Active Directory

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 28. maj 2021; checks kræver 7 redigeringer .

Active Directory
Type	Directory Service
Udvikler	Microsoft
Operativ system	Windows Server
Første udgave	1999
Hardware platform	x86 , x86_64 og IA-64
Læsbare filformater	LDIF
Internet side	docs.microsoft.com/window...

Active Directory ("Active Directory", AD ) er Microsofts bibliotekstjenester til operativsystemer i Windows Server -familien . Det blev oprindeligt oprettet som en LDAP -kompatibel implementering af bibliotekstjenesten, men startende med Windows Server 2008 inkluderer den muligheden for at integrere med andre autorisationstjenester og udføre en integrerende og samlende rolle for dem. Tillader administratorer at bruge gruppepolitikker til at sikre ensartet tilpasning af brugerens arbejdsmiljø, implementere software til flere computere via gruppepolitik eller System Center Configuration Manager (tidligere Microsoft Systems Management Server), installere operativsystem-, applikations- og serversoftwareopdateringer på alle computere online ved hjælp af Windows Server Update . Gemmer miljødata og indstillinger i en centraliseret database. Active Directory-netværk kan variere i størrelse fra et par dusin til flere millioner objekter.

Løsningen blev introduceret i 1999, først udgivet med Windows 2000 Server , og derefter udviklet som en del af udgivelsen af ​​Windows Server 2003. Efterfølgende blev nye versioner af produktet inkluderet i Windows Server 2003 R2 , Windows Server 2008 og Windows Server 2008 R2 og omdøbt Active Directory Domain Services . Katalogtjenesten hed tidligere NT Directory Service (NTDS), et navn, der stadig kan findes i nogle eksekverbare filer .

I modsætning til versioner af Windows før Windows 2000, som primært brugte NetBIOS -protokollen til netværkskommunikation, er Active Directory integreret med DNS og kører kun over TCP/IP . Standardgodkendelsesprotokollen er Kerberos . Hvis klienten eller applikationen ikke understøtter Kerberos-godkendelse, bruges NTLM [1] .

Til softwareudviklere leveres en Active Directory Services API ( ADSI ) .

Enhed

Objekter

Active Directory har en hierarkisk struktur bestående af objekter. Objekter falder i tre hovedkategorier: ressourcer (såsom printere ), tjenester (såsom e- mail ) og bruger- og computerkonti. Tjenesten giver information om objekter, giver dig mulighed for at organisere objekter, kontrollere adgangen til dem og angive sikkerhedsregler.

Objekter kan være depoter for andre objekter (sikkerheds- og distributionsgrupper). Et objekt er entydigt identificeret ved sit navn og har et sæt attributter - egenskaber og data, som det kan indeholde; sidstnævnte afhænger til gengæld af typen af ​​objekt. Attributter er den konstituerende base af et objekts struktur og er defineret i skemaet. Skemaet definerer hvilke typer objekter der kan eksistere.

Selve skemaet består af to typer objekter: skemaklasseobjekter og skemaattributobjekter. Et skemaklasseobjekt definerer én type Active Directory-objekt (f.eks. et brugerobjekt), og et skemaattributobjekt definerer en attribut, som et objekt kan have.

Hvert attributobjekt kan bruges i flere forskellige skemaklasseobjekter. Disse objekter kaldes skemaobjekter (eller metadata ) og giver dig mulighed for at ændre og tilføje til skemaet, når det er nødvendigt og muligt. Hvert skemaobjekt er dog en del af objektdefinitionerne, så deaktivering eller ændring af disse objekter kan have alvorlige konsekvenser, da mappestrukturen vil ændre sig som følge af disse handlinger. Ændringen af ​​skemaobjektet overføres automatisk til bibliotekstjenesten. Når først et skemaobjekt er oprettet, kan det ikke slettes, det kan kun deaktiveres. Normalt er alle skemaændringer nøje planlagt.

En container ligner et objekt, idet den også har attributter og hører til et navneområde , men i modsætning til et objekt står en container ikke for noget specifikt: den kan indeholde en gruppe af objekter eller andre containere.

