Active Directory Domain Services in Windows Server 2019
Bijgewerkt Januari 2023: Krijg geen foutmeldingen meer en vertraag je systeem met onze optimalisatietool. Haal het nu op - > deze link
- Download en installeer de reparatietool hier.
- Laat het uw computer scannen.
- De tool zal dan repareer je computer.
Windows Server 2019 is de nieuwe toewijding van Microsoft aan het hele brede bedrijfssegment dat heeft besloten zijn vertrouwen en zijn diensten te stellen in dit innovatieve en altijd betrouwbare besturingssysteem. Het nieuwe 2019-versie van Windows Server is gebaseerd op vier fundamentele pijlers:
- Hybride
- Beveiliging
- Applicatieplatform
- Hyperconvergence-infrastructuur
Dit garandeert ons een schaalbaar, veilig en betrouwbaar systeem en waarin de beheeropties veel breder zullen zijn.
Wanneer we Windows Server beheren, zijn er een aantal rollen en services die spelen een vitale rol in alle prestaties op structuur- en organisatieniveau en een van de belangrijkste zijn de Active Directory-domeinservices en daarom zal AdminGuides een volledige analyse doen van wat deze services zijn en waaruit ze zijn samengesteld om een globaal begrip van alle impact die ze hebben op het systeem en op de objecten th bij het opstellen ervan en moet worden beheerd ..
1. Active Directory-domeinservices in Windows Server 2019
Beter bekend als AD DS (Active Directory Domain Services ), ze zijn opgericht om de meest geschikte methoden te bieden om directorygegevens op te slaan en ervoor te zorgen dat deze gegevens altijd beschikbaar zijn voor gebruikers en netwerkbeheerders, gewoon om een idee te hebben van dit, slaat de AD DS op informatie die is gekoppeld aan gebruikersaccounts met details zoals namen, wachtwoorden, telefoonnummers, enz., en geeft andere geautoriseerde gebruikers in het domein toegang tot deze informatie.
Belangrijke opmerkingen:
U kunt nu pc-problemen voorkomen door dit hulpmiddel te gebruiken, zoals bescherming tegen bestandsverlies en malware. Bovendien is het een geweldige manier om uw computer te optimaliseren voor maximale prestaties. Het programma herstelt veelvoorkomende fouten die kunnen optreden op Windows-systemen met gemak - geen noodzaak voor uren van troubleshooting wanneer u de perfecte oplossing binnen handbereik hebt:
- Stap 1: Downloaden PC Reparatie & Optimalisatie Tool (Windows 11, 10, 8, 7, XP, Vista - Microsoft Gold Certified).
- Stap 2: Klik op "Start Scan" om problemen in het Windows register op te sporen die PC problemen zouden kunnen veroorzaken.
- Stap 3: Klik op "Repair All" om alle problemen op te lossen.
Onthoud dat de Active Directory gebruik maakt van een gestructureerd datawarehouse om hebben een logische en hiërarchische organisatie van de directory-informatie en deze objecten zijn normaal gesproken gedeelde bronnen, zoals servers, volumes, printers en gebruikersaccounts.
Nu in Windows Server 2019 zijn Active Directory-domeinservices opgezet om het vermogen van elke beheerder op p roteer Active Directory-omgevingen door de optie toe te staan om te migreren naar hybride en cloud-implementaties, wat een trend is die vrij hoog oploopt, aangezien veel applicaties en services in de cloud worden gehost.
De verbeteringen die we zullen zien in het domein services in Windows Server 2019 zijn:
Enkele van de voordelen zijn:
- Nieuwe processen in MIM om beheerdersrechten aan te vragen
- Een nieuwe rol van het Active Directory-forest, gegenereerd door MIM
- Nieuwe beveiligingsprincipes (groepen)
- De aflopende links zijn beschikbaar in alle attributen die zijn gekoppeld aan de
- KDC-verbeteringen zijn geïntegreerd in Active Directory-domeincontrollers met de taak de levensduur van het Kerberos-ticket te beperken tot de laagst mogelijke lifetime value (TTL)
- Nieuwe controlemogelijkheden om de resultaten van beheertaken uit te breiden.
- Beschikbaarheid van moderne instellingen op Windows-apparaten op organisatieniveau
- Roaming- of personalisatiediensten, nieuwe toegankelijkheidsinstellingen en inlogverbeteringen
- Toegang tot de Microsoft Store met een werkaccount
- De bronnen van het bedrijf zijn nu toegankelijk op mobiele apparaten die niet kunnen worden toegevoegd aan een Windows-bedrijfsdomein.
