Active Directory

Active Directory je databáza platformy Windows Server 2003. Obsahuje informácie o objektoch ako sú tlačiarne, sieťové účty, skupiny, počítače ako aj ďalšie informácie o doméne. Active Directory nemôže byť nainštalovaná na Windows 2003 Web Edition.

Active Directory poskytuje hierarchickú štruktúru pre administrátorov, ktorá im pomáha organizovať objekty v doméne. Správne plánovanie adresárovej štruktúry umožňuje administrátorom zjednodušiť delegovanie administrátorských právomocí a zjednodušiť správu desktopových systémov

Keďže AD je vlastne LDAP databáza (Lightweight Directory Access Protocol), môžete vykonávať dotazy na objekty uložené v adresári. Priložené nástroje vám umožňujú aplikovať filtre na vaše dotazy, čím vám pomáhajú upresniť vyhľadávanie a nájsť informáciu, ktorú požadujete.

Vytvorenie novej domény

Pri inštalácii prvého doménového kontroléra sa tiež inštaluje prvá inštancia enterprise hierarchie:

  • Prvá doména: doména je kolekcia objektov (počítače, užívatelia, skupiny) definovaných administrátorom. Všetky tieto objekty zdieľajú hlavnú adresárovú databázu (common directory database) – Active directory – a zabezpečenie (security policies). Doména môže mať bezpečnostné väzby na iné domény
  • Prvý forest: forest je jedna alebo viac domén, ktoré zdieľajú tú istú schému (definície pre triedy a atribúty), site a replikačné informácie, a vyhľadávateľné komponenty (global catalog). Domény v jednom foreste môžu byť spojené pomocou „trust relationship“
  • Prvý site: site je v podstate TCP/IP subnet. Môže byť vytvorených viac sitov, ktoré sú umiestnené lokálne alebo vzdialene (napr. vo WAN)

Plánovanie DC

Záleží na veľkosti prostredia a požiadavkach na rýchlosť a spoľahlivosť. Pre jednu LAN na jednom subnete postačuje jeden DC. Ale je to riskantné. Pokiaľ máte aj druhý DC, môžete pokračovať v práci aj pokiaľ DC reštartujete, prípadne robíte servis. Taktiež pokiaľ je veľa užívateľov, viac DC znižuje záťaž samostatného DC, obzvlášť ak sa veľa užívateľov prihlasuje a odhlasuje v tú istú dobu.

Ak organizácia pracuje na viacerých miestach, mal by byť vytvorený prinajmenšom jeden DC na každom mieste (pokiaľ je ešte aj sekundár, ešte lepšie). Pre prihlásenie totiž počítače a užívatelia potrebujú DC. Ak je DC na inom mieste, teda mimo lokálnej LAN, prihlásenie môže trvať dlhšie. Spomenúť zabezpečenie a fyzický prístup k serveru…

Inštalácia AD

To čo odlišuje DC od iných serverov je prítomnosť Active Directory. DC a AD musí bežať na NTFS. Ak nie, treba filesystém prekonvertovať (convert.exe). Inštalácia záleží na tom, či už v sieti je DNS server alebo nie.

AD a DNS

Pri inštalácii prvého DC v novej doméne narážame na problém: „čo bolo skôr, sliepka alebo vajce?“ Nemôžete nainštalovať AD pokiaľ nemáte funkčné DNS, a DNS nenainštalujete dokiaľ nemáte doménu…

Sprievodca inštaláciou Active Directory automaticky skúsi nájsť autoritatívny DNS server zo zoznamu nakonfigurovaných DNS serverov, ktoré budú akceptovať dynamickú aktualizáciu služby zdrojových záznamov. Ak taký nájde, záznamy pre DC budú zaregistrované automaticky na DNS serveri po reboote DC.

Obvykle pre prvý DC v novej doméne pravdepodobne sa vhodný DNS server nenájde. Výsledkom je, že sprievodca automaticky pridá DNS do zoznamu úloh na inštaláciu. Nastaví sám seba ako DNS server. Toto je prijateľné riešenie, pretože po nastavení ďalších DNS serverov môžte tento odinštalovať z DC.

