Команда nslookup, получение информации от DNS

Команда nslookup — инструмент сетевого администрирования для запросов в доменной системе имен (DNS) с целью получения доменного имени, IP-адреса или другой информации из записей DNS.

Кроме того, эта команда используется для поиска и устранения проблем с DNS. В данном руководстве мы рассмотрим наиболее типичные примеры ее применения.

Команда nslookup может работать в интерактивном и неинтерактивном режимах. Интерактивный режим позволяет пользователю в режиме диалога отправлять DNS-серверу запросы о различных узлах и доменах. Неинтерактивный режим позволяет отправить один запрос об одном узле или домене.

Содержание

  1. Синтаксис команды nslookup
  2. Получение IP-адреса домена
  3. Авторитативный и неавторитативный ответы
  4. Запрос записи MX
  5. Запрос записи NS
  6. Запрос записи SOA
  7. Просмотр всех имеющихся записей DNS
  8. Обратный поиск DNS
  9. Использование конкретного DNS-сервера
  10. Изменение номера порта
  11. Изменение интервала ожидания ответа
  12. Режим отладки
  13. Интерактивный режим
  14. Заключение

Синтаксис команды nslookup

nslookup [ОПЦИИ] [ИМЯ/АДРЕС] [СЕРВЕР ИМЕН]

Наиболее распространенные опции и типы аргументов мы рассмотрим ниже в соответствующих примерах.

Получение IP-адреса домена

Если указать в качестве аргумента команды nslookup доменное имя, она возвращает его «запись A» (A — address, IP-адрес).

$ nslookup yandex.ru

Здесь поле Server означает IP-адрес DNS-сервера, а затем выводится информация об IP-адресе домена «yandex.ru».

Авторитативный и неавторитативный ответы

В приведенном результате присутствует фраза «Non- Authoritative Answer» (неавторитативный ответ).

Авторитативным считается ответ от DNS-сервера, на котором есть полная информация о зоне домена. Во многих случаях на DNS-серверах такой информации нет, они хранят кэш с результатами прошлых запросов, на которые был получен авторитативный ответ. Когда такой сервер получает запрос, он осуществляет поиск в файле кэша и при наличии необходимых данных отправляет их как неавторитативный ответ, как в рассматриваемых нами примерах.

Запрос записи MX

Запись MX (Mail eXchange, обмен почтой) хранит соответствие доменного имени почтовому серверу этого домена. Например, для redhat.com в этих записях содержатся почтовые серверы домена, через которые должна отправляться вся электронная почта на адреса «@redhat.com». Получить запись MX можно при помощи опции -query=mx:

$ nslookup -query=mx redhat.com

В рассмотренном выше примере для домена «redhat.com» есть 2 записи MX. Число рядом с именем сервера (5, 10) означает его приоритет. Чем меньше число, тем выше приоритет. То есть при отправке письма на адрес «@redhat.com» сначала будет использоваться сервер mx1.redhat.com, а если он недоступен — mx2.redhat.com.

Запрос записи NS

Запись NS (Name Server, сервер имен) содержит соответствие доменного имени DNS-серверу, авторитативному для заданного домена. Ее можно получить при помощи опции -query=ns:

$ nslookup -query=ns yandex.ru

Запрос записи SOA

Запись SOA (Start of Authority, начальная запись зоны) содержит информацию о зоне домена, адрес его администратора, серийный номер и т.д. Ее можно получить при помощи опции -query=soa:

$ nslookup -query=soa yandex. ru


origin — имя первичного сервера зоны
mail addr – адрес администратора домена ([email protected], так как символ @ в описании зоны имеет собственное значение, в данном поле он заменен на точку)
serial – серийный номер файла зоны, используется для учета изменений. Здесь может быть любое целое число, но стандартный формат — «ГГГГММДДНН», то есть сначала указывается дата, а НН (в данном случае 01) увеличивается в случае нескольких обновлений в день
refresh – период времени (в секундах), через который вторичный DNS-сервер отправит запрос первичному, чтобы проверить, поменялся ли серийный номер. В случае изменения будет сделан новый запрос для получения информации о зоне
retry – указывает интервал для повторного соединения с первичным DNS-сервером, если он по каким-то причинам не смог ответить на запрос
expire – указывает время хранения кэша вторичным DNS-сервером, по истечении которого он будет считаться устаревшим
minimum – минимальное время хранения кэша вторичным DNS-сервером до повторного запроса

