Domeniul Active Directory - ceea ce este în cuvinte simple, descriere și recenzii

Orice utilizator novice, confruntat cu abrevierea AD, se întreabă ce este Active Directory? Active Directory este un serviciu de directoare dezvoltat de rețele Microsoft pentru domenii Windows. Este inclus în majoritatea sistemelor de operare Windows Server ca set de procese și servicii. Inițial, serviciul sa ocupat doar de gestionarea centralizată a domeniului. Cu toate acestea, din moment ce Windows Server 2008, AD a devenit numele pentru o gamă largă de servicii de autentificare bazate pe director. Acest lucru face Active Directory pentru începători mai optim pentru învățare.

Definiție de bază

Serverul care execută Active Directory Domain Services se numește controler de domeniu. El autentifică și autorizează toți utilizatorii și calculatoarele din domeniu de rețea pentru Windows, atribuirea și aplicarea politicii de securitate pentru toate PC-uri, precum și instalarea sau actualizarea software-ului. De exemplu, atunci când un utilizator se conectează la un computer care este inclus în domeniul Windows, Active Directory verifică parola furnizate și determină dacă obiectul este un administrator de sistem sau un utilizator obișnuit. De asemenea, vă permite să gestionați și să stocheze informații care oferă mecanisme de autentificare și autorizare, și stabilește cadrul pentru implementarea altor servicii legate de: Servicii de certificare, federale și ușoare de repertorii și Information Rights Management.

Active Directory utilizează versiunea 2 a versiunii LDAP și versiunea 3, versiunea Kerberos de la Microsoft și DNS.

Active Directory - ce este? Cu cuvinte simple despre complex

Urmărirea datelor din rețea este o sarcină care necesită mult timp.Chiar și în rețelele mici, utilizatorii tind să aibă dificultăți în găsirea de fișiere de rețea și de imprimante.Fără un catalog, rețelele medii și mari nu pot fi gestionate și de multe ori trebuie să se confrunte cu dificultăți în găsirea de resurse.

Versiunile anterioare ale Microsoft Windows au inclus servicii care ajută utilizatorii și administratorii să găsească date.Mediul de rețea este util în multe medii, dar dezavantajul evident este interfața incomodă și imprevizibilitatea acesteia.Managerul WINS și Managerul de servere pot fi utilizate pentru a vizualiza lista de sisteme, dar acestea nu au fost disponibile utilizatorilor finali.Administratorii au folosit Managerul de utilizator pentru a adăuga și a șterge datele dintr-un alt tip de obiect de rețea complet diferit.Aceste aplicații s-au dovedit a fi ineficiente pentru a lucra în rețele mari și au cauzat întrebarea, de ce în compania Active Directory?

Catalogul, în sensul cel mai general, este o listă completă de obiecte.O agenda telefonică este un tip de director care stochează informații despre oameni, companii și organizații guvernamentale și de obicei, scriu nume, adrese și numere de telefon. Puneți o întrebare, Active Directory - ceea ce este, în cuvinte simple puteți spune că această tehnologie este similară cu directorul, dar este mult mai flexibilă.AD stochează informații despre organizații, site-uri, sisteme, utilizatori, acțiuni și orice alt obiect de rețea.

Introducere în conceptele Active Directory

De ce are o organizație nevoie de Active Directory? După cum sa menționat în introducerea în Active Directory, serviciul stochează informații despre componentele rețelei. Manualul "Active Directory pentru începători" spune că acesta este permite clienților să găsească obiecte în spațiul lor de nume. Acest tTermenul (numit și copacul consolei) se referă la zona în care poate locui componenta de rețea.De exemplu, cuprinsul creează un spațiu de nume în care capitolele pot fi legate de numerele paginilor.

DNS este un arbore consola care rezolvă numele gazdă la adrese IP, cum ar fiAgendele telefonice oferă un spațiu de nume pentru rezoluția numelui pentru numerele de telefon. Și cum se întâmplă acest lucru în Active Directory? AD oferă un arbore consola pentru rezolvarea numelor de obiecte de rețea ale obiectelor și obiectelor poate rezolva o gamă largă de obiecte, inclusiv utilizatori, sisteme și servicii în rețea.

