Active directory windows 10 что это
Перейти к содержимому

Active directory windows 10 что это

  • автор:

Обзор доменных служб Active Directory

Каталог представляет собой иерархическую структуру, в которой хранятся сведения об объектах в сети. Служба каталогов, например службы домен Active Directory (AD DS), предоставляет методы хранения данных каталога и предоставления этих данных сетевым пользователям и администраторам. Например, AD DS хранит сведения об учетных записях пользователей, таких как имена, пароли, номера телефонов и т. д., а также позволяет другим авторизованным пользователям в той же сети получить доступ к этой информации.

Active Directory хранит сведения об объектах в сети и предоставляет эту информацию администраторам и пользователям, которые могут легко найти и использовать ее. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации сведений в каталоге.

Это хранилище данных, также известное как каталог, содержит сведения о объектах Active Directory. Эти объекты обычно включают общие ресурсы, такие как серверы, тома, принтеры и сетевые учетные записи пользователя и компьютера. Дополнительные сведения о хранилище данных Active Directory см. в разделе «Хранилище данных каталогов».

Безопасность интегрирована с Active Directory с помощью проверки подлинности входа и управления доступом к объектам в каталоге. С помощью одного входа в сеть администраторы могут управлять данными каталога и организацией по всей сети, а авторизованные пользователи сети могут получать доступ к ресурсам в любой точке сети. Администрирование на основе политики облегчает управление даже очень сложной сетью. Дополнительные сведения о безопасности Active Directory см. в разделе «Безопасность».

Active Directory также включает:

  • Набор правил, схема, которая определяет классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения экземпляров этих объектов, а также формат их имен. Дополнительные сведения о схеме см. в разделе «Схема».
  • Глобальный каталог , содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения о каталоге независимо от того, какой домен в каталоге фактически содержит данные. Дополнительные сведения о глобальном каталоге см . в глобальном каталоге.
  • Механизм запроса и индекса, чтобы объекты и их свойства могли быть опубликованы и найдены сетевыми пользователями или приложениями. Дополнительные сведения о запросе каталога см. в статье «Поиск в службах домен Active Directory».
  • Служба реплика, которая распределяет данные каталога по сети. Все контроллеры домена в домене участвуют в реплика и содержат полную копию всех сведений о каталоге для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена. Дополнительные сведения о реплика Active Directory см. в разделе «Основные понятия репликации Active Directory».

Понимание Active Directory

В этом разделе содержатся ссылки на основные понятия Active Directory:

  • Структура Active Directory и технологии служба хранилища
  • Роли контроллера домена
  • Схема Active Directory
  • Общие сведения о довериях
  • Технологии репликации Active Directory
  • Технологии поиска и публикации Active Directory
  • Взаимодействие с DNS и групповой политикой
  • Общие сведения о схеме

Подробный список концепций Active Directory см. в разделе «Общие сведения о Active Directory».

Основные сведения о логической модели Active Directory

Проектирование логической структуры для служб домен Active Directory (AD DS) включает определение связей между контейнерами в каталоге. Эти связи могут быть основаны на административных требованиях, таких как делегирование полномочий, или они могут быть определены операционными требованиями, например необходимость управления реплика.

Прежде чем разрабатывать логическую структуру Active Directory, важно понимать логическую модель Active Directory. AD DS — это распределенная база данных, которая хранит и управляет сведениями о сетевых ресурсах, а также данными, зависящими от приложений с поддержкой каталогов. AD DS позволяет администраторам упорядочивать элементы сети (например, пользователи, компьютеры и устройства) в иерархическую структуру хранения. Контейнер верхнего уровня — это лес. В лесах находятся домены, а внутри доменов — подразделения. Это называется логической моделью, так как она не зависит от физических аспектов развертывания, таких как количество контроллеров домена, необходимых в каждой топологии домена и сети.

Лес Active Directory

Лес — это коллекция одного или нескольких доменов Active Directory, которые совместно используют общую логическую структуру, схему каталогов (определения классов и атрибутов), конфигурацию каталога (сведения о сайте и реплика tion information), а также глобальный каталог (возможности поиска по всему лесу). Домены в одном лесу автоматически связаны с двусторонними отношениями доверия.

