Active Directory
Active Directory
Active Directory
• Usługa Active Directory® to usługa
katalogowa służąca do przechowywania
informacji na temat obiektów w sieci i do
udostępniania tych informacji użytkownikom i
administratorom sieci.
• AD, to usługa katalogowa (hierarchiczna baza
danych) dla systemów Windows, będąca
implementacją protokołu LDAP.
• Obiekty usługi Active Directory na ogół
obejmują zasoby udostępnione, takie jak
serwery, woluminy, drukarki oraz konta
użytkowników i komputerów sieciowych.
• Odwzorowanie NDS z Novell NetWare
Domena typu NT4
• Przechowywanie informacji o ograniczonej
stałej liczbie typów obiektów
• Obiekty mają ograniczoną stałą liczbę
atrybutów przypisanych do konkretnych typów
obiektów
• Domeny mogą przechowywać tylko ok. 40 tys.
obiektów w jednej domenie (ograniczenie).
• Brak otwartych protokołów do współpracy z
aplikacji innych producentów – jedyny słuszny
firmy Microsoft .
Active Directory następca
NT4
• hierarchiczność przechowywania informacji;
• dużo wyższe limity przechowywania informacji
(powyżej 1 miliona obiektów w domenie Active
Directory);
• Możliwość rozszerzenia schematu definicji obiektów
i ich cech.
• Dwie wersje Active Directory
• pełna, zintegrowana z systemem Windows,
niezbędna dla zarządzania kontami Active Directory,
• wersja aplikacyjna, instalowana w systemie
Windows, nie powiązana z domenami Windows tzw
ADAM (ang. Active Directory Application Mode)
Charakterystyka AD
• Zestaw reguł, nazywany schematem
• Wykaz globalny, który zawiera informacje
o każdym obiekcie w katalogu
• Mechanizm przeszukiwania i indeksowania
• Usługa replikacji,
• pełna kopie wszystkich informacji
katalogowych dla danej domeny
• Obsługa oprogramowania klienta usługi
Active Directory
Magazyn danych
katalogowych
• Usługa katalogowa Active Directory używa
magazynu danych do przechowywania wszystkich
informacji katalogowych. Ten magazyn danych
często jest nazywany katalogiem. Katalog zawiera
informacje o obiektach, takich jak użytkownicy,
grupy, komputery, domeny, jednostki
organizacyjne i zasady zabezpieczeń. Informacje
te mogą być publikowane dla użytkowników i
administratorów.
• Katalog jest przechowywany na kontrolerach
domeny i mogą do niego uzyskiwać dostęp
aplikacje sieciowe lub usługi.
Schemat
• Schemat usługi Active Directory zawiera definicje
wszystkich obiektów znajdujących się w katalogu.
• Każdy nowo utworzony obiekt katalogu przed
zapisaniem go w katalogu jest porównywany z
odpowiednia definicja obiektu w celu sprawdzenia
jego poprawności.
• Schemat składa się z klas obiektów i atrybutów.
– Na przykład klasa User ma takie atrybuty, jak nazwa,
nick i adres. Po utworzeniu nowego użytkownika w
katalogu użytkownik ten staje sie wystąpieniem klasy
User, a wprowadzane informacje o tym użytkowniku
staja się wystąpieniami atrybutów.
Schemat posiada następujące
składniki:
• Klasy obiektu obiektyw katalogu i ich
atrybuty.
• Dziedziczenie klas metoda tworzenia nowych
klas obiektów na podstawie istniejących klas.
• Atrybuty obiektu + działania, które mogą być
wykonywane na klasach obiektu.
• Zasady strukturalne zarządzanie drzewem
katalogu.
• Zasady składni typy wartości atrybutu, które
mogą być przechowywane w katalogu.
• Zasady zawartości atrybuty które mogą być
związane z daną klasą
Struktura Active
Directory
• budowa hierarchiczna.
• podstawową jednostką jest tzw. liść
• Liść umieszczany jest w kontenerze w Active Directory nazywanym
jednostką organizacyjną (ang. organizational unit, OU).
• Liście i kontenery zorganizowane są w domeny.