Ako alternatívu môžte najprv nastaviť DNS server, ale keďže nebude integrovaný s AD (keďže ešte nie je nainštalované), dáta pre DNS zónu budú iba v súbore. Tým nie je myslené, že nový DC nespozná, že DNS je nainštalované, ale má efekt na bezpečnosť DNS. Súborová DNS zóna sa nepýta žiadne otázky a neposkytuje žiadne reštrikcie. Každému zariadeniu ktoré vyšle požiadavku o zaregistrovanie mena bude vyhovené, prípadne aj keď už je také meno zaregistrované. Ak ale vytvoríte doménu a DC, môžete túto flat file zónu konvertovať do AD integrovanej zóny.

Inštalácia prvého DC v novej doméne.

Start -> Programs -> Administrative Tools -> Manage your server

Klik „Add or remove role“
Klik „Domain controller (Active Directory)“
Klik „Next“…

Alternatívna metóda spustenia: dcpromo z príkazového riadku

Vo sprievodcovi nastavenia:

„Domain Controller For A New Domain“

„Domain in a new forest“

zadaj fully qualified domain name (FQDN), napr. skolenie.sk

over názov NetBIOS (nie FQDN)

potvrď cesty

potvrď sysvol adresár

daj nainštalovat autoritatívny DNS server

nastav práva

nastav heslo pre obnovu domény

skontroluj nastavenia, Next

Po nainštalovaní reštart

Štruktúra AD

AD vám poskytuje hierarchickú štruktúru pre organizovanie objektov vo vašej doméne. Objektom môžu byť napríklad užívatelia, tlačiarne, skupiny.

Užívatelia a počítače

Grafické rozhranie pre správu objektov v AD (užívatelia, počítače, skupiny) nájdete pod názvom Active Directory Users and Computers. Postup: Start -> Programs -> Administrative Tools -> Active Directory Users and Computers.

Active Directory Users and Computers vyzerá podobne ako Windows Explorer. Má ikony pre záložky a objekty v záložkách. Tieto záložky sa nazývajú organizačné jednotky (organizational units – OU) a kontajnery. OU sú záložky s ikonou knihy. Kontajnery sú záložky, ktoré nemajú ikonu.

Organizačné jednotky

OU sú objekty v AD, môžu byť definované užívateľom a môžu mať priradenú skupinovú politiku (group policy – GP). Defaultne AD obsahuje Domain Controllers OU, ktorá obsahuje všetky doménové kontroléry v doméne. Zakaždým, keď spustíte DCPROMO na členskom serveri v doméne, účet pre počítač bude presunutý do Domain Controllers OU.

Taktiež administrátor môže vytvárať OU. Obvykle sa vytvárajú nové OU pre zjednodušenie správy domény. Vytvorenie OU:

1. Pravý klik na uzle na ktorom chcete vytvoriť OU (napríklad na uzle domény), vyberte New -> Organizational Unit.
2. Zadajte názov OU, napríklad „kurz“

3. Kliknite na OK

Vytvorený OU sa objaví v zozname pod uzlom domény. V tomto novom OU môžete vytvárať ďalšie vnorené OU, ale obvykle nie je doporučené prekročiť 5 úrovní vnorenia v štruktúre OU.

Kontajnery

Kontajnery sú vytvárané z viacerých dôvodov. Defaultne sú vytvorené nasledovné kontajnery:

  • Builtin obsahuje niekoľko defaultných lokálnych skupín
  • Computers keď pridáte počítač do domény, defaultne je umiestnený v tomto kontajneri. Tieto účty môžete potom presunúť do iného OU (pokiaľ potrebujete).
  • ForeignSecurityPrincipals obsahuje proxy objekty pre vašu doménu, ktoré vám umožnia spolupracovať s doménami z NT4, prípadne s inými doménami mimo vášho forestu.
  • Users tu je defaultné umiestnenie pre Windows účty. Tieto účty môžete potom presunúť do iného OU (pokiaľ potrebujete).

