Każdy początkujący użytkownik, w obliczu akronim AD, zastanawiając się, co Active Directory? Active Directory - Ta usługa katalog opracowany przez Microsoft dla sieci domeny Windows. Początek w większości systemów operacyjnych, Windows Server, jako zbiór procesów i usług. Pierwsza służba zajmuje tylko scentralizowane zarządzanie domenami. Jednakże, począwszy od Windows Server 2008 AD to nazwa dla szerokiej gamy usług związanych z katalogów opartych na tożsamości. To sprawia, że ​​Active Directory bardziej optymalne dla początkujących do nauki.

Podstawowa definicja

Serwer działa usługa katalogu domeny Active Directory, zwany kontrolerem domeny. To upoważnia i uwierzytelnia wszystkich użytkowników i komputerów w domenie sieciowej Windows, przypisywanie i stosowania polityk bezpieczeństwa dla wszystkich komputerów oraz instalowania i aktualizowania oprogramowania. Na przykład, gdy użytkownik loguje się do komputera, należy do domeny Active Directory sprawdza hasło systemu Windows dostarczone w celu ustalenia, czy obiekt jest administrator systemu lub zwykłym użytkownikiem. To także pozwala na zarządzanie i przechowywanie informacji, które zapewnia mechanizmy uwierzytelniania i autoryzacji oraz ustanawia ramy dla rozmieszczenia innych pokrewnych usług: certyfikacji usług, usług katalogowych federalny i lekki i praw zarządzania. Active Directory korzysta z protokołu LDAP wersję 2 oraz wersję 3 Microsoft Kerberos i DNS.

Active Directory - Co to jest? W prosty sposób kompleks

Śledzeniedane sieciowe to czasochłonne zadanie. Nawet w małych sieciach użytkownicy mają trudności ze znalezieniem plików sieciowych i drukarek. Bez katalogu nie można zarządzać dużymi i średnimi sieciami i często mają trudności ze znalezieniem zasobów.


Poprzednie wersje Microsoft Windows zawierały usługi, które pomagają użytkownikom i administratorom znaleźć dane. Środowisko sieciowe jest przydatne w wielu środowiskach, ale oczywistą wadą jest niewygodny interfejs i jego nieprzewidywalność. Menedżer WINS Manager Server Manager może być używany do przeglądania listy systemów, ale nie były one dostępne dla użytkowników końcowych. Administratorzy użyli Menedżera użytkowników do dodawania i usuwania danych zupełnie innego typu obiektu sieciowego. Programy te okazały się nieskuteczne w przypadku pracy w dużych sieciach i wywołały pytania, dlaczego w Active Directory? Katalog, w najbardziej ogólnym sensie, jest pełną listą obiektów. Książka telefoniczna jest rodzajem katalogu, w którym przechowywane są informacje o osobach, firmach i organizacjach rządowych i zazwyczaj zawiera listę nazwisk, adresów i numerów telefonów. Podczas zadawania pytań, Active Directory - co to jest, w prostych słowach, ta technologia jest podobna do katalogu, ale jest znacznie bardziej elastyczna. AD przechowuje informacje o organizacjach, stronach internetowych, systemach, użytkownikach, udostępnionych zasobach i wszelkich innych jednostkach sieciowych.

Wprowadzenie do podstawowych pojęć związanych z Active Directory

Dlaczego organizacje potrzebują Active Directory? Jak już wspomniano wWchodząc do Active Directory, usługa przechowuje informacje o składnikach sieci. Samouczek usługi Active Directory dla początkujących pokazuje, że umożliwia on klientom wyszukiwanie obiektów w ich przestrzeni nazw. Rybitwa ta (zwana również drzewem konsoli) odnosi się do obszaru, w którym można zlokalizować komponent sieci. Na przykład zawartość książki tworzy przestrzeń nazw, w której rozdziały mogą być skorelowane z numerami stron.
DNS to drzewo konsoli, które umożliwia nazwom węzłów adresy IP, ponieważ książki telefoniczne udostępniają nazwy przestrzeni nazw dla numerów telefonów. A jak to się dzieje w Active Directory? AD udostępnia drzewo konsoli, które zezwala na nazwy obiektów sieciowych przez same obiekty i pozwala na szeroki zakres obiektów, w tym użytkowników, systemów i usług w sieci.

