Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску

Active Directory ( AD ) - это служба каталогов, разработанная Microsoft для доменных сетей Windows . Он включен в большинство операционных систем Windows Server как набор процессов и служб . [1] [2] Изначально Active Directory отвечала только за централизованное управление доменами. Однако Active Directory стала зонтичным названием для широкого спектра служб, связанных с идентификацией на основе каталогов. [3]

Сервер с ролью доменной службы Active Directory (AD DS) называется контроллером домена . Он проверяет подлинность и авторизует всех пользователей и компьютеры в сети доменного типа Windows . Назначение и применение политик безопасности для всех компьютеров, а также установка или обновление программного обеспечения. Например, когда пользователь входит в компьютер, который является частью домена Windows, Active Directory проверяет отправленный пароль и определяет, является ли пользователь системным администратором или обычным пользователем. [4]Кроме того, он позволяет управлять и хранить информацию, обеспечивает механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных служб: служб сертификации, служб федерации Active Directory, служб облегченного доступа к каталогам и служб управления правами . [5]

Active Directory использует Lightweight Directory Access Protocol (LDAP) версии 2 и 3, версия Microsoft по Kerberos , [6] и DNS . [7]

История [ править ]

Active Directory, как и многие другие разработки в области информационных технологий, возникла в результате демократизации дизайна с использованием запросов на комментарии (RFC). Engineering Task Force Интернета (IETF), который контролирует процесс RFC, принял многочисленные РЛК инициированных распространёнными участниками. Например, LDAP лежит в основе Active Directory. Также каталоги X.500 и организационная единица предшествовали концепции Active Directory, которая использует эти методы. Концепция LDAP начала появляться еще до основания Microsoft в апреле 1975 года, а RFC появились еще в 1971 году. RFC, вносящие вклад в LDAP, включают RFC 1823 (по API LDAP, август 1995 года), [8] RFC 2307, RFC 3062 и RFC 4533. [9][10] [11]

Microsoft представила Active Directory в 1999 году, впервые выпустила ее с выпуском Windows 2000 Server и изменила ее, чтобы расширить функциональные возможности и улучшить администрирование в Windows Server 2003 . Дополнительные улучшения появились в последующих версиях Windows Server . В Windows Server 2008 в Active Directory были добавлены дополнительные службы, такие как службы федерации Active Directory . [12] Часть каталога, отвечающая за управление доменами, которая ранее была основной частью операционной системы, [12] была переименована в доменные службы Active Directory (ADDS) и стала ролью сервера, как и другие. [3]«Active Directory» стала общим названием для более широкого диапазона служб каталогов. [13] По словам Байрона Хайнса, все, что связано с идентификацией, было перенесено под знамя Active Directory. [3]

Службы Active Directory [ править ]

Службы Active Directory состоят из нескольких служб каталогов. Наиболее известными являются доменные службы Active Directory, обычно сокращенно AD DS или просто AD. [14]

Доменные службы [ править ]

Доменные службы Active Directory (AD DS) - это фундамент каждой доменной сети Windows . Он хранит информацию о членах домена, включая устройства и пользователей, проверяет их учетные данные и определяет их права доступа . Сервер, на котором запущена эта служба, называется контроллером домена . С контроллером домена связываются, когда пользователь входит в систему, обращается к другому устройству в сети или запускает бизнес -приложение в стиле Metro, загруженное на устройство.

Другие службы Active Directory (за исключением LDS , как описано ниже), а также большинство серверных технологий Microsoft полагаются на доменные службы или используют их; примеры включают в себя групповую политику , шифрованный файловую систему , BitLocker , доменные имена , Desktop Services Remote , Exchange Server и SharePoint Server .

Самоуправляемые AD DS не следует путать с управляемыми Azure AD DS, которые являются облачным продуктом. [15]

Облегченные службы каталогов [ править ]

Службы Active Directory облегченного доступа к каталогам ( AD LDS ), ранее известные как режим приложений Active Directory (ADAM) [16], являются реализацией протокола LDAP для AD DS. [17] AD LDS работает как служба на Windows Server . AD LDS разделяет базу кода с AD DS и предоставляет те же функции, включая идентичный API , но не требует создания доменов или контроллеров домена. Он предоставляет хранилище данных для хранения данных каталога и службу каталогов с интерфейсом службы каталогов LDAP.. Однако, в отличие от AD DS, несколько экземпляров AD LDS могут работать на одном сервере.

Службы сертификации [ править ]

Службы сертификатов Active Directory (AD CS) создают локальную инфраструктуру открытых ключей . Он может создавать, проверять и отзывать сертификаты открытых ключей для внутреннего использования в организации. Эти сертификаты могут использоваться для шифрования файлов (при использовании с шифрованной файловой системой ), электронной почты (в соответствии со стандартом S / MIME ) и сетевого трафика (при использовании виртуальными частными сетями , протоколом безопасности транспортного уровня или протоколом IPSec ).

