Active Directory

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Active Directory je implementace adresářových služeb LDAP firmou Microsoft pro použití v prostředí systému Microsoft Windows. Active Directory umožňuje administrátorům nastavovat politiku, instalovat programy na mnoho počítačů nebo aplikovat kritické aktualizace v celé organizační struktuře. Active Directory ukládá své informace a nastavení v centrální organizované databázi.

Adresářová služba Active Directory je rozšiřitelná a škálovatelná adresářová služba, která umožňuje efektivně uspořádat síťové prostředky.

  • vyžaduje instalaci služby DNS
  • je založena na standardních internetových protokolech
  • jednoznačně definuje strukturu sítě
  • organizuje skupiny počítačů a domén

Vnější struktura Active Directory[editovat | editovat zdroj]

Služba Active Directory obsahuje logické i fyzické struktury součástí sítě.
a) Logické

  • Organizační jednotky … podskupiny domén, které často odpovídají obchodní nebo řídicí struktuře organizace
  • Domény … skupiny počítačů sdílejících společnou adresářovou databázi
  • Stromy domén … jedna nebo více domén sdílejících souvislý obor názvů
  • Lesy domén … jeden nebo více stromů domén sdílejících společné adresářové informace

b) Fyzické

  • Podsítě … síťová skupina se specifickým rozsahem adres IP a masky podsítě
  • Sítě … jedna nebo více podsítí, slouží ke konfiguraci přístupu k adresářové službě a replikací

Logické struktury pomáhají při organizaci objektů adresářové služby a při správě účtů a sdílených prostředků sítě. Fyzické struktury usnadňují komunikaci v síti a fyzicky ohraničují prostředky sítí.

Instalace služby Active Directory: Start → Spustit → Otevřít: dcpromo (OK)

Doména[editovat | editovat zdroj]

Doména Active Directory je v podstatě skupinou počítačů sdílejících společnou adresářovou databázi.

  • Základní jednotka AD, tvoří ji min. 1 DC
  • Je bezpečnostní hranice ve struktuře Active Directory
  • Reprezentuje replikační hranici
  • Má jednoznačné označení
  • Má vlastní zásady zabezpečení
  • Vytváří vztahy důvěry s ostatními doménami

Funkce domény jsou omezeny a určeny úrovní funkčnosti domény. K dispozici jsou:

  • Smíšený režim Windows 2000 – podporuje řadiče domény se systémy Windows NT 4.0,Windows 2000,2003, nepodp. Windows Server 2008
  • Nativní režim Windows 2000 - podporuje řadiče domény se systémy Windows Server 2000, 2003 a Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny.

  • Provizorní režim Windows Server 2003 – podporuje řadiče domény se systémy Windows NT 4.0 a Windows Server 2003.
  • Windows Server 2003 – podporuje řadiče domény se systémem Windows Server 2003, Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny, migrace objektů zabezpečení, snadné přejmenování řadiče domény, aktualizace časového razítka přihlášení, čísla verzí klíčů, omezené delegování, přesměrování kontejnerů Users a Computers, uložené zásady autorizace, selektivní ověřování mezi doménovými strukturami.

  • Windows Server 2008 - podporuje řadiče domény se systémem Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny, migrace objektů zabezpečení, snadné přejmenování řadiče domény, aktualizace časového razítka přihlášení, čísla verzí klíčů, omezené delegování, přesměrování kontejnerů Users a Computers, uložené zásady autorizace, selektivní ověřování mezi doménovými strukturami, replikace DFS pro složku SYSVOL, podpora standardu AES, informace o posledním interaktivním přihlášení a podrobné zásady pro hesla.

  • Windows Server 2008 R2 - podporuje řadiče domény se systémem Windows Server 2008, navíc nové funkce: obnova smazaných objektů, spravované účty služeb, připojení k doméně v režimu offline.

Úroveň funkčnosti lze pouze zvýšit, nelze ji snížit. Pokud zvýšíme úroveň funkčnosti doménové struktury na Windows Server 2008, úroveń všech domén, používajících úroveň funkčnosti nativní Windows 2000 a vyšší, se automaticky zvýší na úroveň domény Windows Server 2008.

Lesy a stromy domén[editovat | editovat zdroj]

Každá doména služby Active Directory má název DNS (vsps.cz). V případě, kdy jedna nebo více domén sdílejí stejná adresářová data, nazývají se LES.

Doménový strom

  • Hierarchické spojení domén vytvořené vztahem rodič-potomek
  • Všechny domény v doménovém stromu sdílejí stejný jmenný prostor (root namespace)
  • Uživatelé mohou prohledávat informace v rámci doménového stromu
  • Schéma je stejné v rámci doménového stromu

Názvy domén v lese z pohledu hierarchie názvů DNS:

  • Souvislá struktura názvů - Všechny domény jsou součástí stejného STROMU domén, protože mají společnou kořenovou doménu.
  • Nesouvislá struktura - Pokud mají domény v lese nesouvislé názvy DNS, Vytvářejí samostatné stromy domén v rámci lesa. Les pak může mít jeden nebo více stromů domén. V našem příkladě vytváří domény vsps.cz a firma.cz kořeny samostatných doménových stromů ve stejném lese.

