Active Directory (AD) jest Microsoft implementacja z LDAP katalogu usług dla systemu Windows działających systemów .
Głównym celem Active Directory jest zapewnienie scentralizowanych usług identyfikacji i uwierzytelniania w sieci komputerów korzystających z systemów Windows, MacOs, a nawet Linux. Umożliwia także przypisywanie i egzekwowanie zasad, a także instalację krytycznych aktualizacji przez administratorów. Active Directory zawiera listę elementów zarządzanej sieci, takich jak konta użytkowników, serwery, stacje robocze, udostępnione foldery ( in ), drukarki itp. Ułatwia to użytkownikowi znajdowanie współdzielonych zasobów, a administratorzy mogą kontrolować ich użycie za pomocą funkcji dystrybucji, duplikowania, partycjonowania i bezpiecznego dostępu do wymienionych zasobów.
Jeśli administratorzy określili poprawne atrybuty, będzie można wysłać zapytanie do katalogu w celu uzyskania, na przykład, „wszystkich drukarek kolorowych na tym piętrze budynku”.
Usługa katalogowa Active Directory może być wdrożona na Windows 2000 Server, Windows Server 2003 , Windows Server 2008 , Windows Server 2012 (nawet poza Microsoft przez Sambę ) i Windows Server 2016 , wynika to z ewolucji bazy danych.Konto płaskie SAM . Serwer komputerowy obsługujący usługę Active Directory nazywany jest „ kontrolerem domeny ”.
Usługa Active Directory przechowuje swoje informacje i ustawienia w bazie danych rozproszonej na co najmniej jednym kontrolerze domeny, z natywną obsługą replikacji. Rozmiar bazy danych usługi Active Directory może wahać się od kilkuset obiektów w przypadku małych instalacji do kilku milionów obiektów w przypadku dużych konfiguracji.
W pierwszych Microsoft dokumentów wymieniających swoje istnienie, Active Directory po raz pierwszy o nazwie NTDS (dla NT D irectory S sługi lub "NT Directory Services" w języku francuskim). Nadal możemy znaleźć tę nazwę w literaturze przedmiotu, a także w niektórych narzędziach AD, takich jak na przykład NTDSUTIL.EXE lub nazwa pliku bazy danych NTDS.DIT .
Usługa Active Directory została po raz pierwszy wprowadzona w 1996 r. , Ale jej pierwsze użycie sięga Windows 2000 Server Edition w 1999 r . Został zaktualizowany w systemie Windows Server 2003 w celu rozszerzenia jego funkcjonalności i usprawnienia administracji. Od tego czasu wprowadzono dodatkowe ulepszenia w systemach Windows Server 2003 R2 , Windows Server 2008 , Windows Server 2008 R2 i Windows Server 2012 .
Usługa Active Directory jest wynikiem ewolucji bazy danych kont domeny Security Account Manager ( SAM ) ( podmiotów zabezpieczeń ) oraz implementacji protokołu hierarchii LDAP. Jego technologia przechowywania opiera się na przechowywaniu rejestru systemu Windows , a sama baza danych SAM stanowi gałąź, która fizycznie odpowiada plikowi o nazwie sam , podobnie jak pliki systemowe i pliki oprogramowania .
Pod względem semantycznym usługa Active Directory jest katalogiem LDAP, podobnie jak katalog w programie Exchange 5.5. Exchange 5.5 nie jest jednak jedynym technologicznym poprzednikiem Active Directory. Innym przykładem jest katalog Novell NDS , który w 1993 roku stanowił skok technologiczny w porównaniu z poprzednim systemem NetWare Bindery .
Katalog Novell NDS oferował możliwość przeglądania wszystkich zasobów katalogu w formie graficznej; model ten zostanie następnie przejęty przez innych konkurentów (np. Microsoft z Active Directory w 1996 r.). Dlatego usługa Active Directory może być postrzegana jako technologiczna odpowiedź na technologie katalogowe Novell, oba systemy wywodzą się z X.500 .