Домен Active Directory

Домен — это секция в лесу Active Directory. Секционирование данных позволяет организациям реплика управлять данными только в том месте, где это необходимо. Таким образом, каталог может масштабироваться глобально по сети с ограниченной пропускной способностью. Кроме того, домен поддерживает ряд других основных функций, связанных с администрированием, включая:

  • Удостоверение пользователя на уровне сети. Домены позволяют создавать удостоверения пользователей один раз и ссылаться на любой компьютер, присоединенный к лесу, в котором находится домен. Контроллеры домена, составляющие домен, используются для безопасного хранения учетных записей пользователей и учетных данных пользователей (например, паролей или сертификатов).
  • Проверка подлинности. Контроллеры домена предоставляют службы проверки подлинности для пользователей и предоставляют дополнительные данные авторизации, такие как членство в группах пользователей, которые можно использовать для управления доступом к ресурсам в сети.
  • Отношения доверия. Домены могут расширить службы проверки подлинности пользователям в доменах за пределами собственного леса с помощью доверия.
  • Репликация. Домен определяет секцию каталога, содержащего достаточные данные для предоставления доменных служб, а затем реплика его между контроллерами домена. Таким образом, все контроллеры домена являются однорангами в домене и управляются как единица.

Организационные подразделения Active Directory

Подразделения можно использовать для формирования иерархии контейнеров в домене. Подразделения используются для группировки объектов в административных целях, таких как применение групповой политики или делегирование полномочий. Управление (над подразделением и объектами в нем) определяется списками управления доступом (ACL) в подразделении и объектах в подразделении. Чтобы упростить управление большим количеством объектов, AD DS поддерживает концепцию делегирования полномочий. С помощью делегирования владельцы могут передавать полный или ограниченный административный контроль над объектами другим пользователям или группам. Делегирование важно, так как оно помогает распределять управление большим количеством объектов между несколькими людьми, доверенными для выполнения задач управления.

Что такое Active Directory: описание, возможности, преимущества

На сегодняшний день многие компании вместе с приобретением серверов устанавливают и Active Directory (AD) — службу каталогов, предназначенную для хранения информации о всех сетевых ресурсах предприятия. Служба каталогов позволяет значительно облегчить управление сетевыми ресурсами и увеличить защиту корпоративной сети.

Active Directory описание

Active Directory — это хранилище данных об объектах сети, имеющее иерархическую структуру. AD содержит централизованный список всех пользователей и групп в сети, называемый domain. Это значительно облегчает работу администратором, так как при регистрации учетной записи нового пользователя эти данные передаются сразу всем серверам, находящимся в домене. Каждый домен имеет уникальное DNS-имя, а их совокупность называют лесом. Узнать подробнее о возможностях AD можно по ссылке.

Отдельное внимание обратим на схемы Active Directory. В них хранятся определения для каждого класса объектов и атрибуты. То есть конфигурационная информация, которая управляет структурой и содержимым каталога. В роли хозяина схемы выступает контроллер домена. Из всего леса выбирается только один domain controller, который будет обладать полномочиями, позволяющими изменять схемы (например, добавлять атрибуты, свойства).

Он должен быть хорошо защищен, так как если к нему получит доступ посторонний, то под угрозой будет не только оборудование компании и учетные записи пользователей, но и инсайдерская информация. В случае выхода его из строя AD продолжит нормально функционировать, однако изменять схемы вы не сможете, поэтому рекомендуется разворачивать дополнительно один и более контроллеров домена.

Active Directory что это простыми словами

Простыми словами это распределенная база данных, позволяющее объединить различные объекты сети (серверы, принтеры и различные сервисы) в единую систему, обеспечивающую удобный поиск и использование необходимых данных.

Active Directory назначение

Данный севис предназначен для хранения информации о ресурсах предприятия (например, о компьютерах, пользователях, принтерах).

