Active Directory

В этой статье я постараюсь дать ответы на самые распространённые вопросы заказчиков относительно Active Directory (далее - AD), а также описать основные моменты применения этой технологии.
Материал рассчитан на широкий круг читателей.

Если Вы спросите у поисковика, что такое Active Directory, то получите малопонятный неспециалисту ответ, что это служба каталогов, разработанная Microsoft для доменных сетей Windows. Ситуация немного напоминает попытку узнать, что же такое сепульки Станислава Лема.

Я готов дать более простое определение:

Active Directory - это технология, значительно упрощающая работу пользователей и администраторов в сети за счёт внедрения единого места хранения учётных данных пользователей, информации о правах, а также дающая возможность централизованного управления пользователями и компьютерами, настроенными на работу с доменной средой AD.
Рассмотрим простейший пример. У нас есть маленький офис из 5 компьютеров. На одном из компьютеров настроена общая папка, куда должны иметь доступ остальные 4 компьютера. Чтобы сделать это, администратор должен собрать учётные данные (логин и пароль, вводимые при входе в систему) со всех компьютеров и завести на 5-м четырёх пользователей, далее настроить права. Если кто-то из пользователей решит сменить свои учётные данные, для сохранения доступа их придётся сменить и на 5-м компьютере. То есть, каждый компьютер хранит в себе список пользователей, которые имеют права доступа к ресурсам этого компьютера.
В случае, если компьютеры офиса настроены на работу с доменной средой AD, список пользователей хранится в одном месте - на контроллере домена AD. Там же меняются все параметры пользователя, от имени и пароля до его прав. Там же добавляются новые пользователи домена AD, получая на всех компьютерах, сконфигурированных на работу с AD, заданные администратором права.
Но AD не ограничивается работой с одними только пользователями. Объектами AD могут быть компьютеры и сервера, организационные единицы и групповые политики, и т.д., в итоге AD даёт возможность администратору централизованно управлять большим количеством сетевых ресурсов.
Становится совершенно очевидным факт, что чем больше и сложнее сеть - тем нужнее в ней Active Directory. Для приведённого выше примера администратору не составит труда сконфигурировать 5 компьютеров, но если этих компьютеров 10 и если права доступа нужно организовать к нескольким папкам - ситуация сильно усложняется.
Разумеется, вопрос о внедрении Active Directory всегда рассматривается индивидуально, но моя практика говорит о том, что обычно если в сети больше 10 компьютеров, то уже стоит задуматься о внедрении. А в сетях с количеством машин 20+ AD уже можно считать обязательным.

Для начала работ по внедрению Active Directory необходим сервер, обычно есть смысл использовать виртуальную машину. Что касается ресурсов, то для небольших и даже средних организаций AD к ним совершенно не требователен.
После установки сервера и проведения всех необходимых настроек на нём необходимо "завести компьютеры в домен AD". В случае, если компьютер новый и на нём ещё не настроен профиль пользователя, это занимает 1 минуту. В случае, если на машине уже работали, необходимо перенести все настройки пользователя в новый доменный профиль. Эта операция может занять от 10 минут до нескольких часов, в зависимости от места, которое профиль занимает на диске.

Если в огранизации имеется несколько территориально распределённых офисов, в каждом офисе должен обязательно присутствовать свой контроллер домена AD. Соответствующим образом должна быть сконфигурирована и сама среда AD, в ней необходимо настроить т.н. "сайты Active Directory". Если этого не сделать, возможна нестабильная работа AD и связанные с этим неприятности в виде отсутствия доступа и даже невозможности войти в собственный компьютер. Некое подобие мы видим в оргструктуре предприятий: в каждой работающей на своём объекте бригаде должен быть свой бригадир.

Осталось только добавить, что при внешней простоте Active Directory - крайне могучий и универсальный инструмент, который находит своё применение и в сети из 10 компьютеров, и в сети транснациональной корпорации. Active Directory может сохранить огромное количество времени, сил и денег, но только при условии изначально грамотного планирования и администрирования компетентными специалистами. В случае некорректного развёртывания AD способно превратиться в жестокую головную боль - именно этим чаще всего и продиктованы отрицательные отзывы, которые можно встретить в сети.
© 2020 Пашкиров Олег Викторович

Контакты:

Email: riy@yandex.ru                     
Skype: Варган Шаманов