Pokiaľ v Active Directory Users and Computers vyberiete z menu položku View -> Advanced Features zobrazia sa vám ďalšie kontajnery:

  • LostAndFound obsahuje objekty ktoré boli vymazané z domény pokiaľ bol objekt presunutý do OU alebo kontajnera, ktorý bol vymazaný predtým ako bol adresár replikovaný.
  • NTDS Quotas vvo Windows Server 2003 AD je možné nastaviť na objekt kvóty. Tento kontajner obsahuje informácie o týchto kvótach.
  • Program Data nový kontajner v ktorom sú uložené politiky autorizačného správcu pre aplikácie.
  • System drží niekoľko ďalších kontajnerov

Objekty AD

Ďalšou položkou v AD sú objekty. Objekty sú umiestnené v OU a kontajneroch v AD. Objekty môžete umiestniť v jednotlivých OU a potom definovať skupinovú politiku na OU. Príkladom objektov sú tlačiarne, užívateľské účty, účty počítačov a bezpečnostné skupiny.

Active Directory Domains and Trusts

Tu môžete prezerať, vytvárať, modifikovať a overovať dôveryhodnosť (trust) pre váš forest. Dôveryhodnosť umožňuje užívateľom z jednej domény aby boli autorizovaní vo „veriacej“ doméne. Keď je užívateľský účet autorizovaní, dostane prístup k zdrojom vo veriacej doméne.

Zoznam typov dôvery je nasledovný:

  • Domain root trust Vyskytuje sa medzi dvoma rozdielnymi doménovými koreňmi v tom istom foreste.
  • Parent-child trust Vyskytuje sa v tom istom mennom priestore domény. Je to dôvera rodič-potomok. V AD foreste dôvera môže byť two-way a transitive. Transitive dôverou je myslené to, že v doménovom strome máme doménu – potomka, napríklad kurz.skolenie.sk. Doména kurz dôveruje rodičovskej doméne – skolenie.sk. Keďže dôvery sú tranzitné, nepotrebujeme konfigurovať dôveru pre doménu napríklad testy.skolenie.sk, aby sme mohli sprístupniť jej zdroje. Pretože domény kurz.skolenie.sk a test.skolenie.sk dôverujú doméne skolenie.sk, táto dôvera bude prechádzať celým doménovým stromom.
  • Shortcut trust transitive dôvery obvykle pracujú krížom cez celý doménový strom. Pre zníženie času potrebného pre overenie celej cesty môžeme vytvoriť „skratku“ – shortcut – čím redukujeme čas potrebný na overenie.
  • Forest trust umožňuje jednému forestu dôverovať všetkým doménam v inom foreste tranzitívne. Môže byť ale nakonfigurovaný, aby fungoval dvojcestne, alebo jednocestne.
  • Realm trust umožní vytvoriť trust s verziou Kerberosu, ktorá nie je z Windows.

7 komentárov k “Active Directory”

  1. Dobrý deň,
    chcel by som Vás poprosiť o informáciu ako mám postupovať, nakoľko pri pripojení tlačiarne HP Laser Jet 6L, ktorá má USB pripojenie k môjmu notbooku ASPIRE 5610 mi ju počítač nenájde, ale vypíše mi informáciu “ doménové služby active directory momentálne nie sú k dispozícii „.

  2. Výborný článok, ešte by som uvítal postup pridávania ďalších radičov domény(čo všetko nastaviť, na čo nezabudnúť…).

  3. Mam 2 PC (XP32bit a W7 64bit)a sietovu tlaciaren v sieti v skupine(nemam domenu).Vsetky zariadenia maju vlastnu jedinecnu IP adresu. Doteraz tlacilo na tlaciani vsetko OK ale teraz netlaci na W7 nevidi ziadne tlaciarne a ked da pridat tlaciaren da hlasku „doménové služby active directory momentálne nie sú k dispozícii“ ked restarne W7 tak tlaciarne vidi, ale ked da vlastnosti tak sa nic nestane. Neviete co by sa dalo s tym robit aby to islo tak ako ma? dakujem, az by sa dalo aj odpoved do mejlu.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.