Active Directory (AD) je Microsoft implementaci z LDAP adresářové služby pro Windows operační systémy .
Hlavním cílem služby Active Directory je poskytovat centralizované identifikační a ověřovací služby síti počítačů využívajících systémy Windows, MacO a dokonce i systémy Linux. Umožňuje také přiřazení a vynucování zásad a instalaci důležitých aktualizací správci. Active Directory uvádí prvky sítě podávat například uživatelské účty, servery, pracovní stanice, sdílené složky ( v ), tiskáren, atd To usnadňuje uživateli najít sdílené prostředky a správci mohou kontrolovat jejich použití pomocí funkcí pro distribuci, duplikování, rozdělení a zabezpečený přístup k uvedeným prostředkům.
Pokud správci zadali správné atributy, bude možné v adresáři vyhledat například „všechny barevné tiskárny v tomto patře budovy“.
Adresářovou službu Active Directory lze implementovat v systémech Windows 2000 Server, Windows Server 2003 , Windows Server 2008 , Windows Server 2012 (i mimo Microsoft by Samba ) a Windows Server 2016 , což je výsledkem vývoje databáze. SAM planární účet . Počítačový server hostující službu Active Directory se nazývá „ řadič domény “.
Služba Active Directory ukládá své informace a nastavení do databáze distribuované mezi jeden nebo více řadičů domény s nativně podporovanou replikací. Velikost databáze služby Active Directory se může lišit od několika stovek objektů, pro malé instalace, až po několik milionů objektů, pro velké konfigurace.
V prvních dokumentech Microsoftu, které zmiňovaly jeho existenci, byl Active Directory nejprve nazýván NTDS (pro NT D irectory S ervices nebo francouzsky „NT Directory Services“). Tento název lze stále nalézt v literatuře zabývající se daným tématem i v některých nástrojích AD, jako je například NTDSUTIL.EXE , nebo název souboru databáze NTDS.DIT .
Služba Active Directory byla poprvé představena v roce 1996 , ale její první použití sahá až do verze Windows 2000 Server Edition v roce 1999 . Byl aktualizován v systému Windows Server 2003 s cílem rozšířit jeho funkčnost a zlepšit správu. Od té doby byla v systému Windows Server 2003 R2 , Windows Server 2008 , Windows Server 2008 R2 a Windows Server 2012 provedena další vylepšení .
Active Directory je výsledkem vývoje databáze účtů domény Security Account Manager ( SAM ) (principy zabezpečení ) a implementace protokolu LDAP, hierarchického protokolu. Jeho technologie úložiště je založena na ukládání registru Windows , samotné databáze SAM tvořící úl, který fyzicky odpovídá souboru se jménem sam , stejně jako systémové a softwarové soubory .
Sémanticky je služba Active Directory adresářem LDAP, stejně jako adresář na serveru Exchange 5.5. Exchange 5.5 však není jediným technologickým předchůdcem služby Active Directory. Měli bychom také zmínit adresář Novell NDS , který v roce 1993 představoval technologický skok ve srovnání s předchozím systémem NetWare Bindery .
Adresář Novell NDS nabídl možnost prohlížení všech zdrojů adresáře v grafické podobě; tento model poté převezmou další konkurenti (např. Microsoft s Active Directory v roce 1996). Na službu Active Directory lze tedy pohlížet jako na technologickou odpověď na adresářové technologie Novell, přičemž oba systémy jsou odvozeny od X.500 .
Služba Active Directory kompletně kontroluje ukládání bezpečnostních informací domény, od základní struktury až po sémantickou úroveň. Za prvé, databázový stroj vybraný pro jeho implementaci je rozšiřitelný úložný modul ESENT , odvozený od ESE98, známý také jako Jet Blue , aby bylo možné vyřešit nejednoznačnost s databázemi Microsoft Access pomocí jádra Jet Red . Předchůdcem ESE98, ESE97, byl databázový stroj používaný pro adresář Exchange 5.5. Hlavní rozdíl mezi ESENT a ESE98 je velikost použitých stránek a velikost protokolů transakcí.
Služba Active Directory je také navržena tak, aby zaručovala odpovídající úroveň výkonu a zabezpečení: databáze ESENT je protokolována a splňuje omezení ACID . Motor je navržen tak, aby podporoval základny dimenzované pro uložení milionů předmětů.
Active Directory je adresářová služba používaná k ukládání informací o síťových prostředcích v doméně .
Active Directory (AD), struktura je hierarchická organizace objektů. Objekty jsou rozděleny do tří hlavních kategorií: prostředky (například tiskárny ), služby (například e-mail ) a uživatelé (uživatelské účty a skupiny). AD poskytuje informace o objektech, organizuje je a řídí přístup a zabezpečení.
Každý objekt představuje jednu entitu - uživatele, počítač, tiskárnu nebo skupinu - spolu se svými atributy. Některé objekty mohou být také kontejnery pro jiné objekty. Objekt je v AD jednoznačně identifikován podle názvu a má vlastní sadu atributů - charakteristiky a informace, které objekt může obsahovat - definované schématem , které také určuje typ objektů, které lze v AD uložit.
Každý objekt atributu lze použít v několika různých třídách objektů schématu. Tyto objekty schématu existují, aby bylo možné schéma podle potřeby rozšířit nebo upravit. Jelikož je však každý objekt schématu nedílnou součástí definice objektů AD, deaktivace nebo úprava těchto objektů může mít vážné důsledky, protože vede k zásadním změnám ve struktuře AD. Objekt schématu se po úpravě automaticky rozšíří do služby Active Directory a po vytvoření jej nelze odstranit (lze jej pouze deaktivovat). Z tohoto důvodu musí být změna systému pečlivě zvážena a naplánována.
Počet typů objektů dostupných ve službě Active Directory není nijak omezen, zde je několik příkladů:
Protože Active Directory je adresář objektů, pojem schématu definuje omezení týkající se odvozování a dědičnosti objektů, podobně jako v programování objektů . To také zavádí pojem rozšíření, což umožňuje otevřít adresář všem druhům aplikací, které chtějí ukládat personalizované objekty na úrovni domény nebo domén tvořících doménovou strukturu služby Active Directory .
Organizační jednotka (Organizational Unit, OR; OU) je objekt kontejneru, standardní LDAP, které se používá pro stanovení priorit Active Directory. AD umožňuje hierarchii domén. V rámci těchto oblastí nyní existují možnosti strukturování a stanovení priorit uživatelů.
Organizační jednotky jsou způsob, jak vytvořit hierarchické struktury ve službě Active Directory. Kromě strukturování informací, které umožňuje zejména zvýšit jasnost ve složitých adresářích, je možné použít OU jako hranice pro stanovení delegování a dědičnosti správních oprávnění. Je tedy možné hierarchicky přizpůsobit práva a oprávnění různých objektů služby Active Directory podle logického umístění tohoto objektu. (přístupová práva; zásady skupiny ; delegování oprávnění; oprávnění týkající se instalací atd.).
Služba Active Directory zavádí pojem hierarchie, který je vlastní adresářům objektů odvozeným od X.500, ve formě stromové struktury, ve které jsou uživatelé a počítače organizováni do skupin a podskupin, což usnadňuje správu uživatelských práv a omezení. Je to také služba Active Directory, která spravuje ověřování uživatelů v síti Windows. Služba Active Directory používá tento pojem hierarchie ve velké míře, protože entita zabezpečení zvaná „doména“ je také hierarchická v sadě sdílející společný jmenný prostor, zvané „strom“, konečně entita nejvyšší úrovně seskupující stromy domén tvoří Active Directory les .
Active Directory umožňuje multi-master replikaci, to znamená, že každý řadič domény může být sídlem úprav (přidání, úpravy, odstranění) adresáře, s výhradou povolení uděleného ACL , které bude replikováno na jiných řadičích domény. SAM měl pouze jednu databázi pro zápis, ostatní repliky byly pouze pro čtení.
Mechanismus replikace pro tyto změny může v ostatních případech využívat RPC ( rychlé a dostupné odkazy TCP / IP ) nebo SMTP . Topologie replikace je generována automaticky, ale může ji přizpůsobit správce, stejně jako jejich plánování.
Všimněte si, že sady oborů jmen odpovídající stromům služby Active Directory tvořícím doménovou strukturu služby Active Directory lze překrýt v oboru názvů tvořeném zónami DNS . DNS je základní služba pro správné fungování celé architektury služby Active Directory , umístění řadičů domény, replikace atd.
Strom služby Active Directory se proto skládá z:
Datový model služby Active Directory je odvozen od standardního datového modelu X.500: adresář obsahuje objekty představující prvky různých typů popsaných atributy. Group Policy (GPO) jsou konfigurační nastavení se vztahují na počítače nebo uživatele, jsou-li inicializaci, jsou spravovány v Active Directory .
Hlavním protokolem pro přístup k adresářům je LDAP, který umožňuje přidávat, upravovat a mazat data uložená ve službě Active Directory a který také umožňuje tato data vyhledávat a načítat. K procházení a dotazování ve službě Active Directory nebo k přidávání, úpravám nebo mazání dat ze služby Active Directory lze použít libovolnou klientskou aplikaci kompatibilní s LDAP .
| Atribut | Popis | Příklad | Poznámka |
|---|---|---|---|
| rozlišující název | Jedinečný identifikátor v diagramu | CN = DUPOND Michel, OU = UŽIVATELÉ, DC = MYCOMPANY, DC = KOM | |
| objectGUID | Jedinečný identifikátor v diagramu | S kódováním 128 bitů je to binární atribut, který se obtížně používá. | |
| název | Příjmení | DUPOND Michel | |
| popis | Popis | ||
| sAMAccountName ( SAM - název účtu) | Přihlásit se | mdupond | |
| userPrincipalName | Přihlášení UPN | [email protected] | |
| adminCount | Správce? | 1 | 1 = účet typu správce |
| oddělení | Servis | Zákazníci společnosti DAF \ Compta \ | |
| physicalDeliveryOfficeName | Zeměpisné umístění (kancelář) | Paříž \ Tournon \ 1 \ 101 | |
| titul | Funkce | Síťový technik | |
| pošta | Emailová adresa | [email protected] | |
| telefonní číslo | Telefon | ||
| mobilní, pohybliví | Mobilní telefon | ||
| účet vyprší | Datum vypršení platnosti účtu | 130040605000000000 | Toto číslo vyjádřené v nanosekundách představuje rozdíl v čase uplynulém od 1. 1. 1601. Hodnota rovná se 9223372036854775807 znamená, že datum není zadáno. |
| manažer | Odpovědný | CN = DURAND Marcel, OU = UŽIVATELÉ, DC = MYCOMPANY, DC = KOM | Pokud je tento atribut zadán, bude obsahovat rozlišující název jiného uživatele |
| employeeId | Evidenční číslo | DX001 | |
| lastLogon | Datum posledního přihlášení | Stejná poznámka jako pro accountExpires | |
| kontrola uživatelského účtu | Stav účtu | 512 | - 512 Compte activé - 514 Compte désactivé - 544 Compte activé, aucun mot de passe requis - 546 Compte désactivé, aucun mot de passe requis - 66048 Compte activé, mot de passe n'expire jamais - 66050 Compte désactivé, mot de passe n'expire jamais - 66080 Compte activé, mot de passe non requis et n'expirant jamais - 66082 Compte désactivé, mot de passe non requis et n'expirant jamais - 262656 Compte activé, carte à puce requise - 262658 Compte désactivé, carte à puce requise - 262688 Compte activé, carte à puce requise, aucun mot de passe requis - 262690 Compte désactivé, carte à puce requise, aucun mot de passe requis - 328192 Compte activé, carte à puce requise, mot de passe n’expirant jamais - 328194 Compte désactivé, carte à puce requise, mot de passe n’expirant jamais - 328224 Compte activé, carte à puce requise, mot de passe non requis et n'expirant jamais - 328226 Compte désactivé, carte à puce requise, mot de passe non requis et n'expirant jamais |
Některé funkce - mluvící role - lze každý přiřadit jednomu serveru najednou, který se poté stane hlavní operací ( Operations master English) pro jednu nebo více rolí. Všechny tyto role, v angličtině nazývané FSMO (for Flexible Single Master Operations ), lze proto distribuovat přes jeden nebo více řadičů domény. Je jich 5:
| Název role | Pozice | Popis |
|---|---|---|
| Mistr schématu | 1 za les | Řídí změny schématu dat služby Active Directory. |
| Master pojmenování domén | 1 za les | Řídí přidávání a odebírání názvů domén v doménové struktuře, aby byla zajištěna jejich jedinečnost. |
| Emulátor PDC (emulátor PDC) | 1 na doménu | Chová se jako řadič domény NT4, aby umožňoval podporu od klientů NT4 (například pro správu změn hesel), tento řadič také poskytuje referenční hodiny domény. |
| Master RID (RID Master) | 1 na doménu | Poskytuje řezy jedinečných identifikátorů dalším řadičům domény. |
| Mistr infrastruktury | 1 na doménu | Synchronizuje změny mezi doménami. |
Služba Active Directory podporuje použití názvů UNC (\), URL (/) a LDAP pro přístup k objektům. Interně AD používá verzi LDAP struktury názvů X.500 .
Každý objekt má jedinečný identifikátor, jedinečný název (DN pro rozlišující název ), takže objekt tiskárny s názvem HPLaser3 v marketingové organizační jednotce a patřící do domény foo.org bude mít následující DN: CN = HPLaser3, OU = Marketing, DC = foo, DC = org, kde CN je obecný název a DC je doménová složka. DN může být složeno z mnoha více než čtyř prvků. Objekt tedy může mít také kanonický název ( kanonický název ), obvykle reverzní DN, bez identifikátorů a lomítko jako oddělovač: foo.org/Marketing/HPLaser3 . Za účelem identifikace objektu uvnitř kontejneru používá AD relativní rozlišující název (RDN ): CN = HPLaser3 . Každý objekt má také globálně jedinečný identifikátor ( GUID pro Globally Unique Identifier ), což je řetězec 128 bitů, který nelze upravit a který používá AD pro výzkumné a replikační operace. Některé položky mají také hlavní název uživatele (UPN pro hlavní název uživatele ), který je ve tvaru název objektu @ název_domény .
