Czym jest usługa katalogowa? Active Directory

Czym jest usługa katalogowa? Active Directory

active directoryCzym jest usługa katalogowa? Active Directory co to ?

Usługę katalogową można opisać jako obszerną, hierarchiczną bazę danych, w której zawarte są informacje dotyczące użytkowników, grup użytkowników, komputerów oraz zasobów sieciowych. Jest także zbiorem informacji o konfiguracji komputerów oraz uprawnieniach użytkowników sieci do różnego rodzaju zasobów. Usługi katalogowe gwarantują zgodność informacji na temat nazw, opisów, lokalizacji, zarządzania i zabezpieczeń związanych z zasobami. Umożliwiają scentralizowane zarządzanie zasobami sieci, takimi jak serwery, drukarki, udostępnione pliki.

Czym jest Active Directory?

Active Directory stanowi usługę katalogową w systemach z rodziny Windows Server 2003, która opisuje strukturę sieci i jej składników. Jest microsoftową implementacją protokołu sieciowego warstwy aplikacji LDAP (ang. Lightweight Directory Access Protocol). Usługa Active Directory przechowuje informacje o obiektach znajdujących się w sieci oraz umożliwia administratorom i użytkownikom łatwe znajdowanie tych informacji i korzystanie z nich. AD używa magazynu danych o określonej strukturze jako podstawy dla logicznej i hierarchicznej organizacji informacji katalogowych.

Dzięki Active Directory administratorzy sieci mogą centralnie, z poziomu jednego komputera zarządzać wszystkimi użytkownikami w sieci, wskazać ich uprawnienia do zasobów sieciowych oraz konfigurować komputery, na których pracują. Na całość usług związanych z Active Directory składa się pięć elementów:

outsourcing it, outsourcing

  • AD Domain Services
  • AD Certificate Services
  • AD Lightweight Directory Services
  • AD Rights Management Services
  • AD Federation Services
  •  

Active Directory rozszerza podstawową funkcjonalność usługi katalogowej poprzez:

  • integrację z usługą DNS – Usługa Active Directory korzysta z konwencji nazewnictwa DNS przy tworzeniu struktury hierarchicznej zapewniającej znany, uporządkowany i skalowalny widok połączeń sieciowych;
  • skalowalność – usługa Active Directory jest podzielona na sekcje, dzięki czemu można przechowywać bardzo dużą liczbę obiektów, a organizacja z pojedynczym serwerem i kilkuset obiektami może się rozwinąć i stać się organizacją z tysiącami serwerów i milionami obiektów;
  • centralne zarządzanie – administratorzy mogą zarządzać komputerami rozproszonymi, usługami sieciowymi oraz aplikacjami z centralnej lokalizacji, przy użyciu zgodnego interfejsu do zarządzania, a także sterować centralne dostępem do zasobów sieciowych, w wyniku czego użytkownicy uzyskują pełny dostęp do zasobów, logując się tylko raz do usługi Active Directory;
  • delegowaną administrację – użytkownik, który zostaje uwierzytelniony przez wyższy podmiot administracyjny, może wykonywać zadania administracyjne w określonej części struktury, np. kierownik wydziału może posiadać prawa administracyjne do stworzenia nowych użytkowników w jednostce organizacyjnej.
Jakie elementy tworzą logiczną strukturę Active Directory?

Strukturę logiczną Active Directory wyznaczają:

  • obiekt, czyli podstawowy element struktury AD; wszystkie obiekty mają klasę, która stanowi szablon dla typu obiektu, natomiast w klasie zdefiniowane są grupy atrybutów wraz z wartościami możliwymi do przypisania obiektom;
  • jednostki organizacyjne, które są kontenerami usługi AD, gdzie można umieścić użytkowników, grupy, komputery i inne jednostki organizacyjne; umożliwiają pogrupowanie obiektów o wspólnej konfiguracji lub administracji, a także stanowią punkt, z którego administracyjne funkcje mogą być delegowane;
  • domena, czyli grypa kontenerów połączonych w sieć, która składa się z serwera, pełniącego rolę kontrolera domeny; administracja domeny jest uproszczona na skutek umieszczenia w jednej bazie informacji o kontach użytkowników, zasobach sieci oraz zabezpieczeniach.
Co składa się na fizyczną strukturę Active Directory?

