Domena Active Directory - to su jednostavne riječi, opisi i povratne informacije

Budite početnik koji se susreće s akronimom AD, pitajući što je Active Directory? Active Directory je usluga direktorija koju je Microsoft razvio za Windows domene mreže. Uključeno u većinu operacijskih sustava Windows Server kao skup procesa i usluga. U početku, usluga je bila samo centralizirano upravljanje domenom. Međutim, budući da je Windows Server 2008 AD postao naziv za širok raspon usluga identifikacije direktorija na temelju direktorija. To čini Starter Active Directory eksplicitnijim.


Osnovna definicija

Poslužitelj na kojem se nalazi naziv domene usluga direktorija Active Directory naziva se kontroler domene. Autorizira i autorizira sve korisnike i računala na Windows mrežnoj domeni dodjeljivanjem i provođenjem sigurnosnih pravila za sva računala, kao i instaliranjem ili ažuriranjem softvera. Na primjer, kada se korisnik prijavljuje na računalo koje je dio domene Windows Active Directory, provjerava dano lozinku i određuje je li objekt administrator sustava ili običan korisnik. Također vam omogućuje upravljanje i pohranjivanje informacija, mehanizme provjere autentičnosti i autorizacije te uspostavljanje okvira za implementaciju drugih srodnih usluga: usluge certificiranja, federalne i olakšane usluge imenovanja te upravljanje pravima.
Active Directory koristi LDAP verzije 2 i 3 Microsoft Kerberos i DNS protokola.

Active Directory - Što je to? Jednostavne riječi o složenom praćenjumrežni podaci je dugotrajan zadatak. Čak i na malim mrežama korisnici teško pronalaze mrežne datoteke i pisače. Bez bilo kojeg imenika, srednjim i velikim mrežama se ne može upravljati i često imaju poteškoća u pronalaženju resursa.


Prethodne verzije sustava Microsoft Windows uključivale su usluge koje korisnicima i administratorima pomažu da pronađu podatke. Mrežno okruženje je korisno u mnogim okruženjima, ali očigledan nedostatak je nezgodno sučelje i njegova nepredvidljivost. Upravitelj poslužitelja WINS Manager može se koristiti za pregled popisa sustava, ali oni nisu bili dostupni krajnjim korisnicima. Administratori su koristili Upravitelja korisnika za dodavanje i brisanje podataka o potpuno drugom tipu mrežnog objekta. Ti su se programi pokazali neučinkovitim za rad na velikim mrežama i postavljali pitanja, zašto u Active Directory? Katalog je, u najopćenitijem smislu, potpuni popis objekata. Telefonski imenik je vrsta direktorija u kojem se pohranjuju informacije o osobama, tvrtkama i vladinim organizacijama i obično se navode imena, adrese i telefonski brojevi. Kada postavljate pitanja, Active Directory - što je to, jednostavnim riječima, ova tehnologija je slična imeniku, ali je mnogo fleksibilnija. AD pohranjuje informacije o organizacijama, web-stranicama, sustavima, korisnicima, zajedničkim resursima i svim drugim mrežnim entitetima.

Uvod u osnovne koncepte Active Directory-a

Zašto organizacije trebaju Active Directory? Kao što je već spomenuto uUlaskom u Active Directory usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike pokazuje da klijentima omogućuje pronalaženje objekata u svom imenskom prostoru. Ova čigra (koja se naziva i stablo konzole) odnosi se na područje u kojem se mrežna komponenta može smjestiti. Na primjer, sadržaj knjige stvara prostor imena u kojem se poglavlja mogu povezati s brojevima stranica.
DNS je stablo konzole koje omogućuje imenima čvorova da budu IP adrese, budući da telefonski imenici daju nazive prostora imena za prostor za telefonske brojeve. I kako se to događa u Active Directory? AD pruža stablo konzole da dopusti nazive mrežnih objekata od strane samih objekata i može dopustiti širok raspon objekata, uključujući korisnike, sustave i usluge na mreži.

