Aktivní adresář

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 28. května 2021; kontroly vyžadují 7 úprav .

Aktivní adresář
Typ	Adresářová služba
Vývojář	Microsoft
Operační systém	Windows Server
První vydání	1999
Hardwarová platforma	x86 , x86_64 a IA-64
Čitelné formáty souborů	LDIF
webová stránka	docs.microsoft.com/window...

Active Directory (“Active Directory”, AD ) je adresářová služba společnosti Microsoft pro operační systémy řady Windows Server . Původně byla vytvořena jako implementace adresářové služby kompatibilní s LDAP, avšak počínaje Windows Server 2008 zahrnuje schopnost integrace s dalšími autorizačními službami a vykonává pro ně integrační a sjednocující roli. Umožňuje správcům používat zásady skupiny k zajištění jednotného přizpůsobení pracovního prostředí uživatele, nasazování softwaru do více počítačů prostřednictvím zásad skupiny nebo prostřednictvím System Center Configuration Manager (dříve Microsoft Systems Management Server), nainstalujte aktualizace operačního systému, aplikací a serverového softwaru na všechny počítače v síti pomocí služby Windows Server Update Service . Ukládá data a nastavení prostředí do centralizované databáze. Sítě Active Directory se mohou lišit velikostí od několika desítek až po několik milionů objektů.

Řešení bylo představeno v roce 1999, poprvé vydáno s Windows 2000 Server a poté vyvinuto jako součást vydání Windows Server 2003. Následně byly nové verze produktu zahrnuty do Windows Server 2003 R2 , Windows Server 2008 a Windows Server 2008 R2 . a přejmenován na Active Directory Domain Services . Adresářová služba se dříve nazývala NT Directory Service (NTDS), což je název, který lze stále nalézt v některých spustitelných souborech .

Na rozdíl od verzí Windows před Windows 2000, které primárně používaly pro síťovou komunikaci protokol NetBIOS , je Active Directory integrována s DNS a běží pouze přes TCP/IP . Výchozí ověřovací protokol je Kerberos . Pokud klient nebo aplikace nepodporuje ověřování Kerberos, použije se NTLM [1] .

Pro vývojáře softwaru je k dispozici Active Directory Services API ( ADSI ) .

Zařízení

Objekty

Služba Active Directory má hierarchickou strukturu tvořenou objekty. Objekty spadají do tří hlavních kategorií: zdroje (například tiskárny ), služby (například e-mail ) a účty uživatelů a počítačů. Služba poskytuje informace o objektech, umožňuje organizovat objekty, řídit přístup k nim a nastavuje pravidla zabezpečení.

Objekty mohou být úložiště pro jiné objekty (bezpečnostní a distribuční skupiny). Objekt je jednoznačně identifikován svým jménem a má sadu atributů – charakteristik a dat, které může obsahovat; to druhé zase závisí na typu objektu. Atributy jsou základním prvkem struktury objektu a jsou definovány ve schématu. Schéma definuje, jaké typy objektů mohou existovat.

Samotné schéma se skládá ze dvou typů objektů: objektů třídy schématu a objektů atributů schématu. Jeden objekt třídy schématu definuje jeden typ objektu služby Active Directory (například objekt uživatele) a jeden objekt atributu schématu definuje atribut, který může mít objekt.

Každý objekt atributu lze použít v několika různých objektech třídy schématu. Tyto objekty se nazývají objekty schématu (nebo metadata ) a umožňují vám upravovat a přidávat do schématu, když je to nutné a možné. Každý objekt schématu je však součástí definic objektů, takže zakázání nebo úprava těchto objektů může mít vážné důsledky, protože se v důsledku těchto akcí změní struktura adresářů. Změna objektu schématu se automaticky přenese do adresářové služby. Jakmile je objekt schématu vytvořen, nelze jej odstranit, lze jej pouze zakázat. Obvykle jsou všechny změny schématu pečlivě naplánovány.

Kontejner je podobný objektu v tom, že má také atributy a patří do jmenného prostoru , ale na rozdíl od objektu kontejner nezastupuje nic konkrétního: může obsahovat skupinu objektů nebo jiné kontejnery.

