Jeder Anfänger, der auf etwas stößtAkronym AD, fragen Sie sich, was Active Directory ist? Active Directory ist ein Verzeichnisdienst, der von Microsoft für Windows-Domänennetzwerke entwickelt wurde. Es ist in den meisten Windows Server-Betriebssystemen als eine Reihe von Prozessen und Diensten enthalten. Anfänglich befasste sich der Dienst nur mit der zentralen Domänenverwaltung. Seit Windows Server 2008 ist AD jedoch der Name für eine Vielzahl von verzeichnisbasierten Identitätsdiensten. Dies macht Active Directory zu einem besseren Lernort für Anfänger.
Grundlegende Definition
Server, auf dem Domänendienste ausgeführt werdenActive Directory-Verzeichnisse werden als Domänencontroller bezeichnet. Es authentifiziert und autorisiert alle Benutzer und Computer in der Windows-Netzwerkdomäne, weist Sicherheitsrichtlinien für alle PCs zu und erzwingt diese und installiert oder aktualisiert Software. Wenn sich ein Benutzer beispielsweise bei einem Computer anmeldet, der in einer Windows-Domäne enthalten ist, überprüft Active Directory das angegebene Kennwort und bestimmt, ob das Objekt ein Systemadministrator oder ein Standardbenutzer ist. Darüber hinaus können Sie Informationen verwalten und speichern, Authentifizierungs- und Autorisierungsmechanismen bereitstellen und ein Framework für die Bereitstellung anderer verwandter Dienste einrichten: Zertifikatdienste, Verbund- und Lightweight-Verzeichnis- und Rechteverwaltungsdienste.
Active Directory verwendet die LDAP-Versionen 2 und 3, die Microsoft-Version von Kerberos und DNS.
Was ist Active Directory? In einfachen Worten über den Komplex
Das Verfolgen von Netzwerkdaten ist eine mühsame Aufgabe. Selbst in kleinen Netzwerken haben Benutzer häufig Schwierigkeiten, Netzwerkdateien und Drucker zu finden. Ohne ein Verzeichnis können mittlere und große Netzwerke nicht verwaltet werden und haben häufig Schwierigkeiten, Ressourcen zu finden.
Frühere Versionen von Microsoft Windows enthielten Dienste, mit denen Benutzer und Administratoren Daten finden können. Netzwerke sind in vielen Umgebungen nützlich, aber der offensichtliche Nachteil ist die umständliche Schnittstelle und ihre Unvorhersehbarkeit. WINS Manager und Server Manager können zum Anzeigen der Liste der Systeme verwendet werden, waren jedoch für Endbenutzer nicht verfügbar. Administratoren verwendeten den Benutzermanager, um Daten eines völlig anderen Netzwerkobjekttyps hinzuzufügen und zu entfernen. Diese Anwendungen erwiesen sich für die Arbeit in großen Netzwerken als unwirksam und stellten die Frage, warum im Unternehmen Active Directory?
Ein Verzeichnis ist im allgemeinsten Sinne eine vollständige Liste von Objekten. Ein Telefonbuch ist eine Art Verzeichnis, in dem Informationen zu Personen, Unternehmen und Regierungsorganisationen gespeichert sind Sie enthalten normalerweise Namen, Adressen und Telefonnummern. Die Frage stellen Active Directory - was es ist, in einfachen Worten, wir können sagen, dass diese Technologie einem Verzeichnis ähnelt, aber viel flexibler ist. AD speichert Informationen zu Organisationen, Standorten, Systemen, Benutzern, Freigaben und anderen Netzwerkobjekten.
Einführung in die Grundkonzepte von Active Directory
Warum benötigt eine Organisation Active Directory? Wie in der Einführung zu Active Directory erwähnt, speichert ein Dienst Informationen zu Netzwerkkomponenten. Das Tutorial zu Active Directory für Anfänger gibt an, dass dies der Fall ist ermöglicht es Clients, Objekte in ihrem Namespace zu finden. Dieses tEin Begriff (auch als Konsolenbaum bezeichnet) bezieht sich auf den Bereich, in dem sich eine Netzwerkkomponente befinden kann. Das Inhaltsverzeichnis eines Buches erstellt beispielsweise einen Namespace, in dem Kapitel Seitenzahlen zugeordnet werden können.
DNS ist eine Konsolenstruktur, die Hostnamen in IP-Adressen wie diese auflöstTelefonbücher bieten einen Namespace für die Namensauflösung von Telefonnummern. Wie funktioniert das in Active Directory? AD bietet einen Konsolenbaum zum Auflösen der Namen von Netzwerkobjekten in die Objekte selbst und kann eine Vielzahl von Objekten auflösen, einschließlich Benutzer, Systeme und Dienste im Netzwerk.