Obiekty i atrybuty

Wszystko, co śledzi Active Directory, jest uważane za obiekt. W prostych słowach ta usługa Active Directory to dowolny użytkownik, system, zasób lub usługa. Używany jest ogólny obiekt terminów, ponieważ AD może śledzić wiele elementów, a wiele obiektów może mieć wspólne atrybuty. Co to znaczy? Atrybuty opisują obiekty w Active Directory Active Directory, na przykład wszystkie obiekty użytkowników udostępniają atrybuty do przechowywania nazwy użytkownika. Dotyczy to również ich opisu. Systemy są również obiektami, ale mają oddzielny zestaw atrybutów, który obejmuje nazwę hosta, adres IP i lokalizację. Zestaw atrybutów dostępny dla dowolnego określonego typu obiektuzwany schemat. To sprawia, że ​​klasy obiektów różniących się od siebie nawzajem. Informacje na temat programu jest faktycznie przechowywane w usłudze Active Directory. Co to jest zachowanie protokołem bezpieczeństwa jest bardzo ważny jest fakt, że system pozwala administratorom dodawać atrybuty klas obiektów i przesyłanie ich przez sieć do wszystkich części domenie bez ponownego uruchamiania żadnych kontrolerów domeny.

Container LDAP

Pojemnik - specjalny typ obiektu, który jest stosowany dla obsługi. Nie jest to obiekt fizyczny, użytkownik lub system. Zamiast tego, jest ona wykorzystywana do grupy innych elementów. obiekty kontenerowe mogą być osadzone w innych pojemnikach. Każdy element w AD jest nazwany. To nie ci, do których są przyzwyczajeni, takich jak Jan i Olga. Ten charakterystyczny nazwy LDAP. Inne nazwy LDAP skomplikowane, ale można je zidentyfikować dowolny obiekt w katalogu jest wyjątkowo, niezależnie od jej rodzaju.

Drewno i rozrządu site

Drzewo terminem używanym do opisania zestawu obiektów Active Directory. Co to jest? W prosty sposób można to wyjaśnić przez stowarzyszenie drzewa. Kiedy pojemniki i przedmioty pogrupowane hierarchicznie, dążą do utworzenia oddziałów - stąd nazwa. Terminy związane są ciągłe drzewo, które należy do nierozłącznym rdzenia pnia drzewa. Kontynuując metaforyyu termin „las” opisuje zestaw, który nie jest częścią tej samej przestrzeni nazw, ale ma ogólną konfigurację obwodu i wykaz globalny. Obiekty te struktury są dostępne dla wszystkichużytkowników, jeśli pozwala na to bezpieczeństwo. Organizacje podzielone na kilka domen muszą pogrupować drzewa w jeden las. Witryna to lokalizacja geograficzna zdefiniowana w usłudze Active Directory. Witryny są zgodne z logicznymi podsieciami IP i jako takie mogą być używane przez aplikacje do wyszukiwania najbliższego serwera w sieci. Korzystanie z informacji o witrynie usługi Active Directory może znacznie ograniczyć ruch w sieciach globalnych.

Zarządzanie usługą Active Directory

Składnik interfejsu użytkownika usługi Active Directory - użytkownicy. Jest to najwygodniejsze narzędzie do administrowania usługą Active Directory. Jest bezpośrednio dostępny z poziomu grupy Administracja w menu Start. Zastępuje i usprawnia działanie menedżera serwera i menedżera użytkowników w systemie Windows NT 4.0.

Bezpieczeństwo

Active Directory odgrywa ważną rolę w przyszłości sieci Windows. Administratorzy powinni mieć możliwość ochrony swojego katalogu przed intruzami i użytkownikami podczas delegowania zadań do innych administratorów. Wszystko to jest możliwe przy użyciu modelu zabezpieczeń Active Directory, który łączy listę kontroli dostępu (ACL) z każdym atrybutem kontenera i obiektu w katalogu.
Wysoki poziom kontroli pozwala administratorowi na zapewnienie różnych użytkowników i grup o różnych poziomach uprawnień dla obiektów i ich właściwości. Mogą nawet dodawać atrybuty do obiektów i ukrywać te atrybuty dla określonych grup użytkowników. Na przykład możesz skonfigurować listę ACL, aby menedżerowie mogli wyświetlać telefony domowe innych użytkowników.

Delegowana administracja

Nowa koncepcja dla Windows 2000 Serverdelegowana administracja. Umożliwia to przypisywanie zadań do innych użytkowników bez zapewniania dodatkowych uprawnień. Administracja delegowana może być przypisana za pośrednictwem określonych obiektów lub ciągłych podkatalogów katalogu. Jest to znacznie skuteczniejsza metoda przyznawania uprawnień w sieciach. Do miejsca przeznaczenia uprawnień administratora domeny globalnej użytkownik może uzyskać uprawnienia tylko w określonym drzewie podrzędnym. Usługa Active Directory obsługuje dziedziczenie, więc wszelkie nowe obiekty dziedziczą listę ACL kontenera.

Pojęcie "nastawienie"

Termin "relacja" jest nadal używany, ale relacje zaufania mają różną funkcjonalność. Nie ma różnicy między zaufaniem jednokierunkowym a dwustronnym. W końcu wszystkie relacje zaufania Active Directory są dwukierunkowe. Ponadto wszystkie są przechodnie. Tak więc, jeśli domena A ufa domenie B, a B ufa C, to istnieje automatyczna niejawna relacja zaufania między domenami A i domeną C. Audyt w usłudze Active Directory - jakie są te proste słowa? Jest to funkcja zabezpieczeń, która pozwala określić, kto próbuje uzyskać dostęp do obiektów i jak udana jest ta próba.

Korzystanie z systemu DNS (Domain Name System)

Domain Name System wymaga innego DNS dla każdej organizacji podłączonej do Internetu. Usługa DNS zapewnia rozpoznawanie nazw między nazwami ogólnymi, takimi jak mspress.microsoft.com i nieprzetworzonymi adresami IP, które korzystają z komponentów łączności warstwy sieciowej. Usługa Active Directory szeroko wykorzystuje technologię DNS do wyszukiwania obiektów. Jest to znacząca zmiana w stosunku dopoprzednie systemy operacyjne Windows, które wymagają, aby nazwy NetBIOS były rozwiązywane przez adresy IP i polegać na WINS lub innych technikach rozpoznawania nazw NetBIOS. Usługa Active Directory działa najlepiej z serwerami DNS z systemem Windows 2000. Firma Microsoft ułatwiła administratorom migrację do serwerów DNS z systemem Windows 2000 poprzez udostępnienie migracji wzorców zarządzających administratorem za pomocą tego procesu. Można użyć innych serwerów DNS. Jednak w takim przypadku administratorzy będą musieli spędzać więcej czasu na zarządzaniu bazami danych DNS. Jakie są niuanse? Jeśli zdecydujesz się na korzystanie z serwerów DNS z systemem Windows 2000, upewnij się, że Twoje serwery DNS spełniają nowy protokół dynamicznej aktualizacji DNS. Serwery polegają na dynamicznej aktualizacji swoich rekordów w celu znalezienia kontrolerów domeny. Jest to niewygodne. W końcu aktualizacja dynamiczna nie jest obsługiwana, baza danych musi być aktualizowana ręcznie. Domeny i domeny internetowe są teraz w pełni kompatybilne. Na przykład nazwa taka jak mspress.microsoft.com identyfikuje kontrolery domeny Active Directory odpowiedzialne za domenę, więc każdy klient dostępu DNS może znaleźć kontroler domeny. Klienci mogą korzystać z uprawnień DNS do wyszukiwania dowolnej liczby usług, ponieważ serwery Active Directory publikują listę adresów DNS za pomocą nowych funkcji aktualizacji dynamicznej. Te dane są zdefiniowane jako domena i są publikowane za pośrednictwem rekordów zasobów usługi. SRV RR jest zgodny z formatem service.protocol.domain. Serwery Active Directory udostępniają usługę LDAPa LDAP używa TCP jako podstawowego protokołu warstwy transportowej. Dlatego klient, który wyszukuje domenę Active Directory w witrynie mspress.microsoft.com, wyszuka rekord DNS dla ldap.tcp.mspress.microsoft.com.

Global Directory

Active Directory zapewnia globalny katalog (GC) i zapewnia jedno źródło do wyszukiwania dowolnego obiektu w sieci organizacji. Katalog globalny to usługa w systemie Windows 2000 Server, która umożliwia użytkownikom znajdowanie obiektów, którym przyznano dostęp. Ta funkcja jest znacznie lepsza od funkcji Znajdź komputer zawartej w poprzednich wersjach systemu Windows. W końcu użytkownicy mogą wyszukiwać dowolny obiekt w usłudze Active Directory: serwery, drukarki, użytkownicy i aplikacje.