Будь початківець користувач, стикаючись з абревіатурою AD, задається питанням, що таке Active Directory? Active Directory — це служба каталогів, розроблена Microsoft для доменних мереж Windows. Входить у більшість операційних систем Windows Server, як набір процесів і сервісів. Спочатку служба займалася тільки централізованим управлінням доменами. Однак, починаючи з Windows Server 2008 AD стала найменуванням для широкого спектру послуг, пов'язаних з ідентифікацією, заснованих на каталогах. Це робить Active Directory для початківців більш оптимальною для вивчення.
Базове визначення
Сервер, на якому працюють доменні служби каталогів Active Directory, називається контролером домену. Він аутентифікує і авторизує всіх користувачів і комп'ютери в мережевому домені Windows, призначаючи і застосовуючи політику безпеки для всіх ПК, а також встановлюючи або оновлюючи програмне забезпечення. Наприклад, коли користувач входить в комп'ютер, що входить в домен Windows Active Directory перевіряє наданий пароль і визначає, чи є об'єкт системним адміністратором або звичайним користувачем. Також він дозволяє управляти і зберігати інформацію, надає механізми аутентифікації і авторизації і встановлює структуру для розгортання інших пов'язаних сервісів: служби сертифікації, федеративні і полегшені служби каталогів і управління правами.
У Active Directory використовуються протоколи LDAP версії 2 і 3 версія Kerberos від Microsoft і DNS.
Active Directory — що це? Простими словами про складні
Відстеження даних мережі — трудомістка задача. Навіть у невеликих мережах користувачі, як правило, відчувають труднощі з пошуком мережевих файлів і принтерів. Без будь-якого каталогу середніми і великими мережами неможливо керувати, і часто доводиться стикатися з труднощами при пошуку ресурсів.
Попередні версії Microsoft Windows включали служби, що допомагають користувачам і адміністраторам знаходити дані. Мережеве оточення корисно в багатьох середовищах, але явним недоліком є незручний інтерфейс і його непередбачуваність. WINS Manager Server Manager можуть використовуватися для перегляду списку систем, але вони не були доступні кінцевим користувачам. Адміністратори використовували User Manager для додавання та видалення даних зовсім іншого типу мережного об'єкта. Ці програми виявилися неефективними для роботи у великих мережах і викликали питання, навіщо в компанії Active Directory? Каталог, в самому загальному сенсі, являє собою повний список об'єктів. Телефонна книга — це тип каталогу, в якому зберігається інформація про людей, підприємствах та урядових організаціях, і зазвичай в них записують імена, адреси і номери телефонів. Задаючись питанням, Active Directory — що це, простими словами можна сказати, що ця технологія схожа на довідник, але є набагато більш гнучкою. AD зберігає інформацію про організації, вебсайтах, системах, користувачів, загальних ресурсах і будь-якому іншому мережевому об'єкті .
Введення в основні поняття Active Directory
Навіщо організації потрібна Active Directory? Як вже згадувалося у введенні в Active Directory, служба зберігає інформацію про мережевих компонентах. У посібнику «Active Directory для початківців» йдеться про те, що це дозволяє клієнтам знаходити об'єкти в своєму просторі імен. Цей т ермин (також званий деревом консолі) відноситься до області, в якій може розташовуватися мережевий компонент. Наприклад, зміст книги створює простір імен, в якому глави можуть бути співвіднесені до номерів сторінок.
DNS — це дерево консолі, яке дозволяє імена вузлів IP-адресами, як т елефонные книги надають простір імен для дозволу імен для номерів телефонів. А як це відбувається в Active Directory? AD надає дерево консолі для дозволу імен мережевих об'єктів самим об'єктам і може дозволити широкий спектр об'єктів, включаючи користувачів, системи та служби в мережі.
Об'єкти і атрибути
Все, що відстежує Active Directory, вважається об'єктом. Можна сказати простими словами, що цим Active Directory є будь-який користувач, система, ресурс або служба. Загальний об'єкт термінів використовується, оскільки AD здатний відстежувати безліч елементів, а багато об'єктів можуть спільно використовувати загальні атрибути. Що це означає? Атрибути описують об'єкти в активний каталог Active Directory, наприклад, всі користувальницькі об'єкти спільно використовують атрибути для зберігання імені користувача. Це стосується і їх опису. Системи також є об'єктами, але у них є окремий набір атрибутів, який включає ім'я хоста, IP-адреса і місце розташування.
Набір атрибутів, доступних для будь-якого конкретного типу об'єкта, називається схемою. Вона робить класи об'єктів відмінними один від одного. Інформація про схему фактично зберігається в Active Directory. Що таке поведінка протоколу безпеки дуже важливо, говорить той факт, що схема дозволяє адміністраторам додавати атрибути до класів об'єктів і розподіляти їх по мережі в усіх куточках домену без перезапуску будь-яких контролерів домену.
Контейнер і ім'я LDAP
Контейнер - це особливий тип об'єкта, який використовується для організації роботи служби. Він не являє собою фізичного об'єкта, як користувач або система. Замість цього він використовується для групування інших елементів. Контейнерні об'єкти можуть бути вкладені в інші контейнери. У кожного елемента в AD є ім'я. Це не ті, до яких ви звикли, наприклад, Іван чи Ольга. Це відмінні імена LDAP. Різні імена LDAP складні, але вони дозволяють ідентифікувати будь-який об'єкт всередині каталогу однозначно, незалежно від його типу.
