Doména služby Active Directory - sú to jednoduché slová, popis a spätná väzba

Buďte nováčik, ktorý narazí na skratku AD a pýta sa, čo je služba Active Directory? Služba Active Directory je adresárová služba vyvinutá sieťami domén Microsoft pre domény Windows. Zahrnuté vo väčšine operačných systémov Windows Server ako súbor procesov a služieb. Spočiatku bola služba iba centralizovaným riadením domény. Pretože Windows Server 2008 AD sa stal názvom pre širokú škálu adresárových identifikačných služieb adresárov. Z tohto dôvodu je služba Starter Active Directory explicitnejšia.


Základné definície

Server je spustený adresára domény Active Directory, ktorý sa nazýva radič domény. To oprávňuje a overuje všetkých používateľov a počítače v sieti domény Windows, priradenie a uplatňovanie zásady zabezpečenia pre všetky počítače a inštaláciu alebo aktualizáciu softvéru. Napríklad, keď sa používateľ prihlási do počítača, ktorý je súčasťou domény Active Directory skontroluje heslo Windows poskytnuté určiť, či je objekt správcu systému alebo bežný používateľ. To tiež umožňuje spravovať a ukladať informácie, ktoré poskytuje autentizačné a autorizačné mechanizmy a vytvára rámec pre zavedenie ďalších súvisiacich služieb: certifikácia služieb, federálnej a ľahký adresárových služieb a právami pre správu.
Služba Active Directory používa verzie 2 a 3 protokolu LDAP protokolov Microsoft Kerberos a DNS.

Active Directory - Čo je to? Jednoduché slová o komplikovanej

sledovanísieťové údaje sú časovo náročná úloha. Aj v malých sieťach majú používatelia tendenciu ťažko nájsť sieťové súbory a tlačiarne. Bez adresára nemožno spravovať stredné a veľké siete a často majú problémy nájsť zdroje.


Predchádzajúce verzie služieb so systémom Microsoft Windows, ktoré pomáhajú používateľom a správcom nájsť údaje. Sieťové prostredie je užitočné v mnohých prostrediach, ale zjavnou nevýhodou je nepríjemné rozhranie a jeho nepredvídateľnosť. Správca servera Správca servera WINS sa môže používať na zobrazenie zoznamu systémov, ale neboli k dispozícii koncovým používateľom. Administrátori používajú Správcu používateľov na pridávanie a odstraňovanie údajov úplne iného typu sieťového objektu. Tieto programy sa ukázali ako neúčinné pri práci na veľkých sieťach a vyvolali otázky, prečo v službe Active Directory? Katalóg v najširšom zmysle slova je kompletný zoznam objektov. Telefónny zoznam je typ adresára, ktorý ukladá informácie o ľuďoch, podnikoch a vládnych organizáciách a zvyčajne uvádza mená, adresy a telefónne čísla. Pri kladení otázok sa služba Active Directory - jednoducho povedané, táto technológia podobá adresáru, ale je oveľa flexibilnejšia. Služba AD ukladá informácie o organizáciách, webových stránkach, systémoch, používateľoch, zdieľaných zdrojoch a akejkoľvek inej sieťovej entite.

Úvod do základných pojmov služby Active Directory

Prečo organizácie potrebujú službu Active Directory? Ako už bolo uvedené vAk zadáte službu Active Directory, služba uloží informácie o sieťových komponentoch. Kurz Active Directory pre začiatočníkov ukazuje, že umožňuje klientom nájsť objekty v ich mennom priestore. Tento tern (nazývaný aj strom konzoly) označuje oblasť, v ktorej môže byť lokalizovaná sieťová zložka. Napríklad obsah knihy vytvára priestor názvov, v ktorom je možné kapitoly korelovať s číslami stránok.
DNS je strom konzoly, ktorý umožňuje, aby názvy uzlov boli adresy IP, pretože telefónne zoznamy poskytujú názvy priestoru názvov pre menné priestory pre telefónne čísla. A ako sa to stalo v službe Active Directory? Služba AD poskytuje strom konzoly na umožnenie mena objektov siete samotnými objektmi a môže povoliť širokú škálu objektov vrátane používateľov, systémov a služieb v sieti.

