Основы Active Directory за 1 вебинар

Евгений Павленко 26 августа 2013

Eugen.Pavlenko@WindowsLive.com

ведущий:

План

•  Обзор AD DS •  Логические компоненты AD DS •  Физические компоненты AD DS

Обзор AD DS

•  Преимущества AD DS •  Что такое аутентификация? •  Что такое авторизация? •  Компоненты AD DS

Преимущества AD DS

ü  Централизованный каталог

ü  Single sign-on

ü  Комплексная безопасность

ü  Масштабируемость

ü  Централизованное управление

Что такое аутентификация?

Аутентификация это процесс проверки личности пользователя во время входа на компьютер или сетевой ресурс

Что такое авторизация?

1.  Участники безопасности выдаются идентификаторы безопасности (SID) при создании его учетной записи

2.  Пользователю выдаются маркеры безопасности (security token) во время проверки подлинности, которые включают SID пользователя и SID всех групп членом которых он является

3.  У ресурсов в сети список контроля доступа (ACL), которые определяют, кто может получить доступ к ресурсу

4.  При доступе к ресурсу, сравнивает маркер безопасности со списком контроля доступа

Компоненты AD DS

Физические  Компоненты Логические  Компоненты

•  Хранилище  данных  

•  Контроллеры  домена    

•  Сервер  глобальных  каталогов  

•  Read-­‐Only  Контроллеры  домена  (RODC)  

•  Разделы  

•  Схемы  

•  Домены  

•  Деревья  

•  Леса  

•  Сайты  

•  Организационные  единицы  (OUs)

Логические компоненты AD DS

•  Что такое Схема AD DS? •  Что такое Домен? •  Что такое Доверие? •  Что такое Дерево? •  Что такое Лес? •  Что такое Организационная единица (OU)?

Что такое Схема AD DS?

Тип  объекта Функции Пример

Класс Определяет,  какие  новые  объекты  могут  быть  созданы  в  каталоге  

•  Класс  пользователей  

•  Класс  компьютеров  

Атрибут Определяет,  какая  информация  может  быть  сохранена  для  каждого  класса  объектов

•  Display  name  

Схема  AD  DS:    Определяет  каждый  тип  объекта,  который  может  храниться  в  AD  DS  Обеспечивает  выполнение  правил,  касающихся  создания  и  конфигурации  объекта      

Домен - логический компонент каталога, использующийся для группирования и управления объектами AD DS в организации

Домен:

•  Административная граница для применения политик •  Репликационная граница для репликации данных между

контроллерами домена •  Аутентификационная и автаризационная граница, которая

обеспечивает ограничения доступа к ресурсам

Example.com  

Что такое Домен?

Доверие предоставляет механизм получения, пользователями доступа к ресурсам в другом домене

•  Все домены в лесу доверят всем остальным доменам в лесу

•  Доверие может выходить за пределы леса

Описание Схемы

Направление  

Направление  доверия  описывает  отношение  между    доверенным  доменом  и  домен-­‐доверителем

Транзитивный Доверительных  отношений  расширяется  за  пределы  двухдоменного  доверия

Доступ

Доверие

Доступ

Доверие

Что такое Доверие?

Что такое Деревья?

Дерево это иерархия доменов в AD DS Все домены в дереве:

•  Содержат смежные пространства имен с родительским доменом

•  Могут иметь дополнительные дочерние домены добавленные в пространство имен

•  Имеют двухсторонние доверительные отношения с другими доменами в дереве

QA.Example.com DEV.Example.com

Example.com

Лес представляет собой коллекцию из одного или более деревьев            Лес:

• Общая схема

• Общий раздел конфигураций

• Общий глобальный каталог, для облегчения поиска

• Доверительные отношения между доменами в лесу

• Общая группа администраторов предприятия и администраторов схемы

Что такое лес?

QA.Example.com DEV.Example.com

Example.comDev.Sample.com QA.Sample.com

Sample.com

Что такое OU?

Организационная единица (OU) в AD – контейнеры которые могут содержать пользователей, группы, компьютеры и другие OUs OUs используются для:

• Представления вашей организации иерархически и логически

• Последовательного управления коллекцией объектов

• Делегирования прав на администрирование группами объектов

• Применения политик

Физические компоненты AD DS

•  Контроллер домена •  Обзор DNS и AD DS •  Сервер глобального каталога •  Хранилище AD DS •  Что такое репликация AD DS? •  Что такое сайты?

Контроллер домена представляет собой сервер с установленной ролью AD DS Контроллер домена: •  Расположена копия каталога хранилища AD DS

•  Обеспечиваются функции аутентификации и авторизации

•  Репликация обновлений на другие контроллеры домена в домене и в лесу

Контроллер домена

•  AD DS требует инфраструктуру DNS

•  Доменное имя AD DS должно быть DNS доменным именем

•  Записи контроллеров домена AD DS должны быть зарегистрированы в DNS чтобы другие контроллеры домена и клиентские компьютеры находили контроллеры домена

•  DNS зоны могут быть интегрированы в базу Active Directory

Обзор DNS и AD DS

Серверы глобального каталога это контроллеры домена, которые также хранят копии глобального каталога Глобальный каталог:

•  Содержит копии все объектов в лесу, но только с ограничены количеством атрибутов

•  Повышает эффективность поиска объекта, избегая ненужных направлений к контроллерам домена

•  Необходим для входа пользователя в домен.

Сервер глобального каталога

AD DS хранилище содержит файлы базы данных и процессы, для хранения и управления справочной информацией для пользователей, сервисов и приложений Хранилище:

•  Состоит из файла базы данный NTDS.dit

•  По умолчанию хранится в папке %SystemRoot%\ NTDS папки на всех контроллерах домена

Хранилище AD DS.

Что такое репликация AD DS?

Репликации AD DS это процесс копирования всех изменений базы данных домена на все остальные контроллеры домена в домене или лесу Репликация AD DS:

• Гарантирует, что все контроллеры домена имеют одинаковую информацию

• Использует модель репликации с несколькими мастерами

• Можно управлять с помощью создания сайтов AD DS

Что такое сайты?

Сайт AD DS используется для представления сегмента сети, где все контроллеры домена связаны быстрой и надежной сетью Сайты:

•  Связанные с IP-подсетями

•  Используется для управления трафиком репликации

•  Используется для сайтов зависимых приложений, таких как распределенные файловые системы (DFS) или Exchange Server

•  Используется для назначения объектов групповых политик для всех пользователей и компьютеров в определенном расположения

Flexible Single Master Operation

ü  Хозяин схемы

ü  Хозяин именования доменов

ü  Хозяин инфраструктуры

ü  Эмулятор PDC

ü  Хозяин RID