AD CS появился раньше Windows Server 2008, но назывался просто Certificate Services. [18]

AD CS требует инфраструктуры AD DS. [19]

Службы федерации [ править ]

Основная статья: Службы федерации Active Directory

Службы федерации Active Directory (AD FS) - это служба единого входа . Имея инфраструктуру AD FS, пользователи могут использовать несколько веб-сервисов (например, интернет-форум , блог , интернет-магазины , веб-почта ) или сетевые ресурсы, используя только один набор учетных данных, хранящихся в центральном месте, в отличие от необходимости предоставления выделенный набор учетных данных для каждой службы. Назначение AD FS является расширением AD DS: последний позволяет пользователям аутентифицироваться и использовать устройства, которые являются частью одной сети, с использованием одного набора учетных данных. Первый позволяет им использовать один и тот же набор учетных данных в другой сети.

Как следует из названия, AD FS работает на основе концепции федеративного удостоверения .

AD FS требует инфраструктуры AD DS, хотя ее партнер по федерации не может. [20]

Службы управления правами [ править ]

Основная статья: Службы управления правами Active Directory

Службы управления правами Active Directory ( AD RMS , известные как службы управления правами или RMS до Windows Server 2008 ) - это серверное программное обеспечение для управления правами на информацию, поставляемое с Windows Server . Он использует шифрование и форму избирательного отказа в функциональности для ограничения доступа к таким документам, как корпоративная электронная почта , документы Microsoft Word и веб-страницы , а также к операциям, которые авторизованные пользователи могут выполнять с ними.

Логическая структура [ править ]

В качестве службы каталогов экземпляр Active Directory состоит из базы данных и соответствующего исполняемого кода, отвечающего за обслуживание запросов и поддержку базы данных. Исполняемая часть, известная как агент системы каталогов, представляет собой набор служб и процессов Windows, которые выполняются в Windows 2000 и более поздних версиях. [1] К объектам в базах данных Active Directory можно получить доступ через LDAP, ADSI ( интерфейс компонентной объектной модели ), API обмена сообщениями и службы Security Accounts Manager . [2]

Объекты [ править ]

Упрощенный пример внутренней сети издательской компании. В компании есть четыре группы с разными разрешениями для трех общих папок в сети.

Структуры Active Directory - это систематизация информации об объектах . Объекты делятся на две широкие категории: ресурсы (например, принтеры) и участники безопасности (учетные записи и группы пользователей или компьютеров). Участникам безопасности назначаются уникальные идентификаторы безопасности (SID).

Каждый объект представляет собой единый объект - будь то пользователь, компьютер, принтер или группа - и его атрибуты. Некоторые объекты могут содержать другие объекты. Объект уникально идентифицируется своим именем и имеет набор атрибутов - характеристик и информации, которые представляет объект, - определяемых схемой , которая также определяет типы объектов, которые могут храниться в Active Directory.

Объект схемы позволяет администраторам расширять или изменять схему при необходимости. Однако, поскольку каждый объект схемы является неотъемлемой частью определения объектов Active Directory, деактивация или изменение этих объектов может коренным образом изменить или прервать развертывание. Изменения схемы автоматически распространяются по всей системе. После создания объект можно только деактивировать, но нельзя удалить. Изменение схемы обычно требует планирования. [21]

Леса, деревья и домены [ править ]

Каркас Active Directory, содержащий объекты, можно просматривать на нескольких уровнях. Лес, дерево и домен - это логические подразделения в сети Active Directory.

В рамках развертывания объекты группируются в домены. Объекты для одного домена хранятся в единой базе данных (которая может быть реплицирована). Домены идентифицируются по их структуре имен DNS , пространству имен .

Домен определяется как логическая группа сетевых объектов (компьютеров, пользователей, устройств), которые совместно используют одну и ту же базу данных Active Directory.

Дерево - это совокупность одного или нескольких доменов и деревьев доменов в непрерывном пространстве имен, связанных в транзитивной иерархии доверия.

Наверху сооружения - лес. Лес - это набор деревьев, которые имеют общий глобальный каталог, схему каталогов, логическую структуру и конфигурацию каталогов. Лес представляет собой границу безопасности, в пределах которой доступны пользователи, компьютеры, группы и другие объекты.

  Домен-Бостон
  Домен-Нью-Йорк
  Домен-Филадельфия
 Дерево-Южный
  Домен-Атланта
  Домен-Даллас
Домен-Даллас
 OU-Marketing
  Hewitt
  Аон
  Стив
 OU-Продажи
  Счет
  Ральф
Пример географической организации зон интереса внутри деревьев и доменов.

