Översikt över Active Directory Domain Services
Gäller för: Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Visste du att Microsoft Azure tillhandahåller liknande funktioner i molnet? Lär dig mer om identitetslösningar i Microsoft Azure. Skapa en hybrididentitetslösning i Microsoft Azure: |
Med hjälp av serverrollen Active Directory® Domain Services (AD DS) kan du skapa en skalbar, säker och hanterbar infrastruktur för användare och resurshantering och erbjuda stöd för katalogaktiverade applikationer som Microsoft® Exchange Server.
Resten av det här avsnittet ger en överblick på hög nivå över AD DS-serverrollen. För mer information om nya funktioner i AD DS i Windows Server 2012, se Nyheter i Active Directory Domain Services (AD DS).
AD DS tillhandahåller en distribuerad databas som lagrar och hanterar information om nätverksresurser och programspecifik data från katalogaktiverade applikationer. En server som kör AD DS kallas en domänkontroller. Administratörer kan använda AD DS för att organisera nätverkselement såsom användare, datorer, och andra enheter, i en hierarkisk inneslutningsstruktur. Den hierarkiska inneslutningsstrukturen inkluderar Active Directory skogen, domäner i skogen och organisationsenheter (OU:er) i varje domän.
Att organisera nätverkselement i en hierarkiska inneslutningsstruktur ger följande fördelar:
Skogen fungerar som en säkerhetsgräns för en organisation och definierar omfattningen av administratörsbehörighet. Som standard innehåller en skog en enda domän, som kallas för skogsrotdomänen.
Ytterligare domäner kan skapas i en skog för att tillhandahålla partitionering av AD DS-data, vilket gör det möjligt att replikera data bara där det behövs. Det gör det möjligt för AD DS att skalas globalt över ett nätverk med begränsad bandbredd. En Active Directory-domän stöder också ett antal andra kärnfunktioner som är relaterade till administration, inklusive användaridentitet, autentisering och förtroenderelationer över hela nätverket.
OU:ar förenklar ansvarsdelegering för att underlätta hantering av stora mängder objekt. Genom delegering kan ägare överföra fullständig eller begränsad behörighet över objekt till andra användare eller grupper. Delegering är viktig eftersom det hjälper att distribuera hanteringen av stora mängder objekt till ett antal människor som är betrodda att utföra hanteringsuppgifter.
Säkerheten är integrerad med AD DS genom autentisering vid inloggning och åtkomstkontroll till resurser i katalogen. Administratörer kan hantera katalogdata och organisering över hela nätverket med en enda nätverksinloggning. Auktoriserade nätverksanvändare kan också använda en enda nätverksinloggning att komma åt resurser var som helst på nätverket. Policy-baserad administration underlättar hanteringen av även de mest komplexa nätverk.
Ytterligare AD DS-funktioner inkluderar följande:
En uppsättning regler, schemat, vilket definierar de objekt och attribut som ingår i katalogen, begränsningar och gränser för objektens instanser och namnformat.
En global katalog som innehåller information om varje objekt i katalogen. Användare och administratörer kan använda den globala katalogen för att hitta kataloginformation, oberoende av på vilken domän i katalogen datan faktiskt finns.
En fråge- och indexmekanism, så att objekt och deras egenskaper kan publiceras och hittas av nätverksanvändare eller applikationer.
En replikeringstjänst som distribuerar kataloginformation över ett nätverk. Alla skrivbara domänkontrollers i en domän deltar i replikeringen och innehåller en fullständig kopia av all kataloginformation för sin domän. Ändringar i kataloginformation replikeras till alla domänkontrollers i domänen.
Åtgärdshuvudroller (även kallade flexibla enkla huvudåtgärder eller FSMO). Domänkontrollanter som innehar åtgärdshuvudroller är utsedda att utföra specifika åtgärder för att säkerställa konsekvens och eliminera motstridiga inlägg i katalogen.
Krav för att köra Active Directory Domain Services
Vilken maskinvara, programvara eller inställningskonfigurationer krävs för att köra den här funktionen? Vilka är de nödvändiga förutsättningarna för att köra rollen? Kräver den här rollen/funktionen någon särskild maskinvara?
