ce este Active Directory și cum funcționează?
Active Directory (AD) este serviciul de directoare proprietar Microsoft. Rulează pe Windows Server și permite administratorilor să gestioneze permisiunile și accesul la resursele de rețea.
Active Directory stochează datele ca obiecte. Un obiect este un singur element, cum ar fi un utilizator, un grup, o aplicație sau un dispozitiv, cum ar fi o imprimantă. Obiectele sunt definite în mod normal fie ca resurse, cum ar fi imprimante sau computere, fie ca directori de securitate, cum ar fi utilizatori sau grupuri.
Active Directory clasifică obiectele directorului după nume și atribute. De exemplu, numele unui utilizator poate include șirul de nume, împreună cu informațiile asociate cu utilizatorul, cum ar fi parolele și cheile Shell securizate.
serviciul principal din Active Directory este Domain Services (AD DS), care stochează informații despre director și gestionează interacțiunea utilizatorului cu domeniul. AD DS verifică accesul atunci când un utilizator se conectează la un dispozitiv sau încearcă să se conecteze la un server printr-o rețea. AD DS controlează ce utilizatori au acces la fiecare resursă, precum și politicile de grup. De exemplu, un administrator are de obicei un nivel diferit de acces la date decât un utilizator final.
alte produse ale sistemului de operare (OS) Microsoft și Windows, cum ar fi Exchange Server și SharePoint Server, se bazează pe AD DS pentru a oferi acces la resurse. Serverul care găzduiește AD DS este controlerul de domeniu.
Active Directory services
mai multe servicii diferite cuprind Active Directory. Serviciul principal este Domain Services, dar Active Directory include, de asemenea, Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services sau AD CS, Federation Services (AD FS) și Rights Management Services (AD RMS). Fiecare dintre aceste alte servicii extinde capacitățile de gestionare a directorului produsului.
- Lightweight Directory Services are aceeași bază de cod ca AD DS, partajând funcționalități similare, cum ar fi interfața programului aplicației. AD LDS, cu toate acestea, poate rula în mai multe instanțe pe un server și deține date director într-un magazin de date folosind Lightweight Directory Access Protocol.
- Lightweight Directory Access Protocol este un protocol de aplicație utilizat pentru a accesa și menține serviciile de directoare într-o rețea. LDAP stochează obiecte, cum ar fi numele de utilizator și parolele, în directory services, cum ar fi Active Directory, și partajează datele obiect în rețea.
- Certificate Services generează, gestionează și partajează certificate. Un certificat utilizează criptarea pentru a permite unui utilizator să facă schimb de informații pe internet în siguranță cu o cheie publică.
- Active Directory Federation Services autentifică accesul utilizatorilor la mai multe aplicații-chiar și pe rețele diferite-folosind single sign-on (SSO). După cum indică și numele, SSO cere utilizatorului să se conecteze o singură dată, mai degrabă decât să utilizeze mai multe chei de autentificare dedicate pentru fiecare serviciu.
- serviciile de gestionare a drepturilor controlează drepturile și gestionarea informațiilor. AD RMS criptează conținutul, cum ar fi documentele de e-mail sau Microsoft Word, pe un server pentru a limita accesul.
caracteristici majore în Active Directory Domain Services
Active Directory Domain Services utilizează o structură de aspect pe niveluri constând din domenii, copaci și păduri pentru a coordona elemente în rețea.
Domeniile sunt cele mai mici dintre nivelurile principale, în timp ce pădurile sunt cele mai mari. Diferite obiecte, cum ar fi utilizatorii și dispozitivele, care partajează aceeași bază de date vor fi pe același domeniu. Un arbore este unul sau mai multe domenii grupate împreună cu relații de încredere ierarhice. O pădure este un grup de copaci multipli. Pădurile oferă limite de securitate, în timp ce domeniile-care au o bază de date comună-pot fi gestionate pentru setări precum autentificarea și criptarea.
