Любой начинающий пользователь, сталкиваясь с מקוצר לספירה, תוהה מה זה Active Directory? Active Directory הוא שירות ספריות שפותח על ידי מיקרוסופט עבור רשתות תחום של Windows. כלול ברוב מערכות ההפעלה Windows Server, כסט תהליכים ושירותים. בתחילה, השירות עסק רק בניהול תחום מרכזי. עם זאת, החל מ- Windows Server 2008, AD הפכה לשם מגוון רחב של שירותי זיהוי הקשורים לספריות. זה הופך את Active Directory למתחילים למיטביים ללימוד.
הגדרה בסיסית
שרת המריץ שירותי דומייןספריות Active Directory נקראות בקר תחום. הוא מאמת ומאשר את כל המשתמשים והמחשבים בתחום רשת Windows, מקצה ומחיל מדיניות אבטחה על כל המחשבים האישיים, ומתקין או מעדכן תוכנה. לדוגמה, כאשר משתמש נכנס למחשב המחובר לדומיין של Windows, Active Directory מאמת את הסיסמה שסופקה וקובעת אם האובייקט הוא מנהל מערכת או משתמש רגיל. זה גם מאפשר לך לנהל ולאחסן מידע, מספק מנגנוני אימות והרשאה, ומספק מסגרת לפריסת שירותים קשורים אחרים: שירותי אישורים, שירותי ספרייה מאוחדים וקלים וניהול זכויות.
Active Directory משתמשת בגרסת LDAP 2 ו-3, גרסת Kerberos של מיקרוסופט וב-DNS.
Active Directory - מה זה? במילים פשוטות על מורכבות
מעקב אחר נתוני רשת הוא משימה שגוזלת זמן. אפילו ברשתות קטנות יותר, משתמשים נוטים להתקשות למצוא קבצי רשת ומדפסות. ללא ספרייה כלשהי, לא ניתן לנהל רשתות בינוניות עד גדולות ולעיתים קרובות מתקשות למצוא משאבים.
גרסאות קודמות של Microsoft Windows כללו שירותים כדי לעזור למשתמשים ולמנהלי מערכת למצוא מידע. Network Neighborhood שימושית בסביבות רבות, אך החיסרון הברור הוא הממשק הלא נוח וחוסר הניבוי שלו. ניתן להשתמש במנהל WINS ובמנהל שרתים כדי להציג רשימה של מערכות, אך לא היו זמינים למשתמשי קצה. מנהלי מערכת השתמשו במנהל המשתמשים כדי להוסיף ולהסיר נתונים של אובייקט רשת מסוג אחר לגמרי. יישומים אלה התגלו כלא יעילים עבור רשתות גדולות והעלו את השאלה, מדוע בחברת Active Directory?
ספרייה, במובן הכללי ביותר, היא רשימה מלאה של אובייקטים. ספר טלפונים הוא סוג של ספרייה המאחסנת מידע על אנשים, עסקים וארגונים ממשלתיים הם מכילים בדרך כלל שמות, כתובות ומספרי טלפון. שואל את השאלה Active Directory - מה זה, במילים פשוטות, אפשר לומר שהטכנולוגיה הזו דומה למדריך, אבל היא הרבה יותר גמישה. AD מאחסנת מידע על ארגונים, אתרים, מערכות, משתמשים, שיתופים וכל אובייקט רשת אחר.
מבוא למושגים הבסיסיים של Active Directory
מדוע ארגון צריך Active Directory? כפי שהוזכר במבוא ל-Active Directory, השירות מאחסן מידע על רכיבי רשת. המדריך "Active Directory למתחילים" אומר שכן מאפשר ללקוחות למצוא אובייקטים במרחב השמות שלהם. זה טמונח (נקרא גם עץ מסוף) מתייחס לאזור בו ניתן למקם רכיב רשת. לדוגמה, תוכן העניינים של ספר יוצר מרחב שמות שבו ניתן למפות פרקים למספרי עמודים.
DNS הוא עץ מסוף הפותר שמות מארחים לכתובות IP, כגוןספרי טלפונים מספקים מרחב שמות לפתרון שמות עבור מספרי טלפון. ואיך זה קורה ב-Active Directory? AD מספקת עץ מסוף לפתרון השמות של אובייקטי רשת לאובייקטים עצמם ו יכול לפתור מגוון רחב של אובייקטים, כולל משתמשים, מערכות ושירותים ברשת.
