Active Directory

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 28 maj 2021; kontroller kräver 7 redigeringar .
Active Directory
Sorts Katalogtjänst
Utvecklaren Microsoft
Operativ system Windows Server
Första upplagan 1999
Hårdvaruplattform x86 , x86_64 och IA-64
Läsbara filformat LDIF
Hemsida docs.microsoft.com/window...

Active Directory ("Active Directory", AD ) är Microsofts katalogtjänster för operativsystem i Windows Server- familjen . Den skapades ursprungligen som en LDAP -kompatibel implementering av katalogtjänsten, men från och med Windows Server 2008 inkluderar den möjligheten att integrera med andra auktoriseringstjänster och utföra en integrerande och sammanhållande roll för dem. Tillåter administratörer att använda grupppolicyer för att säkerställa enhetlig anpassning av användarens arbetsmiljö, distribuera programvara till flera datorer via grupprincip eller genom System Center Configuration Manager(tidigare Microsoft Systems Management Server), installera uppdateringar av operativsystem, program och serverprogramvara på alla datorer i nätverket med hjälp av Windows Server Update Service . Lagrar miljödata och inställningar i en centraliserad databas. Active Directory-nätverk kan variera i storlek från några dussin till flera miljoner objekt.

Lösningen introducerades 1999, släpptes först med Windows 2000 Server och utvecklades sedan som en del av lanseringen av Windows Server 2003. Därefter inkluderades nya versioner av produkten i Windows Server 2003 R2 , Windows Server 2008 och Windows Server 2008 R2 och bytt namn till Active Directory Domain Services . Katalogtjänsten hette tidigare NT Directory Service (NTDS), ett namn som fortfarande kan hittas i vissa körbara filer .

Till skillnad från versioner av Windows före Windows 2000, som främst använde NetBIOS -protokollet för nätverkskommunikation, är Active Directory integrerat med DNS och körs endast över TCP/IP . Standardautentiseringsprotokollet är Kerberos . Om klienten eller applikationen inte stöder Kerberos-autentisering används NTLM [1] .

För mjukvaruutvecklare tillhandahålls ett Active Directory Services API ( ADSI ) .

Enhet

Objekt

Active Directory har en hierarkisk struktur som består av objekt. Objekt delas in i tre huvudkategorier: resurser (som skrivare ), tjänster (som e- post ) och användar- och datorkonton. Tjänsten tillhandahåller information om objekt, låter dig organisera objekt, kontrollera åtkomst till dem och ställer in säkerhetsregler.

Objekt kan vara lagringsplatser för andra objekt (säkerhets- och distributionsgrupper). Ett objekt identifieras unikt med sitt namn och har en uppsättning attribut - egenskaper och data som det kan innehålla; de senare beror i sin tur på typen av föremål. Attribut är den ingående basen i ett objekts struktur och definieras i schemat. Schemat definierar vilka typer av objekt som kan finnas.

Själva schemat består av två typer av objekt: schemaklassobjekt och schemaattributobjekt. Ett schemaklassobjekt definierar en typ av Active Directory-objekt (till exempel ett användarobjekt), och ett schemaattributobjekt definierar ett attribut som ett objekt kan ha.

Varje attributobjekt kan användas i flera olika schemaklassobjekt. Dessa objekt kallas schemaobjekt (eller metadata ) och låter dig ändra och lägga till i schemat när det är nödvändigt och möjligt. Varje schemaobjekt är dock en del av objektdefinitionerna, så att inaktivera eller ändra dessa objekt kan få allvarliga konsekvenser, eftersom katalogstrukturen kommer att ändras som ett resultat av dessa åtgärder. Ändringen av schemaobjektet sprids automatiskt till katalogtjänsten. När ett schemaobjekt har skapats kan det inte tas bort, det kan bara inaktiveras. Vanligtvis är alla schemaändringar noggrant planerade.

En behållare liknar ett objekt genom att den också har attribut och tillhör ett namnområde , men till skillnad från ett objekt står en behållare inte för något specifikt: den kan innehålla en grupp objekt eller andra behållare.

Struktur

Den översta nivån i strukturen är skogen, samlingen av alla objekt, attribut och regler (attributsyntax) i Active Directory. Skogen innehåller ett eller flera träd sammankopplade genom transitiva förtroenderelationer. Trädet innehåller en eller flera domäner, också sammankopplade i en hierarki genom transitiva förtroenderelationer. Domäner identifieras av deras DNS-namnstrukturer - namnområden.

