Active Directory (AD) este serviciul de directoare proprietar al Microsoft. Rulează pe Windows Server și permite administratorilor să gestioneze permisiunile și accesul la resursele de rețea.
Active Directory stochează datele ca obiecte. Un obiect este un singur element, cum ar fi un utilizator, un grup, o aplicație sau un dispozitiv, de exemplu, o imprimantă. Obiectele sunt definite în mod normal ca resurse, cum ar fi imprimante sau computere, sau directori de securitate, cum ar fi utilizatori sau grupuri.
Active Directory clasifică obiectele directorului după nume și atribute., De exemplu, numele unui utilizator poate include șirul de nume, împreună cu informațiile asociate utilizatorului, cum ar fi parolele și cheile Secure Shell (SSH).serviciul principal din Active Directory este Domain Services (AD DS), care stochează informații despre director și gestionează interacțiunea utilizatorului cu domeniul. AD DS verifică accesul atunci când un utilizator se conectează la un dispozitiv sau încearcă să se conecteze la un server printr-o rețea. AD DS controlează utilizatorii care au acces la fiecare resursă, precum și politicile de grup., De exemplu, un administrator are de obicei un nivel diferit de acces la date decât un utilizator final.alte produse Microsoft și Windows, cum ar fi Exchange Server și SharePoint Server, se bazează pe AD DS pentru a oferi acces la resurse. Serverul care găzduiește AD DS este controlerul de domeniu.
servicii Active Directory
Mai multe servicii diferite cuprind Active Directory., Serviciul principal este serviciile de domeniu, dar Active Directory include și servicii de directoare ușoare (AD LDS), servicii de certificare (ad CS), servicii de federație (AD FS) și servicii de gestionare a drepturilor (AD RMS). Fiecare dintre aceste alte servicii extinde capacitățile de gestionare a directorului produsului.
- Lightweight Directory Services are aceeași bază de cod ca AD DS, partajând funcționalități similare, cum ar fi API (application program interface)., AD LDS, cu toate acestea, poate rula în mai multe instanțe pe un singur server și deține date director într-un magazin de date folosind Lightweight Directory Access Protocol (LDAP).
- LDAP este un protocol de aplicație utilizat pentru a accesa și menține serviciile de directoare într-o rețea. LDAP stochează obiecte, cum ar fi numele de utilizator și parolele, în serviciile de directoare, cum ar fi Active Directory, și partajează acele date obiect în rețea.
- Certificate Services generează, gestionează și partajează certificate., Un certificat utilizează criptarea pentru a permite unui utilizator să facă schimb de informații pe internet în siguranță, cu o cheie publică.
- Active Directory Federation Services autentifică accesul utilizatorilor la mai multe aplicații-chiar și pe rețele diferite-folosind single sign-on (SSO). După cum indică numele, SSO solicită utilizatorului să se conecteze o singură dată, în loc să utilizeze mai multe chei de autentificare dedicate pentru fiecare serviciu.
- Rights Management Services controlează drepturile și gestionarea informațiilor. AD RMS criptează conținut, cum ar fi e-mail sau documente Microsoft Word, pe un server pentru a limita accesul.,
caracteristici majore în Active Directory Domain Services
Active Directory Domain Services utilizează un aspect nivelat format din domenii, copaci și păduri pentru a coordona elementele în rețea.un domeniu este un grup de obiecte, cum ar fi utilizatori sau dispozitive, care au aceeași bază de date publicitară. Domeniile au o structură de sistem de nume de domeniu(DNS).
Încredere în terminologia
Active Directory se bazează pe încredere moderată de drepturile de acces ale resurselor între domenii. Există mai multe tipuri diferite de trusturi:
- o încredere unidirecțională este atunci când un prim domeniu permite privilegii de acces utilizatorilor pe un al doilea domeniu. Cu toate acestea, al doilea domeniu nu permite accesul utilizatorilor pe primul domeniu.,
- o încredere bidirecțională este atunci când există două domenii și fiecare domeniu permite accesul utilizatorilor celuilalt domeniu.
- un domeniu de încredere este un singur domeniu care permite accesul utilizatorului la un alt domeniu, care se numește domeniul de încredere.
- un trust tranzitiv se poate extinde dincolo de două domenii și permite accesul la alte domenii de încredere dintr-o pădure.
- un trust intransitiv este un trust unidirecțional care este limitat la două domenii.
- o încredere explicită este o încredere unidirecțională, netransitivă, creată de un administrator de rețea.
