Hva Er Active Directory og hvordan fungerer Det?
Active Directory (AD) Er Microsofts proprietære katalogtjeneste. Den kjører På Windows Server og gjør det mulig for administratorer å administrere tillatelser og tilgang til nettverksressurser.
Active Directory lagrer data som objekter. Et objekt er et enkelt element, for eksempel en bruker, en gruppe, et program eller en enhet, for eksempel en skriver. Objekter defineres vanligvis som ressurser, for eksempel skrivere eller datamaskiner, eller sikkerhetsprinsipper, for eksempel brukere eller grupper.
Active Directory kategoriserer katalogobjekter etter navn og attributter. Navnet på en bruker kan for eksempel inkludere navnestrengen, sammen med informasjon knyttet til brukeren, for eksempel passord og Nøkler For Sikre Skall.
hovedtjenesten I Active Directory er Domain Services (AD DS), som lagrer kataloginformasjon og håndterer samspillet mellom brukeren og domenet. AD DS bekrefter tilgang når en bruker logger på en enhet eller forsøker å koble til en server over et nettverk. AD DS kontrollerer hvilke brukere som har tilgang til hver ressurs, samt gruppepolicyer. For eksempel har en administrator vanligvis et annet tilgangsnivå til data enn en sluttbruker.
Andre microsoft-og Windows-operativsystemprodukter (OS), for Eksempel Exchange Server og SharePoint Server, er avhengige AV AD DS for å gi ressurstilgang. Serveren SOM er VERT FOR AD DS, er domenekontrolleren.
Active Directory-tjenester
Flere forskjellige tjenester omfatter Active Directory. Hovedtjenesten er Domenetjenester, Men Active Directory inkluderer Også Lightweight Directory Services (AD LDS), LIGHTWEIGHT Directory Access Protocol (LDAP), Certificate Services eller AD CS, Federation Services (AD FS) og Rights Management Services (AD RMS). Hver av disse andre tjenestene utvider produktets katalogadministrasjonsfunksjoner.
- Lette Katalogtjenester har samme kodebase SOM AD DS, og deler lignende funksjoner, for eksempel programgrensesnittet. AD LDS kan imidlertid kjøre i flere tilfeller på en server og inneholder katalogdata i et datalager ved Hjelp Av Lightweight Directory Access Protocol.
- Lightweight Directory Access Protocol Er en applikasjonsprotokoll som brukes til å få tilgang til og vedlikeholde katalogtjenester over et nettverk. LDAP lagrer objekter, for eksempel brukernavn og passord, i katalogtjenester, For Eksempel Active Directory, og deler disse objektdataene på tvers av nettverket.
- Certificate Services genererer, forvalter og deler sertifikater. Et sertifikat bruker kryptering for å gjøre det mulig for en bruker å utveksle informasjon over internett sikkert med en offentlig nøkkel.
- Active Directory Federation Services godkjenner brukertilgang til flere programmer-selv på forskjellige nettverk-ved hjelp AV ENKEL pålogging (SSO). SOM navnet indikerer, KREVER SSO bare at brukeren logger på en gang, i stedet for å bruke flere dedikerte autentiseringsnøkler for hver tjeneste.
- Rights Management Services kontrollerer informasjons rettigheter og administrasjon. AD RMS krypterer innhold, for eksempel e-post eller Microsoft Word-dokumenter, på en server for å begrense tilgangen.
hovedfunksjoner I Active Directory Domain Services
Active Directory Domain Services bruker en lagdelt layoutstruktur bestående av domener, trær og skoger for å koordinere nettverkselementer.
Domener er de minste av hovednivåene, mens skogene er de største. Ulike objekter, for eksempel brukere og enheter, som deler samme database, vil være på samme domene. Et tre er ett eller flere domener gruppert sammen med hierarkiske klareringsrelasjoner. En skog er en gruppe av flere trær. Skoger gir sikkerhetsgrenser, mens domener-som deler en felles database – kan administreres for innstillinger som autentisering og kryptering.
- et domene er en gruppe objekter, for eksempel brukere eller enheter, som deler DEN samme ANNONSEDATABASEN. Domener har et domenenavnsystem
- et tre er ett eller flere domener gruppert sammen. Trestrukturen bruker et sammenhengende navneområde til å samle samlingen av domener i et logisk hierarki. Trær kan sees på som tillitsforhold der en sikker forbindelse, eller tillit, deles mellom to domener. Flere domener kan stole på der ett domene kan stole på et sekund, og det andre domenet kan stole på en tredjedel. På grunn av den hierarkiske naturen til dette oppsettet, kan det første domenet implisitt stole på det tredje domenet uten eksplisitt klarering.
- en skog er en gruppe med flere trær. En skog består av delte kataloger, katalogskjemaer, applikasjonsinformasjon og domenekonfigurasjoner. Skjemaet definerer et objekts klasse og attributter i en skog. I tillegg gir globale katalogservere en liste over alle objektene i en skog. Ifølge Microsoft er skogen Sikkerhetsgrensen For Active Directory.
- Organisasjonsenheter (Ouer) organiserer brukere, grupper og enheter. Hvert domene kan inneholde sin EGEN OU. Ouer kan imidlertid ikke ha separate navnerom, da hver bruker eller objekt i et domene må være unikt. For eksempel kan en brukerkonto med samme brukernavn ikke opprettes.
- Beholdere ligner På Ouer, Men Gruppepolicyobjekter kan ikke brukes eller kobles til beholderobjekter.
Klarering av terminologi
Active Directory er avhengig av klareringer for å moderere tilgangsrettighetene til ressurser mellom domener. Det finnes flere forskjellige typer tillit:
- en enveis klarering er når et første domene tillater tilgangsrettigheter til brukere på et annet domene. Det andre domenet tillater imidlertid ikke tilgang til brukere på det første domenet.
- en toveis klarering er når det er to domener, og hvert domene gir tilgang til brukere av det andre domenet.
- et klarert domene er et enkelt domene som gir brukeren tilgang til et annet domene, som kalles det klarerte domenet.
- en transitiv klarering kan strekke seg utover to domener og gi tilgang til andre klarerte domener i en skog.
- en intransitiv klarering er en enveis klarering som er begrenset til to domener.
- en eksplisitt klarering er en enveis, ikke-overførbar klarering som opprettes av en nettverksadministrator.
- en krysslink tillit er en type eksplisitt tillit. Kryssforbindelser finner sted mellom domener innenfor 1) det samme treet, uten foreldreforhold mellom de to domenene, eller 2) forskjellige trær.
- en forest trust gjelder domener i hele skogen og kan være enveis, toveis eller transitiv.
- en snarvei knytter sammen to domener som tilhører separate trær. Snarveier kan være enveis, toveis eller transitive.
- et rike er en tillit som er transitiv, intransitiv, enveis eller toveis.
- en ekstern klarering er en klarering som kobler domener på tvers av separate skoger eller domener som ikke ER AD. Eksterne trusts kan være ikke-transitive, enveis eller toveis.
- en pam-klarering (private access management) er en enveis klarering som opprettes Av Microsoft Identity Manager mellom en produksjonsskog og en bastionskog.
Historie Og utvikling Av Active Directory
Microsoft tilbød en forhåndsvisning Av Active Directory i 1999 og ga den ut et år senere Med Windows 2000 Server. Microsoft fortsatte å utvikle nye funksjoner med hver påfølgende Windows Server-utgivelse.
Windows Server 2003 inkluderte en bemerkelsesverdig oppdatering for å legge til skog og muligheten til å redigere og endre plasseringen av domener i skog. Domener På Windows Server 2000 kan ikke støtte nyere ANNONSEOPPDATERINGER som kjører I Server 2003.
windows Server 2008 introduserte AD FS. I Tillegg endret Microsoft navn på katalogen FOR domeneadministrasjon som AD DS, OG AD ble en samlebetegnelse for katalogbaserte tjenester den støttet.
Windows Server 2016 oppdaterte AD DS for å forbedre ANNONSESIKKERHETEN og overføre ANNONSEMILJØER til sky-eller hybridskymiljøer. Sikkerhetsoppdateringer inkludert tillegg AV PAM.
pam overvåket tilgang til et objekt, hvilken type tilgang som ble gitt og hvilke handlinger brukeren tok. PAM lagt bastion AD skoger for å gi en ekstra sikker og isolert skogsmiljø. Windows Server 2016 avsluttet støtte for enheter På Windows Server 2003.
I desember 2016 lanserte Microsoft Azure AD Connect for å bli med i et Lokalt Active Directory-system Med Azure Active Directory (Azure AD) for å aktivere SSO for Microsofts skytjenester, For Eksempel Office 365. Azure AD Connect fungerer med systemer som kjører Windows Server 2008, Windows Server 2012, Windows Server 2016 Og Windows Server 2019.
Domener vs arbeidsgrupper
arbeidsgruppen Er Microsofts begrep For Windows-maskiner som er koblet til via et peer-to-peer-nettverk. Arbeidsgrupper er en annen organisasjonsenhet For Windows-datamaskiner i nettverk. Arbeidsgrupper lar disse maskinene dele filer, internett-tilgang, skrivere og andre ressurser over nettverket. Peer-to-peer-nettverk fjerner behovet for en server for godkjenning. Det er flere forskjeller mellom domener og arbeidsgrupper:
- Domener, i motsetning til arbeidsgrupper, kan være vert for datamaskiner fra forskjellige lokale nettverk.
- Domener kan brukes til å være vert for mange flere datamaskiner enn arbeidsgrupper. Domener kan inkludere tusenvis av datamaskiner, i motsetning til arbeidsgrupper, som vanligvis har en øvre grense nær 20.
- i domener er minst en server en datamaskin som brukes til å kontrollere tillatelser og sikkerhetsfunksjoner for hver datamaskin i domenet. I arbeidsgrupper er det ingen server og datamaskiner er alle jevnaldrende.
- Domenebrukere krever vanligvis sikkerhetsidentifikatorer som pålogginger og passord, i motsetning til arbeidsgrupper.
Hovedkonkurrenter Til Active Directory
Andre katalogtjenester på markedet som gir lignende funksjonalitet TIL AD inkluderer Red Hat Directory Server, Apache Directory og OpenLDAP.
Red Hat Directory Server administrerer brukertilgang til flere systemer I Unix-miljøer. I LIKHET MED AD inkluderer Red Hat Directory Server bruker-ID og sertifikatbasert godkjenning for å begrense tilgangen til data i katalogen.
Apache Directory er et åpen kildekode-prosjekt som kjører På Java og opererer på ALLE LDAP-servere, inkludert systemer På Windows, macOS og Linux. Apache-Katalogen inneholder en skjemableser og EN LDAP-editor og nettleser. Apache Katalogen støtter Eclipse plugins.
OpenLDAP Er En Windows-basert ÅPEN KILDEKODE LDAP-katalog. OpenLDAP gjør det mulig å bla gjennom, søke og redigere objekter i EN LDAP-server. OpenLDAP funksjoner inkluderer kopiering, flytting og sletting av trær i katalogen, samt aktivere skjema surfing, passord ledelse og LDAP SSL (Secure Sockets Layer) støtte.
Les denne oversikten for å lære Mer Om Grunnleggende Active Directory.
Finn ut hvilke teknikker som kan brukes til å feilsøke vanlige problemer I Active Directory, og tips om feilsøking av replikering.