Objekty a atribúty

Všetko, čo sleduje službu Active Directory, sa považuje za objekt. Jednoducho povedané, táto služba Active Directory je akýkoľvek používateľ, systém, zdroj alebo služba. Používa sa všeobecný pojem objekt, pretože AD je schopný sledovať veľa položiek a veľa objektov môže zdieľať bežné atribúty. Čo to znamená? Atribúty opisujú objekty v službe Active Directory Active Directory, napríklad všetky objekty používateľa zdieľajú atribúty na ukladanie mena používateľa. To platí aj pre ich opis. Systémy sú tiež objekty, ale majú samostatnú sadu atribútov, ktorá zahŕňa meno hostiteľa, adresu IP a umiestnenie.
Súbor atribútov dostupných pre konkrétny typ objektutzv. schéma. Tým sa triedy objektov líšia od seba. Aktuálne informácie o schéme sú uložené v službe Active Directory. Aké je správanie bezpečnostného protokolu je veľmi dôležité, hovorí, že schéma umožňuje správcom pridať atribúty do tried objektov a distribuovať ich po celej sieti vo všetkých rohoch domény bez toho, aby sa reštartovali nejaké radiče domény.

Názov kontajnera a LDAP

Kontajner je špeciálny typ objektu používaný na organizáciu služby. Nepredstavuje fyzický objekt, napríklad používateľ alebo systém. Namiesto toho sa používa na zoskupenie ďalších prvkov. Kontajnerové objekty môžu byť uzavreté v iných kontajneroch. Každý prvok v AD má názov. Nie sú to tie, ktoré ste zvykli napríklad Ivan alebo Olga. Toto sú vynikajúce názvy LDAP. Rôzne názvy LDAP sú zložité, ale umožňujú identifikovať ľubovoľný objekt v adresári jednoznačne, bez ohľadu na jeho typ.

Strom výrazov a stránok

Strom výrazov sa používa na popis súboru objektov služby Active Directory. Čo to je? Jednoducho povedané, toto možno vysvetliť pomocou stromovej asociácie. Keď sú kontajnery a objekty hierarchicky kombinované, majú tendenciu vytvárať vetvy - teda názov. Súvisiaci termín je spojitý strom, ktorý sa odvoláva na neoddeliteľný hlavný kmeň stromu. Pri pokračovaní metafory sa pojem "les" opisuje kolekcia, ktorá nie je súčasťou rovnakého menného priestoru, ale má všeobecnú schému, konfiguráciu a globálny adresár. Objekty v týchto štruktúrach sú k dispozícii všetkýmpoužívateľov, ak to umožňuje bezpečnosť. Organizácie, ktoré sú rozdelené do viacerých domén, musia zoskupiť stromy do jedného lesa. Webová lokalita je geografická poloha, ktorá je definovaná v službe Active Directory. Lokality zodpovedajú logickým podsieťam IP a ako také môžu používať aplikácie na vyhľadávanie najbližšieho servera v sieti. Používanie informácií o lokalite služby Active Directory môže značne znížiť návštevnosť v globálnych sieťach.

Správa služby Active Directory

Komponent používateľského rozhrania služby Active Directory - používatelia. Toto je najpohodlnejší nástroj na správu služby Active Directory. Je priamo prístupná z administrátorskej skupiny v ponuke Štart. Nahrádza a zlepšuje činnosť správcu servera a správcu používateľov v systéme Windows NT 4.0.

Bezpečnosť

Služba Active Directory hrá dôležitú úlohu v budúcnosti sietí Windows. Administrátori by mali byť schopní chrániť svoj adresár pred narušiteľmi a používateľmi pri delegovaní úloh na iných administrátorov. To všetko je možné pomocou modelu zabezpečenia služby Active Directory, ktorý spája zoznam kontroly prístupu (Access Control List - ACL) s každým atribútom kontajnera a objektu v adresári.
Vysoká úroveň kontroly umožňuje správcovi poskytnúť rôznym používateľom a skupinám s rôznymi úrovňami povolení objektov a ich vlastností. Môžu dokonca pridať atribúty objektom a skryť tieto atribúty pre určité skupiny používateľov. Napríklad môžete nastaviť zoznam ACL tak, aby správcovia mohli prezerať domáce telefóny iných používateľov.

