Wat is Active Directory en hoe werkt het?
Active Directory (AD) is Microsoft ‘ s eigen directory service. Het draait op Windows Server en stelt beheerders in staat om machtigingen en toegang tot netwerkbronnen te beheren.
Active Directory slaat gegevens op als objecten. Een object is een enkel element, zoals een gebruiker, groep, toepassing of apparaat zoals een printer. Objecten worden gewoonlijk gedefinieerd als bronnen, zoals printers of computers, of beveiligings-principals, zoals gebruikers of groepen.
Active Directory categoriseert directory-objecten op naam en attributen. De naam van een gebruiker kan bijvoorbeeld de naamstring bevatten, samen met informatie die aan de gebruiker is gekoppeld, zoals wachtwoorden en beveiligde Shell-sleutels.
de belangrijkste service in Active Directory is Domain Services (AD DS), die directory-informatie opslaat en de interactie van de gebruiker met het domein afhandelt. AD DS verifieert de toegang wanneer een gebruiker zich aanmeldt bij een apparaat of probeert verbinding te maken met een server via een netwerk. AD DS bepaalt welke gebruikers toegang hebben tot elke bron, evenals Groepsbeleid. Een beheerder heeft bijvoorbeeld doorgaans een ander toegangsniveau tot gegevens dan een eindgebruiker.
andere producten van Microsoft en Windows-besturingssystemen, zoals Exchange Server en SharePoint Server, vertrouwen op AD DS om brontoegang te bieden. De server waarop AD DS host, is de domeincontroller.
Active Directory services
verschillende services bestaan uit Active Directory. De belangrijkste service is Domeinservices, maar Active Directory omvat ook AD LDS (Lightweight Directory Access Protocol), LDAP (Lightweight Directory Access Protocol), Certificate Services of AD CS, Federation Services (AD FS) en Rights Management Services (AD RMS). Elk van deze andere diensten breidt het product directory management mogelijkheden.
- Lightweight Directory Services heeft dezelfde codebase als AD DS en deelt soortgelijke functionaliteiten, zoals de interface van het toepassingsprogramma. AD LDS kan echter in meerdere exemplaren op één server worden uitgevoerd en bevat directorygegevens in een gegevensarchief met behulp van het Lightweight Directory Access Protocol.
- Lightweight Directory Access Protocol is een toepassingsprotocol dat wordt gebruikt voor toegang tot en onderhoud van directory services via een netwerk. LDAP slaat objecten, zoals gebruikersnamen en wachtwoorden, op in directoryservices, zoals Active Directory, en deelt die objectgegevens over het netwerk.
- Certificate Services genereert, beheert en deelt certificaten. Een certificaat maakt gebruik van encryptie om een gebruiker in staat te stellen informatie veilig via internet uit te wisselen met een openbare sleutel.
- Active Directory Federation Services verifieert gebruikerstoegang tot meerdere toepassingen — zelfs op verschillende netwerken — met behulp van SSO (single sign-on). Zoals de naam al aangeeft, vereist SSO dat de gebruiker zich slechts één keer aanmeldt, in plaats van meerdere speciale verificatiesleutels voor elke service te gebruiken.
- Rechtenbeheerdiensten controleren informatierechten en-beheer. AD RMS versleutelt inhoud, zoals e-mail-of Microsoft Word-documenten, op een server om de toegang te beperken.
belangrijke functies in Active Directory Domain Services
Active Directory Domain Services gebruikt een gelaagde opmaakstructuur bestaande uit domeinen, bomen en forests om netwerkelementen te coördineren.
domeinen zijn de kleinste van de belangrijkste niveaus, terwijl forests de grootste zijn. Verschillende objecten, zoals gebruikers en apparaten, die dezelfde database delen, zullen zich op hetzelfde domein bevinden. Een boomstructuur is een of meer domeinen gegroepeerd met hiërarchische vertrouwensrelaties. Een bos is een groep van meerdere bomen. Forests bieden beveiligingsgrenzen, terwijl domeinen — die een gemeenschappelijke database delen — kunnen worden beheerd voor instellingen zoals verificatie en versleuteling.
- een domein is een groep objecten, zoals gebruikers of apparaten, die dezelfde AD-database Delen. Domeinen hebben een domeinnaamsysteem
- een boomstructuur is één of meer domeinen gegroepeerd. De boomstructuur gebruikt een aaneengesloten naamruimte om de verzameling domeinen in een logische hiërarchie te verzamelen. Bomen kunnen worden gezien als vertrouwensrelaties waarbij een beveiligde verbinding of vertrouwensrelatie wordt gedeeld tussen twee domeinen. Meerdere domeinen kunnen worden vertrouwd, waarbij één domein een tweede kan vertrouwen en het tweede domein een derde kan vertrouwen. Vanwege de hiërarchische aard van deze setup kan het eerste domein impliciet Het derde domein vertrouwen zonder expliciet vertrouwen nodig te hebben.
- een bos is een groep van meerdere bomen. Een forest bestaat uit gedeelde catalogi, mapschema ‘ s, toepassingsinformatie en domeinconfiguraties. Het schema definieert de klasse en attributen van een object in een forest. Daarnaast bieden global catalog servers een lijst van alle objecten in een forest. Volgens Microsoft is het forest de beveiligingsgrens van Active Directory.
- organisatie-eenheden organiseren gebruikers, groepen en apparaten. Elk domein kan zijn eigen organisatie-eenheid bevatten. Ou ‘ s kunnen echter geen aparte naamruimten hebben, aangezien elke gebruiker of object in een domein uniek moet zijn. Een gebruikersaccount met dezelfde gebruikersnaam kan bijvoorbeeld niet worden aangemaakt.
- Containers zijn vergelijkbaar met ou ‘ s, maar groepsbeleidsobjecten kunnen niet worden toegepast of gekoppeld aan containerobjecten.
vertrouwende terminologie
Active Directory vertrouwt op vertrouwensrelaties om de toegangsrechten van bronnen tussen domeinen te matigen. Er zijn verschillende soorten trusts:
- een one-way trust is wanneer een eerste domein toegangsrechten toestaat aan gebruikers op een tweede domein. Het tweede domein staat echter geen toegang toe voor gebruikers op het eerste domein.
- een tweerichtingsvertrouw is wanneer er twee domeinen zijn en elk domein toegang geeft aan gebruikers van het andere domein.
- een vertrouwd domein is een enkel domein dat de gebruiker toegang geeft tot een ander domein, dat het vertrouwende domein wordt genoemd.
- een transitieve vertrouwensrelatie kan verder reiken dan twee domeinen en toegang verlenen tot andere vertrouwde domeinen binnen een forest.
- een intransitieve vertrouwensrelatie is een eenrichtingsvertrouwensrelatie die beperkt is tot twee domeinen.
- een expliciete vertrouwensrelatie is een eenrichtings -, niet-transitieve vertrouwensrelatie die door een netwerkbeheerder wordt aangemaakt.
- een cross-link trust is een type expliciete trust. Cross-link trusts vinden plaats tussen domeinen binnen 1) dezelfde boomstructuur, zonder kind-ouder relatie tussen de twee domeinen, of 2) verschillende bomen.
- een forest-vertrouwensrelatie is van toepassing op domeinen binnen het hele forest en kan eenrichtings -, tweerichtings-of transitief zijn.
- een snelkoppeling verbindt twee domeinen die tot afzonderlijke bomen behoren. Snelkoppelingen kunnen eenrichtings -, tweewegs-of transitief zijn.
- een realm is een vertrouwensrelatie die transitief, intransitief, eenrichtingsverkeer of tweerichtingsverkeer is.
- een externe vertrouwensrelatie is een vertrouwensrelatie die domeinen koppelt in afzonderlijke forests of domeinen die geen AD zijn. Externe vertrouwensrelaties kunnen niet-transitief, eenrichtingsverkeer of tweerichtingsverkeer zijn.
- een PAM-vertrouwensrelatie (private access management) is een EENRICHTINGSVERTROUW die door Microsoft Identity Manager wordt gecreëerd tussen een productieforest en een bastionforest.
geschiedenis en ontwikkeling van Active Directory
Microsoft bood een voorbeeld van Active Directory aan in 1999 en bracht het een jaar later uit met Windows 2000 Server. Microsoft bleef nieuwe functies te ontwikkelen met elke opeenvolgende Windows Server release.
Windows Server 2003 bevat een opmerkelijke update om forests toe te voegen en de mogelijkheid om de positie van domeinen binnen forests te bewerken en te wijzigen. Domeinen op Windows Server 2000 kunnen geen ondersteuning bieden voor nieuwere AD-updates die worden uitgevoerd in Server 2003.
Windows Server 2008 introduceerde AD FS. Daarnaast heeft Microsoft de directory voor domeinbeheer omgedoopt tot AD DS en werd AD een overkoepelende term voor de directory-gebaseerde services die het ondersteunde.
Windows Server 2016 heeft AD DS bijgewerkt om de AD-beveiliging te verbeteren en AD-omgevingen te migreren naar cloud-of hybride cloudomgevingen. Beveiligingsupdates omvatten de toevoeging van PAM.
PAM controleerde de toegang tot een object, het type Toegang dat werd verleend en welke acties de gebruiker nam. PAM voegde bastion AD forests toe om een extra veilige en geïsoleerde bosomgeving te bieden. Windows Server 2016 beëindigde ondersteuning voor apparaten op Windows Server 2003.In December 2016 bracht Microsoft Azure AD Connect uit om deel te nemen aan een on-premises Active Directory-systeem met Azure Active Directory (Azure AD) om SSO in te schakelen voor Microsoft ‘ s cloudservices, zoals Office 365. Azure AD Connect werkt met systemen met Windows Server 2008, Windows Server 2012, Windows Server 2016 en Windows Server 2019.
domeinen vs. werkgroepen
de werkgroep is de term van Microsoft voor Windows-machines die via een peer-to-peer-netwerk zijn verbonden. Werkgroepen zijn een andere eenheid van organisatie voor Windows-computers in netwerken. Werkgroepen staan deze machines toe om bestanden, internettoegang, printers en andere bronnen over het netwerk te delen. Door Peer-to-peer-netwerken is er geen server meer nodig voor verificatie. Er zijn verschillende verschillen tussen domeinen en werkgroepen:
- domeinen kunnen, in tegenstelling tot werkgroepen, computers hosten van verschillende lokale netwerken.
- domeinen kunnen worden gebruikt om veel meer computers dan werkgroepen te hosten. Domeinen kunnen duizenden computers omvatten, in tegenstelling tot werkgroepen, die meestal een bovengrens hebben van bijna 20.
- in domeinen is ten minste één server een computer die wordt gebruikt om machtigingen en beveiligingsfuncties te beheren voor elke computer binnen het domein. In werkgroepen is er geen server en computers zijn allemaal peers.
- Domeingebruikers vereisen doorgaans beveiligings-id ‘ s zoals logins en wachtwoorden, in tegenstelling tot werkgroepen.
belangrijkste concurrenten van Active Directory
andere directory services op de markt die vergelijkbare functionaliteit bieden als AD zijn Red Hat Directory Server, Apache Directory en OpenLDAP.
Red Hat Directory Server beheert gebruikerstoegang tot meerdere systemen in Unix-omgevingen. Net als AD bevat Red Hat Directory Server gebruikers-ID en op certificaten gebaseerde authenticatie om de toegang tot gegevens in de directory te beperken.
Apache Directory is een open source project dat draait op Java en werkt op elke LDAP-server, inclusief systemen op Windows, macOS en Linux. Apache Directory bevat een schema browser en een LDAP-editor en browser. Apache Directory ondersteunt Eclipse plugins.
OpenLDAP is een op Windows gebaseerde open source LDAP-map. Met OpenLDAP kunnen gebruikers op een LDAP-server door objecten bladeren, zoeken en bewerken. OpenLDAP-functies omvatten het kopiëren, verplaatsen en verwijderen van bomen in de map, evenals het inschakelen van schema browsen, wachtwoordbeheer en LDAP SSL (Secure Sockets Layer) ondersteuning.
lees dit overzicht voor meer informatie over de basisprincipes van Active Directory.
Ontdek welke technieken kunnen worden gebruikt om veelvoorkomende problemen in Active Directory op te lossen, en tips voor het oplossen van replicatieproblemen.