Struktura

Nejvyšší úrovní struktury je doménová struktura, kolekce všech objektů, atributů a pravidel (syntaxe atributů) ve službě Active Directory. Les obsahuje jeden nebo více stromů spojených tranzitivními vztahy důvěryhodnosti. Strom obsahuje jednu nebo více domén, rovněž propojených v hierarchii pomocí tranzitivních vztahů důvěryhodnosti. Domény jsou identifikovány podle struktury jmen DNS - jmenných prostorů.

Objekty v doméně lze seskupit do kontejnerů – OU. Organizační jednotky umožňují vytvořit hierarchii v rámci domény, zjednodušit její správu a umožňují modelovat například organizační nebo geografickou strukturu organizace v adresářové službě. Divize mohou obsahovat další divize. Společnost Microsoft doporučuje používat v adresářové službě co nejméně domén a pro strukturování a zásady používat organizační jednotky. Zásady skupiny jsou často aplikovány specificky na organizační jednotky. Zásady skupiny jsou samy o sobě objekty. Divize je nejnižší úroveň, na kterou lze delegovat správní pravomoc .

Dalším způsobem dělení jsou stránky, které jsou způsobem fyzického (spíše než logického) seskupování na základě segmentů sítě. Stránky se dělí na ty s připojením přes nízkorychlostní kanály (například přes globální sítě , využívající virtuální privátní sítě ) a přes vysokorychlostní kanály (například přes místní síť ). Stránka může obsahovat jednu nebo více domén a doména může obsahovat jednu nebo více stránek. Při navrhování adresářové služby je důležité vzít v úvahu síťový provoz generovaný při synchronizaci dat mezi weby.

Klíčovým rozhodnutím při návrhu adresářové služby je rozhodnutí rozdělit informační infrastrukturu do hierarchických domén a jednotek nejvyšší úrovně. Typické modely používané pro toto rozdělení jsou rozdělení podle funkčních divizí společnosti, podle geografického umístění a podle rolí v informační infrastruktuře společnosti. Často se používají kombinace těchto modelů.

Fyzická struktura a replikace

Fyzicky jsou informace uloženy na jednom nebo více ekvivalentních řadičích domény , které nahradily primární a záložní řadiče domény používané ve Windows NT , i když pro některé operace je zachován takzvaný server „single-master operations“ , který dokáže emulovat primární řadič domény. . Každý řadič domény uchovává kopii dat pro čtení a zápis. Změny provedené na jednom řadiči jsou během replikace synchronizovány se všemi řadiči domény . Servery, které nemají nainstalovanou samotnou službu Active Directory, ale jsou součástí domény Active Directory, se nazývají členské servery.

Replikace adresáře probíhá na vyžádání. Služba KCC ( Knowledge Consistency Checker ) vytváří replikační topologii, která využívá lokality definované v systému k řízení provozu. Replikace uvnitř sítě je prováděna často a automaticky pomocí nástroje pro kontrolu konzistence (upozorněním partnerů replikace na změny). Replikaci mezi lokalitami lze konfigurovat pro každý odkaz webu (v závislosti na kvalitě odkazu) – každému odkazu lze přiřadit jinou „sazbu“ (nebo „náklady“) (např. DS3, T1 , ISDN ) a replikační provoz bude omezené, přenášené naplánované a směrované podle odhadu přiřazeného kanálu. Replikační data se mohou přenášet přes více lokalit přes site link bridge, pokud je "skóre" nízké, ačkoli AD automaticky přiděluje nižší hodnocení pro odkazy site-to-site než pro tranzitní linky. Replikaci mezi lokalitami provádějí servery předmostí v každé lokalitě, které pak replikují změny na každý řadič domény ve své lokalitě. Replikace uvnitř domény probíhá prostřednictvím protokolu RPC , zatímco replikace mezi doménami může také používat protokol SMTP .

Pokud struktura Active Directory obsahuje několik domén, použije se k vyřešení úlohy hledání objektů globální katalog: řadič domény, který obsahuje všechny objekty v doménové struktuře, ale s omezenou sadou atributů (částečná replika). Katalog je uložen na specifikovaných serverech globálního katalogu a obsluhuje požadavky mezi doménami.

Funkce jednoho hostitele umožňuje zpracovávat požadavky, když není povolena replikace více hostitelů. Existuje pět typů takových operací: emulace řadiče domény (emulátor PDC), hostitel relativního identifikátoru (hlavní server relativních identifikátorů nebo hlavní server RID), hostitel infrastruktury (hlavní server infrastruktury), hostitel schématu (hlavní server schémat) a hostitel názvů domén (hlavní hostitel názvů domén). ). První tři role jsou jedinečné v rámci domény, poslední dvě jsou jedinečné v rámci celé doménové struktury.

Databáze Active Directory může být rozdělena do tří logických úložišť nebo "oddílů". Schéma je šablona pro službu a definuje všechny typy objektů, jejich třídy a atributy, syntaxi atributů (všechny stromy jsou ve stejné doménové struktuře, protože mají stejné schéma). Konfigurace je struktura doménové struktury a stromů Active Directory. Doména uchovává všechny informace o objektech vytvořených v této doméně. První dvě úložiště jsou replikována na všechny řadiče domény v doménové struktuře, třetí oddíl je plně replikován mezi replikačními řadiči v každé doméně a částečně replikován na servery globálního katalogu.

Databáze adresářové úložiště) ve Windows 2000 využívá Microsoft Jet Blue Extensible Storage Subsystem který každému řadiči domény mít databázi až 16 terabajtů a 1 miliardu objektů (teoretický limit, praktické testy byly spuštěny pouze s přibližně 100 milion objektů). Základní soubor je pojmenován a má dvě hlavní tabulky – tabulku dat a tabulku odkazů. Windows Server 2003 přidal další tabulku k vynucení jedinečnosti instancí popisovače zabezpečení . NTDS.DIT

Pojmenování

Služba podporuje následující formáty pojmenování objektů: generická jména UNC , adresy URL a adresy URL LDAP. Verze LDAP formátu pojmenování X.500 je interně používána službou.

Každý objekt má rozlišovací název ( anglicky rozlišující název , DN ) [2] . Například objekt tiskárny pojmenovaný HPLaser3v marketingové organizační jednotce a v doméně foo.orgby měl následující rozlišující název: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=orgkde CN je běžný název, OU je sekce, DC je třída objektu domény. Zvýrazněné názvy mohou mít mnohem více částí než čtyři části v tomto příkladu. Objekty mají také kanonické názvy. Toto jsou rozlišující názvy zapsané v obráceném pořadí, bez identifikátorů as použitím lomítek jako oddělovačů: foo.org/Маркетинг/HPLaser3. K identifikaci objektu v jeho kontejneru se používá relativní rozlišující název: CN=HPLaser3. Každý objekt má také globálně jedinečný identifikátor ( GUID ), což je jedinečný a neměnný 128bitový řetězec, který používá služba Active Directory k vyhledávání a replikaci. Některé objekty mají také hlavní název uživatele (UPN, podle RFC 822 ) ve formátu объект@домен.

Integrace s UNIXem

Různé úrovně interakce se službou Active Directory lze implementovat na většině operačních systémů podobných UNIX prostřednictvím klientů LDAP, ale takové systémy obvykle nepřijímají většinu atributů souvisejících s komponentami Windows, jako jsou zásady skupiny a podpora jednosměrných důvěryhodností. S vydáním Samby 4 však bylo možné používat skupinové zásady a nástroje pro správu Windows.

Dodavatelé třetích stran nabízejí integraci Active Directory na platformách UNIX , Linux , Mac OS X a řadu aplikací Java , včetně Centrify DirectControl a Express, UNAB ( Computer Associates ), TrustBroker ( CyberSafe ), PowerBroker Identity Services ( BeyondTrust ) [3] , Authentication Services ( Quest Software ), ADmitMac ( Thursby ) [3] . Server Samba , softwarový balík služeb PowerBroker Identity Services kompatibilní se síťovými službami společnosti Microsoft, může fungovat jako řadič domény [4] [5] .

