Jump to content

Активный каталог

(Перенаправлено из службы каталогов NT )

Active Directory ( AD ) — это служба каталогов , разработанная Microsoft для доменных сетей Windows . Windows Server Операционные системы включают его как набор процессов и служб . [1] [2] Первоначально Active Directory использовалась только для централизованного управления доменами. Однако в конечном итоге оно стало общим названием для различных служб идентификации на основе каталогов. [3]

Контроллер домена — это сервер, на котором выполняется роль доменных служб Active Directory ( AD DS ). Он аутентифицирует и авторизует всех пользователей и компьютеры в Windows сети доменного типа , назначает и применяет политики безопасности для всех компьютеров, а также устанавливает или обновляет программное обеспечение. Например, когда пользователь входит в систему на компьютере, который является частью домена Windows, Active Directory проверяет отправленные имя пользователя и пароль и определяет, является ли пользователь системным администратором или пользователем без прав администратора. [4] Кроме того, он обеспечивает управление и хранение информации, обеспечивает механизмы аутентификации и авторизации, а также создает основу для развертывания других связанных служб: служб сертификации, служб федерации Active Directory , служб облегченного каталога и служб управления правами . [5]

Active Directory использует облегченный протокол доступа к каталогам (LDAP) версий 2 и 3, версию Kerberos от Microsoft . [6] и DNS . [7]

Роберт Р. Кинг определил это следующим образом: [8]

«Домен представляет собой базу данных. Эта база данных содержит записи о сетевых службах — таких вещах, как компьютеры, пользователи, группы и другие вещи, которые используют, поддерживают или существуют в сети. База данных домена, по сути, представляет собой Active Directory».

Как и многие другие разработки в области информационных технологий, Active Directory возникла в результате демократизации дизайна с использованием запросов на комментарии (RFC). Инженерная группа Интернета (IETF) контролирует процесс RFC и приняла многочисленные RFC, инициированные широким кругом участников. Например, LDAP лежит в основе Active Directory. Кроме того, X.500 каталоги и организационная единица предшествовали концепции Active Directory, использующей эти методы. Концепция LDAP начала появляться еще до основания Microsoft в апреле 1975 года, а RFC появились еще в 1971 году. RFC, способствующие LDAP, включают RFC 1823 (об API LDAP, август 1995 года), [9] RFC 2307, RFC 3062 и RFC 4533. [10] [11] [12]

Microsoft представила Active Directory в 1999 году, впервые выпустила ее в версии Windows 2000 Server и переработала ее для расширения функциональности и улучшения администрирования в Windows Server 2003 . Поддержка Active Directory также была добавлена ​​в Windows 95, Windows 98 и Windows NT 4.0 через патч с некоторыми неподдерживаемыми функциями. [13] [14] Дополнительные улучшения появились в последующих версиях Windows Server . В Windows Server 2008 Microsoft добавила в Active Directory дополнительные службы, такие как службы федерации Active Directory . [15] Часть каталога, отвечающая за управление доменами, которая была основной частью операционной системы. [15] была переименована в доменные службы Active Directory (ADDS) и стала ролью сервера, как и другие. [3] «Active Directory» стал общим названием более широкого спектра служб на основе каталогов. [16] По словам Байрона Хайнса, все, что связано с идентификацией, было перенесено под знамена Active Directory. [3]

Службы Active Directory

[ редактировать ]

Службы Active Directory состоят из нескольких служб каталогов. Наиболее известными являются доменные службы Active Directory, обычно называемые AD DS или просто AD.

Доменные службы

[ редактировать ]

Доменные службы Active Directory (AD DS) — это основа каждой доменной сети Windows . Он хранит информацию об участниках домена, включая устройства и пользователей, проверяет их учетные данные и определяет их права доступа . Сервер, на котором работает эта служба, называется контроллером домена . Связь с контроллером домена осуществляется, когда пользователь входит в систему на устройстве, получает доступ к другому устройству по сети или запускает бизнес- приложение в стиле Metro, загруженное на компьютер.