Дерево термінів і сайт
Дерево термінів використовується для опису набору об'єктів Active Directory. Що це? Простими словами це можна пояснити за допомогою деревоподібної асоціації. Коли контейнери і об'єкти об'єднані ієрархічно, вони мають тенденцію формувати гілки — звідси і назва. Пов'язаних терміном є безперервне дерево, яке відноситься до нерозривній основного стовбура дерева. Продовжуючи метафорию, термін «ліс» описує сукупність, яка не є частиною одного і того ж простору імен, але має загальну схему, конфігурацію і глобальний каталог. Об'єкти в цих структурах доступні всім користувачам, якщо це дозволяє безпека. Організації, розділені на кілька доменів, повинні групувати дерева в один ліс. Сайт — це географічне розташування, визначене в Active Directory. Сайти відповідають логічним IP-подсетям і, як такі, що можуть використовуватися застосунками для пошуку найближчого сервера в мережі. Використання інформації сайту з Active Directory може значно знизити трафік в глобальних мережах.
Управління Active Directory
Компонент оснащення Active Directory — користувачі. Це самий зручний інструмент для адміністрування Active Directory. Він безпосередньо доступний з групи програм «Адміністрування» в меню «Пуск». Він замінює і покращує роботу диспетчера сервера і диспетчера користувачів з Windows NT 4.0.
Безпека
Active Directory відіграє важливу роль у майбутньому мереж Windows. Адміністратори повинні мати можливість захищати свій каталог від зловмисників і користувачів, одночасно делегуючи завдання іншим адміністраторам. Все це можливо з використанням моделі безпеки Active Directory, яка пов'язує список управління доступом (ACL) з кожним атрибутом контейнера і об'єкта в каталозі.
Високий рівень контролю дозволяє адміністратору надавати окремим користувачам і групам різні рівні дозволів для об'єктів і їх властивостей. Вони можуть навіть додавати атрибути до об'єктів і приховувати ці атрибути певних груп користувачів. Наприклад, можна встановити ACL, щоб менеджери могли переглядати домашні телефони інших користувачів.
Делеговане адміністрування
Концепцією, нової для Windows 2000 Server, є делеговане адміністрування. Це дозволяє призначати завдання іншим користувачам, не надаючи додаткових прав доступу. Делеговане адміністрування може бути призначено через певні об'єкти або безперервні піддерева каталогу. Це набагато більш ефективний метод надання повноважень по мережах. В місце призначення кому-небудь глобальних прав адміністратора домену, користувача можуть бути видані дозволи тільки в рамках певного піддерева. Active Directory підтримує спадкування, тому будь-які нові об'єкти успадковують ACL свого контейнера.
Термін «відношення»
Термін «відношення», як і раніше використовується, але довірчі відносини мають різну функціональність. Не існує відмінності між односторонніми і двосторонніми трастами. Адже всі довірчі відносини Active Directory двосторонні. Крім того, всі вони є транзитивными. Отже, якщо домен A довіряє домену B, а B довіряє C, тоді існує автоматичні неявні довірчі відносини між доменами A і доменом C. Аудит в Active Directory — що це простими словами? Це функція безпеки, яка дозволяє визначити, хто намагається отримати доступ до об'єктів, а також наскільки ця спроба успішна.
Використання DNS (Domain Name System)
Система доменних імен, по-іншому DNS, необхідна для будь-якої організації, підключеного до Інтернету. DNS надає дозвіл імен між загальними іменами, такими як mspress.microsoft.com і необроблені IP-адреси, які використовують компоненти мережевого рівня для зв'язку. Active Directory широко використовує технологію DNS для пошуку об'єктів. Це суттєва зміна в порівнянні з попередніми операційними системами Windows, які вимагають, щоб імена NetBIOS були дозволені IP-адресами, і покладаються на WINS або іншу техніку дозволу імен NetBIOS. Active Directory найкраще працює при використанні з DNS-серверів під управлінням Windows 2000. Microsoft спростила для адміністраторів перехід на DNS-сервери під управлінням Windows 2000 шляхом надання майстрів міграції, які керують адміністратором через цей процес. Можуть використовуватися інші DNS-сервери. Однак у цьому випадку адміністратори повинні будуть витрачати більше часу на управління базами даних DNS. У чому полягають нюанси? Якщо ви вирішите використовувати DNS-сервери під управлінням Windows 2000 ви повинні переконатися, що ваші DNS-сервери відповідають новому протоколу динамічного оновлення DNS. Сервери покладаються на динамічне оновлення своїх записів, щоб знайти контролери домену. Це незручно. Адже, е слі динамічне оновлення не підтримується, оновлювати бази даних доводиться вручну.
Домени Windows і інтернет-домени тепер повністю сумісні. Наприклад, ім'я, таке як mspress.microsoft.com, буде визначати контролери домену Active Directory, відповідальні за домен, тому будь-який клієнт з DNS-доступом може знайти контроллер домена. Клієнти можуть використовувати дозвіл DNS для пошуку будь-якої кількості послуг, оскільки сервери Active Directory публікують список адрес DNS з використанням нових функцій динамічного оновлення. Ці дані визначаються як домен і публікуються через запису ресурсів служби. SRV RR слідують формату service.protocol.domain. Сервери Active Directory надають службу LDAP для розміщення об'єкта, а LDAP використовує TCP як базовий протокол транспортного рівня. Тому клієнт, який шукає сервер в домені Active Directory mspress.microsoft.com, буде шукати запис DNS для ldap.tcp.mspress.microsoft.com.
Глобальний каталог
Active Directory надає глобальний каталог (GC) і надає єдиний джерело для пошуку будь-якого об'єкта в мережі організації. Глобальний каталог — це сервіс в Windows 2000 Server, який дозволяє користувачам знаходити будь-які об'єкти, яким було надано доступ. Ця функціональність набагато перевершує можливості програми Find Computer, включеного у попередні версії Windows. Адже користувачі можуть шукати будь-який об'єкт в Active Directory: сервери, принтери, користувачів та додатки.