- un domeniu este un grup de obiecte, cum ar fi utilizatori sau dispozitive, care partajează aceeași bază de date publicitară. Domeniile au un sistem de nume de domeniu
- un arbore este unul sau mai multe domenii grupate împreună. Structura arborescentă folosește un spațiu de nume contigu pentru a aduna colecția de domenii într-o ierarhie logică. Copacii pot fi priviți ca relații de încredere în care o conexiune sigură sau încredere este împărțită între două domenii. Mai multe domenii pot fi de încredere în cazul în care un domeniu poate avea încredere un al doilea, iar al doilea domeniu poate avea încredere un al treilea. Datorită naturii ierarhice a acestei configurații, primul domeniu poate avea încredere implicită în cel de-al treilea domeniu fără a avea nevoie de încredere explicită.
- o pădure este un grup de copaci multipli. O pădure este formată din cataloage partajate, scheme de directoare, informații despre aplicații și configurații de domenii. Schema definește clasa și atributele unui obiect într-o pădure. În plus, serverele de catalog global oferă o listă a tuturor obiectelor dintr-o pădure. Potrivit Microsoft, pădurea este limita de securitate a Active Directory.
- unitățile organizaționale (ou) organizează utilizatori, grupuri și dispozitive. Fiecare domeniu poate conține propriul OU. Cu toate acestea, OUs nu poate avea spații de nume separate, deoarece fiecare utilizator sau obiect dintr-un domeniu trebuie să fie unic. De exemplu, un cont de utilizator cu același nume de utilizator nu poate fi creat.
- containerele sunt similare cu OUs, dar obiectele politicii de grup nu pot fi aplicate sau legate de obiectele containerului.
terminologie de încredere
Active Directory se bazează pe trusturi pentru a modera drepturile de acces ale resurselor între domenii. Există mai multe tipuri diferite de trusturi:
- o încredere unidirecțională este atunci când un prim domeniu permite privilegii de acces utilizatorilor pe un al doilea domeniu. Cu toate acestea, al doilea domeniu nu permite accesul utilizatorilor pe primul domeniu.
- o încredere bidirecțională este atunci când există două domenii și fiecare domeniu permite accesul utilizatorilor celuilalt domeniu.
- un domeniu de încredere este un singur domeniu care permite accesul utilizatorului la un alt domeniu, care se numește domeniu de încredere.
- o încredere tranzitivă se poate extinde dincolo de două domenii și permite accesul la alte domenii de încredere dintr-o pădure.
- un trust intransitiv este un trust unidirecțional care este limitat la două domenii.
- o încredere explicită este o încredere unidirecțională, nontransitivă, creată de un administrator de rețea.
- o încredere încrucișată este un tip de încredere explicită. Trusturile de legătură încrucișată au loc între domenii în cadrul 1) aceluiași arbore, fără nicio relație copil-părinte între cele două domenii sau 2) arbori diferiți.
- un trust forestier se aplică domeniilor din întreaga pădure și poate fi unidirecțional, bidirecțional sau tranzitiv.
- o scurtătură unește două domenii care aparțin copacilor separați. Comenzile rapide pot fi unidirecționale, bidirecționale sau tranzitive.
- un tărâm este o încredere care este tranzitivă, intransitivă, într-o direcție sau în ambele sensuri.
- un trust extern este un trust care leagă domenii din păduri separate sau domenii care nu sunt AD. Trusturile externe pot fi nontransitive, unidirecționale sau bidirecționale.
- un trust de gestionare a accesului privat (Pam) este un trust unidirecțional creat de Microsoft Identity Manager între o pădure de producție și o pădure de bastion.
istoria și dezvoltarea Active Directory
Microsoft a oferit o previzualizare a Active Directory în 1999 și a lansat-o un an mai târziu cu Windows 2000 Server. Microsoft a continuat să dezvolte noi caracteristici cu fiecare versiune succesivă Windows Server.
