| Director activ | |
|---|---|
| Tip de | Serviciul Director |
| Dezvoltator | Microsoft |
| Sistem de operare | Windows Server |
| Prima editie | 1999 |
| Platformă hardware | x86 , x86_64 și IA-64 |
| Formate de fișiere care pot fi citite | LDIF |
| Site-ul web | docs.microsoft.com/window... |
Active Directory („Active Directory”, AD ) este serviciile de directoare ale Microsoft pentru sistemele de operare din familia Windows Server . A fost creat inițial ca o implementare compatibilă LDAP a serviciului de director, cu toate acestea, începând cu Windows Server 2008, include capacitatea de a se integra cu alte servicii de autorizare, îndeplinind un rol de integrare și unificare pentru acestea. Permite administratorilor să utilizeze politicile de grup pentru a asigura personalizarea uniformă a mediului de lucru al utilizatorului, implementarea software -ului pe mai multe computere prin politica de grup sau prin System Center Configuration Manager(fostul Microsoft Systems Management Server), instalați actualizările de sistem de operare, aplicații și software de server pe toate computerele din rețea folosind Serviciul de actualizare Windows Server . Stochează datele și setările mediului într-o bază de date centralizată. Rețelele Active Directory pot varia în dimensiune de la câteva zeci la câteva milioane de obiecte.
Soluția a fost introdusă în 1999, lansată mai întâi cu Windows 2000 Server și apoi dezvoltată ca parte a lansării Windows Server 2003. Ulterior, noi versiuni ale produsului au fost incluse în Windows Server 2003 R2 , Windows Server 2008 și Windows Server 2008 R2 și redenumit Active Directory Domain Services . Serviciul de director a fost numit anterior NT Directory Service (NTDS), un nume care poate fi găsit încă în unele fișiere executabile .
Spre deosebire de versiunile de Windows anterioare Windows 2000, care foloseau în principal protocolul NetBIOS pentru comunicarea în rețea, Active Directory este integrat cu DNS și rulează numai prin TCP/IP . Protocolul de autentificare implicit este Kerberos . Dacă clientul sau aplicația nu acceptă autentificarea Kerberos, se folosește NTLM [1] .
Pentru dezvoltatorii de software, este furnizat un Active Directory Services API ( ADSI ) .
Active Directory are o structură ierarhică formată din obiecte. Obiectele se împart în trei categorii principale: resurse (cum ar fi imprimante ), servicii (cum ar fi e-mail ) și conturi de utilizator și computer. Serviciul oferă informații despre obiecte, vă permite să organizați obiecte, să controlați accesul la acestea și să stabilească reguli de securitate.
Obiectele pot fi depozite pentru alte obiecte (grupuri de securitate și distribuție). Un obiect este identificat în mod unic prin numele său și are un set de atribute - caracteristici și date pe care le poate conține; acestea din urmă, la rândul lor, depind de tipul obiectului. Atributele sunt baza constitutivă a structurii unui obiect și sunt definite în schemă. Schema definește ce tipuri de obiecte pot exista.
Schema în sine constă din două tipuri de obiecte: obiecte de clasă de schemă și obiecte de atribute de schemă. Un obiect de clasă de schemă definește un tip de obiect Active Directory (de exemplu, un obiect de utilizator), iar un obiect de atribut de schemă definește un atribut pe care un obiect îl poate avea.
Fiecare obiect de atribut poate fi utilizat în mai multe obiecte de clasă de schemă diferite. Aceste obiecte sunt numite obiecte schema (sau metadate ) și vă permit să modificați și să adăugați la schemă atunci când este necesar și posibil. Cu toate acestea, fiecare obiect de schemă face parte din definițiile obiectului, astfel încât dezactivarea sau modificarea acestor obiecte poate avea consecințe grave, deoarece structura directorului se va schimba ca urmare a acestor acțiuni. Modificarea obiectului schema este propagată automat către serviciul director. Odată creat, un obiect schema nu poate fi șters, poate fi doar dezactivat. De obicei, toate modificările de schemă sunt planificate cu atenție.
Un container este similar cu un obiect prin faptul că are și atribute și aparține unui spațiu de nume , dar spre deosebire de un obiect, un container nu reprezintă nimic specific: poate conține un grup de obiecte sau alte containere.
Nivelul superior al structurii este pădurea, colecția tuturor obiectelor, atributelor și regulilor (sintaxa atributelor) din Active Directory. Pădurea conține unul sau mai mulți copaci legați prin relații de încredere tranzitive . Arborele conține unul sau mai multe domenii, de asemenea conectate într-o ierarhie prin relații de încredere tranzitive. Domeniile sunt identificate prin structurile lor de nume DNS - spații de nume.