אובייקטים ותכונות
כל דבר ש-Active Directory עוקב אחריו נחשב לאובייקט. אתה יכול לומר במילים פשוטות שזה ב-Active Directory הוא כל משתמש, מערכת, משאב או שירות. המונחים הנפוצים אובייקט משמשים מכיוון ש-AD מסוגלת לעקוב אחר אלמנטים רבים, ואובייקטים רבים יכולים לחלוק תכונות משותפות. מה זה אומר?
תכונות מתארות אובייקטים בספרייה הפעילהActive Directory, לדוגמה, כל אובייקטי המשתמש חולקים תכונות לאחסון שם המשתמש. זה חל גם על התיאורים שלהם. מערכות הן גם אובייקטים, אבל יש להן קבוצה נפרדת של תכונות הכוללת שם מארח, כתובת IP ומיקום.
קבוצת התכונות הזמינה עבור כל פרטסוג האובייקט נקרא סכמה. זה הופך מחלקות אובייקטים שונות זו מזו. פרטי הסכמה מאוחסנים למעשה ב-Active Directory. שההתנהגות הזו של פרוטוקול האבטחה חשובה מאוד היא העובדה שהסכימה מאפשרת למנהלים להוסיף תכונות למחלקות אובייקטים ולהפיץ אותן ברשת לכל פינות התחום מבלי להפעיל מחדש את כל בקרי התחום.
מיכל ושם LDAP
מיכל הוא סוג מיוחד של אובייקטמשמש לארגון תפעול השירות. זה לא מייצג ישות פיזית כמו משתמש או מערכת. במקום זאת, הוא משמש לקיבוץ אלמנטים אחרים. ניתן לקנן אובייקטי מיכל בתוך מיכלים אחרים.
לכל אלמנט ב-AD יש שם.אלה לא אלה שאתה רגיל אליהם, למשל, איוון או אולגה. אלו הם שמות נכבדים של LDAP. שמות מובחנים של LDAP הם מסובכים, אבל הם מאפשרים לך לזהות באופן ייחודי כל אובייקט בתוך ספרייה, ללא קשר לסוג שלו.
עץ מונח ואתר אינטרנט
מונח עץ משמש לתיאור קבוצהאובייקטים ב- Active Directory. מה זה? במילים פשוטות, ניתן להסביר זאת באמצעות שיוך עצים. כאשר קונטיינרים ואובייקטים משולבים באופן היררכי, הם נוטים ליצור ענפים - ומכאן השם. מונח קשור הוא תת-עץ רציף, המתייחס לגזע הראשי הבלתי שבור של עץ.
בהמשך למטאפורה, המונח "יער" מתאראוסף שאינו חלק מאותו מרחב שמות, אך חולק סכימה, תצורה וקטלוג גלובלי משותפים. אובייקטים במבנים אלה זמינים לכל המשתמשים אם האבטחה מאפשרת זאת. ארגונים המחולקים למספר תחומים צריכים לקבץ עצים ליער אחד.
אתר הוא מיקום גיאוגרפי,מוגדר ב- Active Directory. אתרים תואמים לרשתות משנה IP לוגיות וככאלה יכולים לשמש יישומים כדי למצוא את השרת הקרוב ביותר ברשת. שימוש במידע באתר מ-Active Directory יכול להפחית משמעותית את תעבורת ה-WAN.
ניהול Active Directory
רכיב Snap-in של Active Directory - משתמשים. זהו הכלי הנוח ביותר לניהול Active Directory. הוא נגיש ישירות מקבוצת התוכניות כלי ניהול בתפריט התחל. זה מחליף ומשפר את מנהל השרתים ומנהל המשתמשים מ-Windows NT 4.0.
אבטחה
Active Directory ממלאת תפקיד חשוב בעתיד של רשתות Windows. מנהלי מערכת חייבים להיות מסוגלים להגן על הספרייה שלהם מפני פולשים ומשתמשים תוך האצלת משימות למנהלי מערכת אחרים. כל זה אפשרי באמצעות מודל האבטחה של Active Directory, שמשייך רשימת בקרת גישה (ACL) לכל תכונה מכילה ואובייקט בספרייה.
רמה גבוהה של שליטה מאפשרת למנהל מערכת להעניק למשתמשים בודדים ולקבוצות רמות שונות של הרשאות על אובייקטים ומאפיינים שלהם. הם יכולים אפילו להוסיף תכונות לאובייקטים ולהסתיר את התכונות הללו מקבוצות משתמשים מסוימות. לדוגמה, אתה יכול להגדיר ACL כך שרק מנהלים יוכלו לראות את הטלפונים הביתיים של משתמשים אחרים.
מינהלה מואצלת
רעיון חדש ב-Windows 2000 Server הוא ניהול מואצל. זה מאפשר לך להקצות משימות למשתמשים אחרים מבלי להעניק זכויות גישה נוספות. ניתן להקצות ניהול מואצל באמצעות אובייקטים ספציפיים או תתי עצי ספרייה רציפים. זוהי שיטה יעילה הרבה יותר להענקת הרשאות ברשתות.
ביעד עבור מישהו עם כל זכויות מנהל הדומיין הגלובלי, ניתן להעניק למשתמש הרשאות רק בתוך תת-עץ ספציפי. Active Directory תומך בהורשה, כך שכל אובייקט חדש יורש את ה-ACL של המכולה שלהם.
המונח "אמון"
המונח "אמון" עדיין נמצא בשימוש, אך לנאמנויות יש פונקציונליות שונה. אין הבחנה בין נאמנויות חד-צדדיות לדו-צדדיות. אחרי הכל, כל הנאמנויות של Active Directory הן דו-כיווניות. יתר על כן, כולם טרנזיטיביים. לכן, אם תחום A סומך על תחום B, ו-B סומך על C, אז יש קשר אמון מרומז אוטומטי בין תחום A לתחום C.
ביקורת ב-Active Directory - מה זה במילים פשוטות? זוהי תכונת אבטחה המאפשרת לך לקבוע מי מנסה לגשת לאובייקטים, וכן עד כמה ניסיון זה מוצלח.
שימוש ב-DNS (מערכת שמות דומיין)
מערכת שמות הדומיין, או DNS, חיונית לכל ארגון המחובר לאינטרנט. DNS מספק פתרון שמות בין שמות נפוצים כגון mspress.microsoft.com וכתובות IP גולמיות המשתמשות ברכיבי שכבת רשת כדי לתקשר.
Active Directory עושה שימוש נרחב בטכנולוגיית DNS לחיפוש אובייקטים. זהו שינוי משמעותי ממערכות הפעלה קודמות של Windows הדורשות זיהוי של שמות NetBIOS לכתובות IP ומסתמכות על WINS או טכניקות אחרות של פתרון שמות של NetBIOS.
Active Directory פועלת בצורה הטובה ביותר בשימוש עם שרתי DNS עם Windows 2000. מיקרוסופט הקלה על מנהלי מערכת לעבור לשרתי DNS של Windows 2000 על ידי אספקת אשפי העברה המנחים את מנהל המערכת בתהליך.
ניתן להשתמש בשרתי DNS אחרים. עם זאת, במקרה זה, מנהלי מערכת יצטרכו להשקיע זמן רב יותר בניהול מסדי נתונים של DNS. מה הניואנסים? אם תבחר שלא להשתמש בשרתי DNS של Windows 2000, עליך לוודא ששרתי ה-DNS שלך תואמים לפרוטוקול החדש של DNS Dynamic Update. שרתים מסתמכים על עדכון דינמי של הרשומות שלהם כדי למצוא בקרי תחום. זה לא נוח. אחרי הכל, האם אין תמיכה בעדכון דינמי, יש לעדכן מסדי נתונים באופן ידני.
דומיינים של Windows ודומיינים באינטרנט תואמים כעת באופן מלא. לדוגמה, שם כגון mspress.microsoft.com יזהה את בקרי הדומיין של Active Directory האחראים על הדומיין, כך שכל לקוח עם גישת DNS יכול למצוא את בקר הדומיין. לקוחות יכולים להשתמש ברזולוציית DNS כדי לחפש כל מספר שירותים מכיוון ששרתי Active Directory מפרסמים רשימה של כתובות ל-DNS באמצעות תכונות העדכון הדינמי החדשות. נתונים אלה מוגדרים כתחום ומתפרסמים באמצעות רשומות משאבי שירות. SRV RR עקוב אחר הפורמט service.protocol.domain.
שרתי Active Directory מספקים שירות LDAP לארח אובייקט, ו-LDAP משתמש ב-TCP כפרוטוקול שכבת התחבורה הבסיסית. לכן, לקוח שיחפש שרת Active Directory בדומיין mspress.microsoft.com יחפש ערך DNS עבור ldap.tcp.mspress.microsoft.com.
ספרייה גלובלית
Active Directory מספקת קטלוג גלובלי (GC) ו מספק מקור יחיד לחיפוש כל אובייקט ברשת הארגון.
הקטלוג העולמי הוא שירות ב-Windows 2000 Server המאפשר למשתמשים למצוא כל אובייקט שקיבל גישה. פונקציונליות זו עדיפה בהרבהתכונות של היישום Find Computer הכלולים בגירסאות קודמות של Windows. אחרי הכל, משתמשים יכולים לחפש כל אובייקט ב-Active Directory: שרתים, מדפסות, משתמשים ויישומים.