Krav |
Beskrivning |
|---|---|
TCP/IP |
Konfigurera lämpliga TCP/IP- och DNS-serveradresser. |
NTFS |
De enheter som lagrar databasen, loggfiler och SYSVOL-mappen för Active Directory Domain Services (AD DS) måste placeras på en lokal fast volym. SYSVOL måste placeras på en volym som är formaterad med NTFS-filsystemet. Av säkerhetsskäl bör Active Directory databasen och logfilerna placeras på en volym formaterad med NTFS. |
Inloggningsuppgifter |
Du måste vara lokal administratör på servern för att kunna installera en ny AD DS-skog. Du måste vara medlem i gruppen domänadministratörer om du vill installera ytterligare en domänkontroller i en befintlig domän. |
Domännamnssystem (DNS)-infrastruktur |
Verifiera att DNS-infrastrukturen är på plats. När du installerar AD DS så kan du vid behov inkludera DNS-serverinstallation. När du skapar en ny domän, skapas en DNS-delegering automatiskt under installationsprocessen. Att skapa en DNS-delegering kräver autentiseringsuppgifter som har behörighet att uppdatera överordnade DNS-zoner. Mer information finns i Guidesidan DNS-alternativ. |
Adprep |
För att lägga till den första domänkontrollern som kör Windows Server 2012 till en befintlig Active Directory, så körs adrep.exe kommandon automatiskt vid behov. De här kommandona kräver ytterligare autentiseringsuppgifter och anslutningar. Mer information finns i Att köra Adprep.exe. |
Skrivskyddade domänkontrollers (RODC:er) |
Ytterligare krav för att installera skrivskyddade domänkontrollers:
Mer information finns i Förutsättningar för att distribuera en RODC. |
.jpeg "System_CAPS_note") Information |
|---|
Med undantag av DNS-server, bör domänkontrollers generellt sett inte vara värd för andra serverroller. |
Att köra Active Directory Domain Services
Hur distribuerar och konfigurerar jag den här rollen med Windows PowerShell?
För steg för steg instruktioner om hur du installerar och konfigurerar AD DS med hjälp av ADDSDeployment-modul för Windows PowerShell® kommandotolk, se Guide för Active Directory Domain Services distribution (https://go.microsoft.com/fwlink/?LinkId=222597).
Hur distribuerar och konfigurerar jag den här rollen i en miljö med flera servrar?
AD DS är en distribuerad tjänst som är avsedd att köras på flera domänkontrollers. För steg för steg instruktioner om hur du installerar och konfigurerar AD DS på flera domänkontrollers, se Guide för Active Directory Domain Services distribution (https://go.microsoft.com/fwlink/?LinkId=222597).
Hur kör jag den här rollen på virtuella datorer?
AD DS i Windows Server 2012 innehåller skydd för körning på virtuella datorer för att garantera säkerhet och konsekvens i virtualiserade AD DS miljöer. För mer information om hur du kör AD DS på virtuella datorer, se Att köra domänkontrollers i Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).
Säkerhetshänsynstaganden med att köra den här rollen
Efter installationen är AD DS utformad för att vara säker som standard. För mer information om standard säkerhetsinställningar för domänkontrollers, risker och hur du använder domänkontrollers på ett säkert sätt finns Guide för bästa praxis för säkring av Active Directory-installationer.
Speciella överväganden vid fjärrhantering av den här rollen
För att hantera AD DS på distans, installera Verktyg för fjärrserveradministration (RSAT). Det finns en 32-bitarsversion och 64-bitarsversionen av RSAT. Mer information finns i Verktyg för fjärrserveradministration (https://go.microsoft.com/fwlink/?LinkId=222628).
Särskilda hänsynstaganden vid hantering av rollen på Server Core installationsalternativet
AD DS kan installeras på en Server Core-installation eller en server med ett minimalt servergränssnitt, och det rekommenderas också i de fall där det är en fördel att minimera storleken på operativsystemsinstallationen, som för en dedikerad serverroll i ett datacenter, för virtualiseringsgäster, eller RODC:ar i fjärranslutna kontor. Med start i Windows Server 2012 så kan en domänkontroller som kör på en Server Core installation konverteras till en serverinstallation med en GUI (även kallad en full installation) och vice versa.
Det finns stöd för uppgradering från en Server Core-installation som körs på tidigare versioner av Windows Server, men det går inte att uppgradera direkt från en Server Core-installation av en tidigare version av Windows Server till en serverinstallation med ett GUI eller direkt från en serverinstallation med GUI till en Server Core installation. I så fall måste du uppgradera direkt till samma installationstyp på Windows Server 2012 och sen konvertera till en annan installation efter behov.
Mer information finns i Alternativ för Windows Server-installation.
Rolltjänster för Active Directory Domain Services
Identitetshantering för UNIX är en rolltjänst för AD DS som bara kan installeras på domänkontrollers. Två teknologier för identitetshantering för UNIX, server för NIS och lösenordssynkronisering, gör det enklare att integrera datorer som kör Windows® i din befintliga UNIX enterprise. AD DS-administratörer kan använda server för NIS för att hantera nätverksinformationstjänst(NIS)- domäner. Lösenordssynkronisering synkroniserar automatiskt lösenord mellan Windows och UNIX-operativsystem.
Tekniker för rolltjänster |
Beskrivning av rolltjänst |
|---|---|
Server för NIS |
Låter en Microsoft Windows-baserad Active Directory-domänkontroller administrera UNIX nätverksinformationstjänst(NIS)-nätverk. Mer information finns i Översikt över Server för NIS (https://go.microsoft.com/fwlink/?LinkId=222677). |
Lösenordssynkronisering |
Hjälper dig att integrera Windows- och UNIX-nätverk genom att förenkla processen för underhåll av säkra lösenord i båda miljöerna. Mer information finns i Översikt över lösenordssynkronisering (https://go.microsoft.com/fwlink/?LinkId=222676). |