Obiectele dintr-un domeniu pot fi grupate în containere—OU-uri. Unitățile organizaționale vă permit să creați o ierarhie în cadrul unui domeniu, să simplificați administrarea acestuia și să modelați, de exemplu, structura organizațională sau geografică a unei organizații într-un serviciu de director. Diviziunile pot conține alte diviziuni. Microsoft recomandă utilizarea cât mai puține domenii în serviciul director și utilizarea unităților organizaționale pentru structurare și politici. Politicile de grup sunt adesea aplicate în mod specific unităților organizaționale. Politicile de grup sunt ele însele obiecte. O diviziune este cel mai de jos nivel la care poate fi delegată autoritatea administrativă .
Un alt mod de împărțire este site-urile, care sunt o modalitate de grupare fizică (mai degrabă decât logică) bazată pe segmente de rețea. Site-urile sunt împărțite în cele cu conexiuni prin canale de viteză mică (de exemplu, prin rețele globale , folosind rețele private virtuale ) și prin canale de mare viteză (de exemplu, printr-o rețea locală ). Un site poate conține unul sau mai multe domenii, iar un domeniu poate conține unul sau mai multe site-uri. Când proiectați un serviciu de director, este important să luați în considerare traficul de rețea generat atunci când datele sunt sincronizate între site-uri.
O decizie cheie în proiectarea unui serviciu de director este decizia de a împărți infrastructura informațională în domenii ierarhice și unități de nivel superior. Modelele tipice utilizate pentru această divizie sunt diviziile pe divizii funcționale ale companiei, după locația geografică și pe roluri în infrastructura informațională a companiei. Combinațiile acestor modele sunt adesea folosite.
Din punct de vedere fizic, informațiile sunt stocate pe unul sau mai multe controlere de domeniu echivalente care au înlocuit controlerele de domeniu primare și de rezervă utilizate în Windows NT , deși pentru unele operațiuni este păstrat și un așa-numit server de „operațiuni single-master” care poate emula un controler de domeniu principal. . Fiecare controler de domeniu păstrează o copie de citire/scriere a datelor. Modificările efectuate pe un controler sunt sincronizate cu toate controlerele de domeniu în timpul replicării . Serverele care nu au Active Directory instalat, dar care fac parte dintr-un domeniu Active Directory se numesc servere membre.
Replicarea directorului are loc la cerere. Serviciul KCC ( Knowledge Consistency Checker ) creează o topologie de replicare care utilizează site-urile definite în sistem pentru a controla traficul. Replicarea intrasite este efectuată frecvent și automat de un verificator de consistență (prin notificarea partenerilor de replicare cu privire la modificări). Replicarea pe mai multe site-uri poate fi configurată pentru fiecare link de site (în funcție de calitatea conexiunii) - fiecărei legături poate fi atribuită o „rată” (sau „cost”) diferită (de exemplu, DS3, T1 , ISDN ) și traficul de replicare va fi limitat, transmis programat și direcționat conform estimării canalului atribuit. Datele de replicare pot trece pe mai multe site-uri prin punți de link-uri de site-uri dacă „punctajul” este scăzut, deși AD atribuie automat un punctaj mai mic pentru link-urile de la site la site decât pentru link-urile de tranzit. Replicarea de la un site la altul este efectuată de serverele cap de pod din fiecare site, care apoi replic modificările la fiecare controler de domeniu din site-ul lor. Replicarea intradomeniu are loc prin protocolul RPC , în timp ce replicarea interdomeniu poate folosi, de asemenea, protocolul SMTP .
Dacă structura Active Directory conține mai multe domenii, se folosește un catalog global pentru a rezolva sarcina de căutare a obiectelor: un controler de domeniu care conține toate obiectele din pădure, dar cu un set limitat de atribute (o replică parțială). Catalogul este stocat pe serverele de catalog globale specificate și servește solicitări între domenii.
Capacitatea unică gazdă permite ca cererile să fie tratate atunci când replicarea multi-gazdă nu este permisă. Există cinci tipuri de astfel de operațiuni: Emulare controler de domeniu (Emulator PDC), Gazdă de identificare relativă (Master de identificare relativă sau Master RID), Gazdă de infrastructură (Master de infrastructură), Gazdă de schemă (Master Schema) și Gazdă de denumire de domeniu (Master de denumire a domeniului). ). Primele trei roluri sunt unice în domeniu, ultimele două sunt unice în întreaga pădure.
O bază de date Active Directory poate fi împărțită în trei depozite logice sau „partiții”. Schema este un șablon pentru serviciu și definește toate tipurile de obiecte, clasele și atributele acestora, sintaxa atributelor (toți arborii sunt în aceeași pădure deoarece au aceeași schemă). Configurația este structura pădurii și a arborilor Active Directory. Un domeniu stochează toate informațiile despre obiectele create în acel domeniu. Primele două magazine sunt replicate la toate controlerele de domeniu din pădure, a treia partiție este replicată complet între controlerele de replica din fiecare domeniu și parțial replicată pe serverele de catalog global.