Les

  • Spojená skupina doménových stromů, která:
  • Používá stejné schéma
  • Sdílí stejný Globální Katalog
  • Je spojená důvěrou Kerberosu
  • Velmi užitečné pro pobočky firem, které vyžadují autonomii v administrativních úlohách
  • Poskytuje prostor pro více internetových jmen (microsoft.com, msnbc.com, atd.)
  • Dovoluje jednoduché spojování a prodej firem
  • Umožňuje jednoduše společnostem spolupracovat bez nutnosti změny jmen

Funkce lesa jsou omezeny úrovní funkčnosti lesa. K dispozici jsou tři úrovně:

  • Windows 2000 - podporuje řadiče domény se systémy Windows NT 4.0, Windows 2000 a Windows Server 2003
  • Windows Server 2003 provizorní (Windows Server 2003 interim) - podporuje řadiče domény se systémy Windows NT 4.0 a Windows Server 2003
  • Windows Server 2003 - podporuje řadiče domény se systémem Windows Server 2003.

Třetí úroveň Windows Server 2003 umožňuje využívat všechny funkce domény Active Directory a je optimálním stavem, jestliže v tomto režimu pracují všechny domény stejného lesa.

Pro práci s doménami, stromy a lesy používejme nástroj: Domény a vztahy důvěry služby Active Directory, která je součástí Nástroje pro správu

Organizační jednotky[editovat | editovat zdroj]

Jsou to podskupiny v rámci domén, které často odráží řídicí nebo obchodní strukturu organizace. OU si také můžeme představit jako logické kontejnery, do kterých si můžeme umístit:

  • uživatelské účty
  • sdílené prostředky
  • další OU

V doméně firma.cz můžeme vytvořit OU podle jednotlivých oddělení této firmy tato oddělení pak dále členit na další pořízené OU. Objekty umístěné v jedné OU musí vycházet pouze z nadřazené domény. Např. OU domény dm.vsps.cz mohou obsahovat objekty pouze z této domény. Není možné do nich přidávat objekty z domény např. brno.firma.cz.

Organizační jednotka (OU)

  • Nejnižší forma seskupování objektů v Active Directory
  • Skupinová politika může být uplatňována na úrovni organizační jednotky
  • Může být vnořena až do hloubky 12 úrovní
  • OU jsou definovány uvnitř domén
  • Odrážejí organizační oddělení
  • Vlastnosti OU se dědí pouze v rámci domény (ne mezi doménami)
  • OU se typicky liší doména od domény

Důvody vytvoření OU:

  • OU umožňují přiřadit zásady skupiny pro malý počet objektů domény, aniž by ovlivňovaly zbytek domény. To umožňuje spravovat odděleně jednotlivé části organizace podle její hierarchie.
  • OU vytvářejí menší pohledy na adresářové objekty domény a je tak možné s nimi lépe pracovat. To umožňuje efektivní správu prostředků.
  • OU umožňují delegovat řízení a jednoduše řídit přístup ke správě doménových prostředků. Lze tak stanovit rozsah práv jednotlivých správců v doméně. Pro jednotlivou OU lze stanovit samostatného správce. Na druhou stranu lze jednomu správci delegovat oprávnění na správu všech OU v doméně
  • OU dovoluje seskupovat různé typy objektů, na něž pak mohou být aplikována pravidla nastavená pro OU
  • OU mohou být i samostatnými sítěmi

OU nalezneme v nástroji: Uživatelé a počítače služby Active Directory, reprezentované jednotlivými složkami

Vytvoření OU: Organizační jednotku nelze vytvářet v jakémkoli kontejneru Active Directory. Platí zde jistá omezení. Lze ji vytvořit pouze v již existujícím útvaru Domain Controlers a v kořeni domény.

Výběr kořene domény: Akce → Nový → Organizační jednotka – vytvoří se prázdná organizační jednotka

Sítě a podsítě[editovat | editovat zdroj]

Síť je skupinou počítačů sestávající z jedné nebo více podsítí protokolu IP. Jsou určené k reprezentaci fyzické struktury sítě. Sítě jsou nezávislé na logických doménových strukturách a nemají proto spolu žádný vztah. V jedné doméně Active Directory je možné vytvářet více sítí nebo můžeme mít jednu síť, která bude k dispozici více doménám. Neexistuje ani žádná souvislost mezi rozsahem adres IP používaných v síti a oborem názvů domén. Podsíť si můžete představit jako skupinu síťových adres. Na rozdíl od sítí, které mohou mít více rozsahů adres IP, mají podsítě specifický rozsah adres IP a masku podsítě.

