active directory

mikä on Active Directory ja miten se toimii?

Active Directory (AD) on Microsoftin oma hakemistopalvelu. Se toimii Windows Server ja järjestelmänvalvojat voivat hallita käyttöoikeuksia ja pääsyä verkon resursseja.

Active Directory tallentaa tiedot objekteina. Objekti on yksittäinen elementti, kuten käyttäjä, ryhmä, sovellus tai laite, kuten tulostin. Objektit määritellään yleensä joko resursseiksi, kuten tulostimiksi tai tietokoneiksi, tai tietoturvaperiaatteiksi, kuten käyttäjiksi tai ryhmiksi.

Active Directory luokittelee hakemistoobjektit nimen ja attribuuttien mukaan. Esimerkiksi käyttäjän nimi voi sisältää nimimerkkijonon sekä käyttäjään liittyviä tietoja, kuten salasanoja ja suojattuja Shell-avaimia.

kaavio Active Directoryn palveluista
Active Directoryn palvelut

Active Directoryn tärkein palvelu on Domain Services (AD DS), joka tallentaa hakemistotietoja ja hoitaa käyttäjän vuorovaikutusta verkkotunnuksen kanssa. AD DS tarkastaa käytön, kun käyttäjä kirjautuu laitteeseen tai yrittää muodostaa yhteyden palvelimeen verkon kautta. AD DS ohjaa, millä käyttäjillä on pääsy kuhunkin resurssiin, sekä ryhmäkäytäntöjä. Esimerkiksi ylläpitäjällä on tyypillisesti erilainen pääsy tietoihin kuin loppukäyttäjällä.

muut Microsoftin ja Windowsin käyttöjärjestelmätuotteet, kuten Exchange Server ja SharePoint Server, turvautuvat AD DS: ään resurssien käytön mahdollistamiseksi. Palvelin, joka isännöi AD DS on toimialueen ohjain.

Active Directory-palvelut

useat eri palvelut sisältävät Active Directoryn. Tärkein palvelu on Verkkotunnuspalvelut, mutta Active Directory sisältää myös Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services, tai AD CS, Federation Services (AD FS) ja Rights Management Services (AD RMS). Jokainen näistä muista palveluista laajentaa tuotteen hakemiston hallintaominaisuuksia.

  • Lightweight Directory Services-palveluilla on sama koodipohja kuin AD DS: llä, jakaen samanlaisia toimintoja, kuten sovellusohjelmarajapinnan. AD LDS, kuitenkin, voi ajaa useissa tapauksissa yhdellä palvelimella ja pitää hakemistotietoja data Storessa käyttäen Lightweight Directory Access Protocol.
  • Lightweight Directory Access Protocol on sovellusprotokolla, jota käytetään hakemistopalvelujen käyttöön ja ylläpitoon verkon yli. LDAP tallentaa objekteja, kuten käyttäjätunnuksia ja salasanoja, hakemistopalveluihin, kuten Active Directoryyn, ja jakaa objektin tietoja verkon kautta.
  • varmennepalvelut tuottavat, hallinnoivat ja jakavat sertifikaatteja. Varmenteessa käytetään salausta, jonka avulla käyttäjä voi vaihtaa tietoja Internetissä turvallisesti julkisella avaimella.
  • Active Directory Federation Services todentaa käyttäjän pääsyn useisiin sovelluksiin — jopa eri verkoissa — käyttämällä yhtä kirjautumista (SSO). Kuten nimi osoittaa, SSO vaatii käyttäjää kirjautumaan sisään vain kerran sen sijaan, että hän käyttäisi useita omia todennusavaimia kuhunkin palveluun.
  • oikeuksien hallintapalvelut ohjaavat tietooikeuksia ja-hallintaa. AD RMS salaa palvelimella sisällön, kuten sähköpostin tai Microsoft Word-dokumenttien käytön rajoittamiseksi.

Tärkeimmät ominaisuudet Active Directory-toimialueen palveluissa

Active Directory-toimialueen palveluissa käytetään verkkoelementtien koordinointiin vaiheittaista asettelurakennetta, joka koostuu toimialueista, puista ja metsistä.

alueet ovat pienimpiä ja metsät suurimpia. Eri objektit, kuten käyttäjät ja laitteet, jotka jakavat saman tietokannan, ovat samalla verkkotunnuksella. Puu on yksi tai useampi arvoalue, joka on ryhmitelty hierarkkisten luottamussuhteiden kanssa. Metsä on usean puun ryhmä. Metsät tarjoavat tietoturvarajoja, kun taas verkkotunnuksia – jotka jakavat yhteisen tietokannan – voidaan hallita asetuksille, kuten todennukselle ja salaukselle.

