1 / 51

Usługa Active Directory

Usługa Active Directory. Wprowadzenie. Informacja o zasobach sieci, sposobach i możliwościach ich wykorzystania Całkowicie zintegrowana z W2k Server Oferuje hierarchiczny widok zasobów sieci, rozszerzalność, skalowalność oraz rozproszony system zabezpieczeń

patia
Download Presentation

Usługa Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Usługa Active Directory

  2. Wprowadzenie • Informacja o zasobach sieci, sposobach i możliwościach ich wykorzystania • Całkowicie zintegrowana z W2k Server • Oferuje hierarchiczny widok zasobów sieci, rozszerzalność, skalowalność oraz rozproszony system zabezpieczeń • Integruje pochodzącą z Internetu koncepcję przestrzeni nazw z usługą katalogową systemu operacyjnego • Korzysta z LDAP jako protokołu dostępowego i wspiera model informacji protokołu X.500

  3. Schemat rozszerzalny • Schemat usługi AD zawiera formalną definicję zawartości i struktury AD • Domyślny schemat jest tworzony na pierwszym kontrolerze domeny • Schemat jest rozszerzalny, co oznacza możliwość definiowania nowych typów obiektów i nowe atrybuty wszystkich typów obiektów

  4. Katalog globalny (Global Catalog) • Centralny „magazyn” informacji o obiektach w drzewie domen lub lesie domen • Po zainstalowaniu usługi AD na pierwszym kontrolerze domeny staje się on domyślnie serwerem katalogu globalnego • Serwer katalogu globalnego jest kontrolerem domeny • Dodatkowe kontrolery domeny mogą być wyznaczone jako serwery katalogu globalnego (zwiększa ruch replikacyjny)

  5. Obszar nazw • Każda ograniczona przestrzeń, w której można dokonać tłumaczenia nazwy na obiekt lub informację, którą nazwa ta reprezentuje • Oparty na schemacie nazewniczym DNS • Ciągły jeśli nazwa obiektu podrzędnego zawsze zawiera nazwę podrzędnej domeny • Nieciągły gdy nazwy obiektów podrzędnego i nadrzędnego nie są bezpośrednio powiązane

  6. Diagram obszaru nazw

  7. Schemat nazewniczy DNS

  8. Nazwa wyróżniająca (DN) • Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki: • DC – Domain Component (Microsoft, com) • CN – Common Name (Users, Jan) • OU – Organisation Unit • O – Organisation (Internet) Internet.com.Microsoft.Users.Jan

  9. Względna nazwa wyróżniająca (RDN) • Część pełnej nazwy wyróżniającej wykorzystywana do odnajdowania obiektów przez odpytywania (nazwa wyróżniająca nie jest dokładnie znana) • Zazwyczaj jest to CN obiektu nadrzędnego • W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN

  10. Unikalny identyfikator globalny • Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość • Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona • Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier) • GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu • W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID) • Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt)

  11. Nazwa główna użytkownika • User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN • Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” (kowalski@microsoft.com) • UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usuniętu bez wpływu na sposób logowania

  12. Architektura usługi AD • Model danych bazuje na modelu X.500 • Schemat jest zaimplementowany jako zbiór wystąpień klas obiektów składowanych w katalogu • Model zabezpieczeń bazuje na strukturze Trusted Computing Base (TCB) z listami kontroli dostępu • Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania • DSA proces zarządzający fizycznym składowaniem katalogu – izoluje klientów od fizycznego formatu składowanych danych

  13. Dostęp do usługi AD • Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji: • LDAP • MAPI-RPC (Messaging Application Program Interface – Remote Procedure Call) • X.500 • Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)

  14. Model warstwowy usługi AD (1)

  15. Składniki usług AD • Directory System Agent (DSA) – tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla API. • Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych • Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu • Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil)

  16. Interfejsy • LDAP – umożliwia dostęp do usługi AD aplikacjom systemowym ja również tworzenie własnych aplikacji • REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjana i międzylokacyjna) • SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT) • MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC

  17. Directory System Agent (DSA) • Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia: • Identyfikację obiektu • Przetwarzanie transakcji • Wymuszanie uaktualniania schematu • Wymuszanie kontroli dostępu • Wspiera replikacje • Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki)

  18. Warstwa bazy danych • Zasłania przed użytkownikiem budowę wewnętrzną katalogu dostarczając strukturę hierarchiczną • Tłumaczy każdą nazwę wyróżnioną (DN) na liczbę całkowitą (znacznik DN) będącą indeksem w bazie • Jest odpowiedzialna za tworzenie, usuwanie i odzyskiwanie poszczególnych rekordów, atrybutów wewnątrz rekordów i ich wartości w bazie danych AD (korzysta ze struktur danych DSA – bufora schematów)

  19. Motor ESE • Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.ditw folderze %systemroot%\system32) • Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów) • Przystosowany do obsługi rzadkich wierszy macierzy • Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu) • Umożliwia przechowywanie atrybutów o wielu wartościach

  20. Obszary nazw • Obszar nazw jest najwyższego poziomu nazwą domeny usługi AD dla instytucji składającej się z domen Windows2000, kontrolerów domen, jednostek organizacyjnych, relacji zaufania i drzew domen • Istotna zależność między obszarem nazw DNS a Active Directory • Wewnętrzny obszar nazw – struktura wewnętrzna usługi • Zewnętrzny obszar nazw – widoczny z zewnątrz, zazwyczaj udostępniany przez urządzenia aktywne sieci

  21. Obszary nazw takie same • Klienci wewnętrznej, prywatnej sieci firmowej muszą mieć dostęp do serwerów wewnętrznego i zewnętrznego • Klienci zewnętrzni muszą mieć dostęp do zasobów i rozwiązywania nazw z zewnątrz • Konieczność istnienia dwóch odrębnych stref DNS odpowiednio dla rozwiązywania nazw zewnętrznych i wewnętrznych • Zalety: • Identyczna nazwa drzewa • Umożliwia użytkownikom korzystanie z sieci zewnętrznej i wewnętrznej z wykorzystaniem tej samej nazwy (logowanie, e-mail)

  22. Obszary nazw takie same (2) • Wady • Skomplikowana konfiguracja (klienci proxy muszą rozróżniać zasoby wewnętrzne i zewnętrzne) • Ograniczenia w publikowaniu zasobów wewnętrznych w Internecie • Niektóre prace administratorskie ulegają podwojeniu (np. DNS) • Pomimo identycznych nazw użytkownicy będą w różny sposób widzieli zasoby wewnętrzne i zewnętrzne

  23. Rozdzielone obszary nazw • Domena jest widziana pod różnymi nazwami z zewnątrz i wewnątrz • Konieczność rejestracji obu nazw w zewnętrznym DNS co zapobiega wykorzystaniu wewnętrznego obszaru nazw przez publiczną sieć • Zalety: • Łatwość odróżnienia zasobów wewnętrznych i zewnętrznych • Łatwa konfiguracja klientów proxy

  24. Rozdzielone obszary nazw (2) • Wady: • Nazwy logowania są inne niż adresy poczty elektronicznej • W Internetowym DNS należy zarejestrować kilka nazw

  25. Architektura obszaru nazw • Ograniczenie ruchu replikacyjnego • Możliwość łatwej rekonfiguracji struktury • Skalowalność • Rozróżnianie zasobów wewnętrznych i zewnętrznych przy jednoczesnej ochronie danych • Powinna reprezentować strukturę organizacyjną przedsiębiorstwa • Zalecane trzy warstwy domen • Domena katalogu głównego • Domena pierwszej warstwy • Domena drugiej warstwy

  26. Domena katalogu głównego • Pierwsza domena w obszarze nazw odwzorowująca obszar nazw firmy • Wszystkie wewnętrzne domeny są częścią tej domeny tworząc przylegający, połączony w formie drzewa domen obszar nazw • Serwery zawierające katalog główny nie są widoczne w Internecie

  27. Domeny pierwszej warstwy • Ich zadanie to stworzenie nazw domen „odpornych” na reorganizację firmy • Mogą odpowiadać np. położeniu geograficznemu oddziałów • Relacje zaufania pomiędzy domeną katalogu głównego a domenami pierwszej warstwy pozwalają aby zasoby były dostępne dla wszystkich odgałęzień drzewa domen • Nazwy domen tej warstwy powinny mieć co najmniej 3 znaki długości (standard ISO 3166)

  28. Domeny drugiej warstwy • Całkowicie konfigurowalne stanowią podstawową jednostkę zarządzania • Domeny podrzędne mogą być tworzone poniżej warstwy drugiej • Przykład (ISO 3166): • microsoft.com • noamer.microsoft.com • usa.noamer.microsoft.com • ny.usa.noamer.microsoft.com

  29. Planowanie jednostek organizacyjnych • Tworzone w celu delegowania administrowania powinny odzwierciedlać szczegółową strukturę organizacyjną • Przejrzysta struktura jednostek organizacyjnych zapewnia łatwą administrację • Zastosowanie zasad zabezpieczeń • Możliwość ograniczenia publikowania zasobów w sieci zewnętrznej • Niezmienność struktury jednostek • Zbliżona liczność jednostek organizacyjnych w domenie

  30. Hierarchia jednostek organizacyjnych • Oparte na administracji lub obiektach (użytkownicy, grupy, zasady zabezpieczeń) • Oparte na podziale geograficznym (struktura bez tendencji do zmian) • Oparte na funkcjach działalności (np. rekrutacja, obsługa studenta itd. – stałe) • Oparte na oddziałach (w oparciu o relacje między oddziałami - zmienne) • Oparte na projektach (np. projekty badawcze, struktura nietrwała)

  31. Planowanie lokacji • Projekt fizyczny sieci opartej na Windows2000 Server obsługującej Active Directory • Lokacja nie jest częścią obszaru nazw - użytkownicy i komputery zgrupowani są w domeny i jednostki organizacyjne • Lokacja to zespolenie jednej lub więcej podsieci połączonych szybkimi łączami • Rozłożenie lokacji wpływa na: • Logowanie do stacji roboczych (klienci AD odszukują kontroler domeny w lokacji w której znajduje się użytkownik dla jego obsługi) • Replikacje (międzylokacyjne powinny zachodzić rzadziej)

  32. Łączenie podsieci w lokacje • Konieczność zapewnienia szybkiego (co najmniej 512 Kbps) i niezawodnego połączenia • Planowanie replikacji na godziny nie kolidujące ze zwykłym ruchem • W usłudze AD struktura domeny i struktura lokacji utrzymywane są oddzielnie • Pojedyncza domena może rozciągać się na wiele lokacji, a pojedyncza lokacja może zawierać wiele domen lub części wielu domen

  33. Przykłady lokacji

  34. Optymalizacje • Logowania – określone stacje robocze i kontrolery powinny znajdować się w tej samej lokacji • 1-5 stacji roboczych – nie tworzymy lokacji • Stacji roboczych > 5 – tworzymy lokacje z lokalnym kontrolerem domeny. Replikacja może przebiegać wolnymi łączami poza godzinami szczytu

  35. Wdrażanie usługi AD • Kreator instalacji usługi AD (Start->Narzędzia administracyjne->Usługa Active Directory->Konfigurowanie serwera) • Menu Start->uruchom->dcpromo.exe • Dodawanie kontrolera domeny do istniejącej domeny • Tworzenie pierwszego kontrolera domeny dla nowej domeny • Tworzenie nowej domeny podrzędnej • Tworzenie nowego drzewa domen

  36. Typy kontrolerów domen

  37. Kontrolery domen w praktyce • Dodawanie do istniejącej domeny – utworzenie równoprawnego kontrolera domeny (nadmiarowość oraz redukcja obciążenia istniejących kontrolerów) • Tworzenie pierwszego – utworzenie nowej domeny i pierwszego jej kontrolera (podział informacji dla skalowania usługi AD) • Domena podrzędna jest dodawana do istniejącej domeny (stanowi jej część) • Nowa domena nie będzie częścią istniejącej. Możliwe utworzenie nowego lasu lub części istniejącego

  38. Baza danych usługi AD • Domyślna lokalizacja: %systemroot%\Ntds. Podczas instalacji możliwa zmiana lokalizacji • Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach – lepsza wydajność • W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10) • Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa

  39. Udostępniony wolumen systemowy • Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad grup • Domyślna lokalizacja: %systemroot%\Sysvol • Udostępniony wolumen systemowy musi znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0 • Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD

  40. Tryb domeny mieszany • Kontroler pracuje w trybie mieszanym po pierwszej instalacji lub aktualizacji do systemu W2k • Pozwala on na prace z kontrolerami domeny pracującymi pod kontrolą Windows NT 3.5 i 4.0 • Konieczny do uwierzytelniania klientów korzystających z NTLM oraz do rozwiązywania nazw przez WINS