Vnitřní struktura adresářové služby[editovat | editovat zdroj]

Služba Active Directory má mnoho součástí a je založena na mnoha technologiích. Její data jsou zpřístupněna uživatelům a počítačům prostřednictvím úložiště dat a globálních katalogů. Přestože většina úkolů služby Active Directory ovlivňuje úložiště dat, jsou globální katalogy stejně důležité, neboť se využívají při přihlašování a při hledání informací. Pokud není globální katalog k dispozici, nemohou se běžní doménoví uživatelé přihlásit. Jediným způsobem, jak toto chování změnit, je ukládat členství v univerzálních skupinách do místní mezipaměti. Toto řešení má své výhody i nevýhody – viz dále. K datům služby Active Directory se přistupuje pomocí protokolů pro přístup k adresářové struktuře a její data se distribuují pomocí replikací. Protokoly pro přístup k adresářové službě umožňují klientským počítačům komunikovat s řadiči domény. Replikace zajišťuje distribuci aktualizovaných dat na řadiče domény. Přestože je replikace adresářových informací vždy typu multimaster, některé změny dat mohou provádět pouze individuální řadiče domény nazývané Operační servery. Na replikace typu multimaster má také vliv nová vlastnost systému Windows Server 2003 nazvaná Oddíl adresáře aplikace (application directory partition). Správci velkých sítí (členové skupiny Enterprise Admins) mohou v lese domén vytvářet oddíly adresáře aplikací. Jedná se o logické struktury, pomocí kterých se řídí replikace dat v lese. Je např. možné vytvořit oddíl, který bude přesně určovat replikaci dat služby DNS v doméně. Ostatním systémům v doméně se tak zabrání v její replikaci.

Oddíly adresáře aplikací se mohou objevit jako:

  • podřízený objekt domény
  • podřízený objekt jiného oddílu adresáře aplikací
  • nový strom ve stávajícím lese

Jeho replika může být zpřístupněna na jakémkoliv řadiči domény Active Directory se systémem Windows Server 2003, včetně globálních katalogů. Přestože jsou oddíly ve velkých doménách a lesech užitečné, jsou přítěží při plánování, správě a údržbě.

Úložiště dat[editovat | editovat zdroj]

Úložiště dat (jinak nazývaný jako adresář) obsahuje :

  • informace o účtech
  • sdílené prostředky
  • organizační jednotky
  • zásady skupin

Řadiče domény ukládají tento adresář v souboru Ntds.dit (umístění tohoto souboru se řeší při instalaci domény Active Directory a musí být na jednotce zformátované souborovým systémem NTFS. Adresářová data je také možné uložit odděleně od hlavního úložiště dat. To platí pro zásady skupiny, skripty a další typy veřejných informací, které jsou uložené ve sdílené systémové složce SYSVOL.

Úložiště dat je kontejnerem pro objekty.

Replikují se:

  • doménová data - obsahují informace o objektech v rámci domény (objekty pro účty, sdílené prostředky, OU a zásady skupin)
  • konfigurační data – popisují topologii adresářové služby. Zahrnují seznam všech domén, stromů a lesů a také umístění řadičů domény a serverů globálního katalogu
  • data schématu - popisují všechny objekty a typy dat, které mohou být v adresářové službě uloženy (účty, sdílené prostředky apod.)

Globální katalogy[editovat | editovat zdroj]

Pokud se členství v univerzálních skupinách neukládá do místní mezipaměti, jsou globální katalogy nutné pro přihlášení k síti, neboť při zahájení přihlašovacího procesu poskytují informace o členství v univerzálních skupinách. Globální katalogy také umožňují hledání ve všech doménách lesa. Řadič domény plnící zároveň roli globálního katalogu uchovává úplnou repliku všech objektů adresářové služby z vlastní domény a částečnou repliku všech ostatních domén lesa.

Globálním katalogem je standardně 1. nainstalovaný řadič domény.

Globální katalog

  • Obsahuje částečné repliky informací obsažených v ostatních doménách
  • Umožňuje rychlé vyhledání klíčových informací v AD bez nutnosti dotazů do ostatních domén
  • Snižuje množství replikací
  • Minimálně jeden na doménu
  • Další GC mohou být hostovány na DC v závislosti na počtu uživatelů, počtu dotazů
  • Doporučeno mít 2 GC v doméně.
  • Je standardně na 1. nainstalovaném řadiči domény

Správa Active Directory[editovat | editovat zdroj]

Mezi nástroje pro správu služby Active Directory patří:

  • Uživatelé a počítače služby Active Directory – je určen pro správu uživatelů, skupin, počítačů a organizačních jednotek
  • Domény a vztahy důvěry služby Active Directory – je určen pro práci s doménami, stromy a lesy
  • Sítě a služby Active Directory – je určen pro správu sítí a podsítí
  • Výsledná sada zásad - používá se k zobrazení aktuálních zásad pro uživatele v počítači a k plánování změn v zásadách

Literatura[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]