Usługa Active Directory całkowicie przegląda przechowywanie informacji o bezpieczeństwie domeny, od struktury podstawowej po poziom semantyczny. Po pierwsze, silnik bazy danych wybrany do jego wdrożenia to rozszerzalny silnik pamięci masowej ESENT , wywodzący się z ESE98, znany również jako Jet Blue , w celu rozwiązania niejednoznaczności z bazami danych Microsoft Access przy użyciu silnika Jet Red . Poprzednik ESE98, ESE97, był silnikiem bazy danych używanym w katalogu Exchange 5.5. Główną różnicą między ESENT a ESE98 jest rozmiar używanych stron i rozmiar dzienników transakcji.
Usługa Active Directory została również zaprojektowana w celu zagwarantowania odpowiedniego poziomu wydajności i bezpieczeństwa: baza danych ESENT jest rejestrowana i spełnia ograniczenie ACID . Silnik jest przeznaczony do obsługi podstaw o rozmiarach umożliwiających przechowywanie milionów przedmiotów.
Active Directory to usługa katalogowa używana do przechowywania informacji o zasobach sieciowych w domenie .
Active Directory (AD) jest struktura hierarchiczna organizacja obiektów. Obiekty są podzielone na trzy szerokie kategorie: zasoby (na przykład drukarki ), usługi (na przykład poczta e-mail ) i użytkownicy (konta i grupy użytkowników). AD dostarcza informacji o obiektach, organizuje je oraz kontroluje dostęp i bezpieczeństwo.
Każdy obiekt reprezentuje pojedynczą jednostkę - użytkownika, komputer, drukarkę lub grupę - wraz z jej atrybutami. Niektóre obiekty mogą być również pojemnikami na inne obiekty. Obiekt jest jednoznacznie identyfikowany w usłudze AD według nazwy i ma własny zestaw atrybutów - właściwości i informacji, które może zawierać obiekt - zdefiniowanych przez schemat , który określa również typ obiektów, które mogą być przechowywane w usłudze AD.
Każdy obiekt atrybutu może być używany w kilku różnych klasach obiektów schematu. Te obiekty schematu istnieją, aby umożliwić rozszerzanie lub modyfikowanie schematu w razie potrzeby. Jednak ponieważ każdy obiekt schematu jest integralną częścią definicji obiektów AD, wyłączenie lub modyfikacja tych obiektów może mieć poważne konsekwencje, ponieważ powoduje fundamentalne zmiany w strukturze AD. Zmodyfikowany obiekt schematu jest automatycznie propagowany do usługi Active Directory i po utworzeniu nie można go usunąć (można go tylko dezaktywować). Z tego powodu zmianę w programie należy dokładnie przemyśleć i zaplanować.
Nie ma ograniczeń co do liczby typów obiektów dostępnych w Active Directory , oto kilka przykładów:
Ponieważ Active Directory jest katalogiem obiektów, pojęcie schematu definiuje ograniczenia dotyczące wyprowadzania i dziedziczenia obiektów, podobnie jak w programowaniu obiektowym . Wprowadza to również pojęcie rozszerzenia, umożliwiające otwarcie katalogu dla wszelkiego rodzaju aplikacji, które chcą przechowywać spersonalizowane obiekty na poziomie domeny lub domen tworzących las Active Directory .
Jednostka organizacyjna ( jednostka organizacyjna; OR; OU) to obiekt kontenera, standard LDAP, który służy do określania priorytetów w usłudze Active Directory. AD zezwala na hierarchię domen. W tych obszarach istnieją obecnie możliwości strukturyzowania i ustalania priorytetów użytkowników.
Jednostki organizacyjne to sposób na tworzenie struktur hierarchicznych w usłudze Active Directory. Oprócz strukturyzacji informacji, która umożliwia w szczególności zwiększenie przejrzystości w złożonych katalogach, możliwe jest wykorzystanie jednostek organizacyjnych jako granic do ustalania delegacji i dziedziczenia uprawnień administracyjnych. W ten sposób możliwe jest hierarchiczne dostosowywanie praw i przywilejów różnych obiektów Active Directory, zgodnie z logiczną lokalizacją tego obiektu. (prawa dostępu; polityki grupowe ; delegowanie uprawnień; uprawnienia dotyczące instalacji itp.).