Objekti i atributi

Sve što prati Active Directory smatra se objektom. Jednostavnim riječima, ovaj Active Directory je bilo koji korisnik, sustav, resurs ili usluga. Opći pojam objekt se koristi, budući da AD može pratiti mnoge stavke, a mnogi objekti mogu dijeliti zajedničke atribute. Što to znači? Atributi opisuju objekte u Active Directory Active Directory, na primjer, svi korisnički objekti dijele atribute za pohranjivanje korisničkog imena. To se također odnosi na njihov opis. Sustavi su također objekti, ali imaju zasebni skup atributa, koji uključuje naziv hosta, IP adresu i lokaciju.
Skup atributa dostupnih za bilo koji određeni tip objektazove se shema. To čini klase objekata međusobno drugačijima. Stvarne informacije o shemi pohranjene su u Active Directory. Što je ponašanje sigurnosnog protokola vrlo je važno, kaže činjenica da shema omogućuje administratorima da dodaju atribute objektima klase i distribuiraju ih preko mreže u svim kutovima domene bez ponovnog pokretanja kontrolera domene.

Naziv kontejnera i LDAP-a

Kontejner je posebna vrsta objekta koji se koristi za organiziranje usluge. Ne predstavlja fizički objekt, kao što je korisnik ili sustav. Umjesto toga, koristi se za grupiranje drugih elemenata. Objekti spremnika mogu biti zatvoreni u druge spremnike. Svaki element u AD ima naziv. To nisu oni na koje ste navikli, na primjer, Ivan ili Olga. To su izvrsna LDAP imena. Različita LDAP imena su složena, ali vam omogućuju da identificirate bilo koji objekt unutar direktorija jedinstveno, bez obzira na njegov tip.

Stablo termina i web-mjesta

Stablo termina se koristi za opis skupa objekata Active Directory. Što je to? Jednostavnim riječima, to se može objasniti uz pomoć stabla udruge. Kada su kontejneri i objekti hijerarhijski kombinirani, oni nastoje formirati grane - otuda i ime. Povezani pojam je kontinuirano stablo, koje se odnosi na nerazdvojni glavni deblo stabla. Nastavljajući metaforu, pojam "šuma" opisuje zbirku koja nije dio istog prostora imena, ali ima opću shemu, konfiguraciju i globalni direktorij. Objekti u ovim strukturama dostupni su svimaako sigurnost dopušta. Organizacije koje su podijeljene u nekoliko domena moraju grupirati stabla u jednu šumu. Web lokacija je zemljopisna lokacija definirana u usluzi Active Directory. Stranice se podudaraju s logičkim IP podmrežama i kao takve ih mogu koristiti aplikacije za traženje najbližeg poslužitelja na mreži. Korištenje informacija o web-lokaciji Active Directory može uvelike smanjiti promet na globalnim mrežama.

Active Directory Management

Komponenta korisničkog sučelja Active Directory - korisnici. Ovo je najpogodniji alat za administriranje Active Directory-a. Pristup je moguć izravno iz grupe Administracija u izborniku Start. Zamjenjuje i poboljšava rad upravitelja poslužitelja i upravitelja korisnika u sustavu Windows NT 4.0.

Sigurnost

Active Directory igra važnu ulogu u budućnosti Windows mreža. Administratori bi trebali moći zaštititi svoj direktorij od uljeza i korisnika, dok zadatke delegiraju drugim administratorima. Sve je to moguće pomoću sigurnosnog modela Active Directory-a koji povezuje popis kontrole pristupa (ACL) sa svakim atributom spremnika i objekta u direktoriju.
Visoka razina kontrole omogućuje administratorima da različitim korisnicima i grupama daju različite razine dozvola za objekte i njihova svojstva. Mogu čak dodavati atribute objektima i sakriti te atribute za određene korisničke grupe. Na primjer, možete postaviti ACL tako da upravitelji mogu pregledati kućne telefone drugih korisnika.

Delegirana administracija

Koncept, novi za Windows 2000 Server, jestdelegirana administracija. To omogućuje dodjeljivanje zadataka drugim korisnicima bez pružanja dodatnih povlastica. Delegirana administracija može se dodijeliti kroz određene objekte ili kontinuirane poddirektorije direktorija. To je mnogo učinkovitija metoda za davanje ovlasti nad mrežama. Na odredište prava nekoga globalnog administratora domene, korisniku se mogu odobriti samo dozvole unutar određenog pod-stabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL njihovog spremnika.

Izraz "stav"

Izraz "odnos" se još uvijek koristi, ali odnosi povjerenja imaju različitu funkcionalnost. Ne postoji razlika između jednosmjernog i dvosmjernog povjerenja. Uostalom, svi Active Directory odnosi povjerenja su dvosmjerni. Osim toga, svi su oni tranzitivni. Dakle, ako domena A vjeruje domeni B, a B vjeruje C, onda postoji automatski implicitni odnos povjerenja između domena A i domene C. Revizija u Active Directory - što su te jednostavne riječi? To je sigurnosna značajka koja vam omogućuje da odredite tko pokušava pristupiti objektima i koliko je ovaj pokušaj uspješan.

Korištenje DNS-a (Domain Name System)

Sustav naziva domena, različit DNS, potreban je za svaku organizaciju povezanu s internetom. DNS pruža razlučivost imena između generičkih imena, kao što je mspress.microsoft.com, i sirove IP adrese koje koriste komponente povezivanja mrežnog sloja. Active Directory široko koristi DNS tehnologiju za pretraživanje objekata. To je značajna promjena u odnosu na. \ Tprethodni operacijski sustavi Windows koji zahtijevaju da se imena NetBIOS-a rješavaju IP adresama i oslanjaju se na WINS ili druge tehnike rješavanja naziva NetBIOS. Active Directory najbolje radi s DNS poslužiteljima s operacijskim sustavom Windows 2000. Microsoft je olakšao administratorima migraciju na DNS poslužitelje sa sustavom Windows 2000 pružajući migratorima koji upravljaju administratorom kroz ovaj proces. Mogu se koristiti i drugi DNS poslužitelji. Međutim, u ovom slučaju, administratori će morati trošiti više vremena na upravljanje DNS bazama podataka. Koje su nijanse? Ako odlučite koristiti DNS poslužitelje s operacijskim sustavom Windows 2000, morate se pobrinuti da vaši DNS poslužitelji zadovoljavaju novi DNS protokol za dinamičko ažuriranje. Poslužitelji se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domena. To je nezgodno. Uostalom, dinamičko ažuriranje nije podržano, baza podataka mora se ručno ažurirati.
Windows domene i internetske domene sada su potpuno kompatibilne. Na primjer, ime kao što je mspress.microsoft.com identificirat će kontrolere domene Active Directory odgovorne za domenu, tako da svaki klijent za DNS pristup može pronaći kontroler domene. Korisnici mogu koristiti dopuštenje DNS-a za traženje neograničenog broja usluga, budući da poslužitelji Active Directory objavljuju popis DNS adresa pomoću novih značajki dinamičke nadogradnje. Ti se podaci definiraju kao domena i objavljuju se putem zapisa o resursima usluge. SRV RR slijedi format service.protocol.domain. Poslužitelji Active Directory za LDAP uslugui LDAP koristi TCP kao osnovni protokol transportnog sloja. Stoga će klijent koji traži domenu Active Directory u mspress.microsoft.com tražiti DNS zapis za ldap.tcp.mspress.microsoft.com.

Globalni direktorij

Active Directory osigurava globalni direktorij (GC) i osigurava jedan izvor za pretraživanje bilo kojeg objekta u mreži organizacije. Globalni direktorij je usluga na Windows 2000 poslužitelju koja korisnicima omogućuje pronalaženje objekata kojima je odobren pristup. Ova je funkcija daleko superiornija od značajke Traži računalo uključene u prethodne verzije sustava Windows. Uostalom, korisnici mogu tražiti bilo koji objekt u Active Directory: poslužitelje, pisače, korisnike i aplikacije.

Povezane publikacije