Objekt i en domän kan grupperas i behållare – organisationsenheter. Organisationsenheter låter dig skapa en hierarki inom en domän, förenkla dess administration och låter dig modellera till exempel den organisatoriska eller geografiska strukturen för en organisation i en katalogtjänst. Divisioner kan innehålla andra divisioner. Microsoft rekommenderar att man använder så få domäner som möjligt i katalogtjänsten och att man använder organisationsenheter för strukturering och policyer. Koncernpolicyer tillämpas ofta specifikt på organisatoriska enheter. Grupppolicyer är i sig objekt. En avdelning är den lägsta nivå där förvaltningsbefogenheter kan delegeras .

Ett annat sätt att dela upp är sajter, som är ett sätt för fysisk (snarare än logisk) gruppering baserat på nätverkssegment. Webbplatser är uppdelade i sådana med anslutningar över låghastighetskanaler (till exempel över globala nätverk , med virtuella privata nätverk ) och över höghastighetskanaler (till exempel via ett lokalt nätverk ). En webbplats kan innehålla en eller flera domäner och en domän kan innehålla en eller flera webbplatser. När du utformar en katalogtjänst är det viktigt att ta hänsyn till nätverkstrafiken som genereras när data synkroniseras mellan webbplatser.

Ett nyckelbeslut i utformningen av en katalogtjänst är beslutet att dela upp informationsinfrastrukturen i hierarkiska domäner och toppnivåenheter. Typiska modeller som används för denna division är indelningar efter funktionella divisioner av företaget, efter geografisk plats och efter roller i företagets informationsinfrastruktur. Kombinationer av dessa modeller används ofta.

Fysisk struktur och replikering

Fysiskt lagras information på en eller flera likvärdiga domänkontrollanter som ersatte de primära och backup-domänkontrollanter som används i Windows NT , även om en så kallad " single-master operations"-server som kan emulera en primär domänkontrollant också behålls för vissa operationer . Varje domänkontrollant behåller en läs-/skrivkopia av data. Ändringar som görs på en kontrollenhet synkroniseras med alla domänkontrollanter under replikering . Servrar som inte har själva Active Directory installerat men som är en del av en Active Directory-domän kallas medlemsservrar.

Katalogreplikering sker på begäran. Tjänsten KCC ( Knowledge Consistency Checker ) skapar en replikeringstopologi som använder de platser som definieras i systemet för att styra trafik. Intrasite replikering utförs ofta och automatiskt av en konsistenskontroller (genom att meddela replikeringspartner om ändringar). Cross-site replikering kan konfigureras per webbplatslänk (beroende på länkens kvalitet) - en annan "hastighet" (eller "kostnad") kan tilldelas varje länk (t.ex. DS3, T1 , ISDN ) och replikeringstrafik kommer att vara begränsad, sänds schemalagd och dirigerad enligt den tilldelade kanaluppskattningen. Replikeringsdata kan överföras över flera webbplatser via länkbryggor om "poängen" är låg, även om AD automatiskt tilldelar lägre poäng för länkar från webbplats till webbplats än för transitlänkar. Plats-till-plats-replikering utförs av brohuvudsservrar på varje plats, som sedan replikerar ändringar till varje domänkontrollant på sin plats. Intradomänreplikering sker via RPC-protokollet , medan interdomänreplikering också kan använda SMTP-protokollet .

Om Active Directory-strukturen innehåller flera domäner används en global katalog för att lösa objektsökningsuppgiften: en domänkontrollant som innehåller alla objekt i skogen, men med en begränsad uppsättning attribut (en partiell replika). Katalogen lagras på specificerade globala katalogservrar och betjänar förfrågningar över flera domäner.

Funktionen för en enda värd gör att förfrågningar kan hanteras när flervärdsreplikering inte är tillåten. Det finns fem typer av sådana operationer: Domain Controller Emulation (PDC Emulator), Relative Identifier Host (Relative Identifier Master eller RID Master), Infrastructure Host (Infrastructure Master), Schema Host (Schema Master) och Domain Naming Host (domännamnsmaster) ). De tre första rollerna är unika inom domänen, de två sista är unika inom hela skogen.

En Active Directory-databas kan delas in i tre logiska arkiv eller "partitioner". Schemat är en mall för tjänsten och definierar alla objekttyper, deras klasser och attribut, attributsyntax (alla träd finns i samma skog eftersom de har samma schema). Konfigurationen är strukturen för Active Directory-skogen och träden. En domän lagrar all information om objekt som skapats i den domänen. De två första butikerna replikeras till alla domänkontrollanter i skogen, den tredje partitionen replikeras helt mellan replikkontrollanter inom varje domän och replikeras delvis till globala katalogservrar.