Struktur

Det øverste niveau af strukturen er skoven, samlingen af ​​alle objekter, attributter og regler (attributsyntaks) i Active Directory. Skoven indeholder et eller flere træer forbundet af transitive tillidsforhold. Træet indeholder et eller flere domæner, også forbundet i et hierarki af transitive tillidsforhold. Domæner identificeres ved deres DNS-navnestrukturer - navneområder.

Objekter i et domæne kan grupperes i containere – OE'er. Organisatoriske enheder giver dig mulighed for at oprette et hierarki inden for et domæne, forenkle administrationen af ​​det og give dig mulighed for at modellere for eksempel den organisatoriske eller geografiske struktur af en organisation i en telefonbogstjeneste. Divisioner kan indeholde andre divisioner. Microsoft anbefaler at bruge så få domæner som muligt i katalogtjenesten og bruge organisatoriske enheder til strukturering og politikker. Gruppepolitikker anvendes ofte specifikt til organisatoriske enheder. Gruppepolitikker er i sig selv objekter. En afdeling er det laveste niveau, hvor administrativ myndighed kan delegeres .

En anden måde at opdele er websteder, som er en måde at fysisk (snarere end logisk) gruppering baseret på netværkssegmenter. Websteder er opdelt i dem med forbindelser over lavhastighedskanaler (f.eks. over globale netværk , ved hjælp af virtuelle private netværk ) og over højhastighedskanaler (f.eks. gennem et lokalnetværk ). Et websted kan indeholde et eller flere domæner, og et domæne kan indeholde et eller flere websteder. Når du designer en adressebogstjeneste, er det vigtigt at overveje den netværkstrafik, der genereres, når data synkroniseres mellem websteder.

En nøglebeslutning i udformningen af ​​en adressebogstjeneste er beslutningen om at opdele informationsinfrastrukturen i hierarkiske domæner og topniveauenheder. Typiske modeller, der anvendes til denne opdeling, er opdelinger efter funktionelle divisioner af virksomheden, efter geografisk placering og efter roller i virksomhedens informationsinfrastruktur. Kombinationer af disse modeller bruges ofte.

Fysisk struktur og replikation

Fysisk gemmes information på en eller flere tilsvarende domænecontrollere , der erstattede de primære og backup-domænecontrollere, der bruges i Windows NT , selvom en såkaldt " single-master operations"-server , der kan emulere en primær domænecontroller, også bevares til nogle operationer . Hver domænecontroller opbevarer en læse/skrivekopi af dataene. Ændringer foretaget på én controller synkroniseres med alle domænecontrollere under replikering . Servere, der ikke selv har Active Directory installeret, men som er en del af et Active Directory-domæne, kaldes medlemsservere.

Directory replikering sker efter behov. KCC-tjenesten ( Knowledge Consistency Checker ) opretter en replikeringstopologi, der bruger de steder, der er defineret i systemet, til at styre trafik. Intrasite replikering udføres ofte og automatisk af en konsistenskontrol (ved at underrette replikeringspartnere om ændringer). Replikering på tværs af websteder kan konfigureres pr. webstedslink (afhængigt af linkets kvalitet) - en anden "rate" (eller "omkostning") kan tildeles hvert link (f.eks. DS3, T1 , ISDN ), og replikeringstrafik vil blive tildelt begrænset, transmitteret planlagt og rutet i henhold til det tildelte kanalestimat. Replikeringsdata kan overføres på tværs af flere websteder via webstedslinkbroer, hvis "scoringen" er lav, selvom AD automatisk tildeler en lavere score for websted-til-sted-links end for transitlinks. Site-to-site replikering udføres af brohovedservere på hvert site, som derefter replikerer ændringer til hver domænecontroller på deres site. Intradomænereplikering foregår via RPC-protokollen , mens interdomænereplikering også kan bruge SMTP-protokollen .

Hvis Active Directory-strukturen indeholder flere domæner, bruges et globalt katalog til at løse objektsøgningsopgaven: en domænecontroller, der indeholder alle objekterne i skoven, men med et begrænset sæt attributter (en delvis replika). Kataloget gemmes på specificerede globale katalogservere og betjener anmodninger på tværs af domæner.