  41. Tryb domeny macierzysty • Wykorzystywany gdy wszystkie kontrolery domeny pracują pod kontrolą W2k Server • W trakcie konwersji trybu: • Ustaje wsparcie dla replikacji niższego poziomu (brak NTLM) • Nie można dodawać kontrolerów niższego poziomu do domeny • Podstawowy kontroler domeny przestaje być kontrolerem nadrzędnym; wszystkie kontrolery domeny stają się równoprawne

  42. Administrowanie usługą AD • Obiekty usługi AD reprezentują zasoby sieciowe. Obiekt jest zbiorem atrybutów. Dodawanie nowych zasobów powoduje utworzenie nowych obiektów. Przed dodaniem nowych obiektów należy utworzyć jednostki organizacyjne, w skład których będą wchodziły te obiekty • Jednostki administracyjne można tworzyć w domenie, w obiekcie kontroler domeny lub wewnątrz innej jednostki organizacyjnej • Utworzenie nowej jednostki wymaga posiadania odpowiednich uprawnień (grupa Administratorzy) • Nie można tworzyć jednostek administracyjnych w większości kontenerów domyślnych jak np. Użytkownicy czy Komputery

  43. Jednostki organizacyjne • Tworzone w celu delegowania kontroli administracyjnej do innych użytkowników lub administratorów • Dla grupowania obiektów wymagających podobnych zajęć administracyjnych (np. konta użytkowników pracowników sezonowych) • Ograniczają widzialność zasobów sieciowych w magazynie usługi Active Directory (użytkownicy mogą widzieć jedynie te zasoby do których mają dostęp). Jednostki organizacyjne tworzy się w przystawce Użytkownicy i komputery usługi Active Directory

  44. Obiekty jednostek organizacyjnych • Dodanie wymaga posiadania uprawnień (domyślnie członkowie grupy Administratorzy) • Obiekty możliwe do dodania określają zasoby schematu • Atrybuty obiektu w schemacie są kategoriami informacji definiującymi charakterystyki wszystkich możliwych wystąpień definiowanego typu obiektu • Wartości atrybutów dowolnego wystąpienia obiektu czynią go unikalnym • Obiekty tworzone są w przystawce Użytkownicy i komputery usługi Active Directory

  45. Obiekty usługi Active Directory (1) • Komputer – obiekt reprezentuje komputer i zawiera informacje o komputerze z domeny • Kontakt – obiekt bez uprawnień zabezpieczeń i brakiem możliwości logowania. Reprezentuje zewnętrznych użytkowników na potrzeby poczty elektronicznej • Grupa – może zawierać użytkowników, komputery i inne grupy. Ułatwia zarządzanie dużą liczbą obiektów

  46. Obiekty usługi Active Directory (2) • Drukarka – drukarka sieciowa opublikowana w katalogu. Jeśli komputer do którego jest podłączona nie znajduje się w AD drukarka musi zostać opublikowana oddzielnie • Użytkownik – główne zabezpieczenie katalogu. Informacje zawarte w obiekcie pozwalają na logowanie się • Udostępniony folder – obiekt jest wskaźnikiem do udostępnionego folderu (zawiera jego adres a nie dane). Udostępnione foldery znajdują się w rejestrze komputera, zaś a AD utworzony jest obiekt zawierający wskaźnik do udostępnionego folderu.

  47. Zarządzanie obiektami usługi Active Directory • Ustalanie położenia obiektów • Modyfikowanie • Usuwanie • Przenoszenie • Dla modyfikacji, usuwania i przenoszenia należy posiadać wymagane uprawnienia do obiektu oraz jednostki organizacyjnej do której będzie przenoszony dany obiekt

  48. Ustalanie położenia obiektów • Znajdowanie obiektów w domenie drzewa lub lasu • Z wykorzystaniem przystawki Użytkownicy i komputery Active Directory z folderu Narzędzia administracyjne • Odszukiwanie według • Listy atrybutów (warunek) • Zawartości listy atrybutów (pole) • Wartość (pola atrybutu) • Kryteria wyszukiwania (lista kryteriów wyszukiwania)

  49. Przystawka

  50. Modyfikowanie wartości atrybutów i usuwanie obiektów • Użytkownicy i komputery usługi AD – znajdujemy obiekt , z menu Akcja -> Właściwości i dokonujemy modyfikacji właściwości obiektów • Usuwamy obiekty, które nie są efektywnie wykorzystywane, po zaznaczeniu obiektu z menu Akcja wybieramy Usuń

More Related