Baza de date magazinul de directoare) din Windows 2000 utilizează Microsoft Jet Blue Extensible Storage Subsystem care fiecărui controler de domeniu să aibă o bază de date de până la 16 terabytes și 1 miliard de obiecte (o limită teoretică, testele practice au fost executate doar cu aproximativ 100). milioane de obiecte). Fișierul de bază este numit și are două tabele principale - un tabel de date și un tabel de legături. Windows Server 2003 a adăugat un alt tabel pentru a impune unicitatea instanțelor descriptorilor de securitate . NTDS.DIT
Serviciul acceptă următoarele formate de denumire a obiectelor: nume generice UNC , URL -uri și adrese URL LDAP. Versiunea LDAP a formatului de denumire X.500 este utilizată intern de serviciu.
Fiecare obiect are un nume distinctiv ( nume distinctiv în engleză , DN ) [2] . De exemplu, un obiect de imprimantă numit în OU Marketing și în domeniu ar avea următorul nume distinctiv: unde este numele comun, este secțiunea, este clasa obiectului domeniului. Numele accentuate pot avea mult mai multe părți decât cele patru părți din acest exemplu. Obiectele au și nume canonice. Acestea sunt numele distinctive scrise în ordine inversă, fără identificatori și folosind ca delimitatori bare oblice: . Pentru a identifica un obiect din containerul său, se folosește un nume distinctiv relativ: . Fiecare obiect are, de asemenea, un identificator unic global ( GUID ), care este un șir unic și imuabil de 128 de biți care este utilizat de Active Directory pentru căutare și replicare. Anumite obiecte au, de asemenea, un nume principal de utilizator (UPN, conform RFC 822 ) în formatul . HPLaser3foo.orgCN=HPLaser3,OU=Маркетинг,DC=foo,DC=orgCNOUDCfoo.org/Маркетинг/HPLaser3CN=HPLaser3объект@домен
Diverse niveluri de interacțiune cu Active Directory pot fi implementate pe majoritatea sistemelor de operare asemănătoare UNIX prin clienți LDAP, dar astfel de sisteme nu acceptă de obicei majoritatea atributelor asociate cu componentele Windows, cum ar fi politicile de grup și suportul pentru încredere unidirecțională. Cu toate acestea, odată cu lansarea Samba 4, a devenit posibilă utilizarea politicilor de grup și a instrumentelor de administrare Windows.
Furnizorii terți oferă integrare Active Directory pe platforme UNIX , Linux , Mac OS X și o gamă largă de aplicații Java , inclusiv Centrify DirectControl și Express, UNAB ( Computer Associates ), TrustBroker ( CyberSafe ), PowerBroker Identity Services ( BeyondTrust). ) [3] , Servicii de autentificare ( Quest Software ), ADmitMac ( Thursby ) [3] . Serverul Samba , o suită de software PowerBroker Identity Services compatibilă cu serviciile de rețea Microsoft, poate acționa ca un controler de domeniu [4] [5] .
Adăugările de schemă livrate cu Windows Server 2003 R2 includ atribute care sunt suficient de strâns legate de RFC 2307 pentru a fi de uz general. Implementările de bază ale RFC 2307 - nss_ldapși pam_ldapcele propuse de PADL.com suportă direct aceste atribute. Schema standard pentru apartenența la grup urmează RFC 2307bis (propus) [6] . Windows Server 2003 R2 include Microsoft Management Console pentru crearea și editarea atributelor.
O alternativă este utilizarea unui alt serviciu de director, cum ar fi 389 Directory Server (fost Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory sau Sun Java System Directory Server , care efectuează sincronizare bidirecțională cu Active Directory , implementând o astfel de integrare „reflectată”, atunci când clienții sistemelor UNIX și Linux sunt autentificați pe propriile servere, iar clienții Windows sunt autentificați în Active Directory. O altă opțiune este să utilizați OpenLDAP cu caracteristica de suprapunere translucidă care extinde intrările serverului LDAP la distanță cu atribute suplimentare stocate în baza de date locală.
Active Directory este automatizat folosind Powershell [7] .
| Microsoft | ||
|---|---|---|
| PE | ||
| Software de server |
| |
| Tehnologie |
| |
| Internet |
| |
| Jocuri | ||
| Hardware _ | ||
| Educaţie | ||
| Licențiere | ||
| Subdiviziuni | ||
| Campanii de publicitate |
| |
| Consiliu de Administratie | ||