Temat: Podstawowe pojęcia związane z Active Directory

W systemach Windows użytkowników i grupy można podzielić na:

  • użytkowników i grupy lokalne – konta te są tworzone na lokalnym komputerze i umożliwiają korzystanie z jego zasobów. Konta te przechowywane są tylko na komputerach, na których zostały stworzone. Miejscem przechowywania tych kont jest baza SAM (Security Accounts Manager) zapisana lokalnie na komputerze. Konta użytkowników lokalnych są inne na każdym komputerze, nawet gdy nazwy użytkowników są takie same.
  • użytkowników i grupy domenowe – konta te mają na celu umożliwienie logowania użytkowników do domeny, co umożliwia korzystanie z zasobów dowolnego komputera przyłączonego do domeny. Konta użytkowników domenowych przechowywane są w usługach katalogowych (Active Directory) na kontrolerach domeny i następnie replikowane pomiędzy wszystkimi kontrolerami w domenie.

Active Directory (AD) jest to usługa katalogowa dla systemów Windows, dzięki której możliwe jest zarządzanie domeną. Od systemu 2008 otrzymała nazwę Active Directory Domain Services (AD DS). Opisuje ona strukturę sieci i jej składników. Może pracować w trybie natywnym (native) lub w trybie zgodności ze starszymi wersjami Windows.  

Active Directory jest przestrzenią nazw. Przestrzeń nazw (namespace) to ograniczony obszar, w którego obrębie nazwa może być odnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów lub usług. Przykładem przestrzeni nazw może być system plików w systemie operacyjnym, w którym na podstawie nazwy plików i ścieżki dostępu możemy zlokalizować plik.

Obiekt to wyróżniony, nazwany zbiór atrybutów,  reprezentujący np. użytkownika, drukarkę lub komputer. Zbiór wszystkich możliwych rodzajów obiektów występujących w Active Directory i związanych z nimi atrybutów stanowi schemat (schema).

W Active Directory podstawowym elementem konstrukcji jest domena, tj. grupa komputerów połączonych w sieć, składająca się z serwera pełniącego rolę kontrolera domeny oraz stacji roboczych – klientów współdzielących bazę katalogową. Kontroler domeny (PDC – Primary Domain Controller) przechowuje informacje o użytkownikach sieci i ich uprawnieniach. Dzięki niemu informacje te gromadzone są w jednym miejscu i dostępne dla wszystkich klientów, co ułatwia zarządzanie siecią.

Domena wchodzi w skład drzewa, czyli związku wielu domen, mających ten sam schemat, konfigurację i tworzących ciągłą hierarchiczną przestrzeń nazw.

Las to struktura złożona z wielu drzew, także o wspólnym schemacie i konfiguracji, ale niemająca ciągłej przestrzeni nazw. Las może składać się z jednego lub wielu drzew. Przynależność do lasu jest określana w momencie instalacji pierwszego kontrolera domeny – przed określeniem przynależności do drzewa.

Rys. 1. Schemat lasu AD

Domena AD jest zorganizowana hierarchicznie, a jej podstawowym składnikiem jest jednostka organizacyjna (Organizational Unit). Jest ona kontenerem, dzięki czemu może zwierać w sobie inne obiekty, co pozwala grupować zasoby i użytkowników oraz delegować prawa administracyjne. Jednostki organizacyjne mogą być uporządkowane hierarchicznie, np. w modelu geograficznym jednostki są tworzone zgodnie z lokalizacjami oddziałów firmy, natomiast w modelu organizacyjnym struktura jednostek powinna odpowiadać strukturze organizacyjnej firmy.
Oprócz jednostek organizacyjnych w Active Directory możemy tworzyć obiekty reprezentujące: użytkowników,

  • komputery,
  • drukarki,
  • grupy,
  • udostępnione foldery,
  • kontakty.

Przestrzeń nazw w Active Directory została zorganizowana hierarchicznie. Obiekty typu kontener mogą przechowywać inne obiekty. Nazwa obiektu w Active Directory opisuje jego położenie w strukturze hierarchicznej. Taką nazwę określa się mianem pełnej nazwy DN (DistinguishedName). Podstawowe składniki DN to:
DC – komponent domenowy (domain component),
CN – nazwa (common name),
OU – jednostka organizacyjna (organizational unit),
O – organizacja (organization).
Na przykład zapis: O=Intertnet/DC=PL/OU=ZSP/CN=uczeń oznacza, że obiekt uczeń jest zlokalizowany w kontenerze ZSP domeny PL w organizacji Internet.
Nazwa względna obiektu RDN (Relative Distinguished Name) jest to część pełnej nazwy DN, zawierająca tylko atrybuty obiektu, np. w nazwie DN atrybutem obiektu jest uczeń i to jest nazwa RDN tego obiektu.

W Active Directory są dwie kategorie grup:

  • Grupa dystrybucyjna (Distribution) – używana jedynie do dystrybuowania wiadomości email. Grupa dystrybucyjna nie jest związana z zabezpieczeniami, tzn. nie można tej grupie przypisać uprawnień.
  • Grupa zabezpieczeń (Security) – przeznaczona do przyznawania uprawnień do obiektów (posiada możliwości grup dystrybucyjnych).

Występuj ą trzy rodzaje grup zabezpieczeń:

  • Grupa globalna – mogą do niej należeć konta użytkowników, komputerów i grupy globalne  należące tylko do tej samej domeny, co grupa globalna.
  • Grupa lokalna w domenie – mogą do niej należeć konta użytkowników, komputerów i grupy globalne z dowolnej domeny oraz grupy uniwersalne.
  • Grupa uniwersalna – występuje jedynie w trybie natywnym. Do grupy tej mogą należeć konta użytkowników, komputerów oraz grupy uniwersalne i globalne z dowolnej domeny.

Active Directory zapewnia kontrolę dostępu do zasobów. Administrator nadaje (allow) lub odbiera (deny) prawa do obiektów.

Jest pięć podstawowych uprawnień:

  • pełna kontrola (Full Control) – zmiana uprawnień, przejmowanie na własność oraz wszelkie pozostałe działania,
  • odczyt (Read) – prawo do odczytania listy uprawnień oraz wszystkich atrybutów wszystkich obiektów,
  • zapis (Write) – prawo do zmiany wszystkich atrybutów obiektów,
  • tworzenie wszystkich obiektów podrzędnych (Create all Child Objects) – prawo do tworzenia obiektów dowolnego typu wewnątrz OU,
  • usuwanie  wszystkich obiektów podrzędnych (Delete all Child Objects) – prawo do usuwania obiektów dowolnego typu z OU.

Głównym mechanizmem, wykorzystywanym przez Active Directory do identyfikacji obiektów, jest system DNS (Domain Name System). DNS służy do kojarzenia nazw i adresów IP Domeny DNS budowane są w sposób hierarchiczny. Na różnych poziomach hierarchii występują domeny główne, podrzędne, a także komputery, np. www.zsp.pl, gdzie www jest nazwą komputera, zsp jest nazwą domeny szkoły w domenie pl. Nie można zainstalować Active Directory bez uprzednio zainstalowanego serwera DNS obsługującego tą domenę.