Просмотр всех имеющихся записей DNS

При помощи опции -query=any мы можем просмотреть все записи DNS, которые у нас есть для заданного доменного имени:

$ nslookup -type=any google. com

Обратный поиск DNS

Если вместо имени указать в качестве аргумента IP-адрес, будет выполнен обратный поиск DNS:

$ nslookup 5.255.255.70

Использование конкретного DNS-сервера

Для разрешения доменного имени можно использовать конкретный сервер имен (в данном случае ns1.redhat.com):

$ nslookup redhat.com ns1.redhat.com

Обратите внимание, что в результате отсутствует фраза «Non-authoritative answer», так как ns1.redhat.com обладает всей информацией о зоне для redhat.com.

Изменение номера порта

По умолчанию DNS-серверы используют порт 53, но при необходимости можно указать другой номер порта посредством опции -port:

$ nslookup port 56 yandex.ru

Изменение интервала ожидания ответа

Интервал ожидания ответа по умолчанию можно изменить, указав желаемое значение в секундах с опцией -timeout:

$ nslookup -timeout=10 google.com

Режим отладки

При помощи опции -debug вы можете включить режим отладки:

$ nslookup -debug redhat. com

В режиме отладки при поиске выводится информация о пакетах.

Интерактивный режим

Для входа в интерактивный режим запустите команду nslookup без опций. Далее можно вводить необходимые имена или адреса, а также устанавливать парметры при помощи команды set, например, следующие команды интерактивного режима:

$ nslookup

возвращают результат, аналогичный команде

$ nslookup -query=soa yandex.ru

Конечно, при поиске записей для одного имени использовать интерактивный режим бессмысленно. Но при необходимости работы с большим количеством записей он очень удобен, так как позволяет работать в режиме диалога.

Заключение

Мы рассмотрели основы работы с командой nslookup, а также основные типы записей DNS. Для более подробной информации о команде и ее опциях можно обратиться к соответствующей man-странице.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Get-ADComputer: получить информацию о компьютерах Active Directory через PowerShell

Для получения различной информации об учетных записях компьютера (серверах и рабочих станциях) в домене Active Directory можно использовать PowerShell командлет Get-ADComputer. Это один из наиболее полезных командлетов для выборки и поиска компьютеров по разным критериям в домене AD

Содержание:

  • Вывести атрибуты компьютера с помощью Get-ADComputer
  • Использование фильтров в Get-ADComputer
  • Полезные примеры использования командлета Get-ADComputer

Допустим, ваша задача – найти в Active Directory все неактивные компьютеры, которые не регистрировались в домене более 120 дней и заблокировать учетные записи этих компьютеров.

Прежде чем приступить к работе с командлетом Get-ADComputer, необходимо установить и импортировать модуль Active Directory Module для Windows PowerShell.

Import-Module activedirectory

Вывести атрибуты компьютера с помощью Get-ADComputer

Справка о параметрах командлета Get-ADComputer вызывается стандартно с помощью Get-Help:

Get-Help Get-ADComputer

Для получения информации из AD с помощью командлетов модуля AD для Powershell не обязательно иметь права администратора домена, достаточно чтобы учетная запись под которой запускается командлет входила в группу пользователей домена (Authenticated Users / Domain Users).

Чтобы получить информацию о доменной учетной записи конкретного компьютера или сервера, укажите его имя в качестве аргумента параметра —Identity

:

Get-ADComputer -Identity SRV-DB01

DistinguishedName : CN=DB01,OU=Servers,OU=MSK,DC=winitpro,DC=ru
DNSHostName       : DB01.winitpro.ru
Enabled           : True
Name              : DB01
ObjectClass       : computer
ObjectGUID        : 1234567c-13f8-4a2c-8b00-b30a32324103
SamAccountName    : DB01$
SID               : S-1-5-21-3243682314-1360322815-2238451561-4318
UserPrincipalName :

Командлет вернул только базовые свойства объекта Computer из AD . Нас интересует время последней регистрации компьютера в домене AD, но этой информация в выводе команды нет. Выведем все доступные свойства (атрибуты) данного компьютера из Active Directory:

Get-ADComputer -Identity SRV-DB01 -Properties *

Этот список атрибутов компьютера также доступен в графической консоли Active Directory Users and Computers ( dsa. msc ) на вкладке редактора атрибутов.

