active directory

co je Active Directory a jak to funguje?

Active Directory (AD) je proprietární adresářová služba společnosti Microsoft. Běží na serveru Windows a umožňuje správcům spravovat oprávnění a přístup k síťovým prostředkům.

Active Directory ukládá data jako objekty. Objekt je jediný prvek, například uživatel, skupina, aplikace nebo zařízení, jako je tiskárna. Objekty jsou obvykle definovány jako zdroje, jako jsou tiskárny nebo počítače, nebo principy zabezpečení, jako jsou uživatelé nebo skupiny.

Active Directory kategorizuje adresářové objekty podle názvu a atributů. Například jméno uživatele může obsahovat řetězec názvů spolu s informacemi spojenými s uživatelem, jako jsou hesla a zabezpečené klíče shellu.

schéma služby Active Directory
služby služby Active Directory

hlavní službou služby Active Directory jsou služby domény (AD DS), které ukládají informace o adresáři a zpracovávají interakci uživatele s doménou. AD DS ověřuje přístup, když se uživatel přihlásí do zařízení nebo se pokusí připojit k serveru přes síť. AD DS řídí, kteří uživatelé mají přístup ke každému zdroji, stejně jako Zásady skupiny. Například správce má obvykle jinou úroveň přístupu k datům než koncový uživatel.

ostatní produkty operačního systému Microsoft a Windows (OS), jako je Exchange Server a SharePoint Server, spoléhají na AD DS, aby poskytovaly přístup k prostředkům. Server, který je hostitelem AD DS, je řadič domény.

služby Active Directory

několik různých služeb zahrnuje službu Active Directory. Hlavní službou jsou doménové služby, ale služba Active Directory zahrnuje také Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services nebo AD CS, Federation Services (AD FS) a Rights Management Services (AD RMS). Každá z těchto dalších služeb rozšiřuje možnosti správy adresářů produktu.

  • lehké adresářové služby mají stejnou kódovou základnu jako AD DS a sdílejí podobné funkce, jako je rozhraní aplikačního programu. AD LDS však může běžet ve více instancích na jednom serveru a uchovává adresářová data v datovém úložišti pomocí protokolu Lightweight Directory Access Protocol.
  • Lightweight Directory Access Protocol je aplikační protokol používaný pro přístup a údržbu adresářových služeb v síti. LDAP ukládá objekty, jako jsou uživatelská jména a hesla, do adresářových služeb, jako je Active Directory, a sdílí tato objektová data v síti.
  • certifikační služby generují, spravují a sdílejí certifikáty. Certifikát používá šifrování, které uživateli umožňuje bezpečnou výměnu informací přes internet pomocí veřejného klíče.
  • služby Active Directory Federation Services ověřují přístup uživatelů k více aplikacím-dokonce i v různých sítích – pomocí jednotného přihlášení (SSO). Jak název napovídá, SSO vyžaduje, aby se uživatel přihlásil pouze jednou, spíše než používat více vyhrazených autentizačních klíčů pro každou službu.
  • služby správy práv řídí práva a správu informací. AD RMS šifruje obsah, například e-mail nebo dokumenty Microsoft Word, na serveru, aby omezil přístup.

hlavní funkce v doménových službách služby Active Directory

služby domény služby Active Directory používají odstupňovanou strukturu rozvržení sestávající z domén, stromů a lesů pro koordinaci síťových prvků.

domény jsou nejmenší z hlavních úrovní, zatímco lesy jsou největší. Různé objekty, například uživatelé a zařízení, které sdílejí stejnou databázi, budou ve stejné doméně. Strom je jedna nebo více domén seskupených společně s hierarchickými vztahy důvěry. Les je skupina více stromů. Lesy poskytují hranice zabezpečení, zatímco domény-které sdílejí společnou databázi – lze spravovat pro nastavení, jako je autentizace a šifrování.

  • doména je skupina objektů, jako jsou uživatelé nebo zařízení, které sdílejí stejnou databázi reklam. Domény mají systém názvů domén
  • strom je jedna nebo více domén seskupených dohromady. Stromová struktura používá souvislý jmenný prostor ke shromažďování kolekce domén v logické hierarchii. Stromy lze považovat za vztahy důvěry, kde je zabezpečené připojení nebo důvěra sdílena mezi dvěma doménami. Lze důvěřovat více doménám, kde jedna doména může důvěřovat druhé a druhá doména může důvěřovat třetí. Vzhledem k hierarchické povaze tohoto nastavení může první doména implicitně důvěřovat třetí doméně, aniž by potřebovala výslovnou důvěru.
  • les je skupina více stromů. Les se skládá ze sdílených katalogů, schémat adresářů, informací o aplikacích a konfigurací domén. Schéma definuje třídu objektu a atributy v lese. Globální katalogové servery navíc poskytují seznam všech objektů v lese. Podle společnosti Microsoft je les bezpečnostní hranicí služby Active Directory.
  • organizační jednotky (ou) organizují uživatele, skupiny a zařízení. Každá doména může obsahovat vlastní OU. Ou však nemohou mít samostatné jmenné prostory, protože každý uživatel nebo objekt v doméně musí být jedinečný. Nelze například vytvořit uživatelský účet se stejným uživatelským jménem.
  • kontejnery jsou podobné OUs, ale objekty zásad skupiny nelze použít ani propojit s objekty kontejnerů.
konfigurace doménového doménového doménu

důvěryhodná terminologie

Active Directory spoléhá na trusty, aby zmírnila přístupová práva zdrojů mezi doménami. Existuje několik různých typů trustů:

