Infraštruktúra Active Directory

AD pozostáva z komponentov, ktoré tvoria jeho logickú a fyzickú štruktúru. Logickú a fyzickú štruktúru AD musíte naplánovať tak, aby spĺňala vaše požiadavky, respektíve požiadavky vašej organizácie. Preto je potrebné najprv pochopiť účel týchto komponentov a ako ich používať.

AD ukladá informácie o užívateľoch, počítačoch a sieťových zdrojoch a sprístupňuje tieto zdroje užívateľom a aplikáciám. Poskytuje jednotný spôsob pre pomenovanie, popis, lokalizáciu, prístup, správu a zabezpečenie týchto zdrojov.

AD poskytuje nasledovné funkcie:

  • Centralizovanú správa sieťových zdrojov. Centralizovaním správy zdrojov, ako sú napríklad servery, zdieľané súbory a tlačiarne je umožnené, že iba autorizovaní užívatelia môžu pristupovať k týmto zdrojom v AD.
  • Centralizuje a decentralizuje riadenie zdrojov. Administrátori môžu spravovať klientské počítače, sieťové služby a aplikácie z jedného miesta pomocou jednotného rozhrania. Tieto administratívne úlohy môžu byť taktiež delegované iným administrátorom.
  • Bezpečne ukladá objekty v logickej štruktúre. AD ukladá všetky zdroje ako objekty v bezpečnej, hierarchickej logickej štruktúre.
  • Optimalizuje sieťovú prevádzku. Fyzická štruktúra AD umožňuje využívať efektívnejšie kapacitu siete. Napríklad zaisťuje to, že ak sa užívateľ prihlási na sieť bude autorizovaný najbližšou autentifikačnou autoritou, čo redukuje sieťové prenosy.

Logická štruktúra AD

AD poskytuje bezpečné úložisko pre informácie o objektoch v hierarchickej logickej štruktúre. Objekty AD reprezentujú užívateľov a zdroje, ako sú počítače a tlačiarne. Niektoré objekty sú kontajnery pre iné objekty.

Logická štruktúra AD zahŕňa nasledovné komponenty:

  • Objects. Sú to najzákladnejšie komponenty logickej štruktúry. Triedy objektov sú šablóny alebo návrhy typov objektov, ktoré môžete vytvárať v AD. Každá trieda je definovaná skupinov atribútov, ktoré definujú možné hodnoty, ktoré môžete asociovať s objektom. Každý objekt má jedinečnú kombináciu atribútov.
  • Organizational units (OU – Organizačné jednotky). Sú to kontajnerové objekty, ktoré sa používajú pre organizovanie ďalších objektov do skupín pre ďalšiu administráciu. Pomocou OU je jednoduchšie vyhľadanie a správa objektov. Taktiež môžete delegovať autoritu pre správu OU. OU sa môžu vnárať do ďalších OU, čo ešte viac zjednodušuje správu objektov.
  • Domains. Hlavné funkčné jednotky v logickej štruktúre AD. Domény sú kolekcie administratívne definovaných objektov, ktoré zdieľajú adresárovú databázu, bezpečnostné politiky a vzťahy dôvery s ďalšími doménami. Domény poskytujú nasledovné funkcie:
    — Administratívne hranice pre objekty
    — Prostriedky k správe bezpečností pre zdieľané zdroje
    — Replikáciu pre objekty

  • Domain trees. Domény, ktoré sú zoskupené do hierarchických štruktúr sa nazývajú doménové stromy (domain trees). Keď pridáte ďalšiu doménu do stromu, stane sa z nej potomok (child) koreňového doménového stromu. Tento potomok môže mať vlastných potomkov.
    Názov takejto domény je skombinovaný s názvom rodičovskej domény a má jedinečný názov v DNS ako napríklad ucebna.skolenie.ad. Z toho vyplýva, že strom má kontinuálny menný priestor.
  • Forests. Forest je kompletná inštancia AD. Pozostáva z jedného alebo viacerých stromov. V jednom strome s dvoma úrovňami (ktorý je doporučený) všetky detské (child) domény sú vytvorené ako potomkovia forestu koreňovej domény pre vytvorenie kontinuálneho stromu.
    Prvá doména vo foreste sa nazýva forest root domain (koreňová doména forestu). Informácie v AD sú defaultne zdieľané iba vo foreste. Vďaka tomu je forest bezpečnostnou hranicou pre informácie obsiahnuté v inštancii AD.