Obiecte și atribute

Orice lucru care urmărește Active Directory este considerat un obiect. Puteți spune cu cuvinte simple că acest lucru este în Active Directory este orice utilizator, sistem, resursă sau serviciu.Este folosit un obiect generic, deoarece AD ​​poate urmări mai multe elemente și multe obiecte pot partaja atribute comune. Ce înseamnă asta?

Atributele descriu obiectele din directorul activ Active Directory, de exemplu, toate obiectele utilizator partajează atributele pentru a stoca numele de utilizator. Acest lucru este valabil și pentru descrierea acestora. Sistemele sunt, de asemenea, obiecte, dar au un set separat de atribute care includ numele gazdei, adresa IP și locația.

Un set de atribute disponibile pentru orice tip de obiect special se numește schemă. Ea face clase de obiecte diferite unul de celălalt. Informațiile despre schemă sunt de fapt stocate în Active Directory. Care este comportamentul protocolului de securitate este foarte important, este faptul că sistemul permite administratorilor sa adauge atribute clase de a se opune și de a le distribui în întreaga rețea în toate colțurile domeniului, fără a fi nevoie să reporniți toate controlerele de domeniu.

Numele containerului și LDAP

Un container este un tip special de obiect care este utilizat pentru a organiza funcționarea serviciului. Nu reprezintă un obiect fizic, ca utilizator sau sistem. În schimb, este folosit pentru a grupa alte elemente. Containerele pot fi imbricate în alte recipiente.

Fiecare element din AD are un nume. Acestea nu sunt cele cu care vă obișnuiți, de exemplu, Ivan sau Olga. Acestea sunt numele distins al LDAP. Diferitele nume LDAP sunt complexe, dar vă permit să identificați orice obiect din directorul unic, indiferent de tipul acestuia.

Arborele termenilor și site-ului

Un arbore termen este folosit pentru a descrie un set de obiecte în Active Directory. Ce este asta? În termeni simpli, acest lucru poate fi explicat cu ajutorul unei asociații de copaci. Atunci când containerele și obiectele sunt combinate ierarhic, ele tind să formeze ramuri - de aici numele. Un termen asociat este un substrat continuu care se referă la un trunchi principal de arbore inseparabil.

Continuând metafora, termenul "pădure" descrie un agregat care nu face parte din același spațiu de nume, dar are o schemă, o configurație comună și un catalog global. Obiectele din aceste structuri sunt disponibile tuturor utilizatorilor, dacă securitatea permite acest lucru. Organizațiile, împărțite în mai multe domenii, ar trebui să grupeze copaci într-o pădure.

Un site este o locație geografică definită în Active Directory. Site-urile corespund subrețelelor IP logice și, ca atare, pot fi utilizate de aplicații pentru a găsi cel mai apropiat server din rețea. Utilizarea informațiilor despre site din Active Directory poate reduce dramatic traficul pe rețelele globale.

Gestionarea Active Directory

Active Directory snap-in este utilizatorul. Acesta este cel mai convenabil instrument pentru administrarea Active Directory.Este accesibil direct din grupul "Administrare" din meniul "Start".Înlocuiește și îmbunătățește funcționarea Managerului de Server și a User Manager din Windows NT 4.0.

siguranță

Active Directory joacă un rol important în viitorul rețelelor Windows.Administratorii ar trebui să fie capabili să-și protejeze directorul de intruși și de utilizatori, delegând sarcinile altor administratori.Toate acestea sunt posibile folosind un model de securitate Active Directory care asociază un ACL cu fiecare atribut al containerului și al obiectului din director.

Un nivel ridicat de control permite administratorului să furnizeze diferiți utilizatori și grupuri cu diferite niveluri de permisiune pentru obiecte și proprietățile acestora.Ele pot adăuga chiar atribute obiectelor și pot ascunde aceste atribute din anumite grupuri de utilizatori.De exemplu, puteți instala un ACL astfel încât numai managerii să poată vizualiza telefoanele de acasă ale altor utilizatori.

Administrație delegată

Conceptul, nou pentru Windows 2000 Server, este administrarea delegată.Acest lucru vă permite să alocați sarcini altor utilizatori fără a acorda drepturi suplimentare de acces.Administrarea delegată poate fi atribuită prin obiecte specifice sau prin subrețele continue ale directorului.Aceasta este o metodă mult mai eficientă de a acorda autoritate rețelelor.

Îndestinația pentru oricine din toate drepturile de administrator la nivel global, utilizatorului i se pot acorda permisiuni doar într-un anumit sub-domeniu.Active Directory acceptă moștenirea, astfel încât orice obiecte noi să moștenească ACL-ul containerului.

Termenul "relație de încredere"

Termenul "relație de încredere" este încă folosit, dar încredere în relații au funcționalități diferite.Nu există nicio distincție între încrederea într-un singur sens și în ambele sensuri. La urma urmei, toate relațiile de încredere în Active Directory sunt bidirecționale.În plus, toate sunt transitive.Deci, dacă domeniul A are încredere în domeniul B și B are încredere în C, atunci există o relație automată de încredere implicită între domeniul A și domeniul C.

Auditul în Active Directory - ce înseamnă cuvintele simple? Aceasta este o caracteristică de securitate care vă permite să determinați cine încearcă să acceseze obiecte și cât de reușit este această încercare.

Utilizarea DNS (Domain Name System)

sistem nume de domenii, într-un alt mod, DNS este necesar pentru orice organizație conectată la Internet.DNS oferă o rezoluție de nume între nume comune, cum ar fi mspress.microsoft.com, și adrese IP neprocesate care utilizează componente de rețea pentru comunicare.

Active Directory folosește în mare măsură tehnologia DNS pentru a găsi obiecte.Aceasta este o schimbare semnificativă în comparație cu sistemele anterioare de operare Windows, care necesită ca nume NetBIOS sunt permise adresele IP, și se bazează pe alte VICTORII sau tehnici de rezolvare de nume NetBIOS.

Active Directory funcționează cel mai bine atunci când este utilizat cu servere DNS care rulează Windows 2000.Microsoft a simplificat tranziția administratorilor la serverele DNS care execută Windows 2000, oferind consultanților de migrare care gestionează administratorul prin acest proces.

Alte servere DNS pot fi utilizate. Cu toate acestea, în acest caz, administratorii vor trebui să petreacă mai mult timp gestionând bazele de date DNS. Care sunt nuanțele?Dacă decideți să nu utilizați servere DNS care rulează Windows 2000, trebuie să vă asigurați că serverele DNS se potrivesc cu noul protocol dinamic de actualizare DNS.Serverele se bazează pe actualizarea dinamică a înregistrărilor pentru a găsi controlori de domeniu. Acest lucru este incomod. La urma urmei, eDacă actualizarea dinamică nu este acceptată, trebuie să actualizați manual baza de date.

Domeniile Windows și domeniile Internet sunt acum pe deplin compatibile.De exemplu, un nume precum mspress.microsoft.com, va determina Active Directory controlere de domeniu sunt responsabili pentru domeniu, astfel încât orice client cu DNS-Access poate localiza un controler de domeniu. Clienții pot utiliza rezoluția DNS pentru a căuta orice număr de servicii, deoarece serverele Active Directory publică lista de adrese către DNS utilizând noi caracteristici de actualizare dinamică.Aceste date sunt definite ca un domeniu și publicate prin intermediul înregistrărilor resurselor de servicii.SRV RR urmează formatul service.protocol.domain.

Serverele Active Directory furnizează un serviciu LDAP pentru a găzdui un obiect și LDAP utilizează TCP ca protocol de bază pentru transport.Prin urmare, un client care caută un server Active Directory în domeniul mspress.microsoft.com va căuta o înregistrare DNS pentru ldap.tcp.mspress.microsoft.com.

Directorul global

Active Directory furnizează un catalog global (GC) și oferă o singură sursă pentru găsirea oricărui obiect în rețeaua organizației.

Un catalog global este un serviciu în Windows 2000 Server care permite utilizatorilor să găsească orice obiecte cărora le-a fost acordat accesul.Această funcționalitate depășește cu mult capabilitățile Găsirea unui computer, inclus în versiunile anterioare de Windows. La urma urmei, utilizatorii pot căuta orice obiect în Active Directory: servere, imprimante, utilizatori și aplicații.