Как вы видите, время последнего входа данного компьютера в сеть указано в атрибуте компьютера LastLogonDate – 6/2/2022 3:59:30 AM.

Командлет Get-ADComputer позволяет вывести в результатах команды любые из свойств компьютера. Уберем всю лишнюю информацию, оставив в выводе только значения атрибутов

Name и LastLogonDate.

Get-ADComputer -identity SRV-DB01 -Properties * | FT Name, LastLogonDate -Autosize

Итак, мы получили данные о последнем времени регистрации в домене для одного компьютера. Теперь нам нужно изменить команду так, чтобы она возвращала информацию о времени последней регистрации в сети для всех компьютеров домена. Для этого заменим параметр –Identity на —Filter:

Get-ADComputer -Filter * -Properties * | FT Name, LastLogonDate -Autosize

Мы получили таблицу, которая содержит только 2 поля: имя компьютера и дата LastLogonData.

Вы можете добавить в эту таблицу другие поля объекта Computer из AD. Чтобы вывести данные о компьютерах в определенном контейнере домена (OU), воспользуйтесь параметром SearchBase:
Get-ADComputer -SearchBase ‘OU=Moscow,DC=winitpro,DC=loc’ -Filter * -Properties * | FT Name, LastLogonDate -Autosize

Отсортируем результаты запроса по времени последнего логина в сеть (поле LastLogonDate) с помощью команды Sort:

Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate -Autosize

Итак, мы получили список компьютеров домена и время их последнего входа в сеть Active Directory. Теперь мы хотим заблокировать учетные записи компьютеров, которые не использовались более 120 дней.

С помощью Get-Date получим в переменной значение текущей даты и вычтем из текущей даты 120 дней:

$date_with_offset= (Get-Date).AddDays(-120)

Полученную переменную с датой можно использовать в качестве фильтра запроса Get-ADComputer по полю LastLogonDate

Get-ADComputer  -Properties LastLogonDate -Filter {LastLogonDate -lt $date_with_offset } | Sort LastLogonDate | FT Name, LastLogonDate -Autosize

Таким образом, мы получили список неактивных компьютеров, которые не регистрировались в домене более 120 дней.

С помощью командлета Set-ADComputer или Disable-ADAccount вы можете отключить эти учетные записи.

Совет. В первый раз лучше протестировать результаты команды с помощью переключателя WhatIf, благодаря которому команда не вносит никаких изменений, показывая, что произойдет при ее выполнении.

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $date_with_offset } | Set-ADComputer -Enabled $false -whatif

Теперь можно заблокировать все найденные учетные записи компьютеров:

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $date_with_offset} | Set-ADComputer -Enabled $false

Совет. Список заблокированных, отключенных и неактивных компьютеров и пользователей домена можно получить также с помощью отдельного командлета Search-ADAccount.

Использование фильтров в Get-ADComputer

С помощью аргумента -Filter командлета Get-ADComputer вы можете выбрать несколько компьютеров Active Directory по определенным критериями. Здесь можно использовать подстановочные знаки (wildcards) и логические операторы сравнения. В качестве фильтров можно использовать только базовые атрибуты компьютера.

Если вам нужно использовать фильтры по расширенными атрибутам компьютеров, их можно задавать через where-object. Несколько примеров есть в следующем разделе статьи.

Получить общее количество активных (незаблокированных) компьютеров в Active Directory:

 

(Get-ADComputer -Filter {enabled -eq "true"}).count

Вы можете использовать множественные фильтры для поиска компьютеров по нескольким параметрам сразу. Для этого используются логические операторы сравнения PowerShell (-and, -eq , -ne , -gt , -ge , -lt , -le , -like , -notlike , -and , -or , и т.д.).

Посчитать количество серверов с Windows Server в домене:

(Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }).count

Получить список компьютеров в определенном OU, имена которых начинаются с BuhPC:

Get-ADComputer -Filter {Name -like "BuhPC*"} -SearchBase ‘OU=Moscow,DC=winitpro,DC=loc’  -Properties IPv4Address | Format-table Name,DNSHostName,IPv4Address | ft -Wrap –Auto

При поиске по OU вы можете использовать дополнительный параметр -SearchScope 1, который означает, что нужно искать только в корневом разделе. Параметр -SearchScope 2

означает рекурсивный поиск компьютеров во всех вложенных OU.

