Active Directory Domain Controler (AD DC)
Grupa robocza (1) Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki. Jest określana mianem równoprawnej, gdyż wszystkie komputery współdzielą zasoby na równych prawach. Każdy komputer grupy roboczej utrzymuje lokalną bazę danych o zabezpieczeniach: lista kont użytkowników i informacja o zabezpieczeniach lokalnych zasobów.
Grupa robocza (2) Administracja kontami użytkowników i zabezpieczeniami jest zdecentralizowana użytkownik musi mieć konto na każdym komputerze do zasobów którego chce mieć dostęp. Czynności administracyjne mają charakter czysto lokalny należy je wykonywać na każdym komputerze grupy oddzielnie.
Grupa robocza (3)
Grupa robocza (4) Nie wymaga komputera z systemem co najmniej 2000 Server dla utrzymywania zcentralizowanej bazy informacji o zabezpieczeniach. Prosta do zaprojektowania i wdrożenia Odpowiednia dla niewielkiej ilości komputerów położonych w bliskim sąsiedztwie. Przeznaczona dla niewielkiej liczby użytkowników nie wymagających centralnej administracji.
Domena Windows (1) Jest logiczną grupą komputerów w sieci współdzielących centralną, katalogową bazę danych. Baza składa się z kont użytkowników, informacji o pozostałych zasobach w sieci oraz zabezpieczeniach w domenie. W Windows 2000/3/8 katalogowa baza danych nazywa się katalogiem i jest częścią usług obsługujących bazę danych Active Directory. W domenie katalog znajduje się na komputerach skonfigurowanych jako kontrolery domeny.
Domena Windows (2) Udostępnia scentralizowaną administrację, ponieważ wszystkie informacje przechowywane są lokalnie. Umożliwia użytkownikom jednokrotne logowanie się w celu uzyskania dostępu do określonych zasobów sieci (zgodnie z uprawnieniami). Jest skalowalna, co umożliwia tworzenie dużych struktur sieciowych.
Domena Windows (4)
Cechy usługi Active Directory Organizuje zasoby w domenie w sposób hierarchiczny. Skalowalność wynikająca z podziału zasobów sieci na jednostki logiczne. Wsparcie dla otwartych standardów - scala w sobie koncepcję internetowej przestrzeni nazw z usługami katalogowymi Windows NT. Wykorzystuje DNS i może wymieniać informację z dowolnymi usługami wykorzystującymi LDAP (Lightweight Directory Access Protocol).
Struktura usługi AD Usługa rozdziela sieć na strukturę logiczną i fizyczną. Zasoby zorganizowane są w strukturze logicznej, co pozwala na odnajdywanie zasobów przy użyciu ich nazw, a nie lokalizacji. Przestrzeń nazw ograniczony obszar w obrębie którego nazwa reprezentująca obiekt może być odnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów.
Organizacja logiczna Przestrzeń nazw ciągła jeśli nazwa każdego obiektu zawiera sufiks będący nazwą obiektu nadrzędnego oraz istnieje jeden obiekt wyróżniony, którego nazwa jest sufiksem wszystkich pozostałych. Wyróżniony obiekt to korzeń drzewa nazw.
Struktura logiczna (2) Obiekt wyróżniony i nazwany zbiór atrybutów reprezentujących np. użytkownika, komputer,... Zbiór klas zestaw możliwych rodzajów obiektów występujących w AD. Schemat opis wszystkich klas i wszystkich związanych z nimi atrybutów.
Organizacja logiczna (3) Nazwa opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki: DC Domain Component (Microsoft, com) CN Common Name (Users, Jan) OU Organisation Unit O Organisation (Internet) Internet.com.Microsoft.Users.Jan
Struktura logiczna (4) Domena podstawowa jednostka administracji wymagająca istnienia co najmniej jednego kontrolera. Drzewo domen wiele domen mających wspólny schemat i konfigurację, tworzących ciągłą przestrzeń nazw. Domeny połączone są przez przechodnie i zwrotne relacje zaufania weryfikowane przez protokół Kerberos.
Model domeny
Model drzewa domen
Struktura logiczna (5) Las zbiór składający się z wielu drzew domen, które nie tworzą ciągłej przestrzeni nazw. Replika kopia bazy danych przechowywana przez kontroler domeny. Partycja jednostka replikacji bazy danych AD. Podstawowe to: partycja domeny, partycja schematu, partycja konfiguracji.
Przykład lasu domen
Struktura logiczna (6) Partycja domeny informacje o obiektach w domenie. Replikowana w całości na każdy kontroler domeny. Partycja schematu zawiera definicje schematów (klasy, atrybuty). Partycja konfiguracji informacje o wszystkich domenach w lesie, kontrolerach i topologii replikacji.