Muligheden for enkelt vært gør det muligt at håndtere anmodninger, når replikering af flere værter ikke er tilladt. Der er fem typer af sådanne operationer: Domain Controller Emulation (PDC Emulator), Relative Identifier Host (Relative Identifier Master eller RID Master), Infrastructure Host (Infrastructure Master), Schema Host (Schema Master) og Domain Naving Host (domænenavngivningsmaster) ). De første tre roller er unikke inden for domænet, de to sidste er unikke i hele skoven.

En Active Directory-database kan opdeles i tre logiske arkiver eller "partitioner". Skemaet er en skabelon for tjenesten og definerer alle objekttyper, deres klasser og attributter, attributsyntaks (alle træer er i den samme skov, fordi de har det samme skema). Konfigurationen er strukturen af ​​Active Directory-skoven og træerne. Et domæne gemmer al information om objekter, der er oprettet i det pågældende domæne. De første to lagre replikeres til alle domænecontrollere i skoven, den tredje partition replikeres fuldt ud mellem replikacontrollere inden for hvert domæne og delvist replikeres til globale katalogservere.

Databasen kataloglager) i Windows 2000 bruger Microsoft Jet Blue Extensible Storage Subsystem som det muligt for hver domænecontroller at have en database på op til 16 terabyte og 1 milliard objekter (en teoretisk grænse, praktiske test er kun blevet kørt med ca. 100 millioner genstande). Basisfilen er navngivet og har to hovedtabeller - en datatabel og en linktabel. Windows Server 2003 tilføjede endnu en tabel for at håndhæve det unikke ved sikkerhedsdeskriptorforekomster . NTDS.DIT

Navngivning

Tjenesten understøtter følgende objektnavngivningsformater: UNC generiske navne , URL'er og LDAP URL'er. LDAP-versionen af ​​X.500 -navneformatet bruges internt af tjenesten.

Hvert objekt har et fornemt navn ( engelsk  distinguished name , DN ) [2] . For eksempel vil et printerobjekt navngivet HPLaser3i Marketing OU og i domænet foo.orghave følgende fornemme navn: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=orghvor CN er det almindelige navn, OU er sektionen, DC er klassen for domæneobjektet. Navne, der fremhæves, kan have mange flere dele end de fire dele i dette eksempel. Objekter har også kanoniske navne. Disse er de fornemme navne skrevet i omvendt rækkefølge, uden identifikatorer og med skråstreger som afgrænsning: foo.org/Маркетинг/HPLaser3. For at identificere et objekt i dets beholder bruges et relativt fornemt navn: CN=HPLaser3. Hvert objekt har også en globalt unik identifikator ( GUID ), som er en unik og uforanderlig 128-bit streng, der bruges af Active Directory til søgning og replikering. Visse objekter har også et User Principal Name (UPN, ifølge RFC 822 ) i formatet объект@домен.

Integration med UNIX

Forskellige niveauer af interaktion med Active Directory kan implementeres på de fleste UNIX-lignende operativsystemer gennem LDAP-klienter, men sådanne systemer accepterer typisk ikke de fleste af de attributter, der er forbundet med Windows-komponenter, såsom gruppepolitikker og support til envejs-trusts. Men med udgivelsen af ​​Samba 4 blev det muligt at bruge gruppepolitikker og Windows-administrationsværktøjer.

Tredjepartsleverandører tilbyder Active Directory-integration på UNIX , Linux , Mac OS X-platforme og en række Java -applikationer , herunder Centrify DirectControl og Express, UNAB ( Computer Associates ), TrustBroker ( CyberSafe ), PowerBroker Identity Services ( BeyondTrust ) ) [3] , Authentication Services ( Quest Software ), ADmitMac ( Thursby ) [3] . Samba - serveren , en PowerBroker Identity Services-softwarepakke, der er kompatibel med Microsoft-netværkstjenester, kan fungere som en domænecontroller [4] [5] .

Skematilføjelserne, der leveres med Windows Server 2003 R2 , inkluderer attributter, der er tæt beslægtede nok med RFC 2307 til at være til generel brug. Grundimplementeringerne af RFC 2307 - nss_ldapog pam_ldapdem, der er foreslået af PADL.com, understøtter direkte disse attributter. Standardordningen for gruppemedlemskab følger RFC 2307bis (foreslået) [6] . Windows Server 2003 R2 inkluderer Microsoft Management Console til oprettelse og redigering af attributter.