• Drzewo - Domeny mogą tworzyć strukturę drzewa. Cechy:
– Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego
poziomu (ang. root) – korzeń drzewa.
– Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny
najwyższego poziomu, tworząc drzewo. Niższe poziomy mogą się rozgałęziać.
• Las
– Każde drzewo znajduje się w jakimś lesie (ang. forest).
– Las składa się z przynajmniej jednego drzewa.
– Nie istnieje możliwość utrzymywania drzewa bez utrzymywania lasu.
– domena Active Directory –nie może istnieć samodzielnie, musi istnieć w jakimś
drzewie i jakimś lesie.
– Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem
się staje) oraz pierwszy las.
– Las bierze nazwę od tej pierwszej domeny.
Struktura AD
las
drzewo
drzewo
drzewo
Domena (root)
Domena (root)
Domena (root)
kontener
kontener
liść
liść
Domena
Domena
kontener
kontener
liść
liść
kontener
liść
liść
liść
Przestrzeń DNS
• Domeny zorganizowane w drzewo
współdzielą jedną przestrzeń adresową
,
• domeny kolejnych poziomów mają wspólny
korzeń nazewniczy
–
(domena: edu.pl, sanok.edu.pl, zs3.sanok.edu.pl)
–
–
–
Relacje zaufania
• Głównym powodem istnienia Active Directory
jest autoryzacja obiektów np. typu użytkownik
• prawo lub nie dostępu do obiektów Active
Directory
• Prawo dostępu do zasobów: dyskowych,
sieciowych oraz udostępnianych aplikacji
• Żeby była możliwa automatyczna autoryzacja
użytkownika wobec innej usługi Active
Directory domeny połączone są relacją
zaufania pomiędzy domenami Active Directory
(drzewami domen).
Jednostki organizacyjne
Narzędzia administracyjne
Narzędzia konsolowe
• Do konfiguracji usług katalogowych możemy
użyć narzędzi konsolowych:
– dsadd Dodaje obiekty do katalogu.
– dsget Powoduje wyświetlenie właściwości
obiektów w katalogu.
– dsmod Modyfikuje wybrane atrybuty istniejącego
obiektu w katalogu.
– dsquery Znajduje obiekty w katalogu zgodne z
określonymi kryteriami wyszukiwania.
– dsmove Przenosi obiekt z bieżącej lokalizacji do
nowej lokalizacji nadrzędnej.
– dsrm Usuwa obiekt, pełne poddrzewo znajdujące
się poniżej obiektu w katalogu lub oba te elementy.
Zaraz po utworzeniu kontrolera domeny
domyślnie są wyświetlane następujące
kontenery:
•
Builtin (Wbudowane) Zawiera obiekty, które określają domyślne grupy
wbudowane, takie jak Operatorzy kont czy Administratorzy.
•
Computers (Komputery) Zawiera obiekty typu komputer z systemem Windows
2000, Windows XP lub Windows Server 2003, w tym konta komputerów utworzone
pierwotnie za pomocą interfejsów programowania aplikacji (API), które nie mogły
używać usługi Active Directory. Obiekty typu komputer są przenoszone do kontenera
Computer podczas uaktualniania domen systemu Windows NT do systemu
operacyjnego serwera Windows 2000 lub Windows Server 2003.
•
Domain Controllers (Kontrolery domen) Zawiera obiekty typu komputer z
systemem Windows 2000 lub Windows Server 2003, pełniące rolę kontrolerów
domeny.
•
Users (Użytkownicy) Zawiera konta użytkowników i grup utworzone pierwotnie za
pomocą interfejsów API, które nie mogły korzystać z usługi Active Directory. Konta
użytkowników i grup są przenoszone do kontenera Użytkownicy podczas
uaktualniania domen systemu Windows NT do systemu operacyjnego serwera
Windows 2000 lub Windows Server 2003. Do modyfikowania kont użytkowników i
grup utworzonych pierwotnie za pomocą interfejsów API, które nie mogły korzystać z
usługi Active Directory, można używać narzędzia Menedżer użytkowników systemu
Windows NT 4.0 (Usrmgr).