Организационные подразделения [ править ]

Объекты, хранящиеся в домене, могут быть сгруппированы в организационные единицы (OU). [22] Подразделения могут обеспечивать иерархию домена, упрощать его администрирование и могут напоминать структуру организации в управленческом или географическом плане. Подразделения могут содержать другие подразделения - в этом смысле домены являются контейнерами. Microsoft рекомендует использовать подразделения, а не домены для структурирования и упрощения реализации политик и администрирования. Подразделение - это рекомендуемый уровень для применения групповых политик., которые являются объектами Active Directory, формально именуемыми объектами групповой политики (GPO), хотя политики также могут применяться к доменам или сайтам (см. ниже). OU - это уровень, на котором обычно делегируются административные полномочия, но делегирование также может выполняться для отдельных объектов или атрибутов.

У организационных единиц нет отдельного пространства имен. Как следствие, для совместимости с устаревшими реализациями NetBios учетные записи пользователей с идентичным sAMAccountName не допускаются в одном домене, даже если объекты учетных записей находятся в разных подразделениях. Это связано с тем, что sAMAccountName, атрибут объекта пользователя, должен быть уникальным в пределах домена. [23] Однако два пользователя в разных подразделениях могут иметь одно и то же общее имя (CN), имя, под которым они хранятся в самом каталоге, например «fred.staff-ou.domain» и «fred.student-ou. domain ", где" staff-ou "и" student-ou "- это организационные единицы.

В общем, причина отсутствия учета повторяющихся имен при иерархическом размещении каталогов заключается в том, что Microsoft в первую очередь полагается на принципы NetBIOS , который представляет собой метод управления сетевыми объектами с плоским пространством имен, который для программного обеспечения Microsoft полностью восходит к Windows NT 3.1 и MS-DOS LAN Manager . Разрешение дублирования имен объектов в каталоге или полное исключение использования имен NetBIOS предотвратит обратную совместимость с устаревшим программным обеспечением и оборудованием. Однако запрет на дублирование имен объектов таким образом является нарушением LDAP RFC, на которых предположительно основана Active Directory.

По мере увеличения числа пользователей в домене такие условные обозначения, как «первый инициал, средний инициал, фамилия» ( западный порядок ) или обратный (восточный порядок), не подходят для общих фамилий, таких как Ли (李), Смит или Гарсия . Обходные пути включают добавление цифры в конец имени пользователя. Альтернативы включают создание отдельной системы идентификаторов с уникальными идентификационными номерами сотрудников / учащихся для использования в качестве имен учетных записей вместо имен реальных пользователей, а также предоставление пользователям возможности назначать свою предпочтительную последовательность слов в рамках приемлемой политики использования .

Поскольку повторяющиеся имена пользователей не могут существовать в домене, создание имени учетной записи представляет собой серьезную проблему для крупных организаций, которые не могут быть легко разделены на отдельные домены, например учащихся в системе государственных школ или университетов, которые должны иметь возможность использовать любой компьютер в сети.

Теневые группы [ править ]
В Active Directory организационные подразделения (OU) не могут быть назначены владельцами или попечителями. Можно выбрать только группы, и членам подразделений нельзя коллективно назначать права на объекты каталога.

В Active Directory Microsoft OU не предоставляют разрешения на доступ, а объектам, помещенным в OU, не назначаются автоматически права доступа на основе содержащихся в них OU. Это конструктивное ограничение, специфичное для Active Directory. Другие конкурирующие каталоги, такие как Novell NDS , могут назначать права доступа посредством размещения объектов в OU.

Active Directory требует отдельного шага для администратора, чтобы назначить объект в OU в качестве члена группы также в этом OU. Опираться только на расположение подразделения для определения разрешений на доступ ненадежно, поскольку объект, возможно, не был назначен объекту группы для этого подразделения.

Обычный обходной путь для администратора Active Directory - написать собственный сценарий PowerShell или Visual Basic для автоматического создания и поддержки группы пользователей для каждого подразделения в своем каталоге. Сценарии запускаются периодически для обновления группы в соответствии с членством в учетной записи OU, но не могут мгновенно обновлять группы безопасности при каждом изменении каталога, как это происходит в конкурирующих каталогах, где безопасность напрямую реализована в самом каталоге. Такие группы известны как теневые группы . После создания эти теневые группы можно выбрать вместо подразделения в административных инструментах.

Microsoft ссылается на теневые группы в справочной документации по Server 2008, но не объясняет, как их создавать. Нет встроенных серверных методов или консольных оснасток для управления теневыми группами. [24]

Ключевым решением является разделение информационной инфраструктуры организации на иерархию из одного или нескольких доменов и подразделений верхнего уровня. Общие модели делятся по бизнес-единицам, географическому положению, ИТ-услугам или по типу объекта и их гибридным видам. Подразделения должны быть структурированы, прежде всего, для облегчения административного делегирования и, во вторую очередь, для облегчения применения групповой политики. Хотя подразделения образуют административную границу, единственной истинной границей безопасности является сам лес, и администратору любого домена в лесу необходимо доверять для всех доменов в лесу. [25]

Разделы [ править ]

База данных Active Directory состоит из разделов , каждый из которых содержит определенные типы объектов и соответствует определенному шаблону репликации. Microsoft часто называет эти разделы «контекстами именования». [26] Раздел «Схема» содержит определение классов объектов и атрибутов в Лесу. Раздел «Конфигурация» содержит информацию о физической структуре и конфигурации леса (например, топологии сайта). Оба реплицируются на все домены в лесу. Раздел «Домен» содержит все объекты, созданные в этом домене, и реплицируется только в его домене.

