Що важливо документувати на активному сервері каталогів?

Пізніше цього року я передаватиму підтримку активних серверів каталогів моєї церкви комусь іншому, і хотів би дізнатися, яку інформацію важливо документувати та ділити. Чи є якісь хороші приклади документів, якими я міг би скористатися?

По-перше, будьте обережні, щоб не документувати сам Active Directory. Microsoft вже зробив це. Це не ваша відповідальність, і це скоротить час, необхідний для документування конфігурацій, політик та процедур, характерних для вашої установки.

Ось перелік речей, які слід документувати.

• Поясніть угоди про іменування комп’ютера, користувача, домену та НУ.
• Охарактеризуйте свою ієрархію ОУ та міркування, що стоять за нею.
• Коротко опишіть основні функції об'єктів вашої групової політики та чому ви їх організували так, як це робили.
• Опишіть конвенції про нумерацію мережі та конфігурацію DHCP, якщо це можливо.
• Опишіть свою конфігурацію DNS.
• Опишіть винятки з брандмауера Windows.
• Перелічіть ролі Windows Server та стороннє програмне забезпечення, встановлене на кожному сервері.
• Зверніть увагу на розташування ролей FSMO Active Directory.
• Опишіть політику організації щодо того, коли потрібно додавати нові облікові записи користувачів або скасовувати наявні облікові записи користувачів.
• Опишіть політику організації щодо обмежень користувачів (пов’язаних з деталями GPO вище).
• Якщо ви несете відповідальність за мережу, надайте схему електропроводки будівлі.

Можливо, це буде OTT для меншої церкви, але топологічний діаграмер Microsoft Active Directory досить привабливий. Він автоматично генерує схему топології Active Directory у Visio.

Діаграми можуть бути зроблені з серверів, доменів, сайтів, груп маршрутизації, груп адміністраторів та роз'ємів. Щоб створити кілька приємних ілюстрацій, які ви можете використовувати для доповнення своїх письмових записок про передачу, не повинно зайняти багато часу.

Скріншот тут (у блозі Sun!)

• Стандартні завдання:
  • Створення / видалення користувачів
  • Надати / скасувати дозволи
• Речі, що відокремлюють вашу установку від нестандартної реклами:
  • Зміни в груповій політиці
  • Розширення схеми

Прекрасний інструмент для документування ваших серверів - http://sydiproject.com/ .

Це трохи старе повідомлення, але, на всякий випадок, коли хтось знайде його в Google і хоче дізнатися більше, я подумав, що поділюсь своїми думками.

Я б запропонував включити в документацію Active Directory наступне:

Загальна інформація - Доменне ім'я - Ім'я NetBIOS - Домен SID - Функціональний рівень домену - Функціональний рівень лісу - Ім'я лісу - Корінний SID домену

Майстри операцій - Імена сервера

Групи - Ім'я - Назва акаунта SAM - Канонічне ім'я - Опис - Область групи - Тип групи - GUID - SID - Члени

Конфігурація схеми - виділене ім'я - версія схеми - майстер схеми - класи класів (ім'я, тип, стан, опис)

Об'єкти групової політики - Ім'я - Статус - Пов'язані місця - Безпека - Дозволи

Трасти - Ім'я - Тип - Функціональний рівень домену - Перехідний - Режим цільового домену - Цільове ім'я NetBIOS

Міжміські перевезення - Ім'я - Опис - Посилання на сайт - Графік тиражування

Підмережі - Ім'я - Сайт - Місце розташування - Опис

Сайти - Назва - Місцерозташування - Опис - Підмережі - Генератор топології між веб-сайтами - Сайт генератора топології між сайтами - Кешування універсального членства в групі - Розклад реплікації - Дозволи

Контролери домену - Ім'я - Опис - Домен - Bridgehead - Транспортування сервера Bridgehead - Глобальний каталог - Тип сервера - Ім'я хоста DNS - Політика запитів - Налаштування контролера домену (RODC) лише для читання - Політика реплікації пароля - Інформація про хост - Шляхи встановлення служби каталогів - Реплікація З - Повторити до - Реплікаційні з'єднання - Деталі з'єднання - Розклад

Ми створили інструмент документації Active Directory, який автоматизує процес документування ваших серверів. Сподіваємось, нормально поділитися посиланням на нього тут. Існує безкоштовна версія для невеликих мереж.