- Использование модели леса домена организации
- Автономия службы уровня домена
- Владелец домена
- Повышение режима работы леса
- Дополнительная информация
- Active directory лес 2008
- Как узнать режим работы домена Active Directory через оснастку ADUC
- Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие
- Как узнать режим работы леса и режим работы домена Active Directory через powershell
- Популярные Похожие записи:
Использование модели леса домена организации
В модели леса домена организации несколько автономных групп принадлежат каждому домену в лесу. Каждая группа управляет управлением службой уровня домена, что позволяет им управлять определенными аспектами управления службами автономно, а владелец леса управляет управлением службами на уровне леса.
На следующем рисунке показана модель леса домена организации.
Автономия службы уровня домена
Модель леса домена организации позволяет делегированию полномочий для управления службами уровня домена. В следующей таблице перечислены типы управления службами, которые можно контролировать на уровне домена.
| Тип управления службами | Связанные задачи |
|---|---|
| Управление операциями контроллера домена | — создание и удаление контроллеров домена — мониторинг функционирования контроллеров домена — управление службами, работающими на контроллерах домена — резервное копирование и восстановление каталога |
| Настройка параметров на уровне домена | — создание политик учетной записи пользователя домена и домена, таких как пароль, Kerberos и политики блокировки учетных записей — Создание и применение групповой политики на уровне домена |
| Делегирование администрирования уровня данных | — Создание подразделений (OUS) и делегирование администрирования — Исправление проблем в структуре подразделения, у которых владельцы подразделений не имеют достаточных прав доступа для устранения |
| Управление внешним доверием | — создание отношений доверия с доменами за пределами леса |
Другие типы управления службами, такие как управление схемой или топологией репликации, являются ответственностью владельца леса.
Владелец домена
В модели леса домена организации владельцы доменов отвечают за задачи управления службами уровня домена. Владельцы доменов имеют полномочия по всему домену, а также доступ ко всем другим доменам в лесу. По этой причине владельцы доменов должны быть доверенными лицами, выбранными владельцем леса.
Делегировать управление службами уровня домена владельцу домена, если выполнены следующие условия:
- Все группы, участвующие в лесу, доверяют новому владельцу домена и методам управления службами нового домена.
- Новый владелец домена доверяет владельцу леса и всем другим владельцам домена.
- Все владельцы доменов в лесу согласны с тем, что новый владелец домена имеет политики управления администраторами служб и политики выбора, равные или более строгим, чем их собственные.
- Все владельцы доменов в лесу согласны с тем, что контроллеры домена, управляемые новым владельцем домена в новом домене, физически защищены.
Обратите внимание, что если владелец леса делегирует управление службами уровня домена владельцу домена, другие группы могут не присоединяться к нему, если они не доверяют владельцу домена.
Все владельцы доменов должны знать, что при изменении любого из этих условий в будущем может потребоваться переместить домены организации в несколько развертываний леса.
Другой способ свести к минимуму риски безопасности для домена Active Directory Windows Server 2008 — использовать разделение ролей администратора, которое требует развертывания контроллера домена только для чтения (RODC) в инфраструктуре Active Directory. RODC — это новый тип контроллера домена в операционной системе Windows Server 2008, в котором размещаются секции базы данных Active Directory только для чтения. Перед выпуском Windows Server 2008 все действия по обслуживанию сервера на контроллере домена должны выполняться администратором домена. В Windows Server 2008 вы можете делегировать локальные административные разрешения для любого пользователя домена, не предоставляя этим пользователям права администратора для домена или других контроллеров домена. Это позволяет делегированным пользователям входить в RODC и выполнять обслуживание, например обновление драйвера на сервере. Однако этот делегированный пользователь не может войти в любой другой контроллер домена или выполнить любую другую административную задачу в домене. Таким образом, любой доверенный пользователь может делегировать возможность эффективного управления RODC без ущерба для безопасности остальной части домена. Дополнительные сведения о контроллерах домена см. в ad DS: контроллеры домена только для чтения.
Источник
Повышение режима работы леса
При установке доменных служб Active Directory (AD DS) на сервере, который работает под управлением Windows Server 2008 R2, по умолчанию включается набор базовых возможностей Active Directory. В дополнение к базовым возможностям Active Directory на отдельных контроллерах домена имеются и новые возможности Active Directory уровня домена и леса; они доступны, когда все контроллеры домена в домене или лесу работают под управлением Windows Server 2008 R2.