Физическая структура [ править ]

Сайты - это физические (а не логические) группы, определяемые одной или несколькими IP- подсетями. [27] AD также содержит определения соединений, отделяя низкоскоростные (например, WAN , VPN ) от высокоскоростных (например, LAN ) каналов. Определения сайтов не зависят от домена и структуры подразделений и являются общими для всего леса. Сайты используются для управления сетевым трафиком, генерируемым репликацией, а также для направления клиентов к ближайшим контроллерам домена (DC). Microsoft Exchange Server 2007 использует топологию сайта для маршрутизации почты. Политики также могут быть определены на уровне сайта.

Физически информация Active Directory хранится на одном или нескольких контроллерах однорангового домена , заменяя модель NT PDC / BDC . Каждый DC имеет копию Active Directory. Серверы, присоединенные к Active Directory и не являющиеся контроллерами домена, называются рядовыми серверами. [28] Подмножество объектов в разделе домена реплицируются на контроллеры домена, настроенные как глобальные каталоги. Серверы глобального каталога (GC) предоставляют глобальный список всех объектов в лесу. [29] [30]Серверы глобального каталога реплицируют на себя все объекты из всех доменов и, следовательно, предоставляют глобальный список объектов в лесу. Однако для минимизации трафика репликации и сохранения небольшого размера базы данных GC реплицируются только выбранные атрибуты каждого объекта. Это называется частичным набором атрибутов (PAS). PAS можно изменить, изменив схему и пометив атрибуты для репликации в GC. [31] В более ранних версиях Windows для связи использовался NetBIOS . Active Directory полностью интегрирована с DNS и требует TCP / IP — DNS. Для полноценной работы DNS-сервер должен поддерживать записи ресурсов SRV , также известные как служебные записи.

Репликация [ править ]

Active Directory синхронизирует изменения с помощью репликации с несколькими мастерами . [32] Репликация по умолчанию - это «вытягивание», а не «выталкивание», что означает, что реплики извлекают изменения с сервера, на котором это изменение было выполнено. [33] Средство проверки согласованности знаний (KCC) создает топологию репликации ссылок сайтов, используя определенные сайты для управления трафиком. Репликация внутри сайта выполняется часто и автоматически в результате уведомления об изменении, которое заставляет одноранговые узлы начать цикл репликации по запросу. Интервалы межсайтовой репликации обычно реже и по умолчанию не используются уведомления об изменениях, хотя это можно настроить и сделать идентичным внутрисайтовой репликации.

У каждого канала может быть «стоимость» (например, DS3 , T1 , ISDN и т. Д.), И KCC соответственно изменяет топологию канала связи. Репликация может происходить транзитивно через несколько связей сайтов на мостах связей сайтов с одним и тем же протоколом , если стоимость невысока, хотя KCC автоматически стоит за прямую связь между сайтами меньше, чем за транзитивные соединения. Репликацию между сайтами можно настроить для выполнения между сервером-плацдармом на каждом сайте, который затем реплицирует изменения на другие контроллеры домена в пределах сайта. Репликация для зон Active Directory настраивается автоматически при активации DNS в домене на основе сайта.

Репликация Active Directory использует удаленные вызовы процедур (RPC) по IP (RPC / IP). Между сайтами SMTP можно использовать для репликации, но только для изменений в GC схемы, конфигурации или частичного набора атрибутов (глобального каталога). SMTP нельзя использовать для репликации раздела домена по умолчанию. [34]

Реализация [ править ]

Как правило, в сети, использующей Active Directory, имеется более одного лицензированного компьютера с Windows-сервером. Резервное копирование и восстановление Active Directory возможно в сети с одним контроллером домена [35], но Microsoft рекомендует использовать более одного контроллера домена для обеспечения автоматической защиты каталога при переключении . [36] Контроллеры домена также идеально подходят только для работы с каталогами и не должны запускать какое-либо другое программное обеспечение или роль. [37]

Некоторые продукты Microsoft, такие как SQL Server [38] [39] и Exchange [40], могут мешать работе контроллера домена, что требует изоляции этих продуктов на дополнительных серверах Windows. Их объединение может затруднить настройку или устранение неполадок контроллера домена или другого установленного программного обеспечения. [41] Компании, намеревающейся внедрить Active Directory, поэтому рекомендуется приобрести несколько лицензий на сервер Windows, чтобы предоставить как минимум два отдельных контроллера домена и, при необходимости, дополнительные контроллеры домена для повышения производительности или избыточности, отдельный файловый сервер, отдельный Сервер Exchange, отдельный сервер SQL [42] и т. Д. Для поддержки различных ролей сервера.