Et alternativ er at bruge en anden katalogtjeneste, såsom 389 Directory Server (tidligere Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory eller Sun Java System Directory Server , som udfører to-vejs synkronisering med Active Directory , der implementerer en sådan "reflekteret" integration, når klienter af UNIX- og Linux-systemer er autentificeret på deres egne servere, og Windows-klienter er autentificeret i Active Directory. En anden mulighed er at bruge OpenLDAP med den gennemsigtige overlejringsfunktion, der udvider de eksterne LDAP-serverposter med yderligere attributter gemt i den lokale database.

Active Directory er automatiseret ved hjælp af Powershell [7] .

Noter

1. ↑ TechNet: Windows-godkendelse . Hentet 29. oktober 2017. Arkiveret fra originalen 23. december 2015. (ubestemt)
2. ↑ Objektnavne . Microsoft Technet . Arkiveret fra originalen den 25. august 2011. Microsoft Corp. (ubestemt)
3. ↑ 1 2 Edge, Charles S., Jr.; Smith, Zack; Jæger, Beau. ch. 3 // Enterprise Mac Administrator's Guide  (neopr.) . — New York City : Apress , 2009. — ISBN 9781430224433 .
4. ↑ Samba4/Releases/4.0.0alpha13 . SambaPeople . SAMBA projekt . Hentet 29. november 2010. Arkiveret fra originalen 4. februar 2012. (ubestemt)
5. ↑ "Den store DRS-succes!" . SambaPeople . SAMBA-projektet (5. oktober 2009). Hentet 2. november 2009. Arkiveret fra originalen 4. februar 2012. (ubestemt)
6. ↑ RFC 2307bis Arkiveret 27. september 2011 på Wayback Machine Arkiveret 27. september 2011.
7. ↑ Active Directory-administration med Windows PowerShell . Microsoft . Hentet 7. juni 2011. Arkiveret fra originalen 4. februar 2012. (ubestemt)

Litteratur

• Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka. Microsoft Exchange Server 2003 . Komplet vejledning = Microsoft Exchange Server 2003 Unleashed . - M . : "Williams" , 2006. - S. 1024. - ISBN 0-672-32581-0 .