Względna nazwa wyróżniająca (RDN) Część pełnej nazwy wyróżniającej wykorzystywana do odnajdowania obiektów przez odpytywanie (nazwa wyróżniająca nie jest dokładnie znana). Zazwyczaj jest to CN obiektu nadrzędnego. W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN.
Unikalny identyfikator globalny Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość. Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona. Tożsamość definiuje Unikalny identyfikator globalny (GUID Globally Unique Identifier). GUID liczba 128 bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu. W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID). Identyfikator GUID jest przechowywany w atrybucie o nazwie objectguid (każdy obiekt).
Nazwa główna użytkownika User Principal Name (UPN) jest przyjazną, krótszą -> łatwiejszą do zapamiętania od DN. Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych @ (kowalski@bss.data.com). UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usunięty bez wpływu na sposób logowania.
Struktura fizyczna (1) Ściśle związana z DNS. Nazwy domen to nazwy DNS. AD wykorzystuje DNS do lokalizacji usług. Siedziba (site) jedna lub więcej podsieci IP (wysoka jakość połączenia). Siedziba może zawierać kontrolery wielu domen, jak i pojedyncza domena może rozciągać się na wiele siedzib.
Struktura fizyczna (2) Siedziby służą: Ograniczeniu ruchu replikacyjnego. Kierowania klienta do najbliższego mu serwera oferującego żądaną usługę. Siedziby muszą być połączone, aby możliwa była komunikacja (głównie replikacyjna) między kontrolerami domen. Połączenie obszar zawierający jedną lub wiele siedzib, w obrębie którego serwery z różnych siedzib mogą łączyć się ze sobą.
Implementacja usługi Model danych bazuje na modelu X.500. Schemat jest zaimplementowany jako zbiór wystąpień klas obiektów składowanych w katalogu. Model zabezpieczeń bazuje na strukturze Trusted Computing Base (TCB) z listami kontroli dostępu. Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania. Directory System Agent (DSA)-proces zarządzający fizycznym składowaniem katalogu. Izoluje klientów od fizycznego formatu składowanych danych.
Dostęp do usługi Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji: LDAP MAPI-RPC (Messaging Application Program Interface Remote Procedure Call) X.500 Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)
Model warstwowy usługi AD
Interfejsy LDAP protokół komunikacyjny w sieciach TCP/IP, umożliwia dostęp do usługi AD aplikacjom systemowym jak również tworzenie własnych aplikacji (otwarty standard). REPL wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjna i międzylokacyjna). SAM komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT). MAPI dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC.
Składniki usługi AD Directory System Agent (DSA) tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla interfejsów programowych aplikacji API. Database Layer warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych. Extensible Storage Engine komunikuje się bezpośrednio z rekordami w magazynie katalogu. Data store plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil).
Directory System Agent (DSA) Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia: Identyfikację obiektu. Przetwarzanie transakcji. Wymuszanie uaktualniania schematu. Wymuszanie kontroli dostępu. Wspiera replikacje. Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki).
Motor ESE Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.dit w folderze %systemroot%\system32). Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~10 8 rekordów). Przystosowany do obsługi rzadkich wierszy macierzy. Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu). Umożliwia przechowywanie atrybutów o wielu wartościach.
Baza danych usługi AD Domyślna lokalizacja: %systemroot%\ntds.dit. Podczas instalacji możliwa zmiana lokalizacji. Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach lepsza wydajność. W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10). Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa.
Udostępniony wolumen systemowy Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad dla grup (zbiory ustawień konfiguracyjnych powiązane z poszczególnymi komputerami, lokacjami, domenami dla sterowania zachowaniem pulpitów użytkowników). Domyślna lokalizacja: %systemroot%\sysvol. Udostępniony wolumen systemowy musi znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0. Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD (co 90 +rand(1..30) min).