Active Directory wprowadza pojęcie hierarchii, nieodłącznie związane z katalogami obiektowymi wywodzącymi się z X.500, w postaci struktury drzewa, w której użytkownicy i komputery są zorganizowani w grupy i podgrupy, aby ułatwić administrowanie prawami użytkowników i ograniczeniami. Jest to również usługa Active Directory, która zarządza uwierzytelnianiem użytkowników w sieci Windows. Usługa Active Directory szeroko używa tego pojęcia hierarchii, ponieważ jednostka zabezpieczeń zwana „domeną” jest również hierarchiczna w zestawie współużytkującym wspólną przestrzeń nazw, zwaną „drzewem”, wreszcie jednostka najwyższego poziomu grupująca razem drzewa domen tworzą usługę Active Directory las .
Active Directory umożliwia replikację typu multi-master, co oznacza, że każdy kontroler domeny może być siedzibą modyfikacji (dodawania, modyfikowania, usuwania) katalogu, pod warunkiem uzyskania zgody ACL , która będzie replikowana na innych kontrolerach domeny. SAM miał tylko jedną bazę danych do zapisu, a pozostałe repliki były tylko do odczytu.
W innych przypadkach mechanizm replikacji tych zmian może wykorzystywać RPC ( szybkie i dostępne łącza TCP / IP ) lub SMTP . Topologia replikacji jest generowana automatycznie, ale administrator może ją dostosować, podobnie jak planowanie.
Zauważ, że zestawy przestrzeni nazw odpowiadające drzewom Active Directory tworzącym las Active Directory mogą być nakładane na przestrzeń nazw utworzoną przez strefy DNS . DNS to usługa niezbędna do prawidłowego funkcjonowania całej architektury Active Directory , lokalizacji kontrolerów domeny, replikacji itp.
Drzewo usługi Active Directory składa się zatem z:
Model danych Active Directory wywodzi się ze standardowego modelu danych X.500: katalog zawiera obiekty reprezentujące elementy różnych typów opisane przez atrybuty. Zasady grupy (GPO) to ustawienia konfiguracyjne stosowane do komputerów lub użytkowników podczas ich inicjowania, którymi zarządza się w usłudze Active Directory .
Głównym protokołem dostępu do katalogów jest LDAP, który umożliwia dodawanie, modyfikowanie i usuwanie danych przechowywanych w usłudze Active Directory , a także umożliwia wyszukiwanie i odzyskiwanie tych danych. Dowolna aplikacja kliencka zgodna z LDAP może być używana do przeglądania i wykonywania zapytań w usłudze Active Directory lub do dodawania, modyfikowania lub usuwania danych z usługi Active Directory .
| Atrybut | Opis | Przykład | Uwaga |
|---|---|---|---|
| wytworne imię | Unikalny identyfikator na diagramie | CN = DUPOND Michel, OU = UŻYTKOWNICY, DC = MOJA FIRMA, DC = COM | |
| objectGUID | Unikalny identyfikator na diagramie | Zakodowany na 128 bitach jest atrybutem binarnym, który jest trudny w użyciu. | |
| Nazwa | Nazwisko | DUPOND Michel | |
| opis | Opis | ||
| sAMAccountName ( SAM -nazwa-konta) | Zalogować się | mdupond | |
| userPrincipalName | Logowanie UPN | [email protected] | |
| adminCount | Administrator? | 1 | 1 = konto typu Administrator |
| departament | Usługa | DAF \ Compta \ Klienci | |
| PhysicalDeliveryOfficeName | Położenie geograficzne (biuro) | Paryż \ Tournon \ 1 \ 101 | |
| tytuł | Funkcjonować | Technik sieci | |
| Poczta | Adres mailowy | [email protected] | |
| numer telefonu | Telefon | ||
| mobilny | Komórka | ||
| accountExpires | Data wygaśnięcia konta | 130040605000000000 | Ta liczba wyrażona w nanosekundach oznacza różnicę w czasie, który upłynął od 01.01.1601. Wartość równa 9223372036854775807 oznacza, że data nie została określona. |
| menedżer | Odpowiedzialny | CN = DURAND Marcel, OU = USERS, DC = MYCOMPANY, DC = COM | Ten atrybut, jeśli zostanie określony, będzie zawierał nazwę wyróżniającą innego użytkownika |