Для включения новых возможностей уровня леса необходимо, чтобы все контроллеры домена в лесу работали под управлением Windows Server 2008 R2, а режим работы леса должен быть повышен до Windows Server 2008 R2.
Минимальное требование для выполнения этой процедуры — членство в группе Администраторы домена или Администраторы предприятия или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
- Откройте оснастку «Active Directory — домены и доверие». Для открытия оснастки «Active Directory — домены и доверие» нажмите кнопку Пуск, выберите Администрирование, а затем — Active Directory — домены и доверие.
- В дереве консоли щелкните правой кнопкой Active Directory — домены и доверие и выберите Изменение режима работы леса.
- В диалоговом окне Выберите режим работы леса выполните одно из следующих действий:
- чтобы повысить режим работы леса до Windows Server 2008, выберите Windows Server 2008, а затем — Изменить;
Не повышайте режим работы леса до Windows Server 2008 R2, если контроллеры домена, работающие под управлением Windows Server 2008 или более ранних версий, уже имеются или будут использоваться в дальнейшем.
Задав режиму работы леса определенное значение, выполнить откат или понизить режим работы леса будет невозможно за одним исключением: при повышении режима работы леса до Windows Server 2008 R2 и если корзина Active Directory не включена, можно выполнить откат режима работы до Windows Server 2008. Понизить режим работы леса можно только с Windows Server 2008 R2 до Windows Server 2008. Если режим работы леса установлен как Windows Server 2008 R2, выполнить его откат, например до Windows Server 2003, нельзя.
Дополнительная информация
- Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени. Чтобы получить дополнительные сведения, выполните поиск «запуск от имени» в центре справки и поддержки;
Источник
Active directory лес 2008
Как узнать режим работы леса и режим работы домена Active Directory-01
Всем привет сегодня хочу рассказать как узнать режим работы леса и режим работы домена Active Directory. Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory. Они также определяют версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но режимы работы не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, присоединенных к домену или лесу. При развертывании доменных служб Active Directory установите высшие режимы работы домена и леса, которые поддерживаются в используемой среде. Это позволит пользоваться максимальным количеством возможностей доменных служб службы Active Directory. Какие именно возможности это дает мы рассмотрим в следующих статьях.
Как узнать режим работы домена Active Directory через оснастку ADUC
Открываем оснастку пользователи и компьютеры, делается это через Пуск-Администрирование или ввод в меню Выполнить команды dsa.mac
Как узнать режим работы леса и режим работы домена Active Directory-02
Щелкаем правым кликом по вашему домену и выбираем Повысить режим работы домена
Как узнать режим работы леса и режим работы домена Active Directory-03
И видим что текущий режим Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-04
Как узнать режим работы леса и режим работы домена Active Directory через оснастку домены и доверие
Открываем оснастку домены и доверие через меню пуск-Администрирование, либо в меню выполнить введите domain.msc.
Как узнать режим работы леса и режим работы домена Active Directory-05
Щелкаем правым кликом по Active Directory — домены и доверие и из контекстного меню выбираем Изменить режим работы леса
Как узнать режим работы леса и режим работы домена Active Directory-06
и видим что лес работает в режиме Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-07
Если щелкнуть правым кликом там же но по домену и выбрать изменение режима работы домена, то вы так же увидите в каком режиме работает ваш домен.
Как узнать режим работы леса и режим работы домена Active Directory-08
Как узнать режим работы леса и режим работы домена Active Directory через powershell
Для этого дела у Microsoft естественно есть свои командлеты. Для начала давайте откроем powershell от имени администратор через правый кликом и посмотрим список доступных модулей powershell с помощью команды
Если среди них нет модуля Active Directory то он устанавливается командой
И загружаем модуль Active Directory с помощью команды
Как узнать режим работы леса и режим работы домена Active Directory-09
Для вывода информации по домену мы вводим команду, и в поле DomainMode видим что это уровень Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-10
Для вывода информации по лесу мы вводим команду. и в поле ForestMode видим что это уровень Windows Server 2008 R2.
Как узнать режим работы леса и режим работы домена Active Directory-11
Вот так вот просто узнать режим работы леса и режим работы домена Active Directory через оснастки и командную строку.
Популярные Похожие записи:
Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647- Как дать права на Deleted Objects в Active Directory
- Как запустить скрипт PowerShell в Windows
- Контроллер домена грузится в Safe Mode
- Не удается отобразить объект Active Directory
- Как удалить sIDHistory у объектов Active Directory
Источник