Jarosław Kuchta Active Directory
Usługa katalogowa Użytkownicy Konta Przywileje Profile Inne katalogi Białe strony E - Biznes Klienci Windows Profile zarządzania Informacja sieciowa Active Directory Serwery Windows Usługi Drukarki Udostępnione pliki Urządzenia sieciowe Konfiguracja Jakość usługi Bezpieczeństwo Inne usługi sieciowe Rejestr użytkownika Bezpieczeństwo Zapora sieciowa Konfiguracja Bezpieczeństwo VPN Serwery pocztowe Skrzynka pocztowa Książka adresowa Aplikacje Konfiguracja serwera Pojedyncze logowanie Opcje aplikacji Active Directory 2
Najważniejsze cechy AD zgodność z TCP/IP obsługa LDAP obsługa DNS obsługa zabezpieczeń (IPsec, Kerberos, SSL) łatwość zarządzania narzędzia wiersza polecenia w skryptach zarządzanie bez monitora i klawiatury zasady ograniczeń oprogramowania Active Directory 3
Domena AD logiczny obszar ograniczający w strukturze AD. zawiera użytkowników i komputery tworzy przestrzeń nazw określa granice zabezpieczeń określa własne reguły (np. doboru haseł) Active Directory 4
Drzewo domen AD firma.com gdansk.firma.com warszawa.firma.com krakow.firma.com Relacje zaufania dwukierunkowe przechodnie Relacja zaufania między domenami jest przechodnia, ale uprawnienia domyślnie nie są przenoszone. Administrator musi jawnie nadać uprawnienia użytkownikom z innej domeny, aby mieli oni dostęp do danej domeny. Active Directory 5
Las domen Relacje zaufania łączą korzenie drzew Las nie tworzy wspólnej przestrzeni nazw Active Directory 6
Poziomy funkcjonalności domen Windows 2000 mieszany kontrolery domen Windows Server 2003 mogą się komunikować z kontrolerami domen Windows NT i Windows 2000 Windows 2000 macierzysty w lesie mogą znajdować się tylko kontrolery domen Windows Server 2003 i kontrolery domen Windows 2000 Windows.NET tymczasowy w lesie mogą znajdować się tylko kontrolery domen Windows Server 2003 i kontrolery domen Windows NT 4.0 Windows.NET wszystkie kontrolery domen muszą mieć funkcjonalność Windows Server 2003 Active Directory 7
Składniki Active Directory (1) Schemat (schema) definiuje typy obiektów w katalogu i ich możliwe atrybuty. Rozszerzanie i modyfikowanie schematu ADSI Edit. obiekty schematu użytkownicy, komputery, drukarki, lokacje każdy obiekt ma atrybuty zgodne ze schematem Protokół LDAP do odpytywania i aktualizacji Active Directory nazwa wyróżniająca (distinguished name) CN nazwa wspólna (Common Name) OU jednostka organizacyjna (Organization Unit) DC składnik nazwy DNS (DNS Component) Active Directory 8
Składniki Active Directory (2) Wykaz globalny (global catalog) niepełna kopia zawartości katalogu atrybuty potrzebne do wyszukania obiektu indeksuje wszystkie obiekty potrzebny szybki dostęp Active Directory 9
Role wzorców operacji wzorzec schematu (Schema Master) serwer główny pozwalający na zapis schematu AD, może być tylko jeden w lesie wzorzec nazw domen (Domain Naming Master) serwer odpowiedzialny za dodawanie domen do lasu, może być tylko jeden w lesie emulator PDC (Emulator PDC) obsługuje starszych klientów emulując funkcjonalność kontrolerów domeny NT wzorzec RID (RID Master) dla potrzeb nadawania uprawnień stosuje się identyfikator SID, który składa się z dwóch części: identyfikatora SID domeny i identyfikatora RID unikatowego dla każdego obiektu w domenie. Mistrz RID nadaje RID dla obiektów. Może być tylko jeden w domenie. wzorzec infrastruktury (Infrastructure Master) zarządza odwołaniami do obiektów domeny spoza tej domeny. Może być tylko jeden w domenie. Active Directory 10
Grupy AD grupa lokalna maszyny (local machine group) obejmuje obiekty w jednej maszynie grupa lokalna domeny (domain machine group) obejmuje obiekty należące do tej samej domeny grupa globalna (global group) obejmuje obiekty należące do jednej domeny, ale służy do przyznawania dostępu do zasobów w innych zaufanych domenach grupa uniwersalna (universal group) zawiera obiekty z dowolnej domeny w lesie i umożliwia przydzielanie dostępu do dowolnego zasobu w lesie Active Directory 11
Replikacja AD lokacja (site) DC łącze lokacji DC DC DC serwer przyczółkowy DC serwer przyczółkowy DC replikacja przyrostowa Active Directory 12
Przestrzenie nazw DNS zewnętrzna (opublikowana) przestrzeń nazw poczta.firma.com wewnętrzna (ukryta) przestrzeń nazw nie ma potrzeby kończyć na.com Active Directory 13
