज़िम्मेदार है। प्रति डोमेन एक आरआईडी मास्टर है। किसी एडी डोमेन में किसी ऑब्जेक्ट में अद्वितीय है सुरक्षा पहचानकर्ता (एसआईडी)। यह डोमेन पहचानकर्ता और एक सापेक्ष पहचानकर्ता के संयोजन से बना है। किसी दिए गए डोमेन में प्रत्येक ऑब्जेक्ट में एक ही डोमेन पहचानकर्ता होता है, इसलिए सापेक्ष पहचानकर्ता वस्तुएं अद्वितीय बनाता है। प्रत्येक डीसी में उपयोग करने के लिए सापेक्ष आईडी का एक पूल होता है, इसलिए जब डीसी एक नई वस्तु बनाता है, तो यह एक आरआईडी जोड़ता है जिसका उपयोग अभी तक नहीं किया गया है। चूंकि डीसी को गैर-ओवरलैपिंग पूल जारी किए जाते हैं, इसलिए प्रत्येक आरआईडी डोमेन के जीवन की अवधि के लिए अद्वितीय रहना चाहिए। जब डीसी अपने पूल में 100 आरआईडी छोड़ देता है, तो यह आरआईडी मास्टर से एक नए पूल का अनुरोध करता है। यदि आरआईडी मास्टर एक विस्तारित अवधि के लिए ऑफ़लाइन है, तो वस्तु निर्माण विफल हो सकता है।

पीडीसी एम्यूलेटर- अंत में, हम उन सभी की सबसे व्यापक रूप से गलत भूमिका निभाते हैं, पीडीसी एम्यूलेटर भूमिका। प्रति डोमेन एक पीडीसी एमुलेटर है। यदि कोई असफल प्रमाणीकरण प्रयास है, तो इसे पीडीसी एम्यूलेटर को अग्रेषित किया जाता है। पीडीसी एमुलेटर "टाई ब्रेकर" के रूप में कार्य करता है यदि एक डीसी पर एक पासवर्ड अपडेट किया गया था और अभी तक दूसरों को दोहराया नहीं गया है। पीडीसी एम्यूलेटर भी वह सर्वर है जो डोमेन भर में समय सिंक को नियंत्रित करता है। अन्य सभी डीसी पीडीसी एम्यूलेटर से अपना समय सिंक करते हैं। सभी क्लाइंट अपना समय डीसी से सिंक करते हैं जिसमें उन्होंने लॉग इन किया था। यह महत्वपूर्ण है कि सबकुछ एक-दूसरे के 5 मिनट के भीतर रहता है, अन्यथा केर्बेरोज टूट जाता है और जब ऐसा होता है, तो हर कोई रोता है।

याद रखने की महत्वपूर्ण बात ये है कि इन भूमिकाओं को चलाने वाले सर्वर पत्थर में सेट नहीं हैं। इन भूमिकाओं को चारों ओर स्थानांतरित करना आम तौर पर छोटा होता है, इसलिए कुछ डीसी दूसरों की तुलना में थोड़ा अधिक करते हैं, अगर वे थोड़े समय के लिए नीचे जाते हैं, तो आमतौर पर सब कुछ सामान्य रूप से कार्य करेगा। यदि वे लंबे समय से नीचे हैं, तो पारदर्शी रूप से भूमिकाओं को स्थानांतरित करना आसान है। यह एनटी 4 पीडीसी / बीडीसी दिनों की तुलना में काफी अच्छा है, इसलिए कृपया अपने डीसी को उन पुराने नामों से कॉल करना बंद करें। :)

तो, उम ... डीसी कैसे जानकारी साझा करते हैं अगर वे एक-दूसरे से स्वतंत्र रूप से काम कर सकते हैं?

निश्चित रूप से प्रतिकृति। डिफ़ॉल्ट रूप से, उसी साइट पर एक ही डोमेन से संबंधित डीसी 15 सेकंड अंतराल पर एक दूसरे को अपने डेटा को दोहराएंगे। यह सुनिश्चित करता है कि सब कुछ अपेक्षाकृत अद्यतित है।

कुछ "जरूरी" घटनाएं हैं जो तत्काल प्रतिकृति को ट्रिगर करती हैं। ये घटनाएं हैं: बहुत से असफल लॉग इन के लिए एक खाता लॉक हो गया है, डोमेन पासवर्ड या लॉकआउट नीतियों में बदलाव किया जाता है, एलएसए रहस्य बदल जाता है, डीसी के कंप्यूटर खाते में पासवर्ड बदल जाता है, या आरआईडी मास्टर भूमिका स्थानांतरित होती है एक नई डीसी के लिए। इनमें से कोई भी घटना तत्काल प्रतिकृति घटना को ट्रिगर करेगी।

पासवर्ड परिवर्तन तत्काल और अनिवार्य के बीच कहीं गिरते हैं और विशिष्ट रूप से संभाले जाते हैं। यदि उपयोगकर्ता का पासवर्ड बदल गया है DC01 और एक उपयोगकर्ता उस कंप्यूटर में लॉग इन करने का प्रयास करता है जो प्रमाणीकरण कर रहा है DC02 प्रतिकृति होने से पहले, आप उम्मीद करते हैं कि यह असफल हो जाए, है ना? सौभाग्य से ऐसा नहीं होता है। मान लें कि यहां एक तीसरा डीसी भी कहा जाता है DC03 जो पीडीसी एम्यूलेटर भूमिका निभाता है। कब DC01 उपयोगकर्ता के नए पासवर्ड के साथ अद्यतन किया जाता है, वह परिवर्तन तुरंत दोहराया जाता है DC03 भी। जब आप प्रमाणीकरण प्रयास करते हैं DC02 विफल रहता है, DC02 उसके बाद प्रमाणीकरण प्रयास करने के लिए DC03, जो सत्यापित करता है कि यह वास्तव में अच्छा है, और लॉगऑन की अनुमति है।

चलिए DNS के बारे में बात करते हैं

एक उचित कामकाजी एडी के लिए DNS महत्वपूर्ण है। आधिकारिक माइक्रोसॉफ्ट पार्टी लाइन यह है कि अगर किसी भी DNS सर्वर का उपयोग ठीक से स्थापित किया जा सकता है। यदि आप अपने एडी जोनों को होस्ट करने के लिए BIND का प्रयास करते हैं और उपयोग करते हैं, तो आप उच्च हैं। गंभीरता से। एडी इंटीग्रेटेड DNS ज़ोन का उपयोग करने के साथ चिपकाएं और यदि आपको जरूरी है तो अन्य क्षेत्रों के लिए सशर्त या वैश्विक फ़ॉरवर्डर्स का उपयोग करें। आपके क्लाइंट को आपके एडी DNS सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए, इसलिए यहां अनावश्यकता होना महत्वपूर्ण है। यदि आपके पास दो डीसी हैं, तो उन्हें दोनों DNS चलाएं और अपने क्लाइंट को नाम समाधान के लिए दोनों का उपयोग करने के लिए कॉन्फ़िगर करें।

साथ ही, आप यह सुनिश्चित करना चाहते हैं कि यदि आपके पास एक से अधिक डीसी हैं, तो वे स्वयं को DNS रिज़ॉल्यूशन के लिए पहले सूचीबद्ध नहीं करते हैं। इससे ऐसी स्थिति हो सकती है जहां वे एक हैं "प्रतिकृति द्वीप" जहां वे शेष एडी प्रतिकृति टोपोलॉजी से डिस्कनेक्ट हो जाते हैं और ठीक नहीं हो सकते हैं। यदि आपके पास दो सर्वर हैं DC01 - 10.1.1.1 तथा DC02 - 10.1.1.2, तो उनकी DNS सर्वर सूची इस तरह कॉन्फ़िगर की जानी चाहिए:

सर्वर: डीसी 01 (10.1.1.1)
  प्राथमिक DNS - 10.1.1.2
  माध्यमिक DNS - 127.0.0.1

सर्वर: डीसी 02 (10.1.1.2)
  प्राथमिक DNS - 10.1.1.1
  माध्यमिक DNS - 127.0.0.1

ठीक है, यह जटिल लगता है। मैं एडी का उपयोग क्यों करना चाहता हूं?

क्योंकि एक बार जब आप जानते हैं कि आप क्या कर रहे हैं, तो आप जीवन असीम रूप से बेहतर हो जाते हैं। एडी उपयोगकर्ता और कंप्यूटर प्रबंधन के केंद्रीकरण के साथ-साथ संसाधन पहुंच और उपयोग के केंद्रीकरण की अनुमति देता है। ऐसी स्थिति की कल्पना करें जहां आपके कार्यालय में 50 उपयोगकर्ता हैं। यदि आप चाहते हैं कि प्रत्येक उपयोगकर्ता को प्रत्येक कंप्यूटर पर अपना लॉगिन होना पड़े, तो आपको प्रत्येक पीसी पर 50 स्थानीय उपयोगकर्ता खाते कॉन्फ़िगर करना होगा। एडी के साथ, आपको केवल एक बार उपयोगकर्ता खाता बनाना होगा और यह डिफ़ॉल्ट रूप से डोमेन पर किसी भी पीसी में लॉग इन कर सकता है। यदि आप सुरक्षा को सख्त करना चाहते हैं, तो आपको इसे 50 बार करना होगा। एक दुःस्वप्न का क्रमबद्ध करें, है ना? यह भी कल्पना करें कि आपके पास एक फ़ाइल साझा है कि आप केवल उन लोगों में से आधे लोगों को प्राप्त करना चाहते हैं। यदि आप एडी का उपयोग नहीं कर रहे हैं, तो आपको सर्वर पर हाथ से अपने उपयोगकर्ता नाम और पासवर्ड दोहराने की आवश्यकता होगी, या आपको एक साझा खाता बनाना होगा और प्रत्येक उपयोगकर्ता को उपयोगकर्ता नाम और पासवर्ड देना होगा। एक तरीका यह है कि आप उपयोगकर्ताओं के पासवर्ड को जानते हैं (और लगातार अद्यतन करना चाहते हैं)। दूसरी तरफ इसका मतलब है कि आपके पास कोई ऑडिट ट्रेल नहीं है। अच्छा नहीं, है ना?

जब आप एडी सेट अप करते हैं तो आपको समूह नीति का उपयोग करने की क्षमता भी मिलती है। समूह नीति ऑब्जेक्ट्स का एक सेट है जो ओयू से जुड़ा हुआ है जो उन ओयू में उपयोगकर्ताओं और / या कंप्यूटर के लिए सेटिंग्स को परिभाषित करता है। उदाहरण के लिए, यदि आप इसे बनाना चाहते हैं तो "शटडाउन" 500 प्रयोगशाला पीसी के लिए स्टार्ट मेनू पर नहीं है, तो आप इसे समूह नीति में एक सेटिंग में कर सकते हैं। हाथ से उचित रजिस्ट्री प्रविष्टियों को कॉन्फ़िगर करने के घंटों या दिन खर्च करने के बजाय, आप एक बार समूह नीति ऑब्जेक्ट बनाते हैं, इसे सही ओयू या ओयू से लिंक करें, और इसके बारे में कभी भी इसके बारे में सोचना न पड़े। सैकड़ों जीपीओ हैं जिन्हें कॉन्फ़िगर किया जा सकता है, और समूह नीति की लचीलापन एंटरप्राइज़ बाजार में माइक्रोसॉफ्ट इतनी प्रभावशाली है कि प्रमुख कारणों में से एक है।


146
2018-06-27 03:47



ठीक है, मार्क। बहुत बढ़िया क्यूए। - EEAA
@TheCleaner सहमत है, लेकिन स्टैक एक्सचेंज के मिशन का हिस्सा एक विशिष्ट विषय पर सभी उपयोगी जानकारी के लिए केंद्रीय भंडार होना है। इसलिए, विकिपीडिया पर जानकारी आमतौर पर बहुत ही सही और प्रासंगिक होती है, लेकिन यह यहां लोगों को नहीं चला रही है और "यहां" सिस्टम प्रशासन से संबंधित सभी चीजों के लिए एक-स्टॉप-शॉप होना चाहिए। - MDMarra
@RyanBolger यह सब सच है, लेकिन यह क्यू एंड ए एक नौसिखिया की ओर तैयार है। समर्थनशीलता एक बड़ी चिंता है, और माइक्रोसॉफ्ट बिल्कुल होगा नहीं यदि आप BIND (या कुछ और) चला रहे हैं तो एक एडी समस्या हल करने में आपकी सहायता करें जो DNS से ​​संबंधित हो सकता है। यह एक उन्नत कॉन्फ़िगरेशन है जिसे किसी ऐसे व्यक्ति के लिए अनुशंसित नहीं किया जाता है जिसे प्रश्न पूछने की आवश्यकता है "एडी क्या है और यह कैसे काम करती है।" इसके शीर्ष पर, DNS एक कम लोड भूमिका है। यदि आपके पास पहले से ही डीसी है, तो केस को उन पर DNS चलाने के लिए वास्तव में कठिन बनाना मुश्किल है और आपके शेष DNS बुनियादी ढांचे के लिए वैश्विक फ़ॉरवर्डर है। - MDMarra
@RyanBolger - एमडीएमरा के साथ सहमत हुए। अगर फ्रेड के पास पहले से ही एक अच्छी तरह से काम करने वाला और जटिल आंतरिक DNS आधारभूत संरचना है, तो फ्रेड एसएफ पर पोस्ट नहीं करेगा, "तो, मैं इस सक्रिय निर्देशिका चीज़ को स्थापित करने वाला हूं - कृपया मुझे इसके बारे में बताएं?" - mfinni
आपके उत्तर ने मुझे विरासत में प्राप्त नेटवर्क के डोमेन नियंत्रकों पर DNS सर्वर खोज आदेश की जांच करने के लिए याद दिलाया ... हाँ, वे स्वयं का जिक्र कर रहे थे! - myron-semack


ध्यान दें: इस सवाल को इस सवाल में एक अलग प्रश्न से विलय कर दिया गया था, जिसमें जंगलों, बाल डोमेन, पेड़ों, साइटों और ओयू के बीच मतभेदों के बारे में पूछा गया था। यह मूल रूप से इस विशिष्ट प्रश्न के उत्तर के रूप में लिखा नहीं गया था।


वन

जब आपको सुरक्षा सीमा की आवश्यकता होती है तो आप एक नया जंगल बनाना चाहते हैं। उदाहरण के लिए, आपके पास एक परिधि नेटवर्क (डीएमजेड) हो सकता है जिसे आप एडी के साथ प्रबंधित करना चाहते हैं, लेकिन आप नहीं चाहते हैं कि आपका आंतरिक एडी सुरक्षा कारणों से परिधि नेटवर्क में उपलब्ध हो। इस मामले में, आप उस सुरक्षा क्षेत्र के लिए एक नया जंगल बनाना चाहते हैं। आप यह अलगाव भी चाह सकते हैं यदि आपके पास कई संस्थाएं हैं जो एक-दूसरे पर भरोसा नहीं करती हैं - उदाहरण के लिए एक शेल निगम जिसमें व्यक्तिगत व्यवसाय शामिल होते हैं जो स्वतंत्र रूप से संचालित होते हैं। इस मामले में, आप चाहते हैं कि प्रत्येक इकाई का अपना जंगल हो।


बाल डोमेन

वास्तव में, आपको इनकी आवश्यकता नहीं है। जब आप एक बच्चे डोमेन चाहते हैं तो कुछ अच्छे उदाहरण हैं। एक विरासत कारण अलग-अलग पासवर्ड नीति आवश्यकताओं के कारण है, लेकिन यह अब मान्य नहीं है, क्योंकि सर्वर 2008 के बाद से ठीक-ठीक पासवर्ड नीतियां उपलब्ध हैं। आपको वास्तव में केवल एक बच्चे डोमेन की आवश्यकता है यदि आपके पास अविश्वसनीय खराब नेटवर्क कनेक्टिविटी वाले क्षेत्र हैं और आप चाहते हैं प्रतिकृति यातायात को कम करने के लिए - उपग्रह वैन कनेक्टिविटी के साथ एक क्रूज जहाज एक अच्छा उदाहरण है। इस मामले में, प्रत्येक क्रूज जहाज का अपना बच्चा डोमेन हो सकता है, ताकि एक ही कंपनी के अन्य डोमेन के समान ही वन में होने के लाभों का लाभ उठाने में सक्षम होने के बावजूद अपेक्षाकृत आत्मनिर्भर हो।


पेड़

यह एक विषम गेंद है। नए पेड़ों का उपयोग तब किया जाता है जब आप एक वन के प्रबंधन लाभ को बनाए रखना चाहते हैं लेकिन एक नए DNS नेमस्पेस में एक डोमेन है। उदाहरण के लिए corp.example.com वन जड़ हो सकता है, लेकिन आप हो सकता है ad.mdmarra.com एक नए पेड़ का उपयोग कर उसी जंगल में। बाल डोमेन के लिए समान नियम और सिफारिशें यहां लागू होती हैं - उन्हें कम से कम उपयोग करें। आधुनिक एडी में आमतौर पर इसकी आवश्यकता नहीं होती है।


साइट

किसी साइट को आपके नेटवर्क में भौतिक या तार्किक सीमा का प्रतिनिधित्व करना चाहिए। उदाहरण के लिए, शाखा कार्यालयों। विभिन्न क्षेत्रों में डोमेन नियंत्रकों के लिए समझदारी से प्रतिकृति भागीदारों का चयन करने के लिए साइट्स का उपयोग किया जाता है। साइटों को परिभाषित किए बिना, सभी डीसी का इलाज इस तरह किया जाएगा कि वे एक ही भौतिक स्थान पर थे और जाल टोपोलॉजी में दोहराए गए थे। व्यावहारिक रूप से, अधिकांश संगठनों को तर्कसंगत रूप से एक हब-एंड-स्पीच में कॉन्फ़िगर किया जाता है, इसलिए इसे दर्शाने के लिए साइट्स और सेवाओं को कॉन्फ़िगर किया जाना चाहिए।

अन्य अनुप्रयोग भी साइट्स और सेवाओं का उपयोग करते हैं। डीएफएस नामस्थान रेफरल्स और प्रतिकृति साझेदार चयन के लिए इसका उपयोग करता है। एक्सचेंज और आउटलुक क्वेरी के लिए "निकटतम" वैश्विक सूची खोजने के लिए इसका उपयोग करें। आपके डोमेन-जुड़े कंप्यूटर इसके खिलाफ प्रमाणीकृत करने के लिए "निकटतम" डीसी (ओं) का पता लगाने के लिए इसका उपयोग करते हैं। इसके बिना, आपकी प्रतिकृति और प्रमाणीकरण यातायात जंगली पश्चिम की तरह हैं।


संगठनात्मक इकाई

इन्हें इस तरह से बनाया जाना चाहिए जो अनुमति और समूह नीति आवेदन के प्रतिनिधिमंडल के लिए आपके संगठन की आवश्यकता को दर्शाता है। कई संगठनों के पास प्रति साइट एक ओयू है, क्योंकि वे जीपीओ को इस तरह लागू करते हैं - यह मूर्खतापूर्ण है, क्योंकि आप साइट्स और सेवाओं से साइट पर जीपीओ भी लागू कर सकते हैं। अन्य संगठन विभाग या समारोह द्वारा ओयू को अलग करते हैं। यह कई लोगों के लिए समझ में आता है, लेकिन वास्तव में ओयू डिजाइन आपकी आवश्यकताओं को पूरा करना चाहिए और बल्कि लचीला है। ऐसा करने के लिए कोई "एक रास्ता" नहीं है।

एक बहुराष्ट्रीय कंपनी के शीर्ष-स्तर के ओयू हो सकते हैं North America, Europe, Asia, South America, Africa ताकि वे महाद्वीप के आधार पर प्रशासनिक विशेषाधिकारों का प्रतिनिधि हो सकें। अन्य संगठनों में शीर्ष-स्तरीय ओयू हो सकते हैं Human Resources, Accounting, Sales, आदि अगर यह उनके लिए अधिक समझ में आता है। अन्य संगठनों की न्यूनतम नीति आवश्यकताएं हैं और केवल "फ्लैट" लेआउट का उपयोग करें Employee Users तथा Employee Computers। यहां वास्तव में कोई सही जवाब नहीं है, यह आपकी कंपनी की ज़रूरतों को पूरा करता है।


17
2018-01-28 17:06



कोई अपने एडी को अच्छी तरह से जानता है .. +1 - NickW
@NickW एडी प्रश्न हैं जहां मेरे 72.9 के प्रतिनिधि का 72k शायद से आया है: डी - MDMarra
और अभी भी इस समय के बाद पढ़ने के लिए एक महान तकनीक लेख: technet.microsoft.com/en-us/library/bb727030.aspx - कुछ हिस्सों को हटा दिया गया है लेकिन निश्चित रूप से पढ़ने के लायक है। - TheCleaner