Active Directory

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. május 28-án felülvizsgált verziótól ; az ellenőrzések 7 szerkesztést igényelnek .
Active Directory
Típusú Címtár szolgáltatás
Fejlesztő Microsoft
Operációs rendszer Windows Server
Első kiadás 1999
Hardver platform x86 , x86_64 és IA-64
Olvasható fájlformátumok LDIF
Weboldal docs.microsoft.com/window...

Az Active Directory („Active Directory”, AD ) a Microsoft címtárszolgáltatása a Windows Server család operációs rendszerei számára . Eredetileg a címtárszolgáltatás LDAP -kompatibilis megvalósításaként készült, azonban a Windows Server 2008-tól kezdve képes integrálni más jogosultsági szolgáltatásokkal, integráló és egységesítő szerepet töltve be. Lehetővé teszi az adminisztrátorok számára, hogy csoportházirendeket használhassanak a felhasználó munkakörnyezetének egységes testreszabásához, több számítógépre telepítsenek szoftvereket a Csoportházirend vagy a System Center Configuration Manager (korábban Microsoft Systems Management Server) segítségével, telepítsenek operációs rendszer-, alkalmazás- és kiszolgálószoftver-frissítéseket minden számítógépre. online a Windows Server Update segítségével . A környezeti adatokat és beállításokat egy központi adatbázisban tárolja. Az Active Directory hálózatok mérete néhány tucattól több millió objektumig terjedhet.

A megoldást 1999-ben mutatták be, először Windows 2000 Server rendszerrel adták ki , majd a Windows Server 2003 kiadásának részeként fejlesztették ki. Ezt követően a termék új verziói bekerültek a Windows Server 2003 R2 , Windows Server 2008 és Windows Server 2008 R2 rendszerbe. és átnevezték Active Directory tartományi szolgáltatásokra . A címtárszolgáltatást korábban NT Directory Service (NTDS) néven hívták, ez a név még mindig megtalálható néhány futtatható fájlban .

A Windows 2000 előtti verzióitól eltérően, amelyek elsősorban a NetBIOS protokollt használták a hálózati kommunikációhoz, az Active Directory integrálva van a DNS -sel, és csak TCP/IP -n fut . Az alapértelmezett hitelesítési protokoll a Kerberos . Ha az ügyfél vagy az alkalmazás nem támogatja a Kerberos hitelesítést, az NTLM [1] protokollt használja .

A szoftverfejlesztők számára egy Active Directory Services API ( ADSI ) áll rendelkezésre .

Eszköz

Objektumok

Az Active Directory objektumokból álló hierarchikus struktúrával rendelkezik. Az objektumok három fő kategóriába sorolhatók: erőforrások (például nyomtatók ), szolgáltatások (például e- mail ), valamint felhasználói és számítógépes fiókok. A szolgáltatás információkat nyújt az objektumokról, lehetővé teszi az objektumok rendszerezését, az azokhoz való hozzáférés szabályozását, valamint biztonsági szabályokat állít be.

Az objektumok más objektumok (biztonsági és terjesztési csoportok) lerakatai lehetnek. Egy objektumot a neve egyedileg azonosít, és attribútumokkal rendelkezik – jellemzőket és adatokat, amelyeket tartalmazhat; az utóbbiak pedig az objektum típusától függenek. Az attribútumok az objektum szerkezetének alkotóelemei, és a sémában vannak meghatározva. A séma meghatározza, hogy milyen típusú objektumok létezhetnek.

Maga a séma kétféle objektumból áll: sémaosztály objektumokból és séma attribútum objektumokból. Egy sémaosztály-objektum egyfajta Active Directory-objektumot határoz meg (például egy felhasználói objektumot), egy sémaattribútum-objektum pedig egy olyan attribútumot határoz meg, amellyel az objektum rendelkezhet.

Minden attribútum objektum több különböző sémaosztály objektumban használható. Ezeket az objektumokat sémaobjektumoknak (vagy metaadatoknak ) nevezik, és lehetővé teszik a séma módosítását és hozzáadását, amikor szükséges és lehetséges. Azonban minden séma objektum része az objektumdefinícióknak, így ezeknek az objektumoknak a letiltása vagy módosítása súlyos következményekkel járhat, mivel ezen műveletek hatására a könyvtárstruktúra megváltozik. A sémaobjektum módosítása automatikusan átkerül a címtárszolgáltatásba. Létrehozás után a séma objektum nem törölhető, csak letiltható. Általában minden sémamódosítást gondosan megterveznek.