Modele domen Pojedyncza domena Wiele poddomen Wiele drzew w jednym lesie Lasy zaufane Model z poboczną domeną główną Model z domeną segregatorem Domeny do specjalnych zastosowań Active Directory 14
Model z pojedynczą domeną Zalety: prostota scentralizowanie administracji Wady: nie dla każdej organizacji duże zagrożenie przez umieszczenie wzorca schematu w domenie użytkowników Active Directory 15
Przykład Firma DeBest ma siedzibę w Warszawie i kilka biur regionalnych w Gdańsku, Poznaniu i Krakowie debest.com.pl Warszawa Gdansk Poznan Krakow Active Directory 16
Model z wieloma poddomenami Zdecentralizowana administracja Ograniczenia geograficzne (wolne lub zawodne łącza) Odrębne przestrzenie nazw DNS Różne reguły haseł Potrzeba wyższego bezpieczeństwa (oddzielenie roli wzorca schematu od domeny użytkowników) Active Directory 17
Przykład Firma ubezpieczeniowa Bezpieczna Przystań ma osobne organizacje zajmujące się ubezpieczeniami na życie, komunikacyjnymi i domowymi. bezpieczna-przystan.com.pl zycie.bezpieczna-przystan.com.pl auto.bezpieczna-przystan.com.pl dom.bezpieczna-przystan.com.pl Active Directory 18
Wiele drzew w jednym lesie wiele przestrzeni nazw zapewnienie zaufania w różnorodnej przestrzeni nazw gdansk.pl gdynia.pl sopot.pl domena główna (korzeń lasu) Active Directory 19
Model z lasami zaufanymi Połączenie dwóch odrębnych struktur AD w wyniku restrukturyzacji Oddzielne struktury bezpieczeństwa, wymiana informacji gdansk.nasza-kasa.pl nasza-kasa.pl b-s.com.pl malbork.b-s.com.pl warszawa.nasza-kasa.pl sztum.b-s.com.pl krakow.nasza-kasa.pl kwidzyn.b-s.com.pl Active Directory 20
Model z poboczną domeną główną oddzielenie wzorca schematu od użytkowników koszt sprzętu kontroler domeny ze wzorcem schematu powinien być zdublowany debest.com.pl schema-debest.com.pl Warszawa Gdansk Poznan Krakow Active Directory 21
Model z domeną-segregatorem pusta domena ze wzorcem schematu poddomeny z użytkownikami domena główna (korzeń lasu) trojmiasto.pl gdansk.trojmiasto.pl gdynia.trojmiasto.pl sopot.trojmiasto.pl Active Directory 22
Domeny specjalnego przeznaczenia specjalna domena dla kontrahentów zapewnienie bezpieczeństwa debest.com.pl kontrahenci.db.com.pl Warszawa Gdansk Poznan Krakow Active Directory 23
Jednostki organizacyjne / grupy jednostka organizacyjna (Organizational Unit) kontener administracyjny, służy do logicznego organizowania obiektów w AD grupa kontener administracyjny służy do łączenia różnych obiektów Active Directory 24
Jednostki organizacyjne i grupy różnice przynależność do grupy jest widoczna dla użytkowników, przynależność do jednostki organizacyjnej tylko dla administratorów obiekt może należeć tylko do jednej jednostki organizacyjnej, ale do wielu grup grupy pozwalają na przyznawanie i odmawianie dostępu ich członkom grupy pozwalają na dystrybucję wiadomości i poczty elektronicznej Active Directory 25
Typy grup grupy zabezpieczeń mają własny identyfikator zabezpieczeń (SID Security ID) umożliwiają zbiorcze przyznawanie i odmawianie uprawnień użytkownikom grupy dystrybucyjne mogą zbiorczo odbierać wiadomości pocztowe (SMTP) grupy z obsługą poczty elektronicznej (w Exchange 2000) grupy zabezpieczeń z adresem e-mail stosowanym do wysyłania wiadomości SMTP Active Directory 26
Zasięg grupy grupy lokalne komputera (nie występują w kontrolerze domeny) grupy lokalne domeny służą do definiowania uprawnień do zasobów w domenie grupy globalne do organizowania użytkowników o podobnych potrzebach grupy uniwersalne mogą zawierać obiekty z dowolnej zaufanej domeny Active Directory 27
Delegowanie zadań za pomocą jednostek organizacyjnych Tworzenie, usuwanie i zarządzanie kontami użytkowników Resetowanie hasła użytkownika i wymuszanie zmiany hasła Czytanie wszystkich informacji o użytkowniku Tworzenie, usuwanie i zarządzanie grupami Modyfikowanie członkostwa grup Zarządzanie łączami zasad grup Generowanie wynikowego zestawu zasad Active Directory 28
Przykład projekt grup oparty na funkcjach biznesu Sprzedaż (Sales) Produkcja (Manufacturing) Projektanci (Design) Kierownictwo (Management) Active Directory 29
Przykład projekt jednostek dla struktury geograficznej Warszawa Gdańsk Poznań Kraków Active Directory 30