Role Active Directory

Role Active Directory

Pojem Active Directory rozumíme jak sluzbu, která vyřizuje pozadavky uzivatelů a aplikací, tak konkrétní fyzickou strukturu - databázi - adresář, do kterého se ukládají vsechny potřebné údaje.

Skálovatelnost

Pokud spravujete prostředí, které má několik tisíc objektů, je prohledávání Active Directory efektivnějsí, protoze se pouzívá indexování. Pokud máte několik serverů s Active Directory a jeden selze, vasich dat se to nedotkne, protoze mezi vsemi servery se provádí plná replikace. S Active Directory se nemusíte obávat ztráty dat nebo prodlouzení oběřování.

Oddíl adresáře Active Directory umozňuje uchovávat milióny objektů. Ve skutečnosti je to vsak přílis nepraktické a administrace můze být nepohodlná, jakkoli je sluzba Active Directory výkonná. Vytvoření více oddílů adresáře si vynucuje potřebu ukládat informace ze vsech oddílů na jedno místo, coz není přílis efektivní. Tuto situaci řesí globální katalog. Globální katalog sluzby Active Directory uchovává pouze potřebnou podmnozinu informací ze vsech oddílů adresáře.

Rozsiřitelné schéma

Administrator můze pro 24524t194y vádět změny ve schématu Active Directory. Můze definovat nové typy adresářových objektů a jejich atributy a můze přidávat nové atributy existujícím objektům. Rozsíření schématu umozňují dva nástroje. Modul Schema Manager a rozhraní ADSI (Active Directory Service Interface). Protoze schéma je ulozeno v globálním katalogu, uplatní se změny okamzitě.

Globální katalog

Globální katalog je jak sluzba, tak fyzická paměť na disku. Obsahuje informace z doménového stromu nebo lesa. Do globálního katalogu se vsak ukládají pouze ty atributy objektů, které se často vyhledávají, např. přihlasovací jméno, příjmení uzivatele, křestní jméno uzivatele apod.

Údaje globálního katalogu jsou pravidelně aktualizovány replikačním procesem. Bez prostředku, kterým je globální katalog, by se replikace musely provádět mezi doménami a jejich doménovými řadiči, coz by mohlo neúnosně zatězovat síť. Replikace se provádí pouze do globálního katalogu. Je to efektivnějsí také proto, ze je mozno v něm najít zdroje rozmístěné po celé síti.

Globální katalog se zřizuje na řadiči domény při instalaci Active Directory. Tento server se pak také nazývá server globálního katalogu. Ne kazdý řadič domény musí být také serverem globálního katalogu. Počet serverů globálního katalogu, které definujete, závisí na struktuře vasí sítě a na pozadované rychlosti replikačního procesu. Více globálních katalogů má svá pozitiva i negativa. Replikace mezi mnoha globálními katalogy zatězuje síť. Více globálních katalogů urychluje vyřizování pozadavků uzivatele na síťové zdroje.

Role serveru v síti

Standalone - (samostatný) server, bez Active Directory

Domain controller - doménový řadič, instalovaná Active Directory

Není nutné rozhodovat před instalací, pohyb v obou směrech je mozný, viz konfigurace serveru (Configure Your Server Wizard)

Podpora zavedených standardů

DNS

Obor jmen Active Directory je zalozen na jmeném schématu DNS, takze napojení prostředí Windows 2000 na Internet je přímočaré

LDAP

Active Directory vyuzívá pro přístup k adresářovým sluzbám standartní protokoly, hlavně LDAP (Lightweight Directory Accesss Protocol)

Lze synchronizovat informace ulozené v Active Directory s:

o       Microsoft Exchange 5.5,

o       Novell NDS,

o       NetWare,

o       Lotus Notes.

Domény

Pojem "doména" v kontextu Active Directory označuje samostatnou hranici systému zabezpečení v síti Windows 2000.

Active Directory můze obsahovat víc nez jednu doménu a kazdá tato doména můze mít své bezpečnostní zásady a své vztahy k jiným doménám. Jedinou doménou lze vsak popsat i organizaci rozmístěnou do několika vzdálených lokalit. Několik geografických lokalit nepodmiňuje existenci několika domén.

V rámci jedné domény lze vytvořit několik organizačních jednotek, např. podle organizační struktury podniku, který se skládá z několika oddělení. Organizační jednotka je kontejnerem, který můze obsahovat objekty typu uzivatel, skupina, počítač, tiskárna, aplikace, sdílený soubor či jiná organizační jednotka.

Doménové stromy

Jednoduchost správy prostředí pomocí Active Directory spočívá v hierarchickém uspořádání informací adresářové sluzby. Pokud Active Directory obsahuje více domén, vytvoří se jednoduse doménový strom. Doménový strom umozňuje zjemňovat strukturu Active Directory logičtějsím rozmísěním síťových zdrojů v rámci schématu, které je společné pro vsechny domény stromu. Domény stromu se také společně konfigurují a vytvářejí spojitý obor jmen.