Fyzická štruktúra AD

Na rozdiel od logickej štruktúry, ktorá modeluje administratívne požiadavky, fyzická štruktúra AD optimalizuje sieťové prenosy. Pre optimalizovanie využitia sieťovej kapacity v AD je potrebné pochopiť fyzickú štruktúru. Súčasťami fyzickej štruktúry sú:

  • Domain controllers (doménové radiče). Na týchto počítačoch beží Windows Server 2003 a AD. Každý doménový radič uchováva dáta a plní replikačné funkcie. Radič domény podporuje iba jednu doménu. Pre zaistenie trvalej dostupnosti AD by mala mať každá doména viac než jeden doménový radič.
  • Active Directory sites. Sajty sú skupiny dobre pripojených počítačov. Keď vytvíte sajty doménové radiče v jednotlivých sajtoch budú často komunikovať. Táto komunikácia minimalizuje latenciu vo vnútri sajtu – čím je myslená doba pri zmene na doménovom radiči po ktorej bude replikovaná na ďalšie doménové radiče. Sajty pomáhajú pri optimalizácii komunikácie medzi doménovými radičmi, ktoré sú v rôznych lokáciách.
  • Active Directory partitions. Každý doménový radič obsahuje nasledovné partície:
    — domain partition – obsahuje repliky všetkých objektov v doméne. Doménová partícia je replikovaná iba na ďalšie doménové radiče v tej istej doméne.
    — configuration partition – obsahuje topológiu forestu. Topológia je zoznam všetkých doménových radičov a spojení medzi nimi a forestom.
  • schema partition – obsahuje schému celého forestu. Každý forest má jednu schému takže definícia každej triedy objektu je konzistentná. Konfiguračná a schema partície sú replikované na každý doménový radič vo foreste.
  • application partitions – voliteľná – obsahuje objekty, ktoré nemajú vzťah k zabezpečeniu a sú použité jednou alebo viacerými aplikáciami. Aplikčné partície sú sú replikované na špecifikovaný doménový radič vo foreste.

Operation Master

Keď je v doméne vykonaná zmena, tak sa replikuje na všetky doménové radiče v doméne. Niektoré zmeny, ako napríklad zmeny v schéme, sú replikované na všetky domény vo foreste. Táto replikácia sa nazýva multimaster replication.

Počas multimaster replikácie môžu vznikať replikačné konflikty ak pôvodné updaty sú vykonávané súčasne na ten istý atribút objektu na dvoch doménových radičoch.. Aby sa predišlo takýmto konfliktom, používa sa single master replication, ktorá určí jeden doménový radič ako jediný doménový radič, na ktorom bude zmena vykonaná. Týmto spôsobom sa zmeny nemôžu vyskytnúť na rôznych miestach siete v tej istej dobe. AD používa single master replikáciu na dôležité zmeny ako napríklad pridanie novej domény alebo zmena schémy forestu.

Operácie, ktoré používajú single master replikáciu sú usporiadané dokopy v špecifických roliach vo foreste alebo doméne. Tieto roly sa nazývajú operations master roles. Pre každú operations master role len doménový radič, ktorý drží danú rolu, môže vykonať asociovanú adresárovú zmenu. Doménový radič, ktorý je zodpovedný za danú rolu sa nazýva operations master pre túto rolu. AD ukladá informácie o tom, ktorý doménový radič drží špecifickú rolu.

AD definuje päť operations masters rolí, každá z nich má štandardné umiestnenie. Tieto roly sú platné pre forest alebo pre doménu.