A tároló hasonlít egy objektumhoz, mivel attribútumokkal is rendelkezik, és egy névtérhez tartozik , de az objektumokkal ellentétben a tároló nem jelent semmi konkrétat: objektumok csoportját vagy más tárolókat tartalmazhat.

Szerkezet

A struktúra legfelső szintje az erdő, az összes objektum, attribútum és szabály (attribútum szintaxis) gyűjteménye az Active Directoryban. Az erdő egy vagy több fát tartalmaz , amelyeket tranzitív bizalmi kapcsolatok kötnek össze. A fa egy vagy több tartományt tartalmaz, amelyeket szintén tranzitív bizalmi kapcsolatok kapcsolnak össze hierarchiában. A tartományokat DNS-névstruktúrájuk – névtereik – azonosítják.

A tartományban lévő objektumok konténerekbe – szervezeti egységekbe – csoportosíthatók. A szervezeti egységek lehetővé teszik egy tartományon belüli hierarchia létrehozását, egyszerűsítik az adminisztrációt, és lehetővé teszik például egy szervezet szervezeti vagy földrajzi struktúrájának modellezését egy címtárszolgáltatásban. Az osztályok tartalmazhatnak más részlegeket is. A Microsoft azt javasolja, hogy a címtárszolgáltatásban a lehető legkevesebb tartományt használjon, és a strukturáláshoz és a házirendekhez szervezeti egységeket használjon. A csoportházirendeket gyakran kifejezetten szervezeti egységekre alkalmazzák. A csoportházirendek maguk is objektumok. A felosztás az a legalacsonyabb szint, amelyen a közigazgatási hatóság delegálható .

A felosztás másik módja a helyek, amelyek a hálózati szegmenseken alapuló fizikai (és nem logikai) csoportosítás egyik módja. A webhelyek fel vannak osztva olyanokra, amelyek kis sebességű csatornákon (például globális hálózatokon keresztül , virtuális magánhálózatok használatával ) és nagy sebességű csatornákon (például helyi hálózaton keresztül ) kapcsolódnak. Egy webhely egy vagy több domaint, egy domain pedig egy vagy több webhelyet tartalmazhat. A címtárszolgáltatás tervezésekor fontos figyelembe venni a helyek közötti adatok szinkronizálása során keletkező hálózati forgalmat .

A címtárszolgáltatás tervezésénél kulcsfontosságú döntés az információs infrastruktúra felosztása hierarchikus tartományokra és legfelső szintű egységekre. Az ehhez a részleghez használt tipikus modellek a vállalat funkcionális részlegei, földrajzi elhelyezkedése és a vállalat információs infrastruktúrájában betöltött szerepek szerinti felosztások. Ezeknek a modelleknek a kombinációit gyakran használják.

Fizikai szerkezet és replikáció

Fizikailag az információkat egy vagy több egyenértékű tartományvezérlőn tárolják, amelyek felváltották a Windows NT -ben használt elsődleges és tartalék tartományvezérlőket , bár egyes műveletekhez egy úgynevezett " egyfős műveleti" kiszolgáló is megmarad, amely képes emulálni egy elsődleges tartományvezérlőt. . Minden tartományvezérlő megőrzi az adatok olvasási/írási másolatát. Az egy vezérlőn végrehajtott változtatásokat a rendszer szinkronizálja az összes tartományvezérlővel a replikáció során . Azokat a kiszolgálókat, amelyeken nincs telepítve az Active Directory, de egy Active Directory tartomány részét képezik, tagkiszolgálóknak nevezzük.