Затраты на физическое оборудование для множества отдельных серверов можно снизить за счет использования виртуализации , хотя для надлежащей защиты от сбоев Microsoft рекомендует не запускать несколько виртуализированных контроллеров домена на одном физическом оборудовании. [43]

База данных [ править ]

Active-каталог базы данных , то магазин каталог , в Windows 2000 Server использует JET синий -На Extensible Storage Engine (ESE98) и ограничивается до 16 Тб и 2 миллиарда объектов (но только 1 млрд принципалов безопасности) в базе данных каждого контроллера домена. Microsoft создала базы данных NTDS с более чем 2 миллиардами объектов. [44] ( Менеджер учетных записей безопасности NT4 мог поддерживать не более 40 000 объектов). Вызывается NTDS.DIT, он имеет две основные таблицы: в таблицу данных и таблицу соединений . Windows Server 2003 добавила третью основную таблицу для единого экземпляра дескриптора безопасности . [44]

Программы могут получать доступ к функциям Active Directory [45] через COM-интерфейсы, предоставляемые интерфейсами служб Active Directory . [46]

Доверие [ править ]

Чтобы разрешить пользователям в одном домене получать доступ к ресурсам в другом, Active Directory использует доверительные отношения. [47]

Доверительные отношения внутри леса создаются автоматически при создании доменов. Лес устанавливает границы доверия по умолчанию, а неявное транзитивное доверие устанавливается автоматически для всех доменов в лесу.

Терминология [ править ]

Одностороннее доверие
Один домен разрешает доступ пользователям в другом домене, но другой домен не разрешает доступ пользователям в первом домене.
Двустороннее доверие
Два домена разрешают доступ пользователям в обоих доменах.
Надежный домен
Домен, которому доверяют; чьи пользователи имеют доступ к доверяющему домену.
Переходное доверие
Доверие, которое может распространяться за пределы двух доменов на другие доверенные домены в лесу.
Непереходное доверие
Одностороннее доверие, не выходящее за пределы двух доменов.
Явное доверие
Доверие, которое создает администратор. Это не транзитивно и только в одну сторону.
Перекрестное доверие
Явное доверие между доменами в разных деревьях или в одном дереве, когда между двумя доменами не существует отношения потомок / предок (дочерний / родительский).
Ярлык
Объединяет два домена в разных деревьях, транзитивный, одно- или двусторонний.
Лесной трест
Относится ко всему лесу. Переходный, одно- или двусторонний.
Область
Может быть транзитивным или нетранзитивным (непереходным), одно- или двусторонним.
Внешний
Подключитесь к другим лесам или доменам, не относящимся к AD. Нетранзитивный, одно- или двусторонний. [48]
PAM доверие
Одностороннее доверие, используемое Microsoft Identity Manager из (возможно, низкоуровневого) производственного леса в «бастионный» лес (уровень функциональности Windows Server 2016 ), которое выдает ограниченное по времени членство в группах. [49] [50]

Управленческие решения [ править ]

Инструменты управления Microsoft Active Directory включают:

  • Центр администрирования Active Directory (введен в Windows Server 2012 и выше),
  • Пользователи и компьютеры Active Directory,
  • Домены и доверительные отношения Active Directory,
  • Сайты и службы Active Directory,
  • Редактировать ADSI,
  • Локальные пользователи и группы,
  • Оснастки схемы Active Directory для консоли управления Microsoft (MMC),
  • SysInternals ADExplorer

Эти инструменты управления могут не обеспечивать достаточной функциональности для эффективного рабочего процесса в больших средах. Некоторые сторонние решения расширяют возможности администрирования и управления. Они предоставляют необходимые функции для более удобных процессов администрирования, такие как автоматизация, отчеты, интеграция с другими сервисами и т. Д.

Интеграция с Unix [ править ]

Различные уровни взаимодействия с Active Directory могут быть достигнуты в большинстве Unix-подобных операционных систем (включая Unix , Linux , Mac OS X или программы на основе Java и Unix) с помощью совместимых со стандартами клиентов LDAP, но эти системы обычно не интерпретируют многие атрибуты. связанные с компонентами Windows, такими как групповая политика и поддержка односторонних доверительных отношений.

Третьи стороны предлагают интеграцию с Active Directory для Unix-подобных платформ, включая:

  • PowerBroker Identity Services , ранее Likewise ( BeyondTrust , ранее Likewise Software) - позволяет клиенту , отличному от Windows, присоединяться к Active Directory [51]
  • ADmitMac (Системы программного обеспечения Терсби ) [51]
  • Samba ( бесплатное программное обеспечение под GPLv3 ) - может выступать в качестве контроллера домена [52] [53]

Дополнения схемы, поставляемые с Windows Server 2003 R2, включают атрибуты, которые достаточно близко соответствуют RFC 2307, чтобы их можно было использовать в целом. Эталонная реализация RFC 2307, nss_ldap и pam_ldap, предоставленная PADL.com, напрямую поддерживает эти атрибуты. Схема по умолчанию для членства в группах соответствует RFC 2307bis (предлагается). [54] Windows Server 2003 R2 включает оснастку консоли управления Microsoft, которая создает и редактирует атрибуты.

