Active Directory

Active Directory

• Usługa Active Directory® to usługa

katalogowa służąca do przechowywania

informacji na temat obiektów w sieci i do

udostępniania tych informacji użytkownikom i

administratorom sieci.

• AD, to usługa katalogowa (hierarchiczna baza

danych) dla systemów Windows, będąca

implementacją protokołu LDAP.

• Obiekty usługi Active Directory na ogół

obejmują zasoby udostępnione, takie jak

serwery, woluminy, drukarki oraz konta

użytkowników i komputerów sieciowych.

• Odwzorowanie NDS z Novell NetWare

Domena typu NT4

• Przechowywanie informacji o ograniczonej

stałej liczbie typów obiektów

• Obiekty mają ograniczoną stałą liczbę

atrybutów przypisanych do konkretnych typów
obiektów

• Domeny mogą przechowywać tylko ok. 40 tys.

obiektów w jednej domenie (ograniczenie).

• Brak otwartych protokołów do współpracy z

aplikacji innych producentów – jedyny słuszny
firmy Microsoft .

Active Directory następca

NT4

• hierarchiczność przechowywania informacji;
• dużo wyższe limity przechowywania informacji

(powyżej 1 miliona obiektów w domenie Active

Directory);

• Możliwość rozszerzenia schematu definicji obiektów

i ich cech.

• Dwie wersje Active Directory
• pełna, zintegrowana z systemem Windows,

niezbędna dla zarządzania kontami Active Directory,

• wersja aplikacyjna, instalowana w systemie

Windows, nie powiązana z domenami Windows tzw

ADAM (ang. Active Directory Application Mode)

Charakterystyka AD

• Zestaw reguł, nazywany schematem
• Wykaz globalny, który zawiera informacje

o każdym obiekcie w katalogu

• Mechanizm przeszukiwania i indeksowania
• Usługa replikacji,
• pełna kopie wszystkich informacji

katalogowych dla danej domeny

• Obsługa oprogramowania klienta usługi

Active Directory

Magazyn danych

katalogowych

• Usługa katalogowa Active Directory używa

magazynu danych do przechowywania wszystkich

informacji katalogowych. Ten magazyn danych

często jest nazywany katalogiem. Katalog zawiera

informacje o obiektach, takich jak użytkownicy,

grupy, komputery, domeny, jednostki

organizacyjne i zasady zabezpieczeń. Informacje

te mogą być publikowane dla użytkowników i

administratorów.

• Katalog jest przechowywany na kontrolerach

domeny i mogą do niego uzyskiwać dostęp

aplikacje sieciowe lub usługi.

Schemat

• Schemat usługi Active Directory zawiera definicje

wszystkich obiektów znajdujących się w katalogu.

• Każdy nowo utworzony obiekt katalogu przed

zapisaniem go w katalogu jest porównywany z

odpowiednia definicja obiektu w celu sprawdzenia

jego poprawności.

• Schemat składa się z klas obiektów i atrybutów.

– Na przykład klasa User ma takie atrybuty, jak nazwa,

nick i adres. Po utworzeniu nowego użytkownika w

katalogu użytkownik ten staje sie wystąpieniem klasy

User, a wprowadzane informacje o tym użytkowniku

staja się wystąpieniami atrybutów.

Schemat posiada następujące

składniki:

• Klasy obiektu obiektyw katalogu i ich

atrybuty.

• Dziedziczenie klas metoda tworzenia nowych

klas obiektów na podstawie istniejących klas.

• Atrybuty obiektu + działania, które mogą być

wykonywane na klasach obiektu.

• Zasady strukturalne zarządzanie drzewem

katalogu.

• Zasady składni typy wartości atrybutu, które

mogą być przechowywane w katalogu.

• Zasady zawartości atrybuty które mogą być

związane z daną klasą

Struktura Active

Directory

• budowa hierarchiczna.

• podstawową jednostką jest tzw. liść

• Liść umieszczany jest w kontenerze w Active Directory nazywanym

jednostką organizacyjną (ang. organizational unit, OU).

• Liście i kontenery zorganizowane są w domeny.

• Drzewo - Domeny mogą tworzyć strukturę drzewa. Cechy:

– Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego

poziomu (ang. root) – korzeń drzewa.

– Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny

najwyższego poziomu, tworząc drzewo. Niższe poziomy mogą się rozgałęziać.

• Las

– Każde drzewo znajduje się w jakimś lesie (ang. forest).
– Las składa się z przynajmniej jednego drzewa.
– Nie istnieje możliwość utrzymywania drzewa bez utrzymywania lasu.
– domena Active Directory –nie może istnieć samodzielnie, musi istnieć w jakimś

drzewie i jakimś lesie.

– Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem

się staje) oraz pierwszy las.

– Las bierze nazwę od tej pierwszej domeny.

Struktura AD

las

drzewo

drzewo

drzewo

Domena (root)

Domena (root)

Domena (root)

kontener

kontener

liść

liść

Domena

Domena

kontener

kontener

liść

liść

kontener

liść

liść

liść

Przestrzeń DNS

• Domeny zorganizowane w drzewo

współdzielą jedną przestrzeń adresową

DNS

,

• domeny kolejnych poziomów mają wspólny

korzeń nazewniczy

–

www.zs3.sanok.edu.pl

(domena: edu.pl, sanok.edu.pl, zs3.sanok.edu.pl)

–

www.paczkarnia.wordpress.com

–

www.admzs3.wordpress.com

–

www.szkieleczka.blog.pl

Relacje zaufania

• Głównym powodem istnienia Active Directory

jest autoryzacja obiektów np. typu użytkownik

• prawo lub nie dostępu do obiektów Active

Directory

• Prawo dostępu do zasobów: dyskowych,

sieciowych oraz udostępnianych aplikacji

• Żeby była możliwa automatyczna autoryzacja

użytkownika wobec innej usługi Active

Directory domeny połączone są relacją

zaufania pomiędzy domenami Active Directory

(drzewami domen).

Jednostki organizacyjne

Narzędzia administracyjne

Narzędzia konsolowe

• Do konfiguracji usług katalogowych możemy

użyć narzędzi konsolowych:

– dsadd Dodaje obiekty do katalogu.

– dsget Powoduje wyświetlenie właściwości

obiektów w katalogu.

– dsmod Modyfikuje wybrane atrybuty istniejącego

obiektu w katalogu.

– dsquery Znajduje obiekty w katalogu zgodne z

określonymi kryteriami wyszukiwania.

– dsmove Przenosi obiekt z bieżącej lokalizacji do

nowej lokalizacji nadrzędnej.

– dsrm Usuwa obiekt, pełne poddrzewo znajdujące

się poniżej obiektu w katalogu lub oba te elementy.

Zaraz po utworzeniu kontrolera domeny

domyślnie są wyświetlane następujące

kontenery:

•

Builtin (Wbudowane) Zawiera obiekty, które określają domyślne grupy

wbudowane, takie jak Operatorzy kont czy Administratorzy.

•

Computers (Komputery) Zawiera obiekty typu komputer z systemem Windows

2000, Windows XP lub Windows Server 2003, w tym konta komputerów utworzone

pierwotnie za pomocą interfejsów programowania aplikacji (API), które nie mogły

używać usługi Active Directory. Obiekty typu komputer są przenoszone do kontenera

Computer podczas uaktualniania domen systemu Windows NT do systemu

operacyjnego serwera Windows 2000 lub Windows Server 2003.

•

Domain Controllers (Kontrolery domen) Zawiera obiekty typu komputer z

systemem Windows 2000 lub Windows Server 2003, pełniące rolę kontrolerów

domeny.

•

Users (Użytkownicy) Zawiera konta użytkowników i grup utworzone pierwotnie za

pomocą interfejsów API, które nie mogły korzystać z usługi Active Directory. Konta

użytkowników i grup są przenoszone do kontenera Użytkownicy podczas

uaktualniania domen systemu Windows NT do systemu operacyjnego serwera

Windows 2000 lub Windows Server 2003. Do modyfikowania kont użytkowników i

grup utworzonych pierwotnie za pomocą interfejsów API, które nie mogły korzystać z

usługi Active Directory, można używać narzędzia Menedżer użytkowników systemu

Windows NT 4.0 (Usrmgr).