Aby uživatelé v jedné doméně mohli přistupovat k prostředkům v jiné doméně, používá AD mechanismus vztahu důvěryhodnosti.
Při vytváření domén se vztahy důvěryhodnosti ve stejné doménové struktuře vytvářejí automaticky. Výchozí limity vztahů důvěryhodnosti jsou nastaveny na úrovni doménové struktury, nikoli na úrovni domény, jsou implicitní a automaticky přechodné pro všechny domény ve stejné doménové struktuře. Všechny vztahy důvěryhodnosti v rámci doménové struktury jsou obousměrné a tranzitivní. Aby se však mohl připojit k jiným doménovým strukturám nebo k doménám jiných než AD, implementuje AD další typy vztahů důvěryhodnosti: vztahy důvěryhodnosti typu zástupců (spojení dvou domén patřících ke stromům různým, přechodným, prostým nebo obousměrným), les (les) (tranzitivní, prostý nebo obousměrný), sféra (sféra) (přechodná nebo nepřechodná, jednosměrná nebo obousměrná) nebo externí (nepřechodná, prostá nebo obousměrná).
Windows 2000 - podporuje následující typy schválení:
Správci mohou vytvářet další typy schválení. Tato schválení mohou být následujícího typu:
Windows Server 2003 zavádí nový typ důvěryhodnosti, který se nazývá důvěryhodnost doménové struktury. Tento typ důvěryhodnosti umožňuje všem doménám v jedné doménové struktuře přechodně důvěřovat všem doménám v jiné doménové struktuře. Aby byla tato nová funkce k dispozici, je nezbytné, aby dvě propojené doménové struktury měly alespoň funkční úroveň systému Windows Server 2003. Ověřování prostřednictvím tohoto typu důvěryhodnosti musí být založeno na protokolu Kerberos (a nikoli NTLM ). Trusty v doménové struktuře jsou přechodné pro všechny domény patřící do důvěryhodných doménových struktur.
AD LDS (pro službu Active Directory Lightweight Directory Services ), dříve známá jako ADAM (pro režim aplikace Active Directory ), je odlehčená verze služby Active Directory speciálně určená pro použití na úrovni aplikace. Vyvinut na stejné kódové základně jako Active Directory, AD LDS poskytuje stejné funkce jako AD, stejně jako identické API , ale nevyžaduje vytváření domén a nevyžaduje provozování řadiče domény.
Stejně jako služba Active Directory poskytuje služba AD LDS úložný prostor používaný k ukládání dat adresáře ( úložiště dat ) a také adresářovou službu s rozhraním adresářové služby LDAP. Na rozdíl od služby Active Directory může na stejném serveru běžet současně více instancí služby AD LDS, přičemž každá instance je přizpůsobena konkrétně potřebám aplikací, pro které je určena, a používá adresářovou službu AD LDS.
Z určité velikosti společnosti se obecně pozoruje, že každé oddělení spravuje svůj vlastní adresář zaměstnanců. Informace, které druhá služba má, však často chybí, a to natolik, že kvůli homogenizaci je IT oddělení nuceno navrhnout složitý systém bran nahoru a dolů mezi adresáři.
Mnozí jsou v pokušení konečně zřídit systém doporučení, ke kterému by měli přístup všechny zúčastněné služby, a to jak po konzultaci, tak po úpravě. Tato touha vyvstává zejména při nastavování řešení ITSM .
Služba Active Directory se obecně očekává, protože je široce používána bez ohledu na velikost organizace.
Tento záměr však maří hlavní překážky.
Mnoho dodavatelů nabízí řešení integrace služby Active Directory pro platformy Unix ( UNIX , GNU / Linux , Mac OS X a také mnoho aplikací Java a UNIX). Patří mezi ně ADmitMac od společnosti Wheby Software Systems, Vintela Authentication Services od společnosti Quest Software , DirectControl od společnosti Centrify a podobně od společnosti Centeris Software. Společnost Microsoft také nabízí bezplatný produkt Windows Services pro UNIX . Poslední verze operačních systémů Linux a Unix poskytují různé úrovně interoperability se službou Active Directory, jako je podpora skupinových zásad. Možnou alternativou je použití jiné adresářové služby, jako je 389 Directory Server (ex-Netscape Directory Server), který je schopen provádět obousměrnou synchronizaci s Active Directory a zajistit tak „odchýlenou“ integraci spočívající v autentizaci na strojích 389DS Unix a Linux, zatímco zachování nativního ověřování služby Active Directory pro počítače se systémem Windows.