  • verkkotunnus on ryhmä objekteja, kuten käyttäjiä tai laitteita, jotka jakavat saman MAINOSTIETOKANNAN. Verkkotunnuksilla on verkkotunnusjärjestelmä
  • puu on yksi tai useampi verkkotunnus ryhmiteltynä yhteen. Puurakenne käyttää yhtenäistä nimiavaruutta kootakseen verkkotunnusten kokoelman loogiseen hierarkiaan. Puut voidaan nähdä luottamussuhteina, joissa suojattu yhteys eli luottamus jaetaan kahden verkkotunnuksen välillä. Useita verkkotunnuksia voidaan luottaa, kun yksi verkkotunnus voi luottaa toiseen, ja toinen verkkotunnus voi luottaa kolmanteen. Koska hierarkkinen luonne tämän asennuksen, ensimmäinen verkkotunnus voi implisiittisesti luottaa kolmannen verkkotunnuksen tarvitsematta nimenomaista luottamusta.
  • metsä on monipuiden ryhmä. Metsä koostuu jaetuista luetteloista, hakemistokaavioista, sovellustiedoista ja toimialueen määrityksistä. Skeema määrittelee kohteen luokan ja ominaisuudet metsässä. Lisäksi global catalog-palvelimet tarjoavat listauksen kaikista metsässä olevista kohteista. Microsoftin mukaan Metsä on Active Directoryn tietoturvaraja.
  • organisaatioyksiköt (OUs) järjestävät Käyttäjät, Ryhmät ja laitteet. Jokainen verkkotunnus voi sisältää Oman OU. OUs: lla ei kuitenkaan voi olla erillisiä nimiavaruuksia, sillä jokaisen verkkotunnuksen käyttäjän tai objektin on oltava yksilöllinen. Esimerkiksi käyttäjätiliä, jolla on sama käyttäjätunnus, ei voi luoda.
  • kontit ovat samanlaisia kuin OUs: t, mutta ryhmäkäytäntöobjekteja ei voi soveltaa tai yhdistää konttiobjekteihin.
Domain Forestin asetukset

Trusting terminology

Active Directory luottaa trusteihin, jotka kohtuullistavat eri alojen välisten resurssien käyttöoikeuksia. Trusteja on useita erilaisia:

  • yksisuuntainen luottamus on, kun ensimmäinen verkkotunnus antaa käyttöoikeudet toisen verkkotunnuksen käyttäjille. Toinen verkkotunnus ei kuitenkaan salli pääsyä ensimmäisen verkkotunnuksen käyttäjille.
  • kaksisuuntainen luottamus on silloin, kun verkkotunnuksia on kaksi ja kumpikin verkkotunnus mahdollistaa pääsyn toisen verkkotunnuksen käyttäjille.
  • luotettu verkkoalue on yksittäinen verkkoalue, joka mahdollistaa käyttäjän pääsyn toiseen verkkoalueeseen, jota kutsutaan luottamusalueeksi.
  • transitiivinen luottamus voi ulottua yli kahden alueen ja mahdollistaa pääsyn muihin luotettuihin alueisiin metsässä.
  • intransitiivinen luottamus on yksisuuntainen luottamus, joka rajoittuu kahteen osa-alueeseen.
  • eksplisiittinen luottamus on yksisuuntainen, ei-transitiivinen luottamus, jonka verkon ylläpitäjä luo.
  • ristiinlinkitty luottamus on eksplisiittisen luottamuksen tyyppi. Cross-link trusts tapahtuu verkkotunnuksia sisällä 1) sama puu, ilman lapsi-vanhempi suhde kahden verkkotunnuksia, tai 2) eri puita.
  • metsäluottamus koskee koko metsän alueella olevia verkkotunnuksia, jotka voivat olla yksisuuntaisia, kaksisuuntaisia tai transitiivisia.
  • oikotie yhtyy kahteen eri puihin kuuluvaan domeeniin. Oikotiet voivat olla yksisuuntaisia, kaksisuuntaisia tai transitiivisia.
  • valtakunta on trusti, joka on transitiivinen, intransitiivinen, yksisuuntainen tai kaksisuuntainen.
  • ulkoinen rahasto on rahasto, joka yhdistää alueita erillisiin metsiin tai muihin kuin AD-alueisiin. Ulkoiset trustit voivat olla nontransitiivisia, yksisuuntaisia tai kaksisuuntaisia.
  • private access management (PAM) trust on Microsoft Identity managerin luoma yksisuuntainen luottamus tuotantometsän ja bastionimetsän välille.

Active Directoryn historia ja kehitys

Microsoft tarjosi Active Directoryn esikatselun vuonna 1999 ja julkaisi sen vuotta myöhemmin Windows 2000 Serverin kanssa. Microsoft jatkoi uusien ominaisuuksien kehittämistä jokaisella peräkkäisellä Windows Server-julkaisulla.