  1. roly s platnosťou pre forest – sú unikátne pre forest a sú to nasledovné:
    • Schema master. Riadi všetky zmeny v schéme. Schéma obsahuje hlavný zoznam tried objektov a atribútov, ktoré sú použiré pri vytváraní všetkých AD objektov (napr. užívatelia, počítače, tlačiarne…).
    • Domain naming master. Riadi pridávanie alebo odoberanie domén vo foreste. Pokiaľ pridáte novú doménu do forestu, jedine doménový radič, ktorý je domain naming master môže túto doménu pridať.

    V celom foreste je iba jeden Schema master a Domain naming master.

  2. roly s platnosťou pre doménu – sú unikátne pre každú doménu vo foreste a sú to nasledovné:
    • Primary domain controller emulator (PDC). Pracuje ako Windows NT PDC pre podporu všetkých záložných doménových radičov (BDC) na ktorých beží Windows NT v doméne s mixed módom. Tento typ domény má doménové radiče na ktorých pracuje Windows NT 4.0. PDC emulátorom je prvý doménový radič, ktorý vytvoríte v novej doméne.
    • Relative identifier master. Keď je vytvorený nový objekt, doménový radič vytvorí nové bezpečnostné zásady, ktoré reprezentujú objekt a pridelia objektu jedinečný bezpečnostný identifikátor (security identifier – SID). Tento SID pozostáva z doménového SID, ktorý je ten istý pre všetky zásady bezpečnosti vytvorené v doméne, a relatívny identifikátor (relative identifier – RID), ktorý je jedinečný pre každú bezpečnostnú zásadu vytvorenú v doméne. RID master alokuje bloky RID-ov pre každý doménový radič v doméne. Doménový radič následne z tohto bloku pridelí RID všetkým vytváraným objektom.
    • Infrastructure master. Keď sa objekty presúvajú z jednej domény do druhej, tak infrastucture master má na starosti opravu odkazov na objekt tak, aby ukazovali na objekt v druhej doméne. Odkaz a objekt obsahuje unikátny glogálny identifikátor (globally unique identifier – GUID), významné meno a SID. AD periodicky updatuje meno a SID tak, aby odkaz odzrkadľoval zmeny vykonané v aktuálnom objekte, ako napríklad presun medzi doménami alebo vymazanie objektu.
    • Každá doména vo foreste má vlastný PDC emulátor, RID master a infrastructure master.

Čo sú adresárové služby

Vo veľkých sieťach sú zdroje zdieľané mnohými užívateľmi a aplikáciami. Aby ste umožnili užívateľom a aplikáciám prístup k týmto zdrojom a informáciám o nich, potrebujete spôsob, ktorým pomenujete, opíšete, lokalizujete, sprístupníte, zabazpečíte a zmenežujete informácie o týchto zdrojoch. Túto funkciu plní adresárová služba.

Adresárová služba je štruktúrovaným úložiskom informácií o ľuďoch a zdrojoch v organizácii. V sieťach Windows Server 2003 je adresárovou službou AD.

AD má nasledovné schopnosti:
– Umožňuje užívateľom a aplikáciám pristupovať k informáciám o objektoch. Táto informácia je zapísaná v hodnotách atribútov. Objekty sú vyhľadávané na základe ich tried, atribútov, hodnôt atribútov, ich umiestnení v štruktúre AD alebo kombinácii týchto hodnôt.

– Robí fyzickú sieťovú topológiu a protokoly transparentnými. Vďaka tomu môže užívateľ na sieti pristupovať ku zdrojom bez toho, aby vedel kde ten zdroj je alebo ako je fyzicky do siete pripojený.

– Umožňuje ukladanie obrovského množstva objektov.

– Môže bežať ako non-operating system service. AD v aplikačnom móde (AD/AM) je nová vlastnosť AD. AD/AM pracuje ako non-operating system service a preto nevyžaduje umiestnenie na doménovom radiči.

Čo je schema

Schéma v AD obsahuje definíciu objektov, typy informácií o týchto objektoch a štandartnú bezpečnostnú konfiguráciu týchto objektov uložených v AD. Na doménových radičoch s Windows Server 2003 je iba jedna schema pre celý forest.

Schéma má dva typy definícií“ triedy objektov a atribúty. Triedy objektov ako napr. užívateľ, počítač a tlačiareň popisujú možné adresárové objekty, ktoré môžete vytvoriť. Každá trieda objektov je kolekciou atribútov.

Atribúty sú definované separátne od tried objektov. Každý atribút je definovaný iba raz a môže byť použitý vo viacerých triedach objektov. Napríklad atribút Description je používaný v mnohých objektoch, ale je definovaný v schéme iba raz, čím je zaistená jeho konzistencia.

Je možné vytvárať nové typy objektov v AD pomocou rozširovania schémy. Na doménových radičoch môžete vrátiť späť zmeny schémy. Taktiež môžete redefinovať triedu alebo atribút.

Čo je Global Catalog

Zdroje v AD môžu byť zdieľané krížom cez domény a foresty. Globálny katalóg v AD robí vyhľadávanie týchto zdrojov v doménach a forestoch transparentným pre užívateľa. Ak napríklad vyhľadávate užívateľa vo foreste, server s globálnym katalógom spracuje dotaz a vráti výsledok. Bez globálneho katalógu by toto vyhľadávanie muselo byť vykonané na každej doméne vo foreste.

Globálny katalóg je úložisko s informáciami, ktoré obsahujú podmnožinu atribútov všetkých objektov v AD. Členovia skupiny Schema Admins môžu zmeniť nastavenie, ktoré atribúty budú ukladané v globálnom katalógu, v závislosti podľa potrieb organizácie. Globálny katalóg obsahuje:

  • atribúty, ktoré sa často pužívajú pri vyhľadávaní, ako napríklad užívateľské meno, priezvisko, prihlasovacie meno.
  • informácie, ktoré sú potrebné pre určenie umiestnenia objektu v adresári.
  • štandartnú podmnožinu atribútov pre každý typ objektu.
  • prístupové práva pre každý objekt a atribút, uložený v globálnom katalógu. Pokiaľ hľadáte objekt, na ktorý nemáte príslušné práva, tak tento objekt sa vám vo výsledku hľadania neobjaví. Tieto práva zaisťujú, že užívateľ môže nájsť iba objekty, ku ktorým má umožnený prístup.

Global catalog server je doménový radič, ktorý vykonáva vnútroforestové dotazy v globálnom katalógu. Prvý doménový radič ktorý vytvoríte v AD sa automaticky stáva global catalog serverom. Neskôr môžete vytvoriť ďalšie global catalog servery, aby ste rozložili záťaž na viac počítačov.

Čo sú význačné a relatívne význačné názvy

Klientske počítače používajú Lightweight Directory Access Protocol (LDAP) na vyhľadávanie a modifikáciu objektov v databáze AD. LDAP je podmnožinou protokolu X.500.

LDAP používa meno ktoré reprezentuje objekt AD pomocou série komponentov ktoré sa vzťahujú na logickú štruktúru. Táto reprezentácia, nazývaná význačné meno (distinguished name) objektu, identifikuje doménu, kde je objekt umiestnený a kompletnú cestu, ktorou je objekt dosiahnuteľný. Význačné meno musí byť unikátne vo foreste AD.

Príklad:
Užívateľ Janko Hraško v OU Obchod v doméne skolenie.sk:
CN=Janko Hraško,OU=Obchod,DC=skolenie,DC=sk
CN je common name objektu
OU je organiational unit, ktorý obsahuje objekt. Týchto OU môže byť viac.
DC je domain component, t.j. názov domény, vždy sú aspoň dve. Sú založené na DNS.

Relatívne význačné meno (relative distinguished name) objektu jednoznačne identifikuje objekt v jeho kontajneri. V jednom kontajneri nemôžu byť dva objekty s rovnakým menom.

Príklad:
Obchod je relatívne význačné meno OU, ktoré je reprezentované pomocou LDAP cesty:
OU=Obchod,DC=skolenie,DC=sk

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.