Другие службы Active Directory (за исключением LDS , как описано ниже) и большинство серверных технологий Microsoft полагаются на доменные службы или используют их; примеры включают групповую политику , шифрованную файловую систему , BitLocker , службы доменных имен , службы удаленных рабочих столов , Exchange Server и SharePoint Server .

Самоуправляемая Active Directory DS должна отличаться от управляемого Azure AD DS , облачного продукта. [17]

Упрощенные службы каталогов

[ редактировать ]

Службы Active Directory облегченного доступа к каталогам (AD LDS), ранее называемые режимом приложений Active Directory (ADAM), [18] реализует протокол LDAP для AD DS. [19] Он работает как служба на Windows Server и предлагает ту же функциональность, что и AD DS, включая аналогичный API . Однако AD LDS не требует создания доменов или контроллеров домена. Он предоставляет хранилище данных для хранения данных каталога и службу каталогов с интерфейсом службы каталогов LDAP. В отличие от AD DS, на одном сервере могут работать несколько экземпляров AD LDS.

Сертификационные услуги

[ редактировать ]

Службы сертификации Active Directory (AD CS) создают локальную инфраструктуру открытых ключей . Он может создавать, проверять, отзывать и выполнять другие подобные действия сертификаты открытых ключей для внутреннего использования организации. Эти сертификаты можно использовать для шифрования файлов (при использовании с шифрованной файловой системой ), электронной почты (по стандарту S/MIME ) и сетевого трафика (при использовании виртуальными частными сетями , протоколом Transport Layer Security или протоколом IPSec ).

AD CS появился раньше Windows Server 2008, но его название было просто «Службы сертификации». [20]

AD CS требует инфраструктуры AD DS. [21]

Службы федерации

[ редактировать ]

Службы федерации Active Directory (AD FS) — это служба единого входа . При наличии инфраструктуры AD FS пользователи могут использовать несколько веб-служб (например, интернет-форум , блог , интернет-магазины , веб-почту ) или сетевые ресурсы, используя только один набор учетных данных, хранящихся в центральном месте, вместо необходимости предоставления специальный набор учетных данных для каждой службы. AD FS использует множество популярных открытых стандартов для передачи учетных данных токена, таких как SAML , OAuth или OpenID Connect . [22] AD FS поддерживает шифрование и подписание утверждений SAML . [23] Целью AD FS является расширение цели AD DS: последняя позволяет пользователям проходить аутентификацию и использовать устройства, входящие в одну и ту же сеть, используя один набор учетных данных. Первый позволяет им использовать один и тот же набор учетных данных в другой сети.

Как следует из названия, AD FS работает на основе концепции федеративной идентификации .

AD FS требует инфраструктуры AD DS, хотя ее партнер по федерации может этого не делать. [24]

Службы управления правами

[ редактировать ]

Службы управления правами Active Directory ( AD RMS ), ранее известные как Службы управления правами или RMS до Windows Server 2008 , представляют собой серверное программное обеспечение, позволяющее управлять правами на информацию , входящее в состав Windows Server . Он использует шифрование и выборочный запрет для ограничения доступа к различным документам, таким как корпоративная электронная почта , документы Microsoft Word и веб-страницы . Это также ограничивает операции, которые авторизованные пользователи могут выполнять с ними, такие как просмотр, редактирование, копирование, сохранение или печать. ИТ-администраторы могут для удобства создавать предварительно настроенные шаблоны для конечных пользователей, но конечные пользователи по-прежнему могут определять, кто может получить доступ к контенту и какие действия они могут предпринять. [25]

Логическая структура

[ редактировать ]

Active Directory — это служба, состоящая из базы данных и исполняемого кода . Он отвечает за управление запросами и обслуживание базы данных. Агент системы каталогов — это исполняемая часть, набор Windows служб и процессов , которые работают в Windows 2000 и более поздних версиях. [1] Доступ к объектам в базах данных Active Directory возможен через различные интерфейсы, такие как LDAP, ADSI, API обмена сообщениями и службы диспетчера учетных записей безопасности . [2]

Используемые объекты

[ редактировать ]
Упрощенный пример внутренней сети издательства. В компании есть четыре группы с разными разрешениями на три общие папки в сети.

