Введение в Active Directory

#1 2014.03.13 17:06:43

0

Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Другими словами службы Active Directory Domain Services (AD DS) обеспечивают идентификацию и доступ Identity and Access (IDA) для корпоративных сетей.

Решение IDA необходимо для поддержки безопасности корпоративных ресурсов, в том числе файлов, электронной почты, приложений и баз данных. Инфраструктура IDA должна выполнять следующие задачи:

Хранение информации о пользователях, группах, компьютерах и других объектах идентификации
- Проверка подлинности объекта идентификации
- Управление доступом
- Обеспечение данных аудита


Структура Active Directory включает пять технологий. Эти технологии полностью реализуют идентификацию и доступ IDA:

Доменные службы Active Directory (Active Directory Domain Services) – Идентификация

Проверяются подлинность и авторизация в сети, а так же поддерживается управление объектами с помощью групповой политики.

Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services) – Приложения

Поддерживает множество хранилищ данных в одной системе, чтобы каждое приложение можно было развернуть с собственным каталогом, схемой, назначенным облегченным протоколом доступа к каталогам LDAP (Lightweight Directory Access Protocol), портами SSL и журналом событий приложений.

Службы сертификации Active Directory (Active Directory Certificate Services) – Доверие

Организации могут использовать службы сертификации AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure), чтобы создать центр сертификации для выдачи цифровых сертификатов, которые привязывают объект идентификации пользователя, устройства либо службы к соответствующему частному лицу.

Службы управления правами Active Directory (Active Directory Rights Management Services) – Целостность

Предоставляют технологию защиты информации, с помощью которой можно реализовать шаблоны устойчивых политик использования, задающих разрешенное и не авторизованное применение в сети, вне ее, а так же внутри и вне периметра брандмауэра.

Службы федерации Active Directory (Active Directory Federation Services) – Партнерские отношения

С помощью служб AD FS организация может расширить инфраструктуру IDA на множестве платформ, включая среды Windows и другие, а также обеспечить для доверенных партнеров защиту прав идентификации и доступа вне периметра безопасности.

Хранилище данных Active Directory
Структура AD DS хранит свои объекты идентификации в каталоге (хранилище данных) на контроллерах домена. Каталог состоит из одного файла Ntds.dit, который по умолчанию находится в папке %SystemRoot%Ntds.dit на контроллере домена. База данных состоит из нескольких разделов: схемы, конфигурации, глобального каталога.

Контроллеры домена
Так называют серверы, играющие роль AD DS – в частности, запускающие службу Центр распространения ключей Kerberos, KDC (Kerberos Key Distribution Center).

Домен
Домен представляет собой административную единицу, внутри которой совместно используются определенные возможности и характеристики.

Лес
Это набор из одного либо нескольких доменов Active Directory. Первый установленный в лесу домен называется корневым. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, т.е. данные не реплицируются за его приделы. Поэтому лес задает параметр безопасности.

Дерево
DNS в лесу содержит деревья леса. Если домен является дочерним для другого домена, то эти два домена интерпретируются как дерево.

Функциональный уровень
Возможности домена Active Directory зависят от его функционального уровня. Этот параметр дает возможность ввести дополнительные компоненты AD DS уровня домена, либо леса.

Существует три функциональных уровня домена:
- Windows 2000
- Windows 2003
- Windows 2008

А так же два функциональных уровня леса:
- Microsoft Windows Server 2003
- Microsoft Windows Server 2008

При повышении функционального уровня домена либо леса, ставятся доступными компоненты, предоставляемые соответствующей версией системы Windows.

Подразделения (организационные единицы)
База данных Active Directory является иерархической. Объекты в хранилище данных можно собирать в контейнеры. Одним из типов контейнеров является класс объектов container.

Сайты
Сайт (или узел) Active Directory – это объект, представляющий часть предприятия с хорошей сетевой коммуникацией. Сайт создает периметр репликации и использования служб. Контроллеры домена внутри сайта реплицируют изменения в течении нескольких секунд.
Отредактировано: Panda 2022.08.15 15:37:52