Objekte und Attribute
Alles, was Active Directory überwacht, wird als Objekt betrachtet. Wir können in einfachen Worten sagen, dass dies in Active Directory ist ein Benutzer, ein System, eine Ressource oder ein Dienst. Der allgemeine Begriff Objekt wird verwendet, da AD viele Elemente verfolgen kann und viele Objekte gemeinsame Attribute haben können. Was bedeutet das?
Attribute beschreiben Objekte für das Active DirectoryIn Active Directory verwenden beispielsweise alle Benutzerobjekte Attribute zum Speichern des Benutzernamens. Dies gilt auch für deren Beschreibung. Systeme sind ebenfalls Objekte, verfügen jedoch über separate Attribute, darunter Hostname, IP-Adresse und Standort.
Die Menge der Attribute, die für eine bestimmte Person verfügbar sindDer Objekttyp wird als Schema bezeichnet. Dadurch unterscheiden sich die Objektklassen voneinander. Die Schemainformationen werden tatsächlich in Active Directory gespeichert. Dass dieses Verhalten des Sicherheitsprotokolls sehr wichtig ist, wird durch die Tatsache angezeigt, dass Administratoren mithilfe des Schemas Objektklassen Attribute hinzufügen und diese über das Netzwerk in allen Ecken der Domäne verteilen können, ohne Domänencontroller neu zu starten.
LDAP-Container und Name
Ein Container ist ein spezieller Objekttyp, derwird verwendet, um die Arbeit des Dienstes zu organisieren. Es repräsentiert kein physisches Objekt wie einen Benutzer oder ein System. Stattdessen werden andere Elemente zusammengefasst. Containerobjekte können in anderen Containern verschachtelt sein.
Jedes Element in AD hat einen Namen.Dies sind nicht die, an die Sie gewöhnt sind, zum Beispiel Ivan oder Olga. Dies sind LDAP-definierte Namen. LDAP-definierte Namen sind komplex, ermöglichen jedoch die eindeutige Identifizierung jedes Objekts in einem Verzeichnis, unabhängig von seinem Typ.
Termbaum und Site
Der Begriff Baum wird verwendet, um die Menge zu beschreibenObjekte in Active Directory. Was ist das? In einfachen Worten kann dies mit einer Baumzuordnung erklärt werden. Wenn Container und Objekte hierarchisch kombiniert werden, neigen sie dazu, Zweige zu bilden - daher der Name. Ein verwandter Begriff ist ein zusammenhängender Teilbaum, der sich auf den unzerbrechlichen Hauptstamm eines Baumes bezieht.
In Fortsetzung der Metapher beschreibt der Begriff "Wald"Eine Sammlung, die nicht Teil desselben Namespace ist, aber ein gemeinsames Schema, eine gemeinsame Konfiguration und einen gemeinsamen globalen Katalog hat. Objekte in diesen Strukturen stehen allen Benutzern zur Verfügung, wenn die Sicherheit dies zulässt. Organisationen mit mehreren Domänen sollten Bäume in einer Gesamtstruktur gruppieren.
Ein Standort ist ein geografischer Standortin Active Directory definiert. Sites entsprechen logischen IP-Subnetzen und können als solche von Anwendungen verwendet werden, um den nächstgelegenen Server im Netzwerk zu finden. Durch die Verwendung von Standortinformationen aus Active Directory kann der WAN-Verkehr erheblich reduziert werden.
Active Directory-Verwaltung
Komponente des Active Directory-Snap-Ins - Benutzer. Es ist das bequemste Tool zum Verwalten von Active Directory. Sie können direkt über die Programmgruppe Verwaltung im Startmenü darauf zugreifen. Es ersetzt und erweitert den Server-Manager und den Benutzer-Manager unter Windows NT 4.0.
Sicherheit
Active Directory spielt eine wichtige Rolle in der Zukunft des Windows-Netzwerks. Administratoren sollten in der Lage sein, ihr Verzeichnis vor Eindringlingen und Benutzern zu schützen, während sie Aufgaben an andere Administratoren delegieren. Dies ist alles mithilfe des Active Directory-Sicherheitsmodells möglich, das jedem Container- und Objektattribut im Verzeichnis eine Zugriffssteuerungsliste (ACL) zuordnet.
Die hohe Kontrollebene ermöglicht es dem Administrator, einzelnen Benutzern und Gruppen unterschiedliche Berechtigungsstufen für Objekte und deren Eigenschaften zu erteilen. Sie können Objekten sogar Attribute hinzufügen und diese Attribute vor bestimmten Benutzergruppen verbergen. Sie können beispielsweise eine ACL festlegen, sodass nur Manager die Heimtelefone anderer Benutzer anzeigen können.