Преимущества Active Directory

Возможности Active Directory позволяют гибко масштабировать ИТ-инфраструктуру благодаря иерархической системе доменов. Поэтому компании, состоящие из нескольких филиалов, могут довольно быстро организовать единую корпоративную сеть. Подробности о том, как ее создать, вы можете найти здесь: https://www.it-lite.ru/blog/iaas/edinaya-korporativnaya-set/

Основные преимущества Windows Active Directory:

  1. Единая регистрация в сети. Учетные записи хранятся в одном data store, к которому обращаются все компьютеры. Пользователи доменов распределяются по рабочим группам, которые имеют разные разрешения.
  2. Администрирование с использованием групповых политик. Позволяет поделить компьютеры на различные рабочие группы и в зависимости от них устанавливать различные ограничения или предоставлять права.
  3. Безопасность. Все пароли хранятся на выделенных серверах, которые защищены от внешнего доступа.
  4. Удобный обмен файлами. Позволяет легко масштабировать существующую инфраструктуру с помощью технологии Distributed File System (DFS).

Единое хранилище конфигурации приложений. При хранении конфигурации приложения вы сможете ее восстановить даже при сбое.

Что такое службы сертификатов Active Directory?

Службы сертификатов Active Directory (AD CS) — это роль Windows Server для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности.

Выдача сертификатов и управление ими

Цифровые сертификаты можно использовать для шифрования и цифрового подписывания электронных документов и сообщений, а также для проверки подлинности учетных записей компьютеров, пользователей или устройств в сети. Например, цифровые сертификаты используются для предоставления:

  • Конфиденциальность с помощью шифрования.
  • Целостность с помощью цифровых подписей.
  • Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.

Ключевые функции

AD CS предоставляет следующие важные функции:

  • Центры сертификации: корневые и подчиненные центры сертификации (ЦС) используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификата.
  • Регистрация в Интернете: веб-регистрация позволяет пользователям подключаться к ЦС с веб-браузером, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRLS).
  • Online Responseer: служба «Онлайн-ответчик» декодирует запросы о состоянии отзыва для определенных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, содержащий запрошенные сведения о состоянии сертификата.
  • Служба регистрации сетевых устройств: служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, у которых нет учетных записей домена для получения сертификатов.
  • Аттестация ключа доверенного платформенного модуля. Позволяет центру сертификации проверить, что закрытый ключ защищен аппаратным TPM и что доверенное платформенный модуль является доверенным ЦС. Аттестация ключа доверенного платформенного модуля предотвращает экспорт сертификата на несанкционированное устройство и может привязать удостоверение пользователя к устройству.
  • Веб-служба политики регистрации сертификатов: веб-служба политики регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов.
  • Веб-служба регистрации сертификатов: веб-служба регистрации сертификатов позволяет пользователям и компьютерам выполнять регистрацию сертификатов через веб-службу. Вместе с веб-службой политики регистрации сертификатов это позволяет регистрировать сертификаты на основе политик, если клиентский компьютер не является членом домена или когда член домена не подключен к домену.

Льготы

С помощью AD CS можно повысить безопасность, привязав удостоверение пользователя, компьютера или службы к соответствующему закрытому ключу. AD CS — это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов. Помимо привязки удостоверений и закрытых ключей, AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом.

Для регистрации сертификатов можно использовать существующие сведения об удостоверениях конечной точки в Active Directory, что означает, что вы можете автоматически вставлять сведения в сертификаты. CS AD можно также использовать для настройки групповых политик Active Directory, чтобы указать, какие пользователи и компьютеры разрешены, какие типы сертификатов. Конфигурация групповой политики позволяет управлять доступом на основе ролей или атрибутов.

Приложения, поддерживаемые AD CS, включают безопасные и многозначные расширения электронной почты (S/MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность интернет-протокола (IPsec), шифрование файловой системы (EFS), смарт-карта вход, безопасный слой сокета и безопасность транспортного слоя (SSL/TLS) и цифровые подписи.

Следующие шаги

  • Что такое служба ролей центра сертификации?
  • Реализация служб сертификатов Active Directory и управление ими
  • Все службы ролей AD CS выполняются в любой версии
  • Все службы ролей AD CS можно запускать на сервере Core
  • Справочник по Windows PowerShell для служб сертификатов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *