Vad är Active Directory och hur fungerar det?
Active Directory (AD) är Microsofts egen katalogtjänst. Den körs på Windows Server och gör det möjligt för administratörer att hantera behörigheter och åtkomst till nätverksresurser.
Active Directory lagrar data som objekt. Ett objekt är ett enda element, till exempel en användare, grupp, applikation eller enhet som en skrivare. Objekt definieras normalt som antingen resurser, till exempel skrivare eller datorer, eller säkerhetsprinciper, till exempel användare eller grupper.
Active Directory kategoriserar katalogobjekt efter namn och attribut. Till exempel kan namnet på en användare innehålla namnsträngen, tillsammans med information som är associerad med användaren, till exempel lösenord och säkra Skalnycklar.
huvudtjänsten i Active Directory är Domain Services (AD DS), som lagrar kataloginformation och hanterar användarens interaktion med domänen. AD DS verifierar åtkomst när en användare loggar in på en enhet eller försöker ansluta till en server via ett nätverk. AD DS styr vilka användare som har åtkomst till varje resurs samt grupppolicyer. Till exempel har en administratör vanligtvis en annan nivå av åtkomst till data än en slutanvändare.
andra Microsoft-och Windows-operativsystem (OS) – produkter, till exempel Exchange Server och SharePoint Server, är beroende av AD DS för att ge resursåtkomst. Servern som är värd för AD DS är domänkontrollanten.
Active Directory-tjänster
flera olika tjänster omfattar Active Directory. Huvudtjänsten är domäntjänster, Men Active Directory innehåller även AD LDS (Lightweight Directory Access Protocol), LDAP (Lightweight Directory Access Protocol), certifikattjänster eller AD CS, Federation Services (AD FS) och Rights Management Services (AD RMS). Var och en av dessa andra tjänster utökar produktens kataloghanteringsfunktioner.
- Lightweight Directory Services har samma kodbas som AD DS och delar liknande funktioner, till exempel applikationsprogrammets gränssnitt. AD LDS kan dock köras i flera instanser på en server och innehåller katalogdata i ett datalager med hjälp av Lightweight Directory Access Protocol.
- Lightweight Directory Access Protocol är ett applikationsprotokoll som används för att komma åt och underhålla katalogtjänster över ett nätverk. LDAP lagrar objekt, till exempel användarnamn och lösenord, i katalogtjänster, till exempel Active Directory, och delar objektdata över nätverket.
- Certificate Services genererar, hanterar och delar certifikat. Ett certifikat använder kryptering för att göra det möjligt för en användare att utbyta information över internet säkert med en offentlig nyckel.
- Active Directory Federation Services autentiserar användaråtkomst till flera applikationer-även i olika nätverk-med single sign-on (SSO). Som namnet antyder kräver SSO bara att användaren loggar in en gång, snarare än att använda flera dedikerade autentiseringsnycklar för varje tjänst.
- Rättighetshanteringstjänster kontrollerar informationsrättigheter och hantering. AD RMS krypterar innehåll, till exempel e-post eller Microsoft Word-dokument, på en server för att begränsa åtkomsten.
viktiga funktioner i Active Directory Domain Services
Active Directory Domain Services använder en differentierad layoutstruktur bestående av domäner, träd och skogar för att samordna nätverkselement.
domäner är de minsta av huvudnivåerna, medan skogar är de största. Olika objekt, till exempel användare och enheter, som delar samma databas kommer att finnas på samma domän. Ett träd är en eller flera domäner grupperade tillsammans med hierarkiska förtroendeförhållanden. En skog är en grupp av flera träd. Skogar ger säkerhetsgränser, medan domäner-som delar en gemensam databas – kan hanteras för inställningar som autentisering och kryptering.
- en domän är en grupp objekt, till exempel användare eller enheter, som delar samma annonsdatabas. Domäner har ett domännamnssystem
- ett träd är en eller flera domäner grupperade tillsammans. Trädstrukturen använder ett sammanhängande namnområde för att samla samlingen av domäner i en logisk hierarki. Träd kan ses som förtroendeförhållanden där en säker anslutning, eller förtroende, delas mellan två domäner. Flera domäner kan lita på där en domän kan lita på en sekund, och den andra domänen kan lita på en tredje. På grund av den hierarkiska karaktären hos denna inställning kan den första domänen implicit lita på den tredje domänen utan att behöva uttryckligt förtroende.
- en skog är en grupp av flera träd. En skog består av delade kataloger, katalogscheman, applikationsinformation och domänkonfigurationer. Schemat definierar ett objekts klass och attribut i en skog. Dessutom tillhandahåller globala katalogservrar en lista över alla objekt i en skog. Enligt Microsoft är skogen Active Directory säkerhetsgräns.
- organisationsenheter (ou) organiserar användare, grupper och enheter. Varje domän kan innehålla sin egen OU. OUs kan dock inte ha separata namnrymder, eftersom varje användare eller objekt i en domän måste vara unik. Till exempel kan ett användarkonto med samma användarnamn inte skapas.
- Behållare liknar OUs, men grupprincipobjekt kan inte tillämpas eller länkas till containerobjekt.
tillförlitlig terminologi
Active Directory förlitar sig på förtroende för att moderera åtkomsträttigheterna för resurser mellan domäner. Det finns flera olika typer av förtroende:
- ett enkelriktat förtroende är när en första domän tillåter åtkomstbehörighet för användare på en andra domän. Den andra domänen tillåter dock inte åtkomst till användare på den första domänen.
- ett tvåvägsförtroende är när det finns två domäner och varje domän möjliggör åtkomst till användare av den andra domänen.
- en betrodd domän är en enda domän som möjliggör användaråtkomst till en annan domän, som kallas den tillförlitliga domänen.
- ett transitivt förtroende kan sträcka sig bortom två domäner och tillåta åtkomst till andra betrodda domäner i en skog.
- ett intransitivt förtroende är ett enkelriktat förtroende som är begränsat till två domäner.
- ett explicit förtroende är ett enkelriktat, icke-transitivt förtroende som skapas av en nätverksadministratör.
- ett tvärlänkförtroende är en typ av uttryckligt förtroende. Tvärlänksförtroende äger rum mellan domäner inom 1) samma träd, utan barnförälderförhållande mellan de två domänerna, eller 2) olika träd.
- ett skogsförtroende gäller domäner inom hela skogen och kan vara enkelriktad, tvåvägs eller transitiv.
- en genväg sammanfogar två domäner som tillhör separata träd. Genvägar kan vara enkelriktade, tvåvägs eller transitiva.
- ett rike är ett förtroende som är transitivt, intransitivt, envägs-eller tvåvägs.
- ett externt förtroende är ett förtroende som länkar domäner över separata skogar eller domäner som inte är AD. Externa förtroende kan vara nontransitive, envägs eller tvåvägs.
- ett förtroende för privat åtkomsthantering (Pam) är ett enkelriktat förtroende som skapas av Microsoft Identity Manager mellan en produktionsskog och en bastionskog.
historik och utveckling av Active Directory
Microsoft erbjöd en förhandsgranskning av Active Directory 1999 och släppte den ett år senare med Windows 2000 Server. Microsoft fortsatte att utveckla nya funktioner med varje successiv Windows Server-release.
Windows Server 2003 inkluderade en anmärkningsvärd uppdatering för att lägga till skogar och möjligheten att redigera och ändra positionen för domäner inom skogar. Domäner på Windows Server 2000 kunde inte stödja nyare annonsuppdateringar som körs i Server 2003.
Windows Server 2008 introducerade AD FS. Dessutom ommärkte Microsoft katalogen för domänhantering som AD DS, och AD blev ett paraplybegrepp för de katalogbaserade tjänster som den stödde.
Windows Server 2016 uppdaterade AD DS för att förbättra ANNONSSÄKERHETEN och migrera ANNONSMILJÖER till moln-eller hybridmolnmiljöer. Säkerhetsuppdateringar inkluderade tillägget av PAM.
Pam övervakade åtkomst till ett objekt, vilken typ av åtkomst som beviljats och vilka åtgärder användaren vidtog. PAM lade till bastion AD-skogar för att ge en extra säker och isolerad skogsmiljö. Windows Server 2016 slutade stöd för enheter på Windows Server 2003.
i December 2016 släppte Microsoft Azure AD Connect för att ansluta till ett lokalt Active Directory-system med Azure Active Directory (Azure AD) för att aktivera SSO för Microsofts molntjänster, till exempel Office 365. Azure AD Connect fungerar med system som kör Windows Server 2008, Windows Server 2012, Windows Server 2016 och Windows Server 2019.
domäner mot arbetsgrupper
arbetsgruppen är Microsofts term för Windows-maskiner anslutna via ett peer-to-peer-nätverk. Arbetsgrupper är en annan organisationsenhet för Windows-datorer i nätverk. Arbetsgrupper tillåter dessa maskiner att dela filer, internetåtkomst, skrivare och andra resurser över nätverket. Peer-to-peer-nätverk tar bort behovet av en server för autentisering. Det finns flera skillnader mellan domäner och arbetsgrupper:
- domäner, till skillnad från arbetsgrupper, kan vara värd för datorer från olika lokala nätverk.
- domäner kan användas för att vara värd för många fler datorer än arbetsgrupper. Domäner kan innehålla tusentals datorer, till skillnad från arbetsgrupper, som vanligtvis har en övre gräns nära 20.
- i domäner är minst en server en dator som används för att styra behörigheter och säkerhetsfunktioner för varje dator inom domänen. I arbetsgrupper finns det ingen server och datorer är alla kamrater.
- domänanvändare kräver vanligtvis säkerhetsidentifierare som inloggningar och lösenord, till skillnad från arbetsgrupper.
huvudkonkurrenter till Active Directory
andra katalogtjänster på marknaden som ger liknande funktioner som AD inkluderar Red Hat Directory Server, Apache Directory och OpenLDAP.
Red Hat Directory Server hanterar användaråtkomst till flera system i Unix-miljöer. I likhet med AD innehåller Red Hat Directory Server användar-ID och certifikatbaserad autentisering för att begränsa åtkomsten till data i katalogen.
Apache Directory är ett open source-projekt som körs på Java och fungerar på alla LDAP-servrar, inklusive system på Windows, macOS och Linux. Apache-katalogen innehåller en schema-webbläsare och en LDAP-redigerare och webbläsare. Apache Directory stöder Eclipse plugins.
OpenLDAP är en Windows-baserad öppen källkod LDAP katalog. OpenLDAP gör det möjligt för användare att bläddra, söka och redigera objekt i en LDAP-server. OpenLDAP funktioner inkluderar kopiering, flytta och ta bort träd i katalogen, samt möjliggör schema surfning, lösenordshantering och LDAP SSL (Secure Sockets Layer) stöd.
läs den här översikten för att lära dig mer om Active Directory-grunderna.
lär dig vilka tekniker som kan användas för att felsöka vanliga problem i Active Directory och tips om felsökning av replikering.