| numer identyfikacyjny pracownika | Numer rejestracyjny | DX001 | |
| lastLogon | Data ostatniego zalogowania się | Taka sama uwaga, jak w przypadku konta Expires | |
| Kontrola konta użytkownika | Status Konta | 512 | - 512 Compte activé - 514 Compte désactivé - 544 Compte activé, aucun mot de passe requis - 546 Compte désactivé, aucun mot de passe requis - 66048 Compte activé, mot de passe n'expire jamais - 66050 Compte désactivé, mot de passe n'expire jamais - 66080 Compte activé, mot de passe non requis et n'expirant jamais - 66082 Compte désactivé, mot de passe non requis et n'expirant jamais - 262656 Compte activé, carte à puce requise - 262658 Compte désactivé, carte à puce requise - 262688 Compte activé, carte à puce requise, aucun mot de passe requis - 262690 Compte désactivé, carte à puce requise, aucun mot de passe requis - 328192 Compte activé, carte à puce requise, mot de passe n’expirant jamais - 328194 Compte désactivé, carte à puce requise, mot de passe n’expirant jamais - 328224 Compte activé, carte à puce requise, mot de passe non requis et n'expirant jamais - 328226 Compte désactivé, carte à puce requise, mot de passe non requis et n'expirant jamais |
Niektóre funkcje - role mówiące - mogą być przypisane do jednego serwera na raz, który następnie staje się operacją główną ( Operations master w języku angielskim) dla jednej lub więcej ról. Wszystkie te role, zwane w języku angielskim FSMO (dla elastycznych operacji pojedynczego wzorca ), można zatem rozdzielić na jeden lub więcej kontrolerów domeny. Jest ich 5:
| Nazwa roli | Pozycja | Opis |
|---|---|---|
| Mistrz schematu | 1 na las | Kontroluje zmiany w schemacie danych usługi Active Directory. |
| Wzorzec nazw domen | 1 na las | Kontroluje dodawanie i usuwanie nazw domen w lesie, aby zapewnić ich niepowtarzalność. |
| Emulator PDC (emulator PDC) | 1 na domenę | Zachowuje się jak kontroler domeny NT4, umożliwiając obsługę klientów NT4 (na przykład w celu zarządzania zmianami haseł), ten kontroler zapewnia również zegar odniesienia domeny. |
| Główny RID (główny RID) | 1 na domenę | Udostępnia fragmenty unikatowych identyfikatorów innym kontrolerom domeny. |
| Mistrz infrastruktury | 1 na domenę | Synchronizuje zmiany między domenami. |
Usługa Active Directory obsługuje używanie nazw UNC (\), URL (/) i LDAP w celu uzyskania dostępu do obiektów. Wewnętrznie usługa AD używa wersji LDAP struktury nazw X.500 .
Każdy obiekt ma unikalny identyfikator, unikalną nazwę (DN dla nazwy wyróżniającej ), więc obiekt drukarki o nazwie HPLaser3 w Marketing OU i należący do domeny foo.org będzie miał następującą nazwę wyróżniającą: CN = HPLaser3, OU = Marketing, DC = foo, DC = org, gdzie CN to nazwa pospolita, a DC to składnik domeny. Nazwa DN może składać się z wielu więcej niż czterech elementów. Obiekt może więc mieć również nazwę kanoniczną (nazwa kanoniczna ), zwykle odwrotną nazwę DN, bez identyfikatorów i używając ukośnika jako separatora: foo.org/Marketing/HPLaser3 . Aby zidentyfikować obiekt wewnątrz swojego kontenera, usługa AD używa względnej nazwy wyróżniającej (RDN ): CN = HPLaser3 . Każdy obiekt ma również globalnie unikalny identyfikator ( GUID dla globalnie unikatowego identyfikatora ), który jest ciągiem 128 bitów, które nie mogą być modyfikowane, używane przez AD do badań i operacji replikacji. Niektóre elementy mają również główną nazwę użytkownika (UPN dla nazwy głównej użytkownika ), która ma postać nazwa obiektu @ nazwa_domeny .
Aby umożliwić użytkownikom w jednej domenie dostęp do zasobów w innej domenie, usługa AD używa mechanizmu relacji zaufania.