Links

• Microsoft Active Directory -webside
• Windows Internet navngivningstjeneste

Microsoft Windows-komponenter
Hoved	Aero klar type Desktop Window Manager DirectX Opgavelinje Start meddelelsesområde Leder Navneområde Særlige mapper Filforeninger Windows-søgning smarte mapper IFilter indekseringstjeneste GDI WIM SMB .NET Framework XPS Aktiv scripting WSH VBScript JScript COM OLE DCOM ActiveX Struktureret opbevaring Transaktionsserver Skyggekopi WDDM UAA Win32 konsol Windows Spotlight Windows Mixed Reality
Management Services	Backup og genskab COMMAND.COM cmd.exe Overførselsværktøj Event Viewer installatør netsh PowerShell Udstedte rapporter rundll32.exe Systemforberedelsesprogram ( Sysprep ) Systemkonfiguration ( MSConfig ) Kontrolprogram til systemfiler præstationsindeks Opdateringscenter Systemgendannelse Diskdefragmentering Jobliste Enhedshåndtering Administrationskonsol Diskoprydning Windows-indstillinger Kontrolpanel ( elementer )
Ansøgninger	Win32 Internet Explorer Microsoft Edge Maling ordblok Skype Notesbog Noter Magasin lydoptagelse Saks Samarbejdsprogram Windows Media Player Tale genkendelse Personlig karakterredaktør Viser billeder symbol tabel Fax og scan Mobilitetscenter Windows Mobile Device Center Forstørrelsesglas UWP Microsoft Store Mal 3D Fjernhjælp Kalender Lommeregner Film og TV Cortana Groove musik Mennesker Muligheder Post Foto Fortæller historisk Opgradering når som helst Studie NetMeeting Outlook Express Programleder Filhåndtering fotoalbum Windows To Go Kontaktpersoner DVD studie Mediecenter Sidepanel
Spil	Skak Titans Purble Place Solitaire halstørklæde edderkop bændelorm Microsoft Mahjong Microsoft Solitaire Collection Sapper Pinball Hjerter Blækkugle Microsoft Tinker
OS kerne	Ntoskrnl.exe Hardwareabstraktionslag (hal.dll) System inaktivt svchost.exe Register Service Service Control Manager DLL PE NTLDR Download Manager Logon-program (winlogon.exe) Gendannelseskonsol Windows RE Windows PE Beskytter kernen mod ændringer
Tjenester	Autorun.inf Baggrunds Intelligent Transfer Service Standard journalføringsfilsystem Fejlrapporter Medieklasseplanlægger Skyggekopi Jobliste Trådløs opsætning
Filsystemer _	ReFS NTFS hårdt link tilslutningspunkt Monteringspunkt Reparationspunkt Symbolsk link TxF EFS WinFS FED exFAT CDFS UDF DFS IFS
Server	Active Directory Implementeringstjenester Filreplikeringstjeneste DNS Domæner Omdirigering af mappe Hyper-V IIS Medietjenester MSMQ Network Access Protection (NAP) Print Services til UNIX Fjerndifferentiel kompression Fjerninstallationstjenester Rettighedsstyringstjenester Roaming brugerprofiler SharePoint System Resource Manager Fjernadministrationsprogram WSUS Gruppepolitik Distribueret transaktionskoordinator
Arkitektur	NT Objektmanager I/O-anmodningspakker Kernel Transaction Manager Logisk Disk Manager Sikkerhedskontoadministrator Ressourcebeskyttelse lsass.exe csrss.exe sms.exe spoolsv.exe lancering
Sikkerhed	bitlocker Forsvarer Forebyggelse af dataudførelse Obligatorisk integritetskontrol Sikker datakanal UAC UIPI Firewall Sikkerhedscenter Filbeskyttelse
Kompatibilitet	UNIX-undersystem (Interix) DOS virtuel maskine Windows på Windows wow 64

Microsoft
PÅ	Azure Sphere Windows ( hovedkomponenter ) Windows telefon kontor visuelt studie udtryk sølv lys Dynamik Penge Encarta Studerende Arbejder Microsoft Security Essentials
Serversoftware	Windows Server SQL Server IIS Udveksling BizTalk Handel Foran TMG Systemstyring Systemcenter Licenstjenester
Teknologi	Active Directory DirectX .NET .NET Framework Windows Media PlaysForSure App-V
Internet	Windows Live Hovedkomponenter Microsoft Office Live MSNBC ninemsn msn bing Bing Bar kant EntityCube Groove musik Outlook.com varm mail Windows Live Messenger Windows Live realms MSN-grupper Konto Ignition kodeplex Microsoft Health Vault Skype OneDrive Vine Zune Marketplace
Spil	Xbox Game Studios ( Mojang Studios , ZeniMax Media / Bethesda Softworks / Bethesda Game Studios , 343 Industries , Double Fine , osv.) MSN spil XNA Generationer af Xbox Xbox 360 360S En Serie X/S Kinect Xbox netværk Levende guld Arcade spil butik Spil Pass Cloud spil butik Spil til Windows Direkte Bakke og spil Lev hvor som helst
Hardware _	overflade Zune ( 4, 8, 16 30 80, HD ) MSN TV Naturligt tastatur IntelliType IntelliPoint LifeCam LifeChat sidevinder UMPC Fingeraftryk Audio Trådløs telefon Pocket PC Round Table Svarpunkt KIN HoloLens
Uddannelse	MTA MCP MCTS MCITP MSDN MSDNAA MSCA Microsoft MVP Studenterpartnere
Licensering	Licenspolitik Klientadgangslicens Delt kilde
Underafdelinger	Microsoft Research msn Macintosh forretningsenhed Microsoft Studios Microsoft Rus
Annoncekampagner	Hvor vil du hen i dag? (1994) Champagne (2002) Mojave Experiment (2006) Jeg er en pc (2008) Scroogled (2012)
Bestyrelse	Balmer Cache Doubloon Porte Gilmartin hastings Markurdt Nadella Sokker Panke Shirley