- Single sign-on in Office 365 en andere applicaties
- Op BYOD-apparaten is het toegestaan om een werkaccount toe te voegen, hetzij via een lokaal domein, hetzij via Azure AD, aan een persoonlijk apparaat en dus gebruik maken van SSO-bronnen
- Ondersteuning 'kiosk' -modus
Wanneer we deze methode gebruiken, logt de gebruiker in op het apparaat met behulp van een biometrische inloginformatie of pincode die is gekoppeld aan een certificaat of asymmetrisch sleutelpaar. Identiteitsproviders (IDP's) valideren de gebruiker die inlogt het toewijzen van de openbare sleutel van de gebruiker aan IDLocker en dus de login-informatie wordt verkregen met behulp van de One Time Password (OTP) -methode of een ander meldingsmechanisme.
2. Ontwerp en plan Active Directory-domeinservices in Windows Server 2019
Wanneer we ervoor hebben gekozen om Active Directory Domain Services te implementeren met Windows Server 2019, is het mogelijk om toegang te krijgen tot een volledig gecentraliseerd administratief model met het single sign -on (SSO) -functie die wordt gegenereerd door AD DS.
- Vereenvoudig het beheer van bronnen en gebruikers
- Creëer schaalbare, secu re en eenvoudige beheerinfrastructuur.
- Beheer netwerkinfrastructuur, inclusief objecten, Microsoft Exchange Server en omgevingen met meerdere domeinen.
- Ontwerpfase waarin het ontwerp voor de logische structuur van AD DS wordt gemaakt
- Implementatiefase, daar test het implementatieteam het ontwerp in een laboratoriumomgeving en implementeert het vervolgens in de productieomgeving om de optimale prestatie van de diensten en processen niet te beïnvloeden.
- Operationele fase is waar we verantwoordelijk zijn voor het beheren en onderhouden van de directory-service in optimale werking.
- Houd rekening met de logische structuur van Active Directory het aantal bossen dat moet worden gebruikt om de nodige ontwerpen voor de domeinen, de Domain Name System (DNS) -infrastructuur en de organisatie-eenheden (OU) te maken.
- Ontwerp de te gebruiken topologie die is een logische weergave van het beschikbare fysieke netwerk
- Definieer de capaciteit van de domeincontroller, bepaal het juiste aantal domeincontrollers voor elke site om te gebruiken en controleer of ze voldoen aan de hardwarevereisten voor Windows Server 2019 .
- De geavanceerde functies van AD DS inschakelen in Windows Server 2019.
- Vereenvoudigd beheer van op Microsoft Windows gebaseerde netwerken waarin grote aantallen objecten zijn opgenomen
- Mogelijkheid om administratieve controle over resources
- Een sterke domeinstructuur en lagere administratiekosten
- Minder impact op netwo rk-bandbreedte die de prestaties in het hele bedrijf verhoogt
- Vereenvoudigd delen van bronnen
- Optimale zoekprestaties
3. Implementeer Active Directory Domain Services op Windows Server 2019
Zodra we in detail hebben gedefinieerd hoe de domeinservices van de Active Directory moeten worden gebruikt, gaan we verder met de installatie ervan. we hebben verschillende alternatieven, zijnde de meest traditionele grafische vorm.
Om dit te doen gaan we naar de serverbeheerder en in de optie â € œRollen en functies toevoegenâ € ?? we gaan naar de sectie â € œActive Directory Domain Servicesâ € ?? en volg de stappen van de wizard voor de configuratie van zowel het domein als het forest:
Voor meer gedetailleerde informatie kunnen we naar de volgende link gaan:
We kunnen voer dit proces ook uit via Windows PowerShell, hiervoor moeten we het volgende uitvoeren: Voeg de rol toe die de AD DS-serverrol installeert en AD DS- en AD LDS-serverbeheertools installeert, inclusief GUI-gebaseerde tools, zoals Active Directory-gebruikers en computers , en opdrachtregelprogramma's, voeren we het volgende uit:
Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools
Nu voeren we de volgende opdracht uit om de beschikbare cmdlets in de ADDSDeployment-module:
Get-Command -Module ADDSDeployment
Als we de lijst met argumenten willen zien die kunnen worden opgegeven voor een specifieke cmdlets, voeren we het volgende uit syntaxis:
Get-Help u0026 lt; cmdlet u0026 gt;
Zodra we AD DS hebben geconfigureerd en geïnstalleerd, kunnen we een van de test-cmdlets uitvoeren om onze installatie te valideren. Globaal gezien zijn dit de opties op het niveau van AD DS implementatie in Windows Server 2019, in de bovenstaande link zullen we de manier vinden om een nieuw forest of domein toe te voegen.