Databasen katalogarkivet) i Windows 2000 använder Microsoft Jet Blue Extensible Storage Subsystem vilket varje domänkontrollant kan ha en databas på upp till 16 terabyte och 1 miljard objekt (en teoretisk gräns, praktiska tester har endast körts med cirka 100 miljoner objekt). Basfilen heter och har två huvudtabeller - en datatabell och en länktabell. Windows Server 2003 lade till ytterligare en tabell för att upprätthålla det unika med säkerhetsdeskriptorinstanser . NTDS.DIT

Namngivning

Tjänsten stöder följande format för objektnamn: Generiska UNC -namn , URL :er och LDAP-URL:er. LDAP-versionen av namnformatet X.500 används internt av tjänsten.

Varje objekt har ett distinguished name ( engelska  distinguished name , DN ) [2] . Till exempel skulle ett skrivarobjekt som namnges HPLaser3i Marketing OU och i domänen foo.orgha följande distingerade namn: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=orgdär CN är det vanliga namnet, OU är avsnittet, DC är klassen för domänobjektet. Betonade namn kan ha många fler delar än de fyra delarna i detta exempel. Objekt har också kanoniska namn. Dessa är de särskiljande namnen skrivna i omvänd ordning, utan identifierare och med snedstreck som avgränsare: foo.org/Маркетинг/HPLaser3. För att identifiera ett objekt i dess behållare används ett relativt distingerat namn: CN=HPLaser3. Varje objekt har också en globalt unik identifierare ( GUID ), som är en unik och oföränderlig 128-bitars sträng som används av Active Directory för sökning och replikering. Vissa objekt har också ett användarnamn (UPN, enligt RFC 822 ) i formatet объект@домен.

Integration med UNIX

Olika nivåer av interaktion med Active Directory kan implementeras på de flesta UNIX-liknande operativsystem genom LDAP-klienter, men sådana system accepterar vanligtvis inte de flesta attribut som är associerade med Windows-komponenter, såsom grupppolicyer och stöd för envägsförtroende. Men med lanseringen av Samba 4 blev det möjligt att använda grupppolicyer och Windows-administrationsverktyg.

Tredjepartsleverantörer erbjuder Active Directory-integrering på UNIX , Linux , Mac OS X-plattformar och en rad Java -applikationer , inklusive Centrify DirectControl och Express, UNAB ( Computer Associates ), TrustBroker ( CyberSafe ), PowerBroker Identity Services ( BeyondTrust ) ) [3] , Autentiseringstjänster ( Quest Software ), ADmitMac ( Thursby ) [3] . Samba -servern, en PowerBroker Identity Services-programsvit som är kompatibel med Microsofts nätverkstjänster, kan fungera som en domänkontrollant [4] [5] .

Schematilläggen som levereras med Windows Server 2003 R2 inkluderar attribut som är tillräckligt nära besläktade med RFC 2307 för att vara till allmän användning. Basimplementeringarna av RFC 2307 - nss_ldapoch pam_ldapde som föreslås av PADL.com stöder direkt dessa attribut. Standardschemat för gruppmedlemskap följer RFC 2307bis (föreslagen) [6] . Windows Server 2003 R2 innehåller Microsoft Management Console för att skapa och redigera attribut.

Ett alternativ är att använda en annan katalogtjänst, såsom 389 Directory Server (tidigare Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory eller Sun Java System Directory Server , som utför tvåvägssynkronisering med Active Directory , implementerar sådan "reflekterad" integration, när klienter av UNIX- och Linux-system autentiseras på sina egna servrar och Windows-klienter autentiseras i Active Directory. Ett annat alternativ är att använda OpenLDAP med den genomskinliga överlagringsfunktionen som utökar de fjärranslutna LDAP-serverposterna med ytterligare attribut lagrade i den lokala databasen.

Active Directory automatiseras med Powershell [7] .

Anteckningar

  1. TechNet: Windows-autentisering . Hämtad 29 oktober 2017. Arkiverad från originalet 23 december 2015.
  2. Objektnamn . Microsoft Technet . Arkiverad från originalet den 25 augusti 2011. Microsoft Corp.
  3. 1 2 Edge, Charles S., Jr.; Smith, Zack; Hunter, Beau. kap. 3 // Enterprise Mac Administrator's Guide  (neopr.) . — New York City : Apress , 2009. — ISBN 9781430224433 .
  4. Samba4/Releases/4.0.0alpha13 . SambaPeople . SAMBA-projektet . Hämtad 29 november 2010. Arkiverad från originalet 4 februari 2012.
  5. "Den stora DRS-framgången!" . SambaPeople . SAMBA-projektet (5 oktober 2009). Hämtad 2 november 2009. Arkiverad från originalet 4 februari 2012.
  6. RFC 2307bis Arkiverad 27 september 2011 på Wayback Machine Arkiverad 27 september 2011.
  7. Active Directory-administration med Windows PowerShell . Microsoft . Hämtad 7 juni 2011. Arkiverad från originalet 4 februari 2012.

Litteratur

Länkar