Бъдете начинаещ потребител, който се сблъсква с акронима AD, питайки какво е Active Directory? Active Directory е услуга за директории, разработена от Microsoft за мрежови домейни на Windows. Включени в повечето операционни системи Windows Server като набор от процеси и услуги. Първоначално услугата беше само централизирано управление на домейн. Въпреки това, тъй като Windows Server 2008 AD се превърна в име на широк кръг от директории базирани на услуги за идентификация на директории. Това прави Starter Active Directory по-ясно.

Основна дефиниция

Сървърът, на който се намира името на домейна на Active Directory Directory Services, се нарича домейн контролер. Той удостоверява и упълномощава всички потребители и компютри в мрежовия домейн на Windows чрез възлагане и прилагане на политики за сигурност за всички компютри, както и за инсталиране или актуализиране на софтуер. Например, когато потребител влезе в компютър, който е част от домейн на Windows Active Directory, проверява предоставената парола и определя дали обектът е системен администратор или обикновен потребител. Той също така ви позволява да управлявате и съхранявате информация, предоставя механизми за удостоверяване и оторизация и създава рамка за разгръщане на други свързани услуги: удостоверителни услуги, обединени и улеснени услуги за справки и управление на правата. Active Directory използва LDAP версии 2 и 3 на Microsoft Kerberos и DNS протоколи.

Active Directory - Какво е това? Прости думи за сложно проследяване

мрежовите данни са трудна задача. Дори и в малки мрежи, потребителите често срещат трудности при намирането на мрежови файлове и принтери. Без каквато и да е директория, средните и големите мрежи не могат да бъдат управлявани и често срещат трудности при намирането на ресурси.


Предишните версии на Microsoft Windows включват услуги, които помагат на потребителите и администраторите да намират данни. Мрежовата среда е полезна в много среди, но очевидният недостатък е неудобният интерфейс и неговата непредсказуемост. WINS Manager Server Manager може да се използва за преглед на списъка на системите, но те не са достъпни за крайните потребители. Администраторите използват User Manager, за да добавят и изтриват данни от напълно различен тип мрежов обект. Тези програми се оказаха неефективни за работа в големи мрежи и повдигнаха въпроси, защо в Active Directory? Каталогът в най-общ смисъл е пълен списък на обектите. Телефонен указател е тип директория, в която се съхранява информация за хора, фирми и правителствени организации и обикновено се изброяват имена, адреси и телефонни номера. Когато задавате въпроси, Active Directory - какво е това, с прости думи, тази технология е подобна на директорията, но е много по-гъвкава. AD съхранява информация за организации, уебсайтове, системи, потребители, споделени ресурси и всяка друга мрежова структура.

Въведение в основните понятия на Active Directory

Защо организациите се нуждаят от Active Directory? Както вече споменахС влизането в Active Directory услугата съхранява информация за мрежовите компоненти. Урокът Active Directory за начинаещи показва, че позволява на клиентите да намират обекти в тяхното пространство от имена. Тази риба (наричана също дървото на конзолата) се отнася до област, в която може да бъде разположен мрежовият компонент. Например съдържанието на книгата създава пространство от имена, в което главите могат да бъдат свързани с номерата на страниците.
DNS е дърво на конзолата, което позволява на имената на възела да бъдат IP адреси, тъй като телефонните книги предоставят имена на пространства от имена за пространства от имена за телефонни номера. И как става това в Active Directory? AD осигурява дърво на конзолата, за да разреши имената на мрежовите обекти от самите обекти и може да разреши широк кръг от обекти, включително потребители, системи и услуги в мрежата.

Обекти и атрибути

Всичко, което проследява Active Directory, се счита за обект. С прости думи, тази Active Directory е всеки потребител, система, ресурс или услуга. Общ термин обект се използва, тъй като AD е в състояние да проследява много елементи и много обекти могат да споделят общи атрибути. Какво означава това? Атрибутите описват обекти в Active Directory Active Directory, например, всички потребителски обекти споделят атрибути за съхраняване на потребителско име. Това се отнася и за тяхното описание. Системите също са обекти, но те имат отделен набор от атрибути, който включва името на хоста, IP адреса и местоположението. Набор от атрибути, налични за всеки конкретен тип обектнарича схемата. Това прави класовете обекти различни един от друг. Действителната информация за схемата се съхранява в Active Directory. Какво е поведението на протокола за сигурност е много важно, казва фактът, че схемата позволява на администраторите да добавят атрибути към класовете на обектите и да ги разпределят по мрежата във всички ъгли на домейна, без да рестартират контролери за домейн.

Име на контейнера и LDAP

Контейнерът е специален вид обект, използван за организиране на услугата. Той не представлява физически обект, като потребител или система. Вместо това се използва за групиране на други елементи. Контейнерните обекти могат да бъдат затворени в други контейнери. Всеки елемент в AD има име. Не са тези, с които сте свикнали, например Иван или Олга. Това са отлични LDAP имена. Различните LDAP имена са сложни, но ви позволяват да идентифицирате всеки обект в директорията еднозначно, независимо от неговия тип.

Дърво на термините и сайта

Дървото на термините се използва за описание на множеството обекти на Active Directory. Какво е това? С прости думи, това може да бъде обяснено с помощта на асоциация на дърво. Когато контейнерите и предметите са йерархично комбинирани, те са склонни да образуват клони - оттук и името. Свързан термин е непрекъснато дърво, което се отнася до неразделна основна ствол на дървото. Продължавайки метафората, терминът "гора" описва колекция, която не е част от едно и също пространство, но има обща схема, конфигурация и глобална директория. Обектите в тези структури са достъпни за всекипотребители, ако сигурността позволява. Организациите, които са разделени на няколко области, трябва да групират дърветата в една гора. Сайтът е географско местоположение, дефинирано в Active Directory. Сайтовете съответстват на логически IP подмрежи и като такива могат да се използват от приложения за търсене на най-близкия сървър в мрежата. Използването на информация на сайта на Active Directory може значително да намали трафика в глобалните мрежи.

Управление на Active Directory

Компонент на потребителския интерфейс на Active Directory - потребители. Това е най-удобният инструмент за администриране на Active Directory. Достъпът е достъпен директно от Административната група в менюто Старт. Той заменя и подобрява работата на сървърния мениджър и потребителския мениджър в Windows NT 4.0.

Сигурност

Active Directory играе важна роля в бъдещето на мрежите на Windows. Администраторите трябва да могат да защитават директорията си от нарушители и потребители, като делегират задачи на други администратори. Всичко това е възможно с помощта на модела за защита на Active Directory, който свързва списъка за контрол на достъпа (ACL) към всеки атрибут на контейнер и обект в директорията.
Високото ниво на контрол позволява на администратора да предоставя на различни потребители и групи с различни нива на разрешения за обекти и техните свойства. Те дори могат да добавят атрибути към обекти и да скрият тези атрибути за определени потребителски групи. Например, можете да настроите ACL, така че мениджърите да могат да виждат домашните телефони на други потребители.

Делегирана администрация

Концепцията, нова за Windows 2000 Server, еделегирана администрация. Това позволява да се задават задачи на други потребители, без да се предоставят допълнителни права. Делегираното администриране може да бъде зададено чрез определени обекти или непрекъснати поддиректории на директорията. Това е много по-ефективен метод за предоставяне на власт над мрежите. На местоназначението на правата на някой глобален администратор на домейн, на потребителя може да се предоставят разрешения само в рамките на определено поддерево. Active Directory поддържа наследяване, така че всички нови обекти наследяват ACL на техния контейнер.

Терминът "отношение"

Понятието "връзка" все още се използва, но доверителните отношения имат различна функционалност. Няма разлика между еднопосочни и двупосочни тръстове. В крайна сметка всички доверителни отношения на Active Directory са двупосочни. Освен това всички те са преходни. Така че, ако домейн А се довери на домейн В, а Б има доверие в С, тогава между домейни А и домейн В. има автоматично автоматично имплицитно доверително отношение. Това е защитна функция, която ви позволява да определите кой се опитва да осъществи достъп до обектите и колко е успешен този опит.

Използване на DNS (Domain Name System)

Системата за имена на домейни, различен DNS, се изисква за всяка организация, свързана с интернет. DNS осигурява разделителна способност между имена, като mspress.microsoft.com, и необработени IP адреси, които използват компоненти за свързване на мрежовия слой. Active Directory широко използва DNS технологията за търсене на обекти. Това е значителна промяна в сравнение с. \ Tпредишни операционни системи Windows, които изискват имената на NetBIOS да бъдат разрешавани чрез IP адреси и да разчитат на WINS или други техники за разрешаване на имена на NetBIOS. Active Directory работи най-добре с DNS сървъри, работещи под Windows 2000. Microsoft улесни администраторите да мигрират към DNS сървъри, базирани на Windows 2000, като предоставят мигриращи майстори, които управляват администратора чрез този процес. Могат да се използват и други DNS сървъри. В този случай обаче администраторите ще трябва да отделят повече време за управление на DNS бази данни. Какви са нюансите? Ако решите да използвате DNS сървъри с Windows 2000, трябва да се уверите, че DNS сървърите отговарят на новия протокол за динамично обновяване на DNS. Сървърите разчитат на динамичното обновяване на записите си, за да намерят контролери за домейн. Това е неудобно. В крайна сметка, динамичната актуализация не се поддържа, базата данни трябва да се актуализира ръчно. Домейните на Windows и интернет домейните вече са напълно съвместими. Например име, като mspress.microsoft.com ще идентифицира контролерите на домейна на Active Directory, отговарящи за домейна, така че всеки клиент за DNS достъп може да намери домейн контролера. Клиентите могат да използват DNS разрешението за търсене на произволен брой услуги, тъй като сървърите на Active Directory публикуват списък с DNS адреси, използвайки новите функции на динамичното надграждане. Тези данни се дефинират като домейн и се публикуват чрез записите за ресурси на услугата. SRV RR следва формата на service.protocol.domain. Сървърите на Active Directory предоставят услугата LDAP заи LDAP използва TCP като основен протокол за транспортния слой. Затова клиент, който търси домейн на Active Directory в mspress.microsoft.com, ще търси DNS запис за ldap.tcp.mspress.microsoft.com.

Глобален каталог

Active Directory предоставя глобален каталог (GC) и осигурява един източник за търсене на всеки обект в мрежата на организацията. Глобалната директория е услуга на Windows 2000 Server, която позволява на потребителите да намират обекти, на които е предоставен достъп. Тази функционалност е много по-добра от функцията за намиране на компютър, включена в предишните версии на Windows. В крайна сметка, потребителите могат да търсят всеки обект в Active Directory: сървъри, принтери, потребители и приложения.