Dodatky schématu dodávané se systémem Windows Server 2003 R2 zahrnují atributy, které jsou dostatečně blízko k RFC 2307 , aby byly obecně použitelné. Základní implementace RFC 2307 - nss_ldapa pam_ldapty navržené PADL.com přímo podporují tyto atributy. Standardní schéma členství ve skupině se řídí RFC 2307bis (navrženo) [6] . Windows Server 2003 R2 obsahuje konzolu Microsoft Management Console pro vytváření a úpravy atributů.

Alternativou je použití jiné adresářové služby, jako je 389 Directory Server (dříve Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory nebo Sun Java System Directory Server , které provádějí obousměrnou synchronizaci s Active Directory. , implementující takovou „odraženou“ integraci, kdy se klienti systémů UNIX a Linux ověřují na svých vlastních serverech a klienti Windows se ověřují v Active Directory. Další možností je použít OpenLDAP s funkcí průsvitného překrytí rozšiřující položky vzdáleného serveru LDAP o další atributy uložené v lokální databázi.

Active Directory je automatizován pomocí Powershell [7] .

Poznámky

↑ TechNet: Ověřování systému Windows . Získáno 29. října 2017. Archivováno z originálu 23. prosince 2015. (neurčitý)
↑ Názvy objektů . Microsoft Technet . Archivováno z originálu 25. srpna 2011. Microsoft Corp. (neurčitý)
↑ 1 2 Edge, Charles S., Jr.; Smith, Zack; Lovec, Beau. ch. 3 // Enterprise Mac Administrator's Guide (neopr.) . — New York City : Apress , 2009. — ISBN 9781430224433 .
↑ Samba4/Releases/4.0.0alpha13 . SambaPeople . Projekt SAMBA . Získáno 29. listopadu 2010. Archivováno z originálu 4. února 2012. (neurčitý)
↑ "Velký úspěch DRS!" . SambaPeople . Projekt SAMBA (5. října 2009). Získáno 2. listopadu 2009. Archivováno z originálu 4. února 2012. (neurčitý)
↑ RFC 2307bis Archivováno 27. září 2011 na Wayback Machine Archivováno 27. září 2011.
↑ Správa Active Directory s prostředím Windows PowerShell . Microsoft _ Získáno 7. června 2011. Archivováno z originálu 4. února 2012. (neurčitý)

Literatura

Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka. Microsoft Exchange Server 2003 . Kompletní průvodce = Microsoft Exchange Server 2003 uvolněn . - M .: "Williams" , 2006. - S. 1024. - ISBN 0-672-32581-0 .

Odkazy

Součásti systému Microsoft Windows

Hlavní

Aero
jasný typ
Správce oken na ploše
DirectX
Panel úkolů
- Start
- oznamovací oblast
Dirigent
- Jmenný prostor
- Speciální složky
- Asociace souborů
Windows Search
- chytré složky
- IFilter
- indexovací služba
GDI
WIM
SMB
.NET Framework
XPS
Aktivní skriptování
- WSH
- VBScript
- JScript
COM
- OLE
- DCOM
- ActiveX
- Strukturované úložiště
- Transakční server
Stínová kopie
WDDM
UAA
konzole Win32
Windows Spotlight
Windows smíšená realita

Manažerské služby

Aplikace

Win32	internet Explorer Microsoft Edge Malovat slovní podložka Skype Notebook Poznámky Časopis nahrávání zvuku Nůžky Program spolupráce Windows přehrávač médií Rozpoznávání řeči Osobní editor postav Prohlížení fotografií tabulka symbolů Faxování a skenování Centrum mobility Centrum zařízení Windows Mobile Lupa
UWP	Microsoft Store Malování 3D Vzdálená asistence Kalendář Kalkulačka Film a TV Cortana Groove hudba Lidé Možnosti Pošta Fotografie Vypravěč
historický	Kdykoli upgradovat Studio NetMeeting Outlook Express Programový manažer Správce souborů fotoalbum Windows To Go Kontakty DVD studio mediální centrum Boční panel