4. Werking van Active Directory Domain Services in Windows Server 2019
Zodra onze Active Directory-services functioneren zoals beheerders moeten we hun veiligheid en totale prestaties garanderen voor dit doel een reeks nuttige tips zijn:
- Verklein het aanvalsoppervlak van Active Directory, aangezien alle objecten (gebruikers en computers) kwetsbaar kunnen zijn
- Implementeer beheermodellen met minimale rechten om meer beveiliging toe te voegen
- Implementeer beveiligde beheerdershosts
- Beveilig domeincontrollers tegen verschillende soorten aanvallen
- Constante monitoring van Active Directory op alarmen die de integriteit ervan in gevaar brengen
- Creëer nieuw auditbeleid
Een van de eenvoudigste maar op de tegelijkertijd meer geïntegreerde manieren om alles te zien wat er gebeurt met onze AD DS-services is het gebruik van de 'Event Viewer':
Daar hebben we een reeks gebeurtenis-ID's die handig zijn voor beheer, zoals as:
- 4618: Er heeft zich een bewaakte beveiligingsgebeurtenis voorgedaan.
- 4649: Er is een herhalingsaanval gedetecteerd. Het kan een onschadelijk vals positief zijn vanwege een onjuiste configuratiefout.
- 4719: Systeemcontrolebeleid gewijzigd.
- 4765: Hoge SID-geschiedenis is toegevoegd aan een account
- 4766: de poging om de SID-geschiedenis aan een account toe te voegen, is mislukt.
- 4794: er is geprobeerd de herstelmodus van de directoryservice in te stellen.
- 4897: Hoge rolscheiding ingeschakeld
- 4964: speciale groepen zijn toegewezen aan een nieuwe login.
- 5124: A beveiligingsconfiguratie is bijgewerkt in de OCSP Response Service
- 550: Mogelijke Denial of Service (DoS) -aanval
- 1102: Het auditlogboek is verwijderd
- 4621: Middle Administrator heeft CrashOnAuditFail-systeem hersteld. Gebruikers die geen beheerder zijn
- U kunt nu inloggen. Sommige controleerbare activiteiten zijn mogelijk niet geregistreerd.
- 4692: er is geen poging gedaan om de gemiddelde reservekopie van de gegevensbeschermingsmaster te maken key.
- 4693: er is geprobeerd een gemiddelde poging tot herstel van de hoofdsleutel voor gegevensbescherming.
- 4706: er is een nieuwe trust aangemaakt voor een domein.
- 4713: Het Kerberos-mediabeleid is gewijzigd.
- 4714: Het gecodeerde gegevensherstelbeleid is gewijzigd.
- 4715: Het auditbeleid (SACL) voor een object is gewijzigd.
- 4764: een groep met uitgeschakelde beveiliging is verwijderd
- 4764: het type van een groep is gewijzigd .
- 4780: De ACL is ingesteld in accounts die lid zijn van beheerdersgroepen.
Om alle gebeurtenis-ID's in detail te kennen die we kunnen ga naar de volgende officiële Microsoft-link. Op basis van deze gebeurtenis-ID's kunnen we een reeks beheertaken uitvoeren om veel problemen in verband met AD DS op te lossen, waardoor het op de juiste en verwachte manier werkt.
5. Commando's om AD DS te beheren in Windows Server 2019
Er zijn enkele nuttige commando's in Windows Server die ons de mogelijkheid geven om informatie te verkrijgen en objecten op een veel completere manier te beheren, sommige zijn:
- Dsadd computer: een nieuw apparaat toevoegen
- Dsadd contact: Voeg een nieuw contact toe
- Dsadd user: Voeg een nieuwe gebruiker toe
- Dsadd group: Creëer een nieuwe groep
- Voeg toe: maak een nieuwe organisatie-eenheid aan
- Dsget computer
- Dsget-gebruiker
- Dsget-groep
- Dsget ou
Active Directory-domeinservices zijn één van de basiscomponenten waarmee u het meeste uit Windows Server kunt halen en zo adm inistratietaken op een veel completere manier ..