- o încredere încrucișată este un tip de încredere explicită., Cross-link trusturi avea loc între domenii în cadrul 1) același copac, cu nici o relație copil-părinte între cele două domenii, sau 2) copaci diferite.
- un trust forestier se aplică domeniilor din întreaga pădure și poate fi unidirecțional, bidirecțional sau tranzitiv.
- o scurtătură unește două domenii care aparțin copacilor separați. Comenzile rapide pot fi unidirecționale, bidirecționale sau tranzitive.
- un tărâm este o încredere care este tranzitivă, intransitivă, unidirecțională sau bidirecțională.
- un trust extern este un trust care leagă domenii între păduri separate sau domenii care nu sunt ad., Trusturile externe pot fi netransitive, unidirecționale sau bidirecționale.
- un trust privat de gestionare a accesului (Pam) este un tip de încredere unidirecțională. Acesta este creat de Microsoft Identity Manager, între o pădure de producție și o pădure bastion.
istoria și dezvoltarea Active Directory
Microsoft a oferit o previzualizare a Active Directory în 1999 și a lansat-o un an mai târziu cu Windows 2000 Server. Microsoft a continuat să dezvolte noi caracteristici cu fiecare versiune succesivă Windows Server.,Windows Server 2003 a inclus o actualizare notabilă pentru a adăuga păduri și posibilitatea de a edita și schimba poziția domeniilor din păduri. Domeniile de pe Windows Server 2000 nu au putut suporta actualizări de anunțuri mai noi care rulează în Server 2003.
Windows Server 2008 a introdus AD FS. În plus, Microsoft a rebranduit directorul pentru gestionarea domeniului ca AD DS, iar AD a devenit un termen umbrelă pentru serviciile bazate pe directoare pe care le-a acceptat.Windows Server 2016 a actualizat AD DS pentru a îmbunătăți securitatea anunțurilor și a migra mediile publicitare în medii cloud sau cloud hibride., Actualizările de securitate au inclus adăugarea PAM.Pam a monitorizat accesul la un obiect, tipul de acces acordat și ce acțiuni a întreprins utilizatorul. PAM a adăugat păduri bastion AD pentru a oferi un mediu forestier suplimentar Sigur și izolat. Windows Server 2016 a încheiat suportul pentru dispozitivele de pe Windows Server 2003.în decembrie 2016, Microsoft a lansat Azure AD Connect pentru a se alătura unui sistem Active Directory local cu Azure Active Directory (Azure AD) pentru a activa SSO pentru serviciile cloud ale Microsoft, cum ar fi Office 365., Azure AD Connect funcționează cu sisteme care rulează Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 și Windows Server 2016.
domenii vs. grupuri de lucru
grupul de lucru este termenul Microsoft pentru mașinile Windows conectate printr-o rețea peer-to-peer. Grupurile de lucru sunt o altă unitate de organizare pentru computerele Windows în rețele. Grupurile de lucru permit acestor mașini să partajeze fișiere, acces la internet, imprimante și alte resurse în rețea. Rețeaua Peer-to-peer elimină necesitatea unui server pentru autentificare., Există mai multe diferențe între domenii și grupuri de lucru:
- domeniile, spre deosebire de grupurile de lucru, pot găzdui computere din diferite rețele locale.
- domeniile pot fi folosite pentru a găzdui mai multe computere decât grupuri de lucru. Domeniile pot include mii de computere, spre deosebire de grupurile de lucru, care au de obicei o limită superioară apropiată de 20.
- în domenii, cel puțin un server este un computer, care este utilizat pentru a controla permisiunile și caracteristicile de securitate pentru fiecare computer din domeniu. În grupurile de lucru, nu există server și computerele sunt toate colegii.,
- utilizatorii de domenii necesită de obicei identificatori de securitate, cum ar fi autentificări și parole, spre deosebire de grupurile de lucru.
principalii concurenți pentru Active Directory
alte servicii de directoare de pe piață care oferă funcționalități similare cu AD includ Red Hat Directory Server, Apache Directory și OpenLDAP.Red Hat Directory Server Gestionează accesul utilizatorilor la mai multe sisteme în mediile Unix. Similar cu AD, Red Hat Directory Server include ID-ul de utilizator și autentificarea bazată pe certificate pentru a restricționa accesul la datele din director.,Apache Directory este un proiect open source care rulează pe Java și funcționează pe orice server LDAP, inclusiv sisteme pe Windows, macOS și Linux. Directorul Apache include un browser de schemă și un editor/browser LDAP. Directorul Apache acceptă pluginurile Eclipse.