Альтернативный вариант - использовать другую службу каталогов, поскольку клиенты, отличные от Windows, аутентифицируются в ней, в то время как клиенты Windows аутентифицируются в AD. Клиенты , отличные от Windows, включают 389 Directory Server (ранее Fedora Directory Server, FDS), ViewDS Identity Solutions - ViewDS v7.2 XML Enabled Directory и Sun Microsystems Sun Java System Directory Server . Оба последних могут выполнять двустороннюю синхронизацию с AD и, таким образом, обеспечивать «отклоненную» интеграцию.

Другой вариант - использовать OpenLDAP с его полупрозрачным оверлеем, который может расширять записи на любом удаленном сервере LDAP дополнительными атрибутами, хранящимися в локальной базе данных. Клиенты, указывающие на локальную базу данных, видят записи, содержащие как удаленные, так и локальные атрибуты, тогда как удаленная база данных остается полностью нетронутой. [ необходима цитата ]

Администрирование (запросы, изменение и мониторинг) Active Directory можно осуществить с помощью многих языков сценариев, включая PowerShell , VBScript , JScript / JavaScript , Perl , Python и Ruby . [55] [56] [57] [58] Бесплатные и платные инструменты администрирования AD могут помочь упростить и, возможно, автоматизировать задачи управления AD.

С октября 2017 года Amazon AWS предлагает интеграцию с Microsoft Active Directory. [59]

См. Также [ править ]

  • AGDLP (реализация контроля доступа на основе ролей с использованием вложенных групп)
  • Открытый каталог Apple
  • Гибкая работа с одним мастером
  • FreeIPA
  • Список программного обеспечения LDAP
  • Демон служб безопасности системы (SSSD)
  • Корпоративный Сервер Univention

Ссылки [ править ]