Strukturę fizyczną Active Directory tworzą:

  • kontroler domeny, czyli komputer w domenie, zarządzający realizacją wszystkich działań dotyczących bezpieczeństwa, które zachodzą pomiędzy użytkownikiem a domeną, a także ustalający sposób konfigurowania, korzystania z zasobów domeny oraz uzyskiwania dostępu przez użytkowników;
  • site – reprezentują fizyczną strukturę sieci, a zatem jej topologię; informacje o topologii znajdują się w katalogu pod postacią obiektów typu lokacja i łącze usługi, a na podstawie tych informacji usługa AD tworzy najwydolniejszą topologię replikacji;
  • partycje Active Directory – baza danych AD składa się z kilku partycji katalogu: partycji domeny, w której znajdują się repliki wszystkich obiektów w domenie, a więc użytkownicy, grupy, komputery i jednostki organizacyjne; partycji konfiguracji, która zawiera informacje na temat topologii lokacji i replikacji oraz partycji usług i katalogu; partycji schematu, w której zawarte są wszystkie typy obiektów wraz z ich atrybutami; partycji aplikacji, która przechowuje dane niezbędne do działania określonych aplikacji.
Jaka jest różnica pomiędzy nazwą wyróżniającą a względną nazwą wyróżniającą?

W celu przeszukania oraz zmodyfikowania obiektów znajdujących się w AD hosty wykorzystują mechanizm LDAP (ang. Lightweight Directory Access Protocol). Nazwa wyróżniająca oznacza, że LDAP używa nazwy, która określa dany obiekt w AD, a więc jest protokołem wymiany informacji pomiędzy serwerem a klientem usług katalogowych. Serwer usług katalogowych przechowuje dane teleadresowe oraz identyfikacyjne, które dotyczą użytkowników systemu komputerowego oraz dostępnych zasobów. Dane te są pobierane przez klientów, aby określić strukturę sieci bądź przeprowadzić autoryzację użytkownika. Nazwa wyróżniająca powinna być unikalna w całym lesie. Natomiast względna nazwa wyróżniająca opisuje określony obiekt w kontenerze. Sytuacja, gdzie istnieją dwa obiekty o takiej samej nazwie jest niedozwolona.

Jakie narzędzia służą do zarządzania obiektami Active Directory?

Chcąc stworzyć, zmodyfikować lub usunąć obiekty w AD, administrator systemu Microsoft Windows Server może skorzystać z takich narzędzi, jak:

  • Active Directory Users and Computers – jest to narzędzie administracyjne.Służy do wykonywania codziennych zadań administracyjnych usługi AD, np. tworzenie, przenoszenie, modyfikowanie obiektów;
  • Narzędzia wiersza poleceń usług katalogowych – jest to zbiór narzędzi odpowiedzialnych za tworzenie, modyfikowanie i usuwanie obiektów AD;
  • Lightweight Directory Access Protocol Data Interchange Format Directory Exchange (Ldifde) – jest to narzędzie wiersza poleceń, służące do zarządzania obiektami;
  • Windows Script Host – programowe środowisko interpretacji oraz wykonywania skryptów w systemie Windows, dzięki któremu można tworzyć obiekty przy wykorzystaniu aplikacji Windows lub skryptów Windows.
Jakie są etapy wdrażania Active Directory?
  1. Instalacja usługi Active Directory
  2. Uruchomienie konfiguracji AD
  3. Wybór lokalizacji domeny
  4. Wybór poziomu funkcjonalności domeny oraz hasła przywracania
  5. Delegowanie DNS
  6. Wybór nazwy NetBIOS domeny
  7. Wybór lokalizacji plików bazy danych AD
  8. Dodanie użytkownika
  9. Instalacja kontrolera domeny podrzędnej
  10. Dodawanie komputera do domeny
  11. Logowanie do domeny