Структуры Active Directory состоят из информации об объектах, классифицированных на две категории: ресурсы (например, принтеры) и участники безопасности (которые включают учетные записи и группы пользователей или компьютеров). Каждому субъекту безопасности присваивается уникальный идентификатор безопасности (SID). Объект представляет собой единый объект, например пользователя, компьютер, принтер или группу, а также его атрибуты. Некоторые объекты могут даже содержать внутри себя другие объекты. Каждый объект имеет уникальное имя, а его определение представляет собой набор характеристик и информации по схеме , определяющей хранилище в Active Directory.

администраторы могут расширить или изменить схему с помощью объекта схемы При необходимости . Однако, поскольку каждый объект схемы является неотъемлемой частью определения объектов Active Directory, их деактивация или изменение может фундаментально изменить или нарушить развертывание. Изменение схемы автоматически влияет на всю систему, и новые объекты нельзя удалить, а только деактивировать. Изменение схемы обычно требует планирования. [26]

Леса, деревья и домены

[ редактировать ]

В сети Active Directory структура, содержащая объекты, имеет разные уровни: лес, дерево и домен. Домены в развертывании содержат объекты, хранящиеся в одной реплицируемой базе данных, а структура имен DNS идентифицирует их домены, пространство имен . Домен — это логическая группа сетевых объектов, таких как компьютеры, пользователи и устройства, которые используют одну и ту же базу данных Active Directory.

С другой стороны, дерево — это совокупность доменов и деревьев доменов в непрерывном пространстве имен, связанных транзитивной иерархией доверия. Лес находится наверху структуры и представляет собой набор деревьев со стандартным глобальным каталогом, схемой каталогов, логической структурой и конфигурацией каталогов. Лес — это безопасная граница, ограничивающая доступ пользователей, компьютеров, групп и других объектов.

    Домен-Бостон
    Домен-Нью-Йорк
    Домен-Филли
  Дерево-Южное
    Домен-Атланта
    Домен-Даллас
Домен-Даллас
  OU-Маркетинг
    Хьюитт
    Любой
    Стив
  OU-Продажи
    Счет
    Ральф
Пример географической организации зон интереса внутри деревьев и доменов

Организационные подразделения

[ редактировать ]

Объекты, хранящиеся в домене, можно сгруппировать в организационные единицы (OU). [27] Подразделения могут обеспечить иерархию домена, упростить его администрирование и могут напоминать структуру организации с управленческой или географической точки зрения. Подразделения могут содержать другие подразделения — в этом смысле домены являются контейнерами. Microsoft рекомендует использовать подразделения, а не домены, для структуры и упрощения реализации политик и администрирования. Подразделение — это рекомендуемый уровень для применения групповых политик , которые представляют собой объекты Active Directory, формально называемые объектами групповой политики (GPO), хотя политики также могут применяться к доменам или сайтам (см. ниже). Подразделение — это уровень, на котором обычно делегируются административные полномочия, но делегирование может выполняться и для отдельных объектов или атрибутов.

Организационные подразделения не имеют отдельного пространства имен. Как следствие, для совместимости с устаревшими реализациями NetBios учетные записи пользователей с одинаковым именем sAMAccountName не допускаются в одном домене, даже если объекты учетных записей находятся в разных подразделениях. Это связано с тем, что sAMAccountName, атрибут объекта пользователя, должен быть уникальным в пределах домена. [28] Однако два пользователя в разных подразделениях могут иметь одно и то же общее имя (CN), имя, под которым они хранятся в самом каталоге, например «fred.staff-ou.domain» и «fred.student-ou.domain». где «сотрудники» и «студенты» — это подразделения.