Instalacja pierwszego kontrolera domeny (1)
Instalacja pierwszego kontrolera domeny (2)
Instalacja pierwszego kontrolera domeny (3)
Instalacja pierwszego kontrolera domeny (4)
Instalacja pierwszego kontrolera domeny (5)
Instalacja pierwszego kontrolera domeny (6)
Instalacja pierwszego kontrolera domeny (7)
Instalacja pierwszego kontrolera domeny (8)
Instalacja pierwszego kontrolera domeny (9)
Instalacja pierwszego kontrolera domeny (10)
Instalacja pierwszego kontrolera domeny (11)
Instalacja pierwszego kontrolera domeny (12)
Instalacja pierwszego kontrolera domeny (13)
Instalacja pierwszego kontrolera domeny (14)
Instalacja pierwszego kontrolera domeny (15)
Instalacja pierwszego kontrolera domeny (16)
Podłączanie klienta do domeny (1) Przeprowadza się od strony klienta
Podłączanie klienta do domeny (2)
Podłączanie klienta do domeny (3)
Drugi kontroler domeny (1)
Drugi kontroler domeny (2)
Drugi kontroler domeny (3)
Drugi kontroler domeny (4)
Drugi kontroler domeny (5)
Drugi kontroler domeny (6)
Administrowanie zasobami domeny
Konta domyślne Wbudowane konta logowania pseudokonta instalowane wraz z systemem operacyjnym, aplikacjami i usługami. Wstępnie zdefiniowane konta użytkowników i grup tworzone przez system. Wbudowane zabezpieczenia główne specjalne grupy tworzone w momencie uzyskiwania dostępu do zasobów sieciowych, zwane tożsamościami specjalnymi.
Wbudowane konta logowania Do realizacji zadań specjalnych: System lokalny (LocalSystem) do uruchamiania procesów systemowych i obsługi zadań systemowych. Większość usług korzysta z tego konta przy uruchamianiu. Usługa lokalna (LocalService) do uruchamiania usług wymagających specjalnych uprawnień. Np. alarmy. Usługa sieciowa (NetworkService) do uruchamiania usług wymagających dodatkowych praw dostępu do sieci. Np. dzienniki wydajności.
Wbudowane konta użytkowników W przypadku serwerów członkowskich są kontami lokalnymi. Mają swoje odpowiedniki w katalogu AD: 1. Administrator nieograniczony dostęp do plików, katalogów, usług i całego systemu. Nie można go usunąć. 2. ASPNET wykorzystywane przez system.net Framework do uruchamiania procesów. 3. Gość zaprojektowane z myślą o użytkownikach wymagających jednorazowego lub okazjonalnego dostępu do systemu. 4. Pomocnik wykorzystywane przez wbudowaną usługę: Pomoc i obsługa techniczna.
Możliwości kont Przywileje rodzaj uprawnienia pozwalającego użytkownikowi na wykonywanie określonych zadań administracyjnych. Mogą być przypisane do kont użytkowników i grup. Prawa logowania typ uprawnienia przyznający możliwość logowania się do systemu. Uprawnienia wbudowane przypisany grupom i zawierający ich automatyczne możliwości. Są wstępnie zdefiniowane i nie mogą być zmieniane. Np. Administratorzy, operatorzy kont. Prawa dostępu definiują operacje, które mogą być wykonywane na zasobach sieciowych. Mogą być przypisane użytkownikom, grupom i komputerom.
Grupy Stanowią inny typ konta. Umożliwiają proste przydzielanie uprawnień kontom użytkowników. Prawa dostępu do różnych zasobów można przydzielać po prostu tworząc odpowiednie grupy i włączając do nich odpowiednich użytkowników. Ponieważ w różnych domenach mogą istnieć grupy o tych samych nazwach, nazwę grupy podaje się w postaci domena\nazwa_grupy lub podając FQDN dla grupy.
Rodzaje grup (1) Grupy lokalne zdefiniowane na lokalnym komputerze. Odnoszą się tylko do tego komputera. Tworzy się przy pomocy narzędzia Lokalni użytkownicy i grupy. Grupy zabezpieczeń grupy mające przydzielone identyfikatory zabezpieczeń SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory. Grupy dystrybucji wykorzystywane jako listy dystrybucyjne poczty elektronicznej. Nie posiadają SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory.
Rodzaje grup 2 Lokalne domenowe wykorzystywane do przydzielania uprawnień w granicach pojedynczej domeny. Członkami mogą być użytkownicy oraz grupy z tej domeny. Wbudowane grupy lokalne grupy o specjalnym zakresie działania posiadające uprawnienia domeny lokalnej. Globalne grupy używane do przydzielania uprawnień do obiektów w dowolnej domenie należącej do drzewa lub lasu domen. W jej skład wchodzą konta z domeny, w której zdefiniowano grupę. Uniwersalne grupy wykorzystywane do przyznawania uprawnień w obrębie całego drzewa lub lasu. W jej skład mogą wchodzić konta użytkowników, grupy globalne oraz inne grupy uniwersalne z domeny, drzewa lub lasu.
Definiowanie użytkownika domenowego
Hasło użytkownika Duże i małe litery rozróżnialne. Złożoność (pula znaków, długość, hasła słownikowe ).
Podsumowanie i braki
Dodatkowe atrybuty użytkownika