ACTIVE DIRECTORY
1. CE ESTE ACTIVE DIRECTORY
Active Directory (AD) este un serviciu de director pentru utilizare într-un mediu Windows Server. Este o structură de bază distribuită, ierarhică, care distribuie informații despre infrastructură pentru localizarea, securizarea, administrarea și organizarea resurselor de calculator și rețea, inclusiv fișiere, utilizatori, grupuri, periferice și dispozitive de rețea.
Active Directory este propriul serviciu de directoare Microsoft utilizat pentru rețelele de domeniu Windows. Oferă funcții de autentificare și autorizare, precum și oferă un cadru pentru alte astfel de servicii. Directorul în sine este o bază de date LDAP care conține obiecte în rețea. Active Directory utilizează sistemul de operare Windows Server.
Când oamenii vorbesc despre Active Directory, înseamnă de obicei Servicii de Domeniu Active Directory, care oferă servicii de autentificare și autorizare integrate la scară completă.
Înainte de Windows 2000, modelul de autentificare și autorizare Microsoft a necesitat descompunerea unei rețele în domenii și apoi conectarea domeniilor cu un sistem complicat și, uneori, imprevizibil, al trusturilor unidirecționale. Active Directory a fost introdus în Windows 2000 ca o modalitate de a furniza servicii de director către medii mai complexe.
2. ALTE SERVICII ACTIVE DIRECTORY
De-a lungul timpului, Microsoft a adăugat servicii suplimentare sub banner-ul Active Directory.
Servicii de directoare ușoare Active Directory
Această versiune ușoară a serviciilor de domeniu înlătură o oarecare complexitate și funcționalitate avansată pentru a oferi doar funcționalitatea de bază a serviciilor de director, fără a utiliza controlere de domeniu, păduri sau domenii. De obicei utilizat în medii mici, de o rețea de birou.
Servicii de certificare Active Directory
Certificate Services oferă servicii de certificare digitală și sprijină infrastructura de chei publice sau PKI. Acest serviciu poate stoca, valida, crea și revoca acreditările cheilor publice utilizate pentru criptare, în loc să genereze chei extern sau local.
Servicii de federație Active Directory
Oferă un serviciu bazat pe web, autentificare de conectare unică și autorizare, în principal pentru utilizare între organizații. Astfel, un contractant s-ar putea conecta la propria sa rețea și ar putea fi autorizat pentru accesul său și la rețeaua clientului.
Servicii de gestionare a drepturilor Active Directory
Acesta este un serviciu de gestionare a drepturilor care descompune autorizarea dincolo de un model acordat sau acces refuzat și limitează ceea ce un utilizator poate face cu anumite fișiere sau documente. Drepturile și restricțiile sunt atașate documentului și nu utilizatorului. Aceste drepturi sunt utilizate în mod obișnuit pentru a preveni imprimarea, copierea sau preluarea unei capturi de ecran a unui document.
3. STRUCTURA ACTIVE DIRECTORY
O caracteristică cheie a structurii Active Directory este autorizarea delegată și replicarea eficientă. Fiecare parte a structurii organizaționale a AD limitează fie autorizarea, fie replicarea la acea anumită parte.
Pădure
Pădurea este cel mai înalt nivel al ierarhiei organizației. O pădure este o graniță de securitate în cadrul unei organizații. O pădure permite separarea delegării autorității într-un singur mediu. Aceasta prevede un administrator cu drepturi și permisiuni de acces complet, dar numai la un anumit subset de resurse. Este posibil să utilizați doar o singură pădure într-o rețea. Informațiile despre pădure sunt stocate pe toți controlorii de domeniu, în toate domeniile, în pădure.
Copac
Un arbore este un grup de domenii. Domeniile dintr-un copac împărtășesc același spațiu de nume rădăcină. În timp ce un copac împărtășește un spațiu pentru nume, copacii nu sunt limitati la securitate sau replicare.
