Реализацией сетевой централизации для ОС Windows является сервис Active Directory (AD) или в русском варианте: Служба каталогов. AD позволяет объединять ПК в одну структуру, которая называется Домен (domain), а домены в свою очередь в Дерево (trees) и Лес (forest). Всё это необходимо для того, чтобы иметь возможность изменения настроек не отдельном компьютере, а на все одновременно, либо на те, которые соответствуют определённым критериям. Причем спектр этих настроек очень широкий: от автоматического создания ярлычков на рабочем столе и подключения сетевых папок, до автоматической установки ПО. Помимо компьютеров, в AD также хранится список всех пользователей. Таким образом, чтобы создать, удалить пользователя, а также сменить ему пароль, сисадмину не нужно бежать к какому-то ПК, а достаточно это сделать на управляющем сервере - Контроллере домена (domain controller, DC). Таким образом, в любой ЛВС предприятия необходимо присутствие хотя бы одного сервера выполняющего роль DC.
Роль DC может быть развёрнута на любом Windows Server начиная с Windows 2000. Чтобы иметь возможность централизованного управления, все ПК должны быть добавлены в домен с помощью мастера Присоединения к домену (SystemPropertiesComputerName -> Идентификация). Добавлена в домен может быть только редакция от Windows Pro (Professional) и выше. Редакция Home не умеет работать с доменом.
Для упорядочивания пользователей и компьютеров внутри домена, существует два варианта их группировки: Организационные единицы (organisation unit) OU и несколько типов Групп (group). Например, если вам необходимо применять какие-то настройки только для определенных пользователей, то можно объединить их в группу и применить настройки к этой группе. Настройки для пользователей и ПК в AD разбиты на несколько типов, основные это - Групповые политики (Group policy) и Административные шаблоны (Administrative Templates). Для упрощения, их обычно просто называют "политиками". Изменение политик производится с помощью специальных программ (Оснастки) на контроллере домена. Для удобства, чтобы каждый раз не лазить на сервер, оснастки управления групповыми политиками, пользователями и компьютерами, и т. д. обычно устанавливаются на рабочий ПК сисадмина.
Политики домена могут применяться к пользователям и компьютерам как одновременно, так и по отдельности. К примеру какая-то политика может быть применена к какому-то компьютеру и соответственно, будет действовать на всех пользователей входящих на него, а может быть только к каким-то пользователям независимо от того, на какой компьютер они входят. Возможны и различные комбинации обоих вариантов использования политик. Передача данных для объектов AD осуществляется с помощью двух расшаренных на DС папок: sysvol и netlogon. В netlogon обычно размещают скрипты и файлы для автозапуска на подчиненных компьютерах.
При входе на любой компьютер домена, пользователь обязан ввести свой логин и пароль. Компьютер сам по себе не знает кто это и какой у него уровень привилегий (доступа), поэтому связывается с DC, запрашивая информацию по этому пользователю. Для реализация этого взаимодействия предназначен протокол LDAP (Lightweight Directory Access Protocol). LDAP для авторизации могут использовать не только ОС Windows, но и стороннее программное и аппаратное обеспечение, такое как СУБД, Linux-серверы или сетевые файловые хранилища.
Поскольку роль DC довольно критична для инфраструктуры, то настоятельно рекомендуется иметь развёрнутым резервный DC, а при большой разветвлённой структуре, даже несколько. AD позволяет использовать все DC одновременно. Периодически между ними происходит репликация (актуализация) учетных данных. В таком случае папки sysvol и netlogon также станут реплицироваться и будут общими для всех контроллеров. Некоторые операции между DC требуют обязательной уникальности сервера, поэтому между ними существует своя иерархия - FSMO (Flexible single-master operations), а DC их выполняющий называется хозяином или Мастером операций (ролей FSMO). По-умолчанию мастером операций является самый первый DC в домене, но в случае его отказа, для нормальной работы домена, роли FSMO нужно передать другому DC.
Системные требования к DC:
Контроллеру домена не нужно быть мощным сервером. Обычно достаточно стандартных требований для ОС Windows 2019 Standart:
- 64-разрядный процессор с тактовой частотой от 1,4 ГГц
- Совместимый с набором инструкций для архитектуры х64
- Поддержка технологий NX и DEP
- ОЗУ 8 Gb
В качестве дисковых накопителей сегодня везде используются в основном быстрые SSD. Для ВС хватит двух одинаковых дисков в 230 Gb с программным Raid 1 (зеркало). Если нет хорошего дискретного Raid контроллера, то лучше всего использовать программный Raid средствами Windows. В этом случае при деградации массива, вы всегда сможете получить доступ к данным и даже просто загрузится на другом железе с любого диска из двух.
* серия статей по описанию современной компьютерной инфраструры среднестатистического офиса