Relacje zaufania w tym samym lesie są tworzone automatycznie podczas tworzenia domen. Domyślne limity relacji zaufania są ustawiane na poziomie lasu, a nie na poziomie domeny, są one niejawne i automatycznie przechodnie dla wszystkich domen w tym samym lesie. Wszystkie relacje zaufania w lesie są dwukierunkowe i przechodnie. Jednak aby połączyć się z innymi lasami lub domenami innymi niż AD, AD implementuje inne typy relacji zaufania: skróty zatwierdzeń typów (łączenia dwóch domen należących do drzew różnych, przechodnie, zwykłe lub dwukierunkowe), las (las) (przechodnia, prosta lub dwukierunkowa), dziedzina (dziedzina) (przechodnia lub nieprzechodnia, jednokierunkowa lub dwukierunkowa) lub zewnętrzna (nieprzechodnia, prosta lub dwukierunkowa).
Windows 2000 - obsługuje następujące typy atestów:
Administratorzy mogą tworzyć inne typy zezwoleń. Te zatwierdzenia mogą być następującego typu:
W systemie Windows Server 2003 wprowadzono nowy typ zaufania zwany zaufaniem lasu. Ten typ zaufania pozwala wszystkim domenom w jednym lesie na przejściowe zaufanie wszystkim domenom w innym lesie. Aby ta nowa funkcja była dostępna, jest absolutnie konieczne, aby dwa połączone lasy miały co najmniej poziom funkcjonalności systemu Windows Server 2003. Uwierzytelnianie za pośrednictwem tego typu zaufania musi być oparte na protokole Kerberos (a nie na NTLM ). Relacje zaufania lasów są przechodnie dla wszystkich domen należących do zaufanych lasów.
Usługi AD LDS (dla usług Active Directory Lightweight Directory Services ), wcześniej znane jako ADAM (dla trybu aplikacji usługi Active Directory ), to lżejsza wersja usługi Active Directory przeznaczona specjalnie do użytku na poziomie aplikacji. Opracowane w oparciu o ten sam kod, co usługa Active Directory, usługi AD LDS zapewniają taką samą funkcjonalność jak usługi AD, a także identyczny interfejs API , ale nie wymagają tworzenia domen i nie wymagają kontrolera domeny do działania.
Podobnie jak usługa Active Directory, usługi AD LDS zapewniają przestrzeń do przechowywania danych katalogowych ( magazyn danych ), a także usługę katalogową z interfejsem usługi katalogowej LDAP. W przeciwieństwie do usługi Active Directory wiele wystąpień usług AD LDS może być uruchomionych jednocześnie na tym samym serwerze, przy czym każde wystąpienie jest dostosowane specjalnie do potrzeb aplikacji, dla których jest przeznaczone, i korzysta z usługi katalogowej AD LDS.
Od pewnej wielkości firmy ogólnie obserwuje się, że każdy dział zarządza własnym katalogiem pracowników. Często brakuje jednak informacji, które posiada druga usługa, do tego stopnia, że w celu ujednolicenia dział IT jest zmuszony zaprojektować złożony system bramek w górę i w dół między katalogami.
Wiele osób ma pokusę, aby w końcu utworzyć system skierowań, do którego miałyby dostęp wszystkie zainteresowane służby, zarówno w konsultacji, jak i podczas modyfikacji. To pragnienie pojawia się w szczególności podczas konfigurowania rozwiązania ITSM .
Ogólnie oczekuje się, że usługa Active Directory jest szeroko stosowana, niezależnie od wielkości organizacji.
Ale wielkie przeszkody udaremniają ten zamiar.
Wielu dostawców oferuje rozwiązania integracyjne Active Directory dla platform Unix ( UNIX , GNU / Linux , Mac OS X , a także wiele aplikacji Java i UNIX). Należą do nich ADmitMac firmy Thursby Software Systems, usługi uwierzytelniania Vintela firmy Quest Software , DirectControl firmy Centrify oraz podobnie firma Centeris Software. Firma Microsoft oferuje również bezpłatny produkt, usługi Windows dla systemu UNIX . Najnowsze wersje systemów operacyjnych Linux i Unix zapewniają różne poziomy współdziałania z usługą Active Directory, takie jak obsługa zasad grupowych. Możliwą alternatywą jest użycie innej usługi katalogowej, takiej jak 389 Directory Server (ex-Netscape Directory Server) zdolnej do wykonywania dwukierunkowej synchronizacji z Active Directory, a tym samym zapewniającej „odchyloną” integrację polegającą na uwierzytelnianiu na maszynach 389DS Unix i Linux, podczas gdy zachowanie natywnego uwierzytelniania Active Directory dla komputerów z systemem Windows.