Doménový les

Doménový les na rozdíl od doménového stromu nevytváří spojitý obor jmen. Jednotlivé doménové stromy doménového lesa vytvářejí samostatné obory jmen. Domény vsak sdílí společné schéma, konfiguraci a globální katalog.

Doménová struktura je definována:

• Jednou nebo více mnozinami větví
• Oddělenými prostory názvů mezi jednotlivými větvemi
• Důvěryhodným tranzitivním vztahem mezi větvemi který je ověřován protokolem Kerberos
• Společným Schématem
• Globálním katalogem, který umozňuje provádět výpis vsech objektů v doménové struktuře

Správa uzivaetlů, počítačů a periférií v doméně

Doménové uzivatelské účty

Doménové uzivatelské účty umozňují uzivatelům přihlásení do domény a získání přístupu k prostředkům kdekoliv v síti. V průběhu procesu přihlásení uzivatel poskytuje systému své uzivatelské jméno a heslo. Pomocí těchto informací systém Windows 2000 provede ověření totoznosti uzivatele a vytvoří přístupový token, který obsahuje informace o uzivatelských nastaveních a nastaveních zabezpečení uzivatele. Přístupový token identifikuje uzivatele počítačům se systémem Windows 2000, na kterých uzivatel přistupuje k prostředkům. Systém Windows 2000 poskytuje přístupový token po dobu trvání relace uzivatele.

Místní uzivatelské účty

Místní uzivatelské účty umozňují uzivatelům přihlásenía získání přístupu k prostředkům místního počítače, na kterém byl příslusný místní uzivatelský účet vytvořen. Při vytvoření místního uzivatelského účtu vytvoří Windows 2000 tento účet pouze v místní databázi zabezpečení. Systém Windows 2000 neprovádí replikaci informací o místních uzivatelských účtech na řadiče domén. Po vytvoření místního uzivatelského účtu počítač pouzije pro autentizaci uzivatele při přihlásení místní databázi zabezpečení.

Postup:

1. Spustíte Active Directory
2. Akce, New a vyplníte pozadované informace

Printers

Instalace stejná jako při instalaci jakékoliv tiskárny v systému Windows

Sluzba Active Directory je distribuovaná databáze, kterou v síti sdílejí řadiče domén. Informace o tiskových frontách, místech, názvech a adresách se ukládají do úlozistě sluzby Active Directory. Tyto informace musejí odesílat jednotlivé tiskové servery, proto je důlezité udrzovat informace v úlozisti sluzby Active Directory v aktuálním stavu.

Mezi charakteristiky související se vztahem mezi tiskovými servery a sluzbami Active Directory patří následující:

• Kazdý tiskový server odpovídá za zveřejňování svých tiskáren v úlozisti sluzby Active Directory
• Tiskový server neupřednostňuje zádný z řadičů domény. Dynamicky vyhledá řadič domény v příslusné doméně
• Při aktualizaci tiskárny na tiskovém serveru se změny autonmaticky pomocí sluzby Active Directory přenesou do úlozistě sluzby Active Directory
• Tiskárny se v úlozisti sluzby Active Directory zveřejňují jako objekty printQueue. Zveřejněný objekt printQueue obsahuje podmnozinu informací, které jsou pro tiskárnu ulozeny na tiskovém serveru

Vztahy mezi více doménami

Důvěryhodný vztah

Domény ve větvi doménové struktury jsou spojeny navzájem transparentně pomocí dvoucestného, tranzitivního důveryhodného vztahu, ověřovaného protokolem Kerberos. Tranzitivní vztah mezi stromy, který je ověřován protokolem Kerberos znamená, ze pokud doména A povazuje za důvěrychodnou doménu B a doména B povazuje za důvěryhodnou doménu C, pak doména A povařzuje za důvěryhodnou doménu C. Díky tomu doména, která je připojena k větvi doménové struktury, povazuje za důvěryhodnou doménu C. Díky tomu doména, která je připojena k větvi doménové struktury, povazuje okamzitě za důvěryhodné vsechny ostatní domény ve větvi. Tyto vzájemné důvěryhodné vztahy umozňují, ze vsechny objekty ve vsech doménách větve jsou dostupné i v ostatních doménách větve.

Důvěryhodný vztah je vazba mezi minimálně dvěma doménami, ve kterých doména, která povazuje za důvěryhodnou jinou doménu, můze pouzívat při přihlasování ověření druhé domény. Uzivatelský účtům a skupinám, které jsou definované v důvěryhodné doméně, mohou být přiřazena práva a oprávnění k prostředkům v důvěřující doméně, i přesto, ze tyto uzivatelské účty v důvěřující doméně (konkrétně v databázi adresáře domény) neexistují.