Windows Server 2003 a inclus o actualizare notabilă pentru a adăuga păduri și posibilitatea de a edita și schimba poziția domeniilor din păduri. Domeniile de pe Windows Server 2000 nu au putut suporta actualizări de anunțuri mai noi care rulează în Server 2003.
Windows Server 2008 a introdus AD FS. În plus, Microsoft a redenumit directorul pentru gestionarea domeniului ca AD DS, iar AD a devenit un termen umbrelă pentru serviciile bazate pe directoare pe care le-a acceptat.
Windows Server 2016 a actualizat AD DS pentru a îmbunătăți securitatea anunțurilor și a migra mediile publicitare în medii cloud sau cloud hibride. Actualizările de securitate au inclus adăugarea PAM.
PAM a monitorizat accesul la un obiect, tipul de acces acordat și ce acțiuni a întreprins utilizatorul. PAM a adăugat păduri de anunțuri bastion pentru a oferi un mediu forestier suplimentar Sigur și izolat. Windows Server 2016 a încheiat asistența pentru dispozitivele din Windows Server 2003.
în decembrie 2016, Microsoft a lansat Azure AD Connect pentru a se alătura unui sistem local Active Directory cu Azure Active Directory (Azure AD) pentru a activa SSO pentru serviciile cloud Microsoft, cum ar fi Office 365. Azure AD Connect funcționează cu sisteme care rulează Windows Server 2008, Windows Server 2012, Windows Server 2016 și Windows Server 2019.
domenii vs.grupuri de lucru
grupul de lucru este termenul Microsoft pentru mașinile Windows conectate printr-o rețea peer-to-peer. Grupurile de lucru sunt o altă unitate de organizare pentru computerele Windows din rețele. Grupurile de lucru permit acestor mașini să partajeze fișiere, acces la internet, imprimante și alte resurse prin rețea. Rețeaua Peer-to-peer elimină necesitatea unui server pentru autentificare. Există mai multe diferențe între domenii și grupuri de lucru:
- domeniile, spre deosebire de grupurile de lucru, pot găzdui computere din diferite rețele locale.
- domeniile pot fi folosite pentru a găzdui mai multe computere decât grupuri de lucru. Domeniile pot include mii de computere, spre deosebire de grupurile de lucru, care au de obicei o limită superioară apropiată de 20.
- în domenii, cel puțin un server este un computer, care este utilizat pentru a controla permisiunile și caracteristicile de securitate pentru fiecare computer din domeniu. În grupurile de lucru, nu există server și computerele sunt toate colegii.
- utilizatorii domeniului necesită de obicei identificatori de securitate, cum ar fi conectările și parolele, spre deosebire de grupurile de lucru.
principalii concurenți ai Active Directory
alte servicii de directoare de pe piață care oferă funcționalități similare cu AD includ Red Hat Directory Server, Apache Directory și OpenLDAP.
Red Hat Directory Server Gestionează accesul utilizatorilor la mai multe sisteme în medii Unix. Similar cu AD, Red Hat Directory Server include ID-ul utilizatorului și autentificarea bazată pe certificate pentru a restricționa accesul la datele din director.
Apache Directory este un proiect open source care rulează pe Java și funcționează pe orice server LDAP, inclusiv sisteme pe Windows, macOS și Linux. Directorul Apache include un browser de schemă și un editor și browser LDAP. Directorul Apache acceptă pluginurile Eclipse.
OpenLDAP este un director LDAP open source bazat pe Windows. OpenLDAP permite utilizatorilor să răsfoiască, să caute și să editeze obiecte într-un server LDAP. Caracteristicile OpenLDAP includ copierea, mutarea și ștergerea copacilor din director, precum și activarea navigării schemei, gestionarea parolelor și suportul LDAP SSL (Secure Sockets Layer).
citiți această prezentare generală pentru a afla despre elementele de bază Active Directory.
aflați ce tehnici pot fi utilizate pentru depanarea problemelor comune în Active Directory și sfaturi despre depanarea replicării.