В общем, причина отсутствия возможности дублирования имен посредством иерархического размещения каталогов заключается в том, что Microsoft в первую очередь полагается на принципы NetBIOS , который представляет собой метод управления сетевыми объектами с плоским пространством имен, который для программного обеспечения Microsoft восходит к прошлому. для Windows NT 3.1 и MS-DOS LAN Manager . Разрешение дублирования имен объектов в каталоге или полный отказ от использования имен NetBIOS предотвратит обратную совместимость с устаревшим программным обеспечением и оборудованием. Однако запрет дублирования имен объектов таким образом является нарушением документов LDAP RFC, на которых предположительно основана Active Directory.

По мере увеличения количества пользователей в домене такие соглашения, как «первый инициал, средний инициал, фамилия» ( западный порядок ) или обратный порядок (восточный порядок), не работают для распространенных фамилий, таких как Ли (李), Смит или Гарсия . Обходной путь включает добавление цифры в конец имени пользователя. Альтернативы включают создание отдельной системы идентификации, состоящей из уникальных идентификационных номеров сотрудников/студентов, которые будут использоваться в качестве имен учетных записей вместо реальных имен пользователей, а также предоставление пользователям возможности назначать предпочтительную последовательность слов в рамках политики допустимого использования .

Поскольку повторяющиеся имена пользователей не могут существовать в домене, создание имен учетных записей представляет собой серьезную проблему для крупных организаций, которые невозможно легко разделить на отдельные домены, например, для учащихся государственных школ или университетов, которые должны иметь возможность использовать любой компьютер в сети.

Теневые группы
[ редактировать ]
В Active Directory организационные подразделения (OU) не могут быть назначены владельцами или доверенными лицами. Выбирать можно только группы, а членам подразделений нельзя коллективно назначать права на объекты каталога.

В Active Directory Microsoft подразделения не предоставляют разрешения на доступ, а объектам, размещенным в подразделениях, не назначаются автоматически права доступа в зависимости от содержащего их подразделения. Это представляет собой конструктивное ограничение, специфичное для Active Directory, и другие конкурирующие каталоги, такие как Novell NDS , могут устанавливать привилегии доступа посредством размещения объектов внутри подразделения.

Active Directory требует от администратора отдельного шага для назначения объекта в подразделении в качестве члена группы также внутри этого подразделения. Использование только местоположения подразделения для определения прав доступа ненадежно, поскольку объект, возможно, еще не был назначен групповому объекту для этого подразделения.

Обычный обходной путь для администратора Active Directory — написать собственный сценарий PowerShell или Visual Basic для автоматического создания и поддержки группы пользователей для каждого подразделения в их каталоге. Сценарии периодически запускаются для обновления группы в соответствии с членством в учетной записи подразделения. Однако они не могут мгновенно обновлять группы безопасности при каждом изменении каталога, как это происходит в конкурирующих каталогах, поскольку безопасность реализована непосредственно в каталоге. Такие группы известны как теневые группы . После создания эти теневые группы можно выбрать вместо подразделения в инструментах администрирования. В справочной документации Microsoft Server 2008 упоминаются теневые группы, но не приводятся инструкции по их созданию. Кроме того, для управления этими группами отсутствуют доступные серверные методы или консольные оснастки. [29]

Организация должна определить структуру своей информационной инфраструктуры, разделив ее на один или несколько доменов и подразделений верхнего уровня. Это решение имеет решающее значение и может основываться на различных моделях, таких как бизнес-подразделения, географическое расположение, ИТ-услуги, тип объекта или комбинация этих моделей. Непосредственной целью организации подразделений является упрощение административного делегирования и, во вторую очередь, применение групповых политик. Хотя подразделения служат административной границей, единственной границей безопасности является сам лес. Все остальные домены должны доверять любому администратору леса для обеспечения безопасности. [30]

Перегородки

[ редактировать ]

База данных