Windows Server 2003 sisälsi merkittävän päivityksen lisätä metsiä sekä mahdollisuuden muokata ja muuttaa verkkotunnusten sijaintia metsien sisällä. Windows Server 2000: n verkkotunnukset eivät voineet tukea Server 2003: ssa käynnissä olevia uudempia MAINOSPÄIVITYKSIÄ.

Windows Server 2008 esitteli AD FS: n. Lisäksi Microsoft rebranded directory for domain management as AD DS, ja AD tuli sateenvarjo termi hakemistoon perustuvia palveluja se tukee.

Windows Server 2016 päivitti AD DS: ää parantaakseen mainosten tietoturvaa ja siirtääkseen MAINOSYMPÄRISTÖT pilvi-tai hybridipilviympäristöihin. Tietoturvapäivityksissä oli mukana myös PAM.

PAM valvoi kohteen käyttöoikeutta, myönnettyä käyttöoikeustyyppiä ja sitä, mihin toimenpiteisiin käyttäjä ryhtyi. PAM lisäsi bastion AD forestsiin lisää turvallista ja eristynyttä metsäympäristöä. Windows Server 2016 lopetti laitteiden tuen Windows Server 2003: ssa.

joulukuussa 2016 Microsoft julkaisi Azure AD Connect-sovelluksen liittyäkseen paikan päällä toimivaan Active Directory-järjestelmään Azure Active Directoryn (Azure AD) kanssa, jotta SSO voidaan ottaa käyttöön Microsoftin pilvipalveluissa, kuten Office 365: ssä. Azure AD Connect toimii Windows Server 2008 -, Windows Server 2012 -, Windows Server 2016-ja Windows Server 2019-järjestelmissä.

verkkotunnukset vs. työryhmät

työryhmä on Microsoftin termi Windows-koneille, jotka on kytketty vertaisverkkoon. Työryhmät ovat toinen Windows-tietokoneiden organisaatioyksikkö verkoissa. Työryhmien avulla nämä koneet voivat jakaa tiedostoja, internetyhteyksiä, tulostimia ja muita resursseja verkon yli. Vertaisverkosto poistaa todennukseen tarvittavan palvelimen tarpeen. Toimialojen ja työryhmien välillä on useita eroja:

  • verkkotunnukset, toisin kuin työryhmät, voivat isännöidä eri lähiverkon tietokoneita.
  • verkkotunnuksia voidaan käyttää isännöimään paljon enemmän tietokoneita kuin työryhmiä. Verkkotunnukset voivat sisältää tuhansia tietokoneita, toisin kuin työryhmät, joiden yläraja on tyypillisesti lähellä 20: tä.
  • toimialueissa vähintään yksi palvelin on tietokone, jota käytetään jokaisen toimialueeseen kuuluvan tietokoneen käyttöoikeuksien ja suojausominaisuuksien hallintaan. Työryhmissä ei ole palvelinta ja tietokoneet ovat kaikki vertaisia.
  • verkkotunnuksen käyttäjät tarvitsevat tyypillisesti suojaustunnuksia, kuten kirjautumisia ja salasanoja, toisin kuin työryhmät.

Active Directoryn pääkilpailijoita

muita markkinoilla olevia hakemistopalveluita, jotka tarjoavat samanlaisia toimintoja kuin AD, ovat Red Hat Directory Server, Apache Directory ja OpenLDAP.

Red Hat Directory Server hallinnoi käyttäjän pääsyä useisiin järjestelmiin Unix-ympäristöissä. Red Hat Directory Server sisältää AD: n tapaan käyttäjätunnuksen ja varmennepohjaisen todennuksen, jolla rajoitetaan pääsyä hakemiston tietoihin.

Apache Directory on avoimen lähdekoodin projekti, joka toimii Javalla ja kaikilla LDAP-palvelimilla, mukaan lukien järjestelmät Windowsissa, macOS: ssa ja Linuxissa. Apache Directory sisältää skeema-selaimen sekä LDAP-editorin ja selaimen. Apache Directory tukee Eclipse-liitännäisiä.

OpenLDAP on Windows-pohjainen avoimen lähdekoodin LDAP-Hakemisto. Openldapin avulla käyttäjät voivat selata, etsiä ja muokata LDAP-palvelimen objekteja. OpenLDAP-ominaisuuksiin kuuluvat hakemistossa olevien puiden kopiointi, siirtäminen ja poistaminen sekä skeeman selaamisen, salasanojen hallinnan ja LDAP SSL (Secure Sockets Layer) – tuen mahdollistaminen.

Lue tämä yleiskatsaus oppiaksesi Active Directoryn perusteista.

Opi, mitä tekniikoita voidaan käyttää yleisten ongelmien vianmääritykseen Active Directoryssa, ja vinkkejä replikaation vianmääritykseen.

Leave a Reply

Vastaa

Sähköpostiosoitettasi ei julkaista.