  1. ^ a b "Агент системы каталогов" . Библиотека MSDN . Microsoft . Проверено 23 апреля 2014 года .
  2. ^ а б Соломон, Дэвид А .; Руссинович, Марк (2005). «Глава 13». Внутреннее устройство Microsoft Windows: Microsoft Windows Server 2003, Windows XP и Windows 2000 (4-е изд.). Редмонд, Вашингтон: Microsoft Press . п. 840 . ISBN 0-7356-1917-4.
  3. ^ a b c Хайнс, Байрон (ноябрь 2006 г.). «Будущее Windows: службы каталогов в Windows Server« Longhorn » » . Журнал TechNet . Microsoft . Архивировано 30 апреля 2020 года . Проверено 30 апреля 2020 .
  4. ^ «Active Directory в сети Windows Server 2003» . Коллекция Active Directory . Microsoft . 13 марта 2003. Архивировано 30 апреля 2020 года . Проверено 25 декабря 2010 года .
  5. ^ Поддержка Rackspace (27 апреля 2016 г.). «Установить доменные службы Active Directory на 64-разрядную версию Windows Server 2008 R2 Enterprise» . Rackspace . Rackspace US, Inc. Архивировано 30 апреля 2020 года . Проверено 22 сентября 2016 года .
  6. ^ «Microsoft Kerberos - приложения Win32» . docs.microsoft.com .
  7. ^ «Система доменных имен (DNS)» . docs.microsoft.com .
  8. ^ Howes, T .; Смит, М. (август 1995 г.). «Интерфейс прикладной программы LDAP» . Инженерная группа Интернета (IETF) . Архивировано 30 апреля 2020 года . Проверено 26 ноября 2013 года .
  9. ^ Ховард, Л. (март 1998 г.). «Подход к использованию LDAP в качестве сетевой информационной службы» . Инженерная группа Интернета (IETF) . Архивировано 30 апреля 2020 года . Проверено 26 ноября 2013 года .
  10. ^ Zeilenga, К. (февраль 2001). «Пароль LDAP для изменения расширенной операции» . Инженерная группа Интернета (IETF) . Архивировано 30 апреля 2020 года . Проверено 26 ноября 2013 года .
  11. ^ Zeilenga, K .; Цой, Дж. Х (июнь 2006 г.). «Операция синхронизации содержимого упрощенного протокола доступа к каталогам (LDAP)» . Инженерная группа Интернета (IETF) . Архивировано 30 апреля 2020 года . Проверено 26 ноября 2013 года .
  12. ^ a b Томас, Гай (29 ноября 2000 г.). «Windows Server 2008 - Новые возможности» . ComputerPerformance.co.uk . Computer Performance Ltd. Архивировано 2 сентября 2019 года . Проверено 30 апреля 2020 .
  13. ^ «Что нового в Active Directory в Windows Server» . Технический центр Windows Server 2012 R2 и Windows Server 2012 . Microsoft .
  14. ^ «Службы Active Directory technet.microsoft.com» .
  15. ^ «Сравните службы на основе Active Directory в Azure» . docs.microsoft.com .
  16. ^ "AD LDS" . Microsoft . Проверено 28 апреля 2009 года .
  17. ^ «AD LDS против AD DS» . Microsoft . Проверено 25 февраля 2013 года .
  18. ^ Закер, Крейг (2003). «11: Создание цифровых сертификатов и управление ими» . В Хардинге, Кэти; Жан, Тренари; Линда, Закер (ред.). Планирование и обслуживание сетевой инфраструктуры Microsoft Windows server 2003 . Редмонд, Вашингтон: Microsoft Press. С.  11–16 . ISBN 0-7356-1893-3.
  19. ^ «Обзор служб сертификации Active Directory» . Microsoft TechNet . Microsoft . Проверено 24 ноября 2015 года .
  20. ^ «Шаг 1: Задачи перед установкой» . TechNet . Microsoft . Проверено 24 ноября 2015 года .
  21. ^ Windows Server 2003: Инфраструктура Active Directory . Microsoft Press. 2003. С. 1–8–1–9.
  22. ^ «Организационные единицы» . Комплект ресурсов по распределенным системам ( TechNet ) . Microsoft. 2011. Организационная единица в Active Directory аналогична каталогу в файловой системе.
  23. ^ "sAMAccountName всегда уникален в домене Windows ... или нет?" . Joeware. 4 января 2012 . Проверено 18 сентября 2013 года . примеры того, как несколько объектов AD могут быть созданы с одним и тем же sAMAccountName
  24. ^ Справочник по Microsoft Server 2008, в котором обсуждаются теневые группы, используемые для детализированных политик паролей: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  25. ^ «Определение безопасности и административных границ» . Корпорация Майкрософт. 23 января 2005 г. Однако администраторы служб могут выходить за пределы домена. По этой причине конечной границей безопасности является лес, а не домен.
  26. ^ Андреас Лютер. «Трафик репликации Active Directory» . Корпорация Microsoft . Проверено 26 мая 2010 года . Active Directory состоит из одного или нескольких контекстов именования или разделов.
  27. ^ «Обзор сайтов» . Корпорация Майкрософт. 21 января 2005 г. Сайт - это набор хорошо связанных подсетей.
  28. ^ «Планирование контроллеров домена и рядовых серверов» . Корпорация Майкрософт. 21 января 2005 г. [...] рядовые серверы, [...] принадлежат домену, но не содержат копии данных Active Directory.
  29. ^ "Что такое глобальный каталог?" . Корпорация Майкрософт. 10 декабря 2009 г. [...] контроллер домена может находить только объекты в своем домене. [...] Глобальный каталог предоставляет возможность находить объекты из любого домена [...]
  30. ^ «Глобальный каталог» . Корпорация Майкрософт.
  31. ^ «Атрибуты, включенные в глобальный каталог» . Корпорация Майкрософт. 26 августа 2010 г. Атрибут isMemberOfPartialAttributeSet объекта attributeSchema имеет значение TRUE, если атрибут реплицируется в глобальный каталог. [...] При принятии решения о размещении атрибута в глобальном каталоге помните, что вы жертвуете увеличенной репликацией и увеличенным дисковым хранилищем на серверах глобального каталога для потенциально более высокой производительности запросов.