V systému Windows NT 4.0 a nizsích verzích jsou mezidoménové důvěryhodné vztahy definovány jednocestně důvěryhodnými doménovými účty mezi jednotlivými řadiči domén. Kazdý vztah musí bý t vytvořen a spravován individuálně. Správa takových explicitních důvěryhodných vztahů mezi doménami v rozsáhlých sítích je pak velmi slozitou úlohou.

Tranzitivní důvěryhodné vztahy

Síťový správce můze definovat explicitní jednocestné důvěryhodné účty pro specifické domény v případě, kdy není dvoucestný důvěryhodný vztah potřebný. Tato schopnost je poskytnuta pro podporu připojení k existujícím doménám systému Windows NT 4.0 nebo nizsích verzí a umozňuje nakonfigurování důvěryhodných vztahů s doménami v jiných doménových strukturách.

Důvěrychodné vztahy ve Windows 2000

Při přidání domény do větve doménové struktury v systému Windows 2000 je automaticky vytvořen důvěryhodný vztah mezi novou doménou a kořenovou nebo rodičovskou doménou dané větve. Tranzitivní důveryhodný vztah je vlastnost systému Kerberos, který poskytuje distibuované ověřování a autorizaci na počítačích se systémem Windows 2000.

Explicitní jednocestný důvěryhodný vztah je mozné vytvořit pomocí nastavení vlastností domény v modulu "Sítě a sluzby Active Directory"

Zálohování databáze Active Directory

Můzete ji začlenit do svých pravidelných procedur zálohování, aniz by bylo potřeba přerusovat činnost sítě anebo řadiče domény, který zálohujete.

Nástroj Zálohování je v GUI umístěn Start/Programs/Accessories/System Tools/Backup. Přístup k nástroji Zálohování můzete také získat z příkazového příznaku příkazem Ntbackup. Nástroj Zálohování vám konkrétně umozní provádět zálohování a obnovení:

• Vybraných souborů
• Dat Stavu systému

V Active Directory jsou obsazeny následující soubory:

• Ntds.dit - Databáze Active Directory
• Edb.chk - Soubor kontroly (checkpoint file)
• Edb*.log - Transakční protokoly; kazdý o velikosti 10 megabajtů (MB)
• Res1.log a Res2.log - rezervní transakční protokoly

Ve výchozím stavu je Active Directory umístěna ve slozce Winnt\Ntds. V průběhu procesu povýsení serveru na řadič domény si vsak můzete určit i jiné umístění.

Postup zálohování dat:

1. V nabídce Start klepněte na Run a pak napiste Ntbackup
2. V nabídce klepněte na Backup Wizard (průvodce zálohování)
3. Určíte jaké data si přejete zálohovat
4. Určíte, kam si přejete ulozit data.

Postup obnovení dat:

1. V nabídce Start klepněte na Run a pak napiste Ntbackup
2. V nabídce klepněte na Restore Wizard (průvodce obnovením
3. Vyberete zálohovací sadu, ze které chcete obnovovat

Kdyz obnovujete data Stavu systému, musí být umístění kořene systému stejné, jako bylo v okamziku zálohování dat Stavu systému.

Strategie zabezpečení dat a prostředků

Delegování amdministrátorských práv

V Active Directory lze delegovat práva k administraci organizační jednotky nebo kontejneru. Adminitsrátor jedné organizační jednotky přitom nemůze zasahovat do jiné organizační jednotky, pokud si to nepřejete. Tímto způsobem můzete spravovat velkou podnikovou síť, aniz se musíte konkrétně zabývat kazdým jejím uzivatelem.

Administratorská práva lze přiřadit třemi způsoby:

• Delegování práv na změnu vlastností konkrétního kontejneru.
• Delegování práv na přidávání a odstraňování objektů konkrétního typu v rámci organizační jednotky.
• Delegování práv na aktualizaci vlastností objektů konkrétního typu v rámci organizační jednotky.

Detailní řízení přístupu

Při vytvoření objektu v Active Directory je implicitně nastaveno úplné přístupové právo na čtení i zápis vsech vlastností tohoto objektu.

Přístupová práva je mozno definovat na třech úrovních

• Přístupová práva ke vsem vlastnostem objektu. Vsechna přístupová práva má implicitně tvůrce objektu.
• Přístupová práva ke skupině vlastností objektu.
• Přístupová práva ke konkrétní vlastnosti objektu

Bezpečnostní protokoly

Ověřovací protokol NTLM

Pouzije se v případě, kdy server nebo klient Windows 2000 musí při ověřování komunikovat s počítačem, na kterém se dosud provozuje operační systém Windows NT.

Ověřovací protokol Kerberos verze 5

Zabezpečovací systém pro práci s hesly, ověřování a sifrování. Díky tranzitivnímu vztahu důvěry lze ověření uzivatele provést na kterékoli doméně ze stromu domén.