Domenii
Fiecare pădure conține un domeniu rădăcină. Domeniile suplimentare pot fi utilizate pentru a crea partiții suplimentare într-o pădure. Scopul unui domeniu este de a rupe directorul în bucăți mai mici pentru a controla replicarea. Un domeniu limitează replicarea Active Directory numai la alte controlere de domeniu din același domeniu. De exemplu, un birou din Oakland nu ar trebui să reproducă datele AD din biroul din Pittsburg. Acest lucru economisește lățimea de bandă și limitează daunele provocate de o încălcare de securitate.
Fiecare controler de domeniu dintr-un domeniu are o copie identică a bazei de date Active Directory a domeniului respectiv. Aceasta este actualizată prin replicare constantă.
În timp ce domeniile au fost utilizate în modelul anterior bazat pe Windows-NT și încă oferă o barieră de securitate, recomandarea este să nu utilizați doar domenii pentru a controla replicarea, ci să utilizați unități organizaționale (OU) pentru a grupa și limita permisiunile de securitate.
Unități de organizare (OU)
O unitate organizațională prevede gruparea autorității într-un subset de resurse dintr-un domeniu. OU oferă o graniță de securitate pentru privilegii și autorizații crescute, dar nu limitează replicarea obiectelor AD.
OU-urile sunt utilizate pentru a delega controlul în cadrul grupărilor funcționale. OU ar trebui utilizate pentru a implementa și a limita securitatea și rolurile între grupuri, în timp ce domeniile ar trebui utilizate pentru a controla replicarea Active Directory.
4. CONTROLERE DE DOMENIU
Controlerele de domeniu sunt Windows Servers, care conțin baza de date Active Directory și îndeplinesc funcții legate de Active Directory, inclusiv autentificare și autorizare. Un controler de domeniu este orice server Windows instalat cu rolul Controler de domeniu.
Fiecare controler de domeniu stochează o copie a bazei de date Active Directory care conține informații despre toate obiectele din același domeniu. În plus, fiecare controler de domeniu stochează schema pentru întreaga pădure, precum și toate informațiile despre pădure. Un controler de domeniu nu va stoca o copie a oricărei scheme sau informații forestiere dintr-o pădure diferită, chiar dacă acestea sunt pe aceeași rețea.
Roluri de control de domeniu specializate
Rolurile de control de domeniu specializate sunt utilizate pentru a îndeplini funcții specifice care nu sunt disponibile pe controlerele de domeniu standard. Aceste roluri principale sunt atribuite primului controler de domeniu creat în fiecare pădure sau domeniu. Cu toate acestea, un administrator poate reasigna manual rolurile.
Schema master
Există un singur master de schemă pentru fiecare pădure. Acesta conține copia principală a schemei utilizate de toate celelalte controlere de domeniu. Dacă aveți o copie master se asigură că toate obiectele sunt definite la fel.
Master domain name
Pentru o pădure există un singur nume de domeniu. Maestrul de domeniu asigură că toate numele obiectelor sunt unice și, atunci când este necesar, obiecte de referință încrucișată stocate în alte directoare.
Master de infrastructură
Există un singur master de infrastructură pe domeniu. Maestrul infrastructurii păstrează lista obiectelor șterse și urmărește referințele pentru obiecte din alte domenii.
Master de identificare relativ
Există un master de identificare relativ pentru fiecare domeniu. Urmărește alocarea și crearea identificatorilor de securitate (SID) unici pe întregul domeniu.
Emulator principal de control al domeniului
Există un singur emulator principal de control al domeniului (PDC) pe domeniu. Există pentru a oferi compatibilitate înapoi din cele mai vechi sisteme de domenii bazate pe Windows NT. Răspunde la solicitările adresate unui PDC, așa cum ar fi avut-o un PDC vechi.
Magazin de date
Depozitarea și regăsirea datelor pe orice controler de domeniu este gestionată de magazinul de date. Magazinul de date este compus din trei straturi. Stratul de jos este baza de date în sine. Stratul de mijloc este componenta serviciului, Directory System Agent (DSA), stratul bazei de date și Extensible Storage Engine (ESE). Stratul superior este serviciul de stocare a directorilor, LDAP (Lightweight Directory Access Protocol), interfața de replicare, API-ul de mesagerie (MAPI) și Managerul conturilor de securitate (SAM).
5. DOMAIN NAME SYSTEM (DNS)
Active Directory conține informații despre locația obiectelor stocate în baza de date, cu toate acestea Active Directory folosește sistemul de nume de domeniu (DNS) pentru a localiza controlerele de domeniu.
În cadrul directorului activ, fiecare domeniu are un nume de domeniu DNS și fiecare computer conectat are un nume DNS în același domeniu.
Obiecte
Totul din Active Directory este stocat ca obiect. Clasa ar putea fi de asemenea definită ca „tipul” unui obiect din schemă. Atributele sunt componentele obiectului – atributele unui obiect sunt definite de clasa sa.
Obiectele trebuie definite în schemă înainte ca datele să poată fi stocate în director. Odată definite, datele sunt stocate în directorul activ sub formă de obiecte individuale. Fiecare obiect trebuie să fie unic și să reprezinte un singur lucru, cum ar fi un utilizator, computer sau un grup unic de lucruri (de exemplu, un grup de utilizatori).
Cele două tipuri principale de obiecte sunt resurse și directori de securitate. Directorilor de securitate li se atribuie identificatori de securitate (SID), dar resursele nu sunt.
6. REPLICARE
Active Directory utilizează mai multe controlere de domeniu din mai multe motive, inclusiv echilibrarea sarcinii și toleranța la erori. Pentru ca acesta să funcționeze, fiecare controler de domeniu trebuie să aibă o copie completă a bazei de date Active Directory a domeniului său. Asigurarea că fiecare operator are o copie curentă a bazei de date apare prin replicare.
Replicarea este limitată de domeniu. Controlerele de domeniu pe domenii diferite nu se reproduc între ele, chiar și în cadrul aceleiași păduri. Fiecare controler de domeniu este egal. Deși versiunile anterioare de Windows aveau controlere de domeniu primar și secundar, nu există așa ceva în Active Directory. Ocazional, există o anumită confuzie din cauza continuării numelui „controler de domeniu” de la vechiul sistem bazat pe încredere în Active Directory.
Replicarea funcționează pe un sistem de tragere, ceea ce înseamnă că un controler de domeniu solicită sau „trage” informațiile de la alt controler de domeniu, mai degrabă decât fiecare controler de domeniu care trimite sau „împinge” date către alții. În mod implicit, controlerii de domeniu solicită date de replicare la fiecare 15 secunde. Anumite evenimente de înaltă securitate declanșează un eveniment de replicare imediată, cum ar fi blocarea contului.
Doar modificările sunt replicate. Pentru a asigura fidelitatea într-un sistem multi-master, fiecare controler de domeniu urmărește modificările și solicită doar actualizări de la ultima replicare. Modificările sunt replicate pe întregul domeniu folosind un mecanism de stocare și transmitere, astfel încât orice modificare este replicată la solicitare, chiar dacă modificarea nu a avut originea pe controlerul de domeniu care a răspuns la solicitarea de replicare.
Ambele împiedică excesul de trafic și pot fi configurate pentru a se asigura că fiecare controler de domeniu solicită datele sale de replicare de la cel mai de dorit server. De exemplu, o locație la distanță cu o conexiune rapidă și o conexiune lentă la alte site-uri cu controlere de domeniu poate seta un „cost” pentru fiecare conexiune. În acest sens, cererea de replicare se va face prin conexiunea mai rapidă.
Sursa: https://www.paessler.com/it-explained/active-directory