Выбрать все рабочие станции с ОС Windows 10:

Get-ADComputer -Filter {OperatingSystem -like '*Windows 10*'}

Получить список серверов в домене с версией ОС, IP адресом и установленным Service Pack:
Get-ADComputer -Filter 'operatingsystem -like "*Windows server*" -and enabled -eq "true"' -Properties  Name,Operatingsystem, OperatingSystemVersion, OperatingSystemServicePack,IPv4Address | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem, OperatingSystemVersion, OperatingSystemServicePack, IPv4Address| ft -Wrap –Auto

На выходе получили такую красивую таблицу со списком Windows Server в AD.

Полезные примеры использования командлета Get-ADComputer

Ниже представлены еще несколько полезных примеров команд с использованием командлета Get-ADComputer, которые можно использовать для выборки и поиска компьютеров домена по определенными критериям.
Атрибут -LDAPFilter позволяет использовать в качестве параметра командлета Get-ADComputer различные LDAP запросы, например:

Get-ADComputer -LDAPFilter "(name=*db*)"|ft

Выбрать заблокированные компьютеры в определенном OU:

Get-ADComputer -filter * -SearchBase ‘OU=Computers, dc=winitpro,dc=loc’ | Where-Object {$_.enabled -eq $False}

Чтобы удалить все аккаунты компьютеров в домене, не авторизовавшиеся в домене более 6 месяцев, можете воспользоваться командой:

get-adcomputer -properties lastLogonDate -filter * | where { $_.lastLogonDate -lt (get-date).addmonths(-6) } | Remove-ADComputer

Вывести время последней смены пароля компьютера в Active Directory. По умолчанию пароль должен меняться компьютером автоматически раз в 30 дней, если пароль компьютера не совпадает с паролем в AD, доверительные отношения компьютера с доменом будут нарушены:

Get-ADComputer –Identity pc123456 -Properties PasswordLastSet

Результат выполнения команды Get-ADComputer можно выгрузить в текстовый файл:

Get-ADComputer -Filter { OperatingSystem -Like '*Windows Server 2019*' } -Properties OperatingSystem | Select DNSHostName, OperatingSystem | Format-Table -AutoSize C:\Script\server_system. txt

Также вы можете получить выборку компьютеров и экспортировать его в CSV файл:

Get-ADComputer -Filter * -Property * | Select-Object Name,OperatingSystem,OperatingSystemServicePack | Export-CSV All-Windows.csv -NoTypeInformation -Encoding UTF8

Или получить HTML файл отчета со списком компьютеров и нужных атрибутов компьютера:

Get-ADComputer -Filter {OperatingSystem -Like '*Windows Server 2012*' } -Properties * | Select-Object Name,OperatingSystem | ConvertTo-Html | Out-File C:\ps\ad_computer.html

Можно удалено получить различную информацию с компьютеров AD через WMI (или CIM). Например, вывести серийные номера всех серверов в домене:

Get-ADComputer -Filter 'operatingsystem -like "*Windows server*" -and enabled -eq "true"' | Select-Object Name | Foreach-Object {Get-CimInstance Win32_Bios -ComputerName $_.Name -ErrorAction SilentlyContinue | Select-Object PSComputerName,SerialNumber}

Чтобы выполнить определенной действие со всеми компьютерами из полученного списка нужно использовать цикл Foreach. В этом примере мы хотим получить список серверов в домене с моделью и производителем:

$Computers = Get-ADComputer -Filter {OperatingSystem -Like '*Windows Server*'}
Foreach ($Computer in $Computers)
{
$Hostname = $Computer.Name
$ComputerInfo = (Get-WmiObject -Computername $Hostname Win32_ComputerSystem)
$Manufacturer = $Computer.Manufacturer
$Model = $Computer.Model
Write-Host "Name: $Hostname"
Write-Host "Manufacturer: $Manufacturer"
Write-Host "Model: $Model"
Write-Host " "
$Content = "$Hostname;$Manufacturer;$Model"
Add-Content -Value $Content -Path "C:\PS\ServersInfo.txt"
}

Либо можно использовать более короткий синтаксис цикла. Допустим нам нужно выполнить определенную команду на всех компьютерах в определенном OU. В этом примере мы с помощью Invoke-Command выполним на всех серверах команду обновления настроек групповых политик:

get-adcomputer -SearchBase "OU=Servers,DC=winitpro,DC=loc" -Filter * | %{ Invoke-Command -Computer $_. Name -ScriptBlock {gpupdate /force} }

С помощью Get-ADComputer и логон скриптов PowerShell вы можете контролировать различные параметры компьютера или хранить различную полезную информацию в атрибутах компьютера в AD (можно например добавить имя пользователя в описание компьютера).

Я, например, контролирую состояние агента SCCM на компьютерах пользователей. При загрузке каждого компьютера на нем отрабатывает логон скрипт, который с помощью Set-ADComputer сохраняет состояние службы ccmexec в свободный атрибут компьютера — extensionAttribute10.

Затем с помощью следующей команды я могу найти компьютеры, на которых отсутствует или не запушена служба CCMExec:

get-adcomputer -filter {extensionAttribute10 -ne "SCCM Agent:Running"} -SearchBase “OU=Computers,OU=MSK,DC=winitpro,DC=ru” -properties dNSHostName,extensionAttribute10,LastLogonDate  |select-object dNSHostName,extensionAttribute10,LastLogonDate

Для получения информации об учетных записях пользователей AD используется другой командлет — Get-ADUser .

Что такое информация Whois и почему она ценна? — DomainTools

Вопрос:
Ответ:
Что такое информация Whois и почему она ценна?

Whois — это широко используемый список записей в Интернете, который определяет, кто владеет доменом, и как с ним связаться. Интернет-корпорация по присвоению имен и номеров (ICANN) регулирует регистрацию и владение доменными именами. Записи Whois оказались чрезвычайно полезными и превратились в важный ресурс для поддержания целостности процесса регистрации доменного имени и владения веб-сайтом.
Что содержится в записи Whois?
Запись Whois содержит всю контактную информацию, связанную с лицом, группой или компанией, которые регистрируют определенное доменное имя. Как правило, каждая запись Whois будет содержать такую ​​информацию, как имя и контактная информация регистранта (владельца домена), имя и контактная информация регистратора регистратора (организации или коммерческого субъекта, зарегистрировавшего доменное имя), даты регистрации. , серверы имен, самое последнее обновление и срок действия. Записи Whois также могут содержать административную и техническую контактную информацию (которой часто, но не всегда является владелец регистрации).
Полная и тонкая модели Whois
Существуют две разные модели данных для хранения информации о ресурсах Whois:
Тонкая модель. Тонкий поиск Whois дает только регистратора, серверы имен и даты регистрации. Чтобы получить дополнительную информацию, необходимо повторно обратиться к регистратору в файле, чтобы получить полную информацию о владении доменным именем.
Толстая модель. Полная запись Whois предоставляет полезные дополнительные сведения помимо тех, которые содержатся в тонкой записи Whois. Как правило, дополнительные сведения содержат контактную информацию (регистранта, административную и техническую информацию). Таким образом, поиск предоставит всю необходимую информацию о том, кому принадлежит домен, где он зарегистрирован, какие серверы имен он использует, когда он был зарегистрирован и когда может истечь срок его действия.
Требуется много усилий, чтобы отследить информацию Whois, учитывая большое количество регистраторов и серверов Whois. DomainTools упрощает поиск информации Whois в одном месте. Наш Whois Lookup — отличное место для начала.
Назначение и ценность данных в системе Whois менялись с течением времени по ряду направлений, включая:
– Повышение стабильности и безопасности Интернета путем предоставления операторам сетей, группам реагирования на компьютерные инциденты и интернет-провайдерам соответствующих контактов
– Регулирование статуса регистрации доменных имен
– Поддержка сотрудников правоохранительных органов, участвующих в национальных и международных расследованиях.
– Содействие в борьбе с неправомерным использованием информационно-коммуникационных технологий, включая незаконные и иные действия, мотивированные расовой дискриминацией, насилием, ненавистью, ксенофобией и связанной с ними нетерпимостью, любыми формами жестокого обращения с детьми, детской порнографией, педофилией, эксплуатацией и торговлей людьми в людях.
— Сопровождение запросов и принятие необходимых мер для получения разрешений на товарные знаки и помощи в выявлении нарушений прав интеллектуальной собственности, кражи и неправомерного использования в соответствии с применимыми международными договорами и национальными законами.
— Помощь предприятиям и другим пользователям и организациям в борьбе с мошенничеством и защите общественных интересов
— Поддержание общего доверия пользователей к Интернету как к эффективному и надежному средству связи, помогая пользователям определить, какие юридические лица или лица несут ответственность за услуги и контент в Интернете
– Отслеживание спама или злонамеренных бихевиористов
Точность информации Whois. Информация в записи Whois изначально предоставляется при регистрации доменного имени. Со временем все меняется, и информация устаревает. ICANN требует, чтобы владельцы доменов имели возможность обновлять свои контактные данные. У каждого регистратора несколько разные процедуры изменения информации, отображаемой в записи Whois. Обычно это включает доступ к информации об учетной записи через веб-сайт регистратора или через представителя колл-центра. Изменения записи Whois могут вступить в силу через некоторое время (часто около 24 часов). Наличие точных и актуальных данных Whois упрощает связь с регистрантом или администратором.
Конфиденциальность Whois. Важно отметить, что скрыть факт регистрации домена невозможно, так как любой может проверить Whois для подтверждения статуса домена. Интернет-корпорация по присвоению имен и номеров (ICANN) требует, чтобы контактная информация тех, кто владеет и управляет доменным именем, была общедоступной через каталоги Whois. Это включает в себя почтовые адреса, номера телефонов и адреса электронной почты.
Некоторые регистраторы доменов предлагают услуги частной регистрации (также известные как услуги прокси), в которых отображается контактная информация регистратора, а не владельца регистрации. При такой «частной регистрации» организация, предоставляющая услугу конфиденциальности домена, является владельцем домена и контактным лицом. Также важно отметить, что даже если используются службы конфиденциальности домена, это не обязательно является гарантией истинной анонимности. Регистраторы могут быть обязаны по закону раскрывать личную информацию.
Есть даже несколько предупреждений о конфиденциальности с некоторыми расширениями доменов, такими как домены .us и .ca. В марте 2005 года Национальное управление по телекоммуникациям и информации (NTIA) объявило, что все владельцы доменов .us не будут иметь возможности приватизировать свою информацию и что она должна быть общедоступной. Начиная с июня 2008 г. Канадский орган регистрации Интернета больше не публикует информацию о владельцах доменов, связанных с доменами .ca. Однако корпорации и организации по-прежнему обязаны публиковать информацию.

Все еще нужна помощь?
Обратитесь в службу поддержки

Обзор доменных служб Active Directory

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016

Каталог — это иерархическая структура, в которой хранится информация об объектах в сети. Служба каталогов, такая как доменные службы Active Directory (AD DS), предоставляет методы для хранения данных каталога и предоставления доступа к этим данным пользователям сети и администраторам. Например, AD DS хранит информацию об учетных записях пользователей, такую ​​как имена, пароли, номера телефонов и т. д., и позволяет другим авторизованным пользователям в той же сети получать доступ к этой информации.

Active Directory хранит информацию об объектах в сети и упрощает поиск и использование этой информации администраторами и пользователями. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации информации каталога.

Это хранилище данных, также известное как каталог, содержит информацию об объектах Active Directory. Эти объекты обычно включают общие ресурсы, такие как серверы, тома, принтеры, а также сетевые учетные записи пользователей и компьютеров. Дополнительные сведения о хранилище данных Active Directory см. в разделе Хранилище данных каталога.

Безопасность интегрирована с Active Directory посредством аутентификации при входе в систему и управления доступом к объектам в каталоге. При едином входе в сеть администраторы могут управлять данными каталога и организацией всей своей сети, а авторизованные пользователи сети могут получать доступ к ресурсам из любой точки сети. Администрирование на основе политик упрощает управление даже самой сложной сетью. Дополнительные сведения о безопасности Active Directory см. в разделе Обзор безопасности.

Active Directory также включает:

  • Набор правил, схема , которая определяет классы объектов и атрибутов, содержащихся в каталоге, ограничения и пределы для экземпляров этих объектов и формат их имен. Дополнительные сведения о схеме см. в разделе Схема.

  • Глобальный каталог , который содержит информацию о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить информацию каталога независимо от того, какой домен в каталоге фактически содержит данные. Дополнительные сведения о глобальном каталоге см. в разделе Роль глобального каталога.

  • Механизм запросов и индексов , позволяющий публиковать и находить объекты и их свойства сетевыми пользователями или приложениями. Дополнительные сведения о запросе каталога см. в разделе Поиск информации о каталоге.

  • Служба репликации , которая распространяет данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всей информации каталога для своего домена. Любое изменение данных каталога реплицируется на все контроллеры домена в домене. Дополнительные сведения о репликации Active Directory см. в разделе Обзор репликации.