  32. ^ "Хранилище данных каталога" . Корпорация Майкрософт. 21 января 2005 г. Active Directory использует четыре различных типа разделов каталога для [...] хранения данных. Разделы каталога содержат данные домена, конфигурации, схемы и приложения.
  33. ^ "Что такое модель репликации Active Directory?" . Корпорация Майкрософт. 28 марта 2003 г. Контроллеры домена запрашивают (извлекают) изменения, а не отправляют (отправляют) изменения, которые могут быть ненужными.
  34. ^ "Что такое топология репликации Active Directory?" . Корпорация Майкрософт. 28 марта 2003 г. SMTP может использоваться для передачи недоменной репликации [...]
  35. ^ «Резервное копирование и восстановление Active Directory» . TechNet . Microsoft . Проверено 5 февраля 2014 .
  36. ^ «AD DS: все домены должны иметь как минимум два работающих контроллера домена для резервирования» . TechNet . Microsoft . Проверено 5 февраля 2014 .
  37. ^ Поузи, О'Брайен (23 августа 2010). «10 советов по эффективному проектированию Active Directory» . TechRepublic . CBS Interactive . Проверено 5 февраля 2014 . По возможности контроллеры домена должны работать на выделенных серверах (физических или виртуальных).
  38. ^ «Вы можете столкнуться с проблемами при установке SQL Server на контроллер домена (Версия 3.0)» . Поддержка . Microsoft . 7 января 2013 . Проверено 5 февраля 2014 .
  39. ^ Degremont, Мишель (30 июня 2011). «Могу ли я установить SQL Server на контроллер домена?» . Блог Microsoft SQL Server . Проверено 5 февраля 2014 . По соображениям безопасности и производительности мы не рекомендуем устанавливать автономный SQL Server на контроллере домена.
  40. ^ «Не рекомендуется устанавливать Exchange на контроллер домена» . TechNet . Microsoft . 22 марта 2013 . Проверено 5 февраля 2014 .
  41. ^ «Соображения безопасности при установке SQL Server» . TechNet . Microsoft . Проверено 5 февраля 2014 . После установки SQL Server на компьютер вы не можете изменить компьютер с контроллера домена на члена домена. Перед изменением хост-компьютера на члена домена необходимо удалить SQL Server.
  42. ^ «Анализатор сервера Exchange» . TechNet . Microsoft . Проверено 5 февраля 2014 . Не рекомендуется запускать SQL Server на том же компьютере, что и производственный сервер почтовых ящиков Exchange.
  43. ^ «Запуск контроллеров домена в Hyper-V» . TechNet . Microsoft . Планирование виртуализации контроллеров домена . Проверено 5 февраля 2014 . При планировании развертывания виртуального контроллера домена следует попытаться избежать создания потенциальных единых точек отказа.
  44. ^ a b efleis (8 июня 2006 г.). «Большая база данных AD? Наверное, не такая большая» . Blogs.technet.com. Архивировано из оригинального 17 августа 2009 года . Проверено 20 ноября 2011 года .
  45. ^ Беркувер, Сандер. «Основы Active Directory» . Программное обеспечение Veeam .
  46. ^ Интерфейсы службы Active Directory , Microsoft
  47. ^ «Домена и леса трасты Технический справочник» . Корпорация Майкрософт. 28 марта 2003 г. Доверительные отношения позволяют [...] аутентифицировать и [...] совместно использовать ресурсы между доменами или лесами.
  48. ^ "Работа с доверительными отношениями домена и леса" . Корпорация Майкрософт. 11 декабря 2012 . Проверено 29 января 2013 года . Определяет несколько видов трастов. (автоматический, ярлык, лес, область, внешний)
  49. ^ «Управление привилегированным доступом для доменных служб Active Directory» . docs.microsoft.com .
  50. ^ "TechNet Wiki" . social.technet.microsoft.com .
  51. ^ а б Эдж, Чарльз С., младший; Смит, Зак; Хантер, Бо (2009). «Глава 3: Active Directory». Руководство администратора Enterprise Mac . Нью-Йорк: Апресс . ISBN 978-1-4302-2443-3.
  52. ^ «Samba 4.0.0 доступна для загрузки» . SambaPeople . Проект САМБА. Архивировано 15 ноября 2010 года . Проверено 9 августа +2016 .
  53. ^ "Большой успех DRS!" . SambaPeople . Проект САМБА. 5 октября 2009 года Архивировано из оригинала 13 октября 2009 года . Проверено 2 ноября 2009 года .
  54. ^ "RFC 2307bis" . Архивировано из оригинального 27 сентября 2011 года . Проверено 20 ноября 2011 года .
  55. ^ «Администрирование Active Directory с помощью Windows PowerShell» . Microsoft . Проверено 7 июня 2011 года .
  56. ^ «Использование сценариев для поиска в Active Directory» . Microsoft . Проверено 22 мая 2012 года .
  57. ^ "ITAdminTools Perl Scripts Repository" . ITAdminTools.com . Проверено 22 мая 2012 года .
  58. ^ "Win32 :: OLE" . Сообщество Perl с открытым исходным кодом . Проверено 22 мая 2012 года .
  59. ^ «Представляем AWS Directory Service для Microsoft Active Directory (Standard Edition)» . Amazon Web Services . 24 октября 2017.

Внешние ссылки [ править ]

  • Microsoft Technet: Технический документ : Архитектура Active Directory (единый технический документ, дающий обзор Active Directory.)
  • Microsoft Technet: подробное описание Active Directory в Windows Server 2003
  • Библиотека Microsoft MSDN: [MS-ADTS]: техническая спецификация Active Directory (часть Microsoft Open Specification Promise )
  • Режим приложения Active Directory (ADAM)
  • Microsoft MSDN: [AD-LDS]: Службы Active Directory облегченного доступа к каталогам
  • Microsoft TechNet: [AD-LDS]: службы Active Directory облегченного доступа к каталогам
  • Microsoft MSDN: схема Active Directory
  • Microsoft TechNet: понимание схемы
  • Журнал Microsoft TechNet: расширение схемы Active Directory
  • Microsoft MSDN: службы сертификации Active Directory
  • Microsoft TechNet: службы сертификации Active Directory