Co to są usługi domenowe w usłudze Active Directory i jak to działa?

144

To jest pytanie kanoniczne dotyczące usług domenowych w usłudze Active Directory (AD DS).

Co to jest Active Directory? Co to robi i jak działa?

Jak zorganizowana jest usługa Active Directory: Las, Domena podrzędna, Drzewo, Witryna lub Jednostka organizacyjna


Prawie codziennie tłumaczę niektóre z moich założeń. Mam nadzieję, że to pytanie będzie służyć jako kanoniczne pytanie i odpowiedź na większość podstawowych pytań usługi Active Directory. Jeśli uważasz, że możesz poprawić odpowiedź na to pytanie, przeprowadź edycję.

MDMarra
źródło
7
Nie chcę wyglądać jak reporing, ale myślę, że warto linkować do nietechnicznego opisu AD, jeśli napotkasz sytuację, w której musisz opisać to mniej technicznie: błąd serwera .pl / q / 18339/7200
Evan Anderson
Możliwe linki do tego pytania: serverfault.com/questions/568606/… - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878 / ... żeby wymienić tylko kilka . Może kanoniczny jest w porządku @MDMarra
TheCleaner

Odpowiedzi:

153

Co to jest Active Directory?

Usługi domenowe w usłudze Active Directory to serwer katalogowy Microsoft. Zapewnia mechanizmy uwierzytelniania i autoryzacji, a także strukturę, w której można wdrażać inne powiązane usługi (usługi certyfikatów AD, usługi stowarzyszone AD itp.). Jest to baza danych zgodna z LDAP, która zawiera obiekty. Najczęściej używanymi obiektami są użytkownicy, komputery i grupy. Obiekty te mogą być organizowane w jednostki organizacyjne (OU) według dowolnej liczby potrzeb logicznych lub biznesowych. Obiekty zasad grupy (GPO) można następnie połączyć z jednostkami organizacyjnymi, aby scentralizować ustawienia dla różnych użytkowników lub komputerów w organizacji.

Kiedy ludzie mówią „Active Directory”, zwykle odnoszą się do „Active Directory Domain Services”. Należy zauważyć, że istnieją inne role / produkty usługi Active Directory, takie jak usługi certyfikatów, usługi federacyjne, lekkie usługi katalogowe, usługi zarządzania prawami itp. Ta odpowiedź dotyczy w szczególności usług domenowych w usłudze Active Directory.

Co to jest domena, a co las?

Las stanowi granicę bezpieczeństwa. Obiekty w oddzielnych lasach nie mogą ze sobą współdziałać, chyba że administratorzy każdego oddzielnego lasu utworzą między nimi zaufanie . Na przykład konto Enterprise Administrator domain1.com, które jest zwykle najbardziej uprzywilejowanym kontem lasu, nie będzie miało żadnych uprawnień w drugim lesie o nazwie domain2.com, nawet jeśli lasy te istnieją w tej samej sieci LAN, chyba że istnieje zaufanie .

Jeśli masz wiele rozłącznych jednostek biznesowych lub potrzebujesz osobnych granic bezpieczeństwa, potrzebujesz wielu lasów.

Domena jest granicą zarządzania. Domeny są częścią lasu. Pierwsza domena w lesie jest znana jako domena główna lasu. W wielu małych i średnich organizacjach (a nawet w niektórych dużych) znajdziesz tylko jedną domenę w jednym lesie. Domena główna lasu określa domyślną przestrzeń nazw dla lasu. Na przykład, jeśli nazywa się pierwsza domena w nowym lesie domain1.com, to jest to domena główna lasu. Jeśli potrzebujesz biznesowej domeny, na przykład - oddziału w Chicago, możesz nazwać domenę podrzędną chi. Nazwa FQDN domeny podrzędnej tochi.domain1.com. Widać, że nazwa domeny podrzędnej była poprzedzona nazwą domeny głównej lasu. Zwykle tak to działa. Możesz mieć rozłączne przestrzenie nazw w tym samym lesie, ale to osobna puszka robaków na inny czas.

W większości przypadków będziesz chciał spróbować i zrobić wszystko, co możliwe, aby mieć jedną domenę AD. Upraszcza zarządzanie, a nowoczesne wersje AD bardzo ułatwiają przekazanie kontroli opartej na jednostce organizacyjnej, co zmniejsza zapotrzebowanie na domeny potomne.

Mogę nazwać moją domenę, co chcę, prawda?

Nie całkiem. dcpromo.exe, narzędzie, które obsługuje promocję serwera na DC, nie jest odporne na idioty. Pozwala to na podejmowanie złych decyzji dotyczących nazewnictwa, więc jeśli nie jesteś pewien, zwróć uwagę na tę sekcję. (Edycja: dcpromo jest przestarzałe w Server 2012. Użyj polecenia Install-ADDSForestcmdlet programu PowerShell lub zainstaluj AD DS z Server Manager).

Przede wszystkim nie używaj wymyślonych TLD, takich jak .local, .lan, .corp lub jakikolwiek inny badziew. Te domeny TLD nie są zastrzeżone. ICANN sprzedaje TLD teraz, więc twój mycompany.corp, którego używasz dzisiaj, może faktycznie należeć do kogoś jutro. Jeśli jesteś właścicielem mycompany.com, mądrą rzeczą do zrobienia jest użycie czegoś takiego jak internal.mycompany.comlub ad.mycompany.comdla wewnętrznej nazwy AD. Jeśli używasz mycompany.comstrony internetowej z zewnętrznym rozwiązaniem, powinieneś unikać używania jej jako wewnętrznej nazwy AD, ponieważ skończysz na DNS z dzielonym mózgiem.

Kontrolery domen i katalogi globalne

Serwer, który odpowiada na żądania uwierzytelnienia lub autoryzacji, to kontroler domeny (DC). W większości przypadków kontroler domeny przechowuje kopię wykazu globalnego . Katalog globalny (GC) to częściowy zestaw obiektów we wszystkich domenach w lesie. Można go bezpośrednio przeszukiwać, co oznacza, że ​​zapytania między domenami można zwykle wykonywać na GC bez potrzeby odwoływania się do kontrolera domeny w domenie docelowej. Jeśli kontroler domeny jest pytany na porcie 3268 (3269, jeśli używa się protokołu SSL), to następuje sprawdzenie kwerendy GC. W przypadku zapytania o port 389 (636, jeśli używany jest SSL), używane jest standardowe zapytanie LDAP, a obiekty istniejące w innych domenach mogą wymagać odwołania .

Gdy użytkownik próbuje zalogować się do komputera podłączonego do AD przy użyciu swoich poświadczeń AD, kombinacja nazwy użytkownika i hasła z solowaniem i hasłem jest wysyłana do kontrolera domeny zarówno dla konta użytkownika, jak i konta komputera, które się logują. Tak, komputer też się loguje. Jest to ważne, ponieważ jeśli coś się stanie z kontem komputera w AD, na przykład gdy ktoś zresetuje konto lub je usunie, może pojawić się błąd, który mówi, że relacja zaufania między komputerem a domeną nie istnieje. Mimo że dane logowania do sieci są prawidłowe, komputer nie jest już zaufany, aby zalogować się do domeny.

Obawy dotyczące dostępności kontrolera domeny

Słyszę „Mam główny kontroler domeny (PDC) i chcę instalować zapasowy kontroler domeny (BDC)” znacznie częściej, niż chciałbym w to wierzyć. Koncepcja PDC i BDC umarła wraz z Windows NT4. Ostatni bastion dla kontrolerów domeny był w AD z przejściowym trybem mieszanym dla systemu Windows 2000, gdy wciąż istniały DC NT4. Zasadniczo, o ile nie obsługujesz 15-letniej instalacji, która nigdy nie była aktualizowana, tak naprawdę nie masz PDC ani BDC, po prostu masz dwa kontrolery domeny.

Wiele DC może odpowiadać na żądania uwierzytelnienia od różnych użytkowników i komputerów jednocześnie. Jeśli jedno zawiedzie, pozostałe będą nadal oferować usługi uwierzytelniania bez konieczności ustawiania jednego „podstawowego”, tak jak to miało miejsce w NT4 dniach. Najlepszą praktyką jest posiadanie co najmniej dwóch kontrolerów domeny na domenę. Te kontrolery domeny powinny przechowywać zarówno kopię GC, jak i oba serwery DNS, które przechowują kopię stref DNS zintegrowanych z usługą Active Directory również dla Twojej domeny.

Role FSMO

„Więc jeśli nie ma PDC, dlaczego istnieje rola PDC, którą może pełnić tylko jeden DC?”

Często to słyszę. Istnieje rola emulatora PDC . Różni się od bycia PDC. W rzeczywistości istnieje 5 ról elastycznych operacji pojedynczego mistrza (FSMO) . Są one również nazywane rolami wzorca operacji. Te dwa terminy są wymienne. Czym oni są i co robią? Dobre pytanie! 5 ról i ich funkcja to:

Domain Naming Master - na las jest tylko jeden Master Naming Domain. Domain Naming Master upewnia się, że kiedy nowa domena jest dodawana do lasu, jest unikalna. Jeśli serwer pełniący tę rolę jest w trybie offline, nie będzie można wprowadzać zmian w przestrzeni nazw AD, w tym np. Dodawać nowe domeny potomne.

Schema Master - W lesie jest tylko jeden Master Schema Operations Master. Jest odpowiedzialny za aktualizację schematu Active Directory. Zadania, które tego wymagają, takie jak przygotowanie AD do nowej wersji Windows Server działającej jako DC lub instalacja Exchange, wymagają modyfikacji schematu. Te modyfikacje muszą być wykonane z poziomu mistrza schematu.

Wzorzec infrastruktury - na domenę przypada jeden wzorzec infrastruktury. Jeśli masz tylko jedną domenę w lesie, tak naprawdę nie musisz się tym martwić. Jeśli masz wiele lasów, upewnij się, że ta rola nie jest sprawowana przez serwer, który jest również posiadaczem GC, chyba że każdy kontroler domeny w lesie jest GC . Wzorzec infrastruktury jest odpowiedzialny za zapewnienie, że odwołania między domenami są obsługiwane poprawnie. Jeśli użytkownik w jednej domenie zostanie dodany do grupy w innej domenie, wzorzec infrastruktury dla tych domen upewni się, że jest obsługiwany poprawnie. Ta rola nie będzie działać poprawnie, jeśli znajduje się w katalogu globalnym.

RID Master - Relative ID Master (RID Master) odpowiada za wydawanie pul RID do DC. Na domenę przypada jeden wzorzec RID. Każdy obiekt w domenie AD ma unikalny identyfikator bezpieczeństwa (SID). Składa się z kombinacji identyfikatora domeny i identyfikatora względnego. Każdy obiekt w danej domenie ma ten sam identyfikator domeny, więc identyfikator względny czyni obiekty unikalnymi. Każdy DC ma pulę względnych identyfikatorów do użycia, więc gdy DC tworzy nowy obiekt, dołącza RID, którego jeszcze nie używał. Ponieważ kontrolerom domeny wydawane są nie nakładające się pule, każdy identyfikator RID powinien pozostać unikalny przez cały okres istnienia domeny. Gdy DC znajdzie się w ~ 100 RID pozostających w swojej puli, żąda nowej puli od wzorca RID. Jeśli wzorzec RID jest w trybie offline przez dłuższy czas, tworzenie obiektów może się nie powieść.

Emulator PDC - Wreszcie dochodzimy do najbardziej niezrozumianej roli emulatora PDC. Na domenę przypada jeden emulator PDC. W przypadku nieudanej próby uwierzytelnienia jest on przekazywany do emulatora PDC. Emulator PDC działa jako „wyłącznik remisu”, jeśli hasło zostało zaktualizowane na jednym kontrolerze domeny i nie zostało jeszcze powierzone innym. Emulator PDC jest także serwerem kontrolującym synchronizację czasu w domenie. Wszystkie inne DC synchronizują swój czas z emulatorem PDC. Wszyscy klienci synchronizują swój czas z kontrolerem domeny, do którego się zalogowali. Ważne jest, aby wszystko pozostało w odległości 5 minut od siebie, w przeciwnym razie Kerberos się zepsuje, a kiedy to się stanie, wszyscy płaczą.

Ważną rzeczą do zapamiętania jest to, że serwery, na których działają te role, nie są zepsute. Zwykle przenoszenie tych ról jest trywialne, więc chociaż niektóre DC robią nieco więcej niż inne, jeśli spadną na krótki czas, wszystko zwykle będzie działać normalnie. Jeśli nie działają przez długi czas, łatwo jest w przejrzysty sposób przenieść role. Jest o wiele ładniejszy niż dni NT4 PDC / BDC, więc proszę przestań dzwonić do swoich DC przez te stare nazwiska. :)

Więc, um ... w jaki sposób DC dzielą się informacjami, jeśli mogą funkcjonować niezależnie od siebie?

Oczywiście replikacja . Domyślnie kontrolery domeny należące do tej samej domeny w tej samej witrynie będą replikować swoje dane w odstępach 15 sekund. Dzięki temu wszystko jest stosunkowo aktualne.

Istnieje kilka „pilnych” zdarzeń, które powodują natychmiastową replikację. Te zdarzenia to: Konto jest zablokowane na zbyt wiele nieudanych prób logowania, wprowadzono zmianę hasła do domeny lub zasad blokowania, zmieniono klucz tajny LSA, zmieniono hasło na koncie komputera kontrolera domeny lub przeniesiono rolę RID Master do nowego DC. Każde z tych zdarzeń spowoduje natychmiastowe zdarzenie replikacji.

Zmiany haseł mieszczą się pomiędzy pilnymi i nie pilnymi i są obsługiwane w sposób wyjątkowy. Jeśli hasło użytkownika zostanie zmienione, DC01a użytkownik spróbuje zalogować się do komputera, na którym się uwierzytelnia, DC02zanim nastąpi replikacja, można oczekiwać, że to się nie powiedzie, prawda? Na szczęście tak się nie dzieje. Załóżmy, że jest tu także trzeci DC, DC03który pełni rolę emulatora PDC. Po DC01zaktualizowaniu o nowe hasło użytkownika zmiana ta jest natychmiast replikowana DC03również. Gdy próba uwierzytelnienia DC02nie powiedzie się, DC02następnie przesyła tę próbę uwierzytelnienia do DC03, co potwierdza, że ​​jest ona rzeczywiście dobra, a logowanie jest dozwolone.

Porozmawiajmy o DNS

DNS ma kluczowe znaczenie dla prawidłowo działającej usługi AD. Oficjalna linia firm Microsoft mówi, że każdy serwer DNS może być używany, jeśli jest poprawnie skonfigurowany. Jeśli spróbujesz użyć BIND do hostowania swoich stref AD, jesteś na haju. Poważnie. Trzymaj się korzystania ze zintegrowanych stref DNS AD i korzystaj z warunkowych lub globalnych usług przesyłania dalej dla innych stref, jeśli musisz. Wszyscy klienci powinni być skonfigurowani do korzystania z serwerów AD DNS, dlatego ważne jest, aby mieć nadmiarowość. Jeśli masz dwa kontrolery domeny, poproś, aby uruchomili DNS i skonfigurowali klientów do używania obu z nich do rozpoznawania nazw.

Będziesz także chciał się upewnić, że jeśli masz więcej niż jeden kontroler domeny, że nie wymienią się jako pierwsi w celu rozpoznania DNS. Może to prowadzić do sytuacji, w której znajdują się na „wyspie replikacji”, gdzie są odłączeni od reszty topologii replikacji AD i nie mogą się odzyskać. Jeśli masz dwa serwery DC01 - 10.1.1.1i DC02 - 10.1.1.2, to ich lista serwerów DNS powinien być skonfigurowany tak:

Serwer: DC01 (10.1.1.1)
Podstawowy DNS - 10.1.1.2
Drugi DNS - 127.0.0.1

Serwer: DC02 (10.1.1.2)
Główny DNS - 10.1.1.1
Drugi DNS - 127.0.0.1

OK, wydaje się to skomplikowane. Dlaczego w ogóle chcę korzystać z AD?

Ponieważ kiedy wiesz, co robisz, życie staje się nieskończenie lepsze. AD pozwala na centralizację zarządzania użytkownikami i komputerem, a także centralizację dostępu do zasobów i użytkowania. Wyobraź sobie sytuację, w której masz 50 użytkowników w biurze. Jeśli chcesz, aby każdy użytkownik miał własny login do każdego komputera, musisz skonfigurować 50 lokalnych kont użytkowników na każdym komputerze. Dzięki AD wystarczy tylko raz utworzyć konto użytkownika i domyślnie można zalogować się na dowolnym komputerze w domenie. Jeśli chcesz wzmocnić bezpieczeństwo, musisz to zrobić 50 razy. Coś w rodzaju koszmaru, prawda? Wyobraź sobie również, że masz udział plików, do którego chcesz dostać tylko połowę tych osób. Jeśli nie korzystasz z usługi AD, musisz ręcznie replikować nazwę użytkownika i hasło ręcznie na serwerze, aby uzyskać niewiarygodny dostęp, albo „ d muszę utworzyć wspólne konto i podać każdemu użytkownikowi nazwę użytkownika i hasło. Jeden sposób oznacza, że ​​znasz (i musisz stale aktualizować) hasła użytkowników. Drugi sposób oznacza, że ​​nie masz ścieżki audytu. Nie dobrze, prawda?

Możesz także korzystać z zasad grupy, jeśli masz skonfigurowane AD. Zasady grupy to zestaw obiektów połączonych z jednostkami organizacyjnymi, które definiują ustawienia dla użytkowników i / lub komputerów w tych jednostkach organizacyjnych. Na przykład, jeśli chcesz, aby „Shutdown” nie pojawił się w menu Start dla 500 komputerów laboratoryjnych, możesz to zrobić w jednym ustawieniu w zasadach grupy. Zamiast spędzać godziny lub dni na ręcznym konfigurowaniu odpowiednich wpisów rejestru, raz tworzysz obiekt zasad grupy, łączysz go z odpowiednią jednostką organizacyjną lub jednostkami organizacyjnymi i nigdy więcej nie musisz o tym myśleć. Istnieją setki obiektów zasad grupy, które można skonfigurować, a elastyczność zasad grupy jest jednym z głównych powodów dominacji Microsoft na rynku przedsiębiorstw.

MDMarra
źródło
20
Dobra robota, Mark. Niesamowita kontrola jakości.
EEAA
12
@TheCleaner zgodził się, ale częścią misji Stack Exchange jest centralne repozytorium wszystkich przydatnych informacji na określony temat. Tak więc, chociaż informacje na Wikipedii są zazwyczaj bardzo poprawne i odpowiednie, nie przyciągają ludzi tutaj i „tutaj” powinno być kompleksowym punktem odniesienia dla wszystkich zagadnień związanych z administrowaniem systemami.
MDMarra
6
@RyanBolger To wszystko prawda, ale te pytania i odpowiedzi są skierowane do początkujących. Obsługa jest dużym problemem, a Microsoft absolutnie nie pomoże ci rozwiązać problemu AD, który może być związany z DNS, jeśli korzystasz z BIND (lub cokolwiek innego). Jest to zaawansowana konfiguracja, która nie jest zalecana dla osób, które muszą zadać pytanie „Co to jest AD i jak to działa”. Co więcej, DNS pełni rolę niskiego obciążenia. Jeśli masz już kontrolery domeny, naprawdę ciężko jest uzasadnić, aby nie uruchamiać na nich DNS-a i mieć globalnego forwardera do reszty infrastruktury DNS.
MDMarra
8
@RyanBolger - uzgodniony z MDMarra. Jeśli Fred ma już dobrze działającą i złożoną wewnętrzną infrastrukturę DNS, Fred nie pisałby na SF z pytaniem: „Mam zamiar zainstalować tę usługę Active Directory - powiedz mi wszystko, proszę?”
mfinni
2
Twoja odpowiedź przypomniała mi, żebym sprawdził kolejność wyszukiwania serwera DNS na kontrolerach domeny odziedziczonej przeze mnie ... Tak, oni mieli na myśli siebie!
myron-semack
20

Uwaga: Ta odpowiedź została połączona w to pytanie z innego pytania, które dotyczyło różnic między lasami, domenami potomnymi, drzewami, witrynami i jednostkami organizacyjnymi. Nie było to pierwotnie napisane jako odpowiedź na to konkretne pytanie.


Las

Chcesz utworzyć nowy las, gdy potrzebujesz granicy bezpieczeństwa. Na przykład możesz mieć sieć obwodową (DMZ), którą chcesz zarządzać za pomocą AD, ale ze względów bezpieczeństwa nie chcesz, aby twoja wewnętrzna AD była dostępna w sieci obwodowej. W takim przypadku chciałbyś utworzyć nowy las dla tej strefy bezpieczeństwa. Możesz także chcieć tego rozdzielenia, jeśli masz wiele podmiotów, które sobie nie ufają - na przykład korporacja typu shell, która obejmuje pojedyncze firmy działające niezależnie. W takim przypadku chciałbyś, aby każda jednostka miała własny las.


Domena podrzędna

Naprawdę, już ich nie potrzebujesz. Istnieje kilka dobrych przykładów tego, kiedy chcesz mieć domenę podrzędną. Przyczyną starszej wersji są różne wymagania dotyczące zasad haseł, ale nie jest to już ważne, ponieważ od Server 2008 dostępne są szczegółowe zasady haseł. Naprawdę potrzebujesz domeny podrzędnej tylko wtedy, gdy masz obszary z niewiarygodnie słabą łącznością sieciową i chcesz drastycznie zmniejszyć ruch związany z replikacją - dobrym przykładem jest statek wycieczkowy z łącznością satelitarną WAN. W takim przypadku każdy statek wycieczkowy może być własną domeną potomną, aby był względnie samowystarczalny, a jednocześnie mógł czerpać korzyści z bycia w tym samym lesie, co inne domeny tej samej firmy.


Drzewo

To dziwna kula. Nowe drzewa są używane, gdy chcesz zachować korzyści z zarządzania jednym lasem, ale masz domenę w nowym obszarze nazw DNS. Na przykład corp.example.commoże być korzeń lasu, ale możesz mieć ad.mdmarra.comten sam las, używając nowego drzewa. Obowiązują tutaj te same zasady i zalecenia dotyczące domen podrzędnych - używaj ich oszczędnie. Zazwyczaj nie są potrzebne w nowoczesnych reklamach.


Teren

Witryna powinna stanowić fizyczną lub logiczną granicę w sieci. Na przykład oddziały. Lokacje służą do inteligentnego wyboru partnerów replikacji dla kontrolerów domeny w różnych obszarach. Bez definiowania witryn wszystkie DC będą traktowane tak, jakby znajdowały się w tej samej fizycznej lokalizacji i będą się replikować w topologii siatki. W praktyce większość organizacji jest logicznie konfigurowana w hub-and-speak, więc witryny i usługi powinny być skonfigurowane tak, aby to odzwierciedlać.

Inne aplikacje również korzystają z Witryn i Usług. DFS używa go do odwołań do przestrzeni nazw i wyboru partnera replikacji. Exchange i Outlook używają go do znajdowania „najbliższego” katalogu globalnego do zapytania. Komputery przyłączone do domeny używają go do lokalizowania „najbliższych” kontrolerów domeny do uwierzytelnienia. Bez tego ruch związany z replikacją i uwierzytelnianiem przypomina Dziki Zachód.


Jednostka organizacyjna

Powinny być one utworzone w sposób odzwierciedlający potrzebę organizacji w zakresie delegowania uprawnień i stosowania zasad grupy. Wiele organizacji ma po jednej jednostce organizacyjnej na witrynę, ponieważ stosują one GPO w ten sposób - jest to głupie, ponieważ można zastosować GPO do witryny również z Witryn i usług. Inne organizacje oddzielają jednostki organizacyjne według działów lub funkcji. Ma to sens dla wielu osób, ale tak naprawdę projekt OU powinien spełniać Twoje potrzeby i jest raczej elastyczny. Nie ma na to „jednego sposobu”.

Międzynarodowa firma może mieć najwyższego poziomu OU z North America, Europe, Asia, South America, Africatak, że mogą delegować uprawnienia administracyjne oparte na kontynencie. Inne organizacje mogą mieć najwyższego poziomu jednostek organizacyjnych z Human Resources, Accounting, Salesitp jeśli to ma większy sens dla nich. Inne organizacje mają minimalne potrzeby w zakresie zasad i używają „płaskiego” układu z just Employee Usersi Employee Computers. Naprawdę nie ma tutaj właściwej odpowiedzi, wszystko, co spełnia potrzeby Twojej firmy.

MDMarra
źródło
1
Ktoś zna jego AD dość dokładnie .. +1
NickW
3
@NickW AD pytania, z których prawdopodobnie pochodzi 72 tys. Moich 72,9 tys. Przedstawicieli: D
MDMarra
2
I nadal świetny artykuł Technet do przeczytania po całym tym czasie: technet.microsoft.com/en-us/library/bb727030.aspx - niektóre części zostały zastąpione, ale zdecydowanie warte przeczytania.
TheCleaner