A címtárreplikáció igény szerint történik. A KCC (tudáskonzisztencia - ellenőrző ) szolgáltatás létrehoz egy replikációs topológiát, amely a rendszerben meghatározott helyeket használja a forgalom szabályozására. A telephelyen belüli replikációt gyakran és automatikusan hajtja végre egy konzisztencia-ellenőrző (a replikációs partnerek értesítésével a változásokról). A helyek közötti replikáció helyhivatkozásonként konfigurálható (a hivatkozás minőségétől függően) - minden hivatkozáshoz más "díj" (vagy "költség") rendelhető (pl. DS3, T1 , ISDN ), és a replikációs forgalom megtörténik. korlátozott, ütemezetten küldik és a hozzárendelt csatornabecslés szerint irányítják. A replikációs adatok több helyen is áthaladhatnak a helyhivatkozásokon keresztül, ha a "pontozás" alacsony, bár az AD automatikusan alacsonyabb pontszámot rendel a helyek közötti hivatkozásokhoz, mint a továbbítási hivatkozásokhoz. A helyek közötti replikációt az egyes helyek hídfőkiszolgálói végzik, amelyek azután replikálják a változtatásokat a helyükön lévő egyes tartományvezérlőkre. A domainen belüli replikáció az RPC protokollon keresztül történik , míg az interdomain replikáció az SMTP protokollt is használhatja .

Ha az Active Directory struktúra több tartományt tartalmaz, akkor az objektumkeresési feladat megoldásához egy globális katalógust használnak: egy tartományvezérlőt, amely az erdő összes objektumát tartalmazza, de korlátozott attribútumkészlettel (részleges replika). A katalógus meghatározott globális katalógusszervereken tárolódik, és a tartományok közötti kéréseket szolgálja ki.

Az egyállomásos képesség lehetővé teszi a kérések kezelését, ha a több gazdagépes replikáció nem engedélyezett. Ötféle ilyen művelet létezik: Domain Controller Emulation (PDC emulátor), Relative Identifier Host (Relative Identifier Master vagy RID Master), Infrastructure Host (Infrastructure Master), Schema Host (Schema Master) és Domain Naming Host (Domain Naming Master) ). Az első három szerepkör egyedi a tartományon belül, az utolsó kettő pedig az egész erdőn belül.

Egy Active Directory adatbázis három logikai tárolóra vagy „partícióra” osztható. A séma a szolgáltatás sablonja, és meghatározza az összes objektumtípust, azok osztályait és attribútumait, az attribútum szintaxisát (minden fa ugyanabban az erdőben van, mert ugyanaz a sémájuk). A konfiguráció az Active Directory erdő és fák szerkezete. A tartomány minden információt tárol az adott tartományban létrehozott objektumokról. Az első két tároló az erdő összes tartományvezérlőjére replikálódik, a harmadik partíció teljes mértékben replikálódik az egyes tartományokon belüli replikavezérlők között, részben pedig a globális katalógus-kiszolgálókra.

A Windows 2000 adatbázisa címtártárolója) a Microsoft Jet Blue bővíthető tárolási alrendszert használja amely , hogy minden tartományvezérlő legfeljebb 16 terabájtból és 1 milliárd objektumból álló adatbázissal rendelkezzen (elméleti korlát, gyakorlati tesztek csak körülbelül 100-al futottak). millió tárgy). Az alapfájl neve és két fő táblája van - egy adattábla és egy hivatkozási tábla. A Windows Server 2003 egy másik táblázatot adott hozzá a biztonsági leíró példányok egyediségének érvényesítésére . NTDS.DIT

Elnevezés

A szolgáltatás a következő objektum-elnevezési formátumokat támogatja: UNC általános nevek , URL -ek és LDAP URL-ek. A szolgáltatás az X.500 elnevezési formátum LDAP verzióját használja belsőleg.

Minden objektumnak van megkülönböztető neve ( angol  megkülönböztetett név , DN ) [2] . HPLaser3Például a Marketing szervezeti egységben és a tartományban elnevezett nyomtatóobjektumnak foo.orga következő megkülönböztető neve lenne: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=orgahol CN a közös név, OU a szakasz, DC a tartományobjektum osztálya. A kiemelt nevek sokkal több részből állhatnak, mint az ebben a példában szereplő négy rész. Az objektumoknak kanonikus nevek is vannak. Ezek a megkülönböztető nevek fordított sorrendben, azonosítók nélkül és perjeleket használva elválasztóként: foo.org/Маркетинг/HPLaser3. A tárolójában lévő objektum azonosításához egy relatív megkülönböztető nevet használunk: CN=HPLaser3. Minden objektumnak van egy globálisan egyedi azonosítója ( GUID ), amely egy egyedi és változtathatatlan 128 bites karakterlánc, amelyet az Active Directory a kereséshez és a replikációhoz használ. Egyes objektumoknak van egyszerű felhasználói neve (UPN, az RFC 822 szerint ) a formátumban объект@домен.