  • jednosměrná důvěra je, když první doména umožňuje přístupová oprávnění uživatelům druhé domény. Druhá doména však neumožňuje přístup uživatelům na první doméně.
  • obousměrná důvěra je, když existují dvě domény a každá doména umožňuje přístup uživatelům druhé domény.
  • důvěryhodná doména je jediná doména, která umožňuje uživateli přístup k jiné doméně, která se nazývá důvěryhodná doména.
  • přechodná důvěra může přesahovat dvě domény a umožnit přístup k jiným důvěryhodným doménám v rámci lesa.
  • intranzitivní důvěra je jednosměrná důvěra, která je omezena na dvě domény.
  • explicitní důvěra je jednosměrná, netransitivní důvěra vytvořená správcem sítě.
  • vzájemná důvěra je typ explicitní důvěry. Vzájemné propojení trustů probíhá mezi doménami v rámci 1) stejného stromu, bez vztahu dítě-rodič mezi oběma doménami, nebo 2) různých stromů.
  • důvěra lesa se vztahuje na domény v celém lese a může být jednosměrná, obousměrná nebo tranzitivní.
  • zkratka spojuje dvě domény, které patří do samostatných stromů. Zkratky mohou být jednosměrné, obousměrné nebo přechodné.
  • realm je důvěra, která je tranzitivní, nepřechodná, jednosměrná nebo obousměrná.
  • externí důvěra je důvěra, která propojuje domény napříč samostatnými lesy nebo doménami, které nejsou ad. Externí trusty mohou být netransitivní, jednosměrné nebo obousměrné.
  • důvěra v řízení soukromého přístupu (Pam) je jednosměrná důvěra vytvořená společností Microsoft Identity Manager mezi produkčním lesem a lesem bastion.

historie a vývoj služby Active Directory

společnost Microsoft nabídla náhled služby Active Directory v roce 1999 a vydala jej o rok později se systémem Windows 2000 Server. Společnost Microsoft pokračovala ve vývoji nových funkcí s každým dalším vydáním systému Windows Server.

Windows Server 2003 zahrnoval pozoruhodnou aktualizaci pro přidání lesů a schopnost upravovat a měnit polohu domén v lesích. Domény v systému Windows Server 2000 nemohly podporovat novější aktualizace reklam spuštěné v Serveru 2003.

Windows Server 2008 představil AD FS. Microsoft navíc přejmenoval adresář pro správu domén jako AD DS a AD se stal zastřešujícím termínem pro služby založené na adresářích, které podporoval.

Windows Server 2016 aktualizoval AD DS, aby zlepšil zabezpečení reklam a migroval reklamní prostředí do cloudových nebo hybridních cloudových prostředí. Aktualizace zabezpečení zahrnovaly přidání PAM.

Pam monitorovala přístup k objektu, Typ uděleného přístupu a jaké akce uživatel provedl. Pam přidal bastion AD lesy poskytnout další bezpečné a izolované lesní prostředí. Windows Server 2016 ukončil podporu pro zařízení v systému Windows Server 2003.

v prosinci 2016 společnost Microsoft vydala Azure AD Connect, aby se připojila k systému Active Directory v areálu s Azure Active Directory (Azure AD), aby umožnila SSO pro cloudové služby společnosti Microsoft, jako je Office 365. Azure AD Connect pracuje se systémy se systémem Windows Server 2008, Windows Server 2012, Windows Server 2016 a Windows Server 2019.

domény vs. pracovní skupiny

pracovní skupina je termín společnosti Microsoft pro počítače se systémem Windows připojené přes síť peer-to-peer. Pracovní skupiny jsou další organizační jednotkou pro počítače se systémem Windows v sítích. Pracovní skupiny umožňují těmto strojům sdílet soubory, přístup k internetu, tiskárny a další zdroje v síti. Síť Peer-to-peer odstraňuje potřebu serveru pro autentizaci. Mezi doménami a pracovními skupinami existuje několik rozdílů:

  • domény mohou na rozdíl od pracovních skupin hostovat počítače z různých lokálních sítí.
  • domény lze použít k hostování mnohem více počítačů než pracovních skupin. Domény mohou zahrnovat tisíce počítačů, na rozdíl od pracovních skupin, které mají obvykle horní hranici blízkou 20.
  • v doménách je alespoň jeden server počítač, který se používá k řízení oprávnění a bezpečnostních funkcí pro každý počítač v doméně. V pracovních skupinách neexistuje žádný server a počítače jsou všichni vrstevníci.
  • uživatelé domény obvykle vyžadují bezpečnostní identifikátory, jako jsou přihlašovací údaje a hesla, na rozdíl od pracovních skupin.

hlavní konkurenti služby Active Directory

další adresářové služby na trhu, které poskytují podobné funkce jako AD, zahrnují Red Hat Directory Server, Apache Directory a OpenLDAP.

Red Hat Directory Server spravuje přístup uživatelů k více systémům v unixových prostředích. Podobně jako AD, Red Hat Directory Server obsahuje ID uživatele a ověřování založené na certifikátu omezit přístup k datům v adresáři.

Apache Directory je open source projekt, který běží na Javě a pracuje na libovolném LDAP serveru, včetně systémů na Windows, macOS a Linux. Adresář Apache obsahuje prohlížeč schémat a editor LDAP a prohlížeč. Adresář Apache podporuje pluginy Eclipse.

OpenLDAP je open source LDAP adresář založený na Windows. OpenLDAP umožňuje uživatelům procházet, vyhledávat a upravovat objekty na serveru LDAP. Funkce OpenLDAP zahrnují kopírování, přesouvání a mazání stromů v adresáři, stejně jako povolení procházení schémat, správu hesel a podporu LDAP SSL (Secure Sockets Layer).

Přečtěte si tento přehled a dozvíte se o základech služby Active Directory.

zjistěte, jaké techniky lze použít k řešení běžných problémů ve službě Active Directory, a tipy na řešení problémů s replikací.

Leave a Reply

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.