Hry

jádro OS

Ntoskrnl.exe
Vrstva abstrakce hardwaru (hal.dll)
Systém nečinný
svchost.exe
Registr
Servis
Správce řízení služeb
DLL
PE
NTLDR
Správce stahování
Přihlašovací program (winlogon.exe)
Konzole pro zotavení
Windows RE
Windows PE
Ochrana jádra před změnami

Služby

Autorun.inf
Služba inteligentního přenosu na pozadí
Standardní žurnálovací souborový systém
Hlášení o chybách
Plánovač mediálních tříd
Stínová kopie
Správce úloh
Bezdrátové nastavení

Souborové
systémy

ReFS
NTFS
- pevný odkaz
- spojovací bod
- Montážní bod
- Bod přepracování
- Symbolický odkaz
- TxF
- EFS
WinFS
TLUSTÝ
exFAT
CDFS
UDF
DFS
IFS

Server

Aktivní adresář
Služby nasazení
Služba replikace souborů
DNS
domény
Přesměrování složky
Hyper-V
IIS
Mediální služby
MSMQ
Ochrana přístupu k síti (NAP)
Tiskové služby pro UNIX
Dálková diferenciální komprese
Služby vzdálené instalace
Služby správy práv
Roamingové uživatelské profily
SharePoint
Správce systémových prostředků
Program pro vzdálenou správu
WSUS
Zásady skupiny
Koordinátor distribuovaných transakcí

Architektura

NT
Správce objektů
Pakety požadavků I/O
Správce transakcí jádra
Správce logických disků
Správce bezpečnostních účtů
Ochrana zdrojů
lsass.exe
csrss.exe
sms.exe
spoolsv.exe
zahájení

Bezpečnost

Kompatibilita

Microsoft
NA	Azurová koule Windows ( hlavní součásti ) Windows telefon kancelář vizuální studio výraz stříbrné světlo Dynamika Peníze Encarta student funguje Microsoft Security Essentials
Serverový software	Windows Server SQL Server IIS Výměna BizTalk obchod Přední TMG Správa systémů System Center služby
Technika	Aktivní adresář DirectX .SÍŤ .NET Framework Windows Media PlaysForSure App-V
Internet	Windows Live Hlavní komponenty Microsoft Office Live MSNBC ninemsn msn Bing Bing Bar okraj EntityCube Hudba Groove Outlook.com horká pošta Windows Live Messenger Sféry Windows Live Skupiny MSN Účet zapalování codeplex Microsoft Health Vault Skype OneDrive Réva Zune Marketplace
Hry	Xbox Game Studios ( Mojang Studios , ZeniMax Media / Bethesda Softworks / Bethesda Game Studios , 343 Industries , Double Fine atd.) Hry MSN XNA Generace Xboxu Xbox 360 360S Jeden Řada X/S Kinect Síť Xbox Živé zlato Pasáž obchod s hrami Game Pass Cloudové hry Ukládat Hry pro Windows žít Zásobník a přehrávání Žijte kdekoli
Hardware _	povrch Zune ( 4, 8, 16 30 80, HD ) MSN TV Natural Keyboard IntelliType IntelliPoint LifeCam LifeChat boční navíječ UMPC Otisk prstu zvuk Bezdrátový telefon Pocket PC Kulatý stůl Response Point PŘÍBUZNÍ HoloLens
Vzdělání	MTA MCP MCTS MCITP MSDN MSDNAA MSCA Microsoft MVP Studentští partneři
Licencování	Licenční politika Licence klientského přístupu Sdílený zdroj
Pododdělení	Výzkum společnosti Microsoft msn Obchodní jednotka Macintosh Microsoft Studios Microsoft Rus
Reklamní kampaně	kam chcete dnes jet? (1994) šampaňské (2002) Mojave Experiment (2006) Jsem PC (2008) Scroogled (2012)
představenstvo	Balmer Cache dublon Brány Gilmartin Hastings Markurdt Nadella Ponožky Panke Shirley