Delegovaná správa

Koncept, nový pre Windows 2000 Server, jedelegovaná správa. To umožňuje priradiť úlohy iným používateľom bez poskytovania ďalších privilégií. Delegovaná správa môže byť priradená prostredníctvom určitých objektov alebo kontinuálnych podadresárov adresára. Ide o oveľa účinnejšiu metódu na udeľovanie autorít nad sieťami. Do určenia práv správcu niektorej globálnej domény môže používateľovi udeliť povolenie iba v rámci určitého podstránky. Služba Active Directory podporuje dedičstvo, takže akékoľvek nové objekty zdedia ACL kontajnera.

Pojem "postoj"

Pojem "vzťah" sa stále používa, ale vzťahy s dôverou majú rôzne funkcie. Medzi jednosmernými a obojsmernými dôverami nie je žiadny rozdiel. Koniec koncov všetky vzťahy dôveryhodnosti služby Active Directory sú obojsmerné. Okrem toho sú všetky tranzitívne. Takže, ak doména A dôveruje doméne B a B dôveru C, potom je automaticky implicitná vzťah dôveryhodnosti medzi doménou A a C. domény auditu v Active Directory - je to len slová? Toto je bezpečnostná funkcia, ktorá umožňuje určiť, kto sa pokúša získať prístup k objektom a ako úspešný je tento pokus.

Systém DNS (Domain Name System)

Domain Name System, iný systém DNS, je potrebný pre každú organizáciu pripojenú na internet. DNS poskytuje rozlišovanie mien medzi generickými názvami, napríklad mspress.microsoft.com, a nespracovanými adresami IP, ktoré používajú komponenty pripojenia k sieťovej vrstve. Služba Active Directory používa technológiu DNS na vyhľadávanie objektov. Ide o významnú zmenu v porovnaní spredchádzajúce operačné systémy Windows, ktoré vyžadujú, aby sa názvy NetBIOS vyriešili pomocou adries IP a spoliehali sa na metódy WINS alebo iné metódy na riešenie názvov NetBIOS. Služba Active Directory pracuje najlepšie s DNS servermi so systémom Windows 2000. Spoločnosť Microsoft uľahčila migráciu správcov na servery DNS so systémom Windows 2000 tým, že poskytuje migrujúcich majstrov, ktorí spravujú správcu prostredníctvom tohto procesu. Je možné použiť aj iné servery DNS. V tomto prípade však budú administrátori musieť stráviť viac času spravovaním databáz DNS. Aké sú tie nuansy? Ak sa rozhodnete používať servery DNS so systémom Windows 2000, musíte sa uistiť, že servery DNS spĺňajú nový protokol DNS Dynamic Update Protocol. Servery sa spoliehajú na dynamickú aktualizáciu svojich záznamov na nájdenie radičov domén. Je to nepohodlné. Koniec koncov, dynamická aktualizácia nie je podporovaná, databáza sa musí aktualizovať ručne.
Domény Windows a internetové domény sú teraz plne kompatibilné. Napríklad meno, napríklad mspress.microsoft.com, identifikuje riadiace jednotky domény služby Active Directory zodpovedné za doménu, takže každý klient DNS prístupu môže nájsť radič domény. Zákazníci môžu používať povolenie DNS na vyhľadávanie ľubovoľného počtu služieb, pretože servery služby Active Directory publikujú zoznam adries DNS pomocou nových funkcií dynamickej inovácie. Tieto údaje sú definované ako doména a uverejňujú sa prostredníctvom záznamov o prostriedkoch služby. SRV RR sleduje formát service.protocol.domain. Servery služby Active Directory poskytujú službu LDAP prea protokol LDAP používa protokol TCP ako základný protokol prenosovej vrstvy. Preto klient, ktorý vyhľadáva doménu služby Active Directory na lokalite mspress.microsoft.com, vyhľadá záznam DNS pre súbor ldap.tcp.mspress.microsoft.com.

Globálny adresár

Služba Active Directory poskytuje globálny adresár (GC) a poskytuje jediný zdroj na vyhľadávanie akéhokoľvek objektu v sieti organizácie. Globálny adresár je služba na serveri Windows 2000 Server, ktorá umožňuje používateľom nájsť všetky objekty, ktorým bol udelený prístup. Táto funkcia je oveľa lepšia ako funkcia Nájsť počítač, ktorá je súčasťou predchádzajúcich verzií systému Windows. Koniec koncov, používatelia môžu vyhľadávať akýkoľvek objekt v službe Active Directory: servery, tlačiarne, používatelia a aplikácie.

Súvisiace publikácie