Integráció UNIX-szal

Az Active Directoryval való interakció különféle szintjei megvalósíthatók a legtöbb UNIX-szerű operációs rendszeren LDAP-klienseken keresztül, de az ilyen rendszerek általában nem fogadják el a Windows-összetevőkkel kapcsolatos attribútumok többségét, például a csoportházirendeket és az egyirányú bizalmi kapcsolatok támogatását. A Samba 4 megjelenésével azonban lehetővé vált a csoportházirendek és a Windows adminisztrációs eszközeinek használata.

A külső gyártók Active Directory integrációt kínálnak UNIX , Linux , Mac OS X platformokon és számos Java -alkalmazásban , beleértve a Centrify DirectControl and Express-t, UNAB-t ( Computer Associates ), TrustBroker-t ( CyberSafe ), PowerBroker Identity Services -t ( BeyondTrust ). ) [3] , Authentication Services ( Quest Software ), ADmitMac ( Thursby ) [3] . A Samba szerver , a Microsoft hálózati szolgáltatásaival kompatibilis PowerBroker Identity Services szoftvercsomag, tartományvezérlőként működhet [4] [5] .

A Windows Server 2003 R2 -vel együtt szállított sémakiegészítések olyan attribútumokat tartalmaznak, amelyek elég szorosan kapcsolódnak az RFC 2307 -hez ahhoz, hogy általánosan használhatók legyenek. Az RFC 2307 alap implementációi és nss_ldapa pam_ldapPADL.com által javasoltak közvetlenül támogatják ezeket az attribútumokat. A csoporttagság szabványos sémája az RFC 2307bis szabványt követi (javasolt) [6] . A Windows Server 2003 R2 tartalmazza a Microsoft Management Console -t az attribútumok létrehozásához és szerkesztéséhez.

Alternatív megoldás egy másik címtárszolgáltatás, például a 389 Directory Server (korábban Fedora Directory Server, FDS), az eB2Bcom ViewDS XML Enabled Directory vagy a Sun Java System Directory Server használata, amelyek kétirányú szinkronizálást végeznek az Active Directoryval. , az ilyen „reflektált” integráció megvalósítása, amikor a UNIX és Linux rendszerek klienseit a saját szervereiken, a Windows klienseket pedig az Active Directoryban hitelesítik. Egy másik lehetőség az OpenLDAP használata az áttetsző átfedés funkcióval, amely a távoli LDAP-kiszolgáló bejegyzéseit a helyi adatbázisban tárolt további attribútumokkal bővíti.

Az Active Directory a Powershell [7] segítségével automatizált .

Jegyzetek

  1. TechNet: Windows hitelesítés . Letöltve 2017. október 29. Az eredetiből archiválva : 2015. december 23..
  2. Objektumnevek . Microsoft Technet . Archiválva az eredetiből 2011. augusztus 25-én. Microsoft Corp.
  3. 1 2 Edge, Charles S., Jr.; Smith, Zack; Vadász, Beau. ch. 3 // Enterprise Mac Administrator's Guide  (neopr.) . — New York City : Apress , 2009. — ISBN 9781430224433 .
  4. Samba4/Releases/4.0.0alpha13 . SambaPeople . SAMBA projekt . Letöltve: 2010. november 29. Az eredetiből archiválva : 2012. február 4..
  5. "A nagy DRS-siker!" . SambaPeople . SAMBA Projekt (2009. október 5.). Letöltve: 2009. november 2. Az eredetiből archiválva : 2012. február 4..
  6. RFC 2307bis archiválva : 2011. szeptember 27. a Wayback Machine -nél Archiválva : 2011. szeptember 27.
  7. Active Directory adminisztráció a Windows PowerShell segítségével . Microsoft . Letöltve: 2011. június 7. Az eredetiből archiválva : 2012. február 4..

Irodalom

Linkek