Delegierte Verwaltung
Ein neues Konzept für Windows 2000 Server ist die delegierte Verwaltung. Auf diese Weise können Sie anderen Benutzern Aufgaben zuweisen, ohne zusätzliche Zugriffsrechte zu gewähren. Die delegierte Verwaltung kann über bestimmte Objekte oder zusammenhängende Verzeichnisunterbäume zugewiesen werden. Dies ist eine viel effizientere Methode, um Autorität über Netzwerke zu erteilen.
In derWenn Sie einem Benutzer alle globalen Domänenadministratorrechte zuweisen, können einem Benutzer nur Berechtigungen innerhalb eines bestimmten Teilbaums erteilt werden. Active Directory unterstützt die Vererbung, sodass alle neuen Objekte die ACL von ihrem Container erben.
Der Begriff "vertrauensvolle Beziehung"
Der Begriff Vertrauensbeziehung wird weiterhin verwendet, Vertrauensbeziehungen haben jedoch unterschiedliche Funktionen. Es gibt keinen Unterschied zwischen einseitigen und bilateralen Trusts. Alle Active Directory-Vertrauensstellungen sind bidirektional. Darüber hinaus sind sie alle transitiv. Wenn also Domäne A Domäne B und B C vertraut, besteht automatisch eine implizite Vertrauensbeziehung zwischen Domäne A und Domäne C.
Auditing in Active Directory - was ist das in einfachen Worten? Mit dieser Sicherheitsfunktion können Sie feststellen, wer versucht, auf Objekte zuzugreifen, und wie erfolgreich dieser Versuch ist.
Verwenden von DNS (Domain Name System)
Das Domain Name System (DNS) ist für jede mit dem Internet verbundene Organisation unerlässlich. DNS bietet eine Namensauflösung zwischen gebräuchlichen Namen wie mspress.microsoft.com und unformatierten IP-Adressen, über die Netzwerkschichtkomponenten kommunizieren.
Active Directory nutzt die DNS-Technologie in großem Umfang, um Objekte zu finden. Dies ist eine wesentliche Änderung vonfrühere Windows-Betriebssysteme, bei denen NetBIOS-Namen nach IP-Adressen aufgelöst werden müssen und die auf WINS oder anderen NetBIOS-Namensauflösungstechniken basieren.
Active Directory funktioniert am besten mit Windows 2000-DNS-Servern. Microsoft hat Administratoren die Migration auf Windows 2000-DNS-Server erleichtert, indem Migrationsassistenten bereitgestellt wurden, die den Administrator durch den Prozess führen.
Andere DNS-Server können verwendet werden. In diesem Fall müssen Administratoren jedoch mehr Zeit für die Verwaltung der DNS-Datenbanken aufwenden. Was sind die Nuancen? Wenn Sie keine Windows 2000-DNS-Server verwenden, müssen Sie sicherstellen, dass Ihre DNS-Server dem neuen dynamischen DNS-Aktualisierungsprotokoll entsprechen. Server sind darauf angewiesen, ihre Datensätze dynamisch zu aktualisieren, um Domänencontroller zu finden. Es ist nicht bequem. Immerhin eWenn die dynamische Aktualisierung nicht unterstützt wird, müssen Sie die Datenbanken manuell aktualisieren.
Windows-Domänen und Internetdomänen sind jetzt vollständig kompatibel. Ein Name wie mspress.microsoft.com identifiziert beispielsweise die für die Domäne verantwortlichen Active Directory-Domänencontroller, sodass jeder Client mit DNS-Zugriff den Domänencontroller finden kann. Kunden können die DNS-Auflösung verwenden, um eine beliebige Anzahl von Diensten nachzuschlagen, da Active Directory-Server die Adressliste in DNS mithilfe neuer dynamischer Aktualisierungsfunktionen veröffentlichen. Diese Daten werden als Domäne identifiziert und über Serviceressourcendatensätze veröffentlicht. SRV-RRs folgen dem Format service.protocol.domain.
Active Directory-Server bieten einen LDAP-Dienst zum Hosten des Objekts, und LDAP verwendet TCP als zugrunde liegendes Transportprotokoll. Daher sucht ein Client, der nach einem Active Directory-Server in der Domäne mspress.microsoft.com sucht, nach dem DNS-Eintrag für ldap.tcp.mspress.microsoft.com.
Globaler Katalog
Active Directory bietet einen globalen Katalog (GC) und Bietet eine einzige Quelle zum Auffinden von Objekten im Netzwerk der Organisation.
Der globale Katalog ist ein Dienst in Windows 2000 Server, mit dem Benutzer alle Objekte finden können, denen Zugriff gewährt wurde. Diese Funktionalität ist weit überlegenFunktionen der Anwendung "Computer suchen", die in früheren Windows-Versionen enthalten sind. Schließlich können Benutzer in Active Directory nach jedem Objekt suchen: nach Servern, Druckern, Benutzern und Anwendungen.
