# » course » networking-advanced » WindowsServer.10

Kontroler domeny w oparciu o Windows Server - instalacja Active Directory Domain Services (AD DS)

Zobacz na YouTube:

• Kontroler domeny w oparciu o Windows Server 2022 - instalacja Active Directory Domain Services

Active Directory (AD) to implementacja firmy Microsoft protokołu sieciowego warstwy aplikacji LDAP (ang. Lightweight Directory Access Protocol). Protokół LDAP stosowany jest w usługach katalogowych. Usługa katalogowa (ang. directory service) to zazwyczaj hierarchiczna i obiektowa baz danych, zawierająca informacje o użytkownikach, grupach użytkowników, komputerach, aplikacjach, a także zasobach sieciowych, działających w sieciach firmowych, gdzie pracują serwery. Usługa katalogowa to zbiór informacji o użytkownikach sieci, ich uprawnieniach do różnego rodzaju zasobów, komputerach, na jakich pracują, konfiguracji tych komputerów.

Active Directory pozwala administratorom sieci, centralnie, z poziomu jednego komputera (odpowiednio skonfigurowanego serwera - kontrolera domeny) zarządzać całym zbiorem użytkowników w sieci, określać ich uprawnienia do zasobów sieciowych, a także konfigurować komputery, na których pracują poprzez np. instalację oprogramowania. Usługa ułatwia pracę administratora w dużych sieciach, gdzie pracują dziesiątki a nawet tysiące użytkowników i komputerów. Na całość usług związanych z Active Directory składa się pięć elementów:

1. AD DS (ang. Active Directory Domain Services) - usługi domenowe Active Directory (katalog: użytkownicy, komputery, polityki domeny)
2. AD CS (ang. Active Directory Certificate Services) - usługi certyfikatów Active Directory (certyfikaty dla usług, klientów, serwerów i identyfikacja użytkownika)
3. AD FS (ang. Active Directory Federation Services) - usługi federacyjne Active Directory (dostep do zasobów będących poza organizacjami)
4. AD RMS (ang. Active Directory Rights Management Services) - usługa zarządzania prawami Active Directory (zapewnienie bezpieczeństwa danych, określenie praw dostępu)
5. AD LDS (ang. Active Directory Lightweight Directory Services) - usługi magazynu katalogu opartego na pliku, są źródłem informacji i usług dla aplikacji LDAP (ang. Lightweight Directory Access Protocol)

W ramach kursu zajmować się będziemy głównie Usługami Domenowymi Active Directory (ang. Active Directory Domain Services, AD DS).

Implementacja usług katalogowych Active Directory na serwerach polega na zainstalowaniu odpowiedniej roli (usługi). Rola nazywa się Usługi Domenowe Active Directory (ang. Active Directory Domain Services, AD DS).

Podstawowe pojęcia związane z Active Directory

Domena

Obszar sieci, któremu przydzielono określone możliwości oraz zasoby. W niej skupione są obiekty Active Directory, takie jak użytkownicy, grupy, jednostki organizacyjne oraz komputery działające w jej obrębie. Aby można było domenę utworzyć, wymagany jest przynajmniej jeden kontroler domeny.

Kontroler domeny

Serwer, na którym zainstalowano usługę Active Directory, przechowujący kopię magazynu danych. Wyróżnić możemy kontrolery typu Global Catalog (katalog globalny), a także kontrolery tylko do odczytu - Read-Only Domain Controler oraz odczytu i zapisu – Writeable Domain Controler.

Magazyn danych

Plik, przechowywany na dysku serwera, zawierający informacje o obiektach usługi katalogowej. Obiektem usługi katalogowej może być użytkownik, grupa, jednostka organizacyjna czy też komputer. Plik nosi nazwę NTDS.dit

Las

Zbiór jednej lub też wielu domen. Pierwsza domena, która zostanie utworzona w lesie, będzie tak zwaną domeną główną lasu, a cały las przyjmie nazwę taką jak domena główna. Jeśli przykładowo tworzymy nową domenę w nowym lesie i nazwiemy ją egzamin.local to cały las przyjmie taką nazwę.

Drzewo

Jedna domena, albo kilka domen pracujących pod tą samą przestrzenią nazw DNS.

egzamin.local
serwer.egzamin.local
database.egzamin.local

Jednostka organizacyjna

Jednostka organizacyjna JO (ang. Organizational Unit , OU) to obiekt usługi AD, pozwalający na przechowywanie użytkowników, grup użytkowników oraz komputery. Jednostkom organizacyjnym można przypisywać poszczególne Zasady Grupy (ang. Group Policy) oraz delegować uprawnienia administracyjne

Zasady Grupy

Zasady Grupy (ang. Group Policy, GP) to zbiór reguł i ustawień określających zakres działania komputera oraz użytkowników danego komputera. Są to ustawienia definiujące do jakich elementów systemu, takich jak na przykład panel sterowania, użytkownik komputera ma dostęp, a do jakich nie. Z jakich aplikacji może korzystać, a z jakich nie może, a także czy może instalować i usuwać urządzenia peryferyjnie i korzystać z dysków przenośnych. Zbiór reguł, które możemy zdefiniować jest olbrzymi, do dyspozycji mamy ponad 2000 różnego rodzaju ustawień i konfiguracji.

Zasady grupy są integralnym i nieodłącznym elementem usługi Active Directory i wraz z nią dają największe możliwości. Korzystając z Zasad Grupy za pośrednictwem Active Directory konfigurujemy je na serwerze i decydujemy dla jakich komputerów oraz użytkowników mają zostać wdrożone. Wszystkie ustawienia przechowywane są w tak zwanych Obiektach Zasad Grupy (ang. Group Policy Object, GPO).

Wymagania systemów klienckich korzystających z Active Directory

Każdy komputer kliencki, z zainstalowanym systemem Windows (7, 8, 8.1, 10 oraz 11) może pracować w domenie pod dwoma warunkami:

• musi być w wersji przynajmniej Professional (może być w wersji Ultimate lub Enterprise), żadnej z wersji Home do domeny nie podłączymy,
• oprócz licencji na sam system serwerowy, do każdego klienta należy dokupić dodatkową licencję pozwalającą na korzystanie z zasobów serwera: CAL (ang. Client Access License).

Literatura

• https://docs.microsoft.com/pl-pl/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview
• https://docs.microsoft.com/pl-pl/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview#understanding-active-directory

Instalacja kontrolera domeny (Active Directory Domain Controller) - PRZYKŁAD

Konfiguracja serwera

1. Sprzęt (połączenie systemów: kabel lub sieć wewnetrzna)
2. Adresacja np. 172.16.1.1/16 DNS: 127.0.0.1
3. Dodanie roli AD DS
4. Konfiguracja roli AD DS

Czynności do przeprowadzeina na serwerze

1. W Menadżerze serwera wybieramy "Dodaj role i funkcje"
   

   ---

2. Czytamy uważnie informacje kreatora przed rozpoczęciem procesu wdrażania
   

   ---

3. Wybieramy typ instalacji
   

   ---

4. Wybieramy serwer docelowy
   

   ---

5. ?
   

   ---

6. Usługi domenowe wymagają dodatkowych funkcji, zatwierdzamy więc wybór przez "Dodaj funkcje"
   

   ---

7. 
   

   ---

8. 
   

   ---

9. 
   

   ---

10. 
    

    ---

11. 
    

    ---

12. Po zainstalowaniu niezbędnych składników należy przeprowadzić proces wdrażania usługi
    

    ---

13. Wybieramy "Dodaj nowy las"
    

    ---

14. Jeżeli mamy już las możemy dodać domenę do istniejącego lasu
    

    ---

15. Podajemy nazwę domeny (w tym przykładzie nazwa.local)
    

    ---

16. Potwierdzamy brak możliwości delegacji DNS
    

    ---

17. Podajemy nazwę NetBIOS domeny, domyślie będzie to nazwa naszej domeny ale może być inna np. SCI
    

    ---

18. Potwierdzamy a w razie potrzeby zmieniamy katalogi usługi
    

    ---

19. Możemy zapisać wygenerowany skrypt PowerShell'a wdrażania
    

    ---

20. 
    

    ---

21. 
    

    ---

22. 
    

    ---

23. Po ponownym uruchomieniu serwera zmianie ulega ekran logowania
    

    ---

Konfiguracja klienta

1. Sprzęt (połączenie systemów: kabel lub sieć wewnętrzna)
2. Adresacja np. 172.16.1.2/16 DNS: 172.16.1.1

Czynności do przeprowadzeina na kliencie

1. Sprawdzenie adreasacji IP, maski podsieci i serwera DNS wskazującego na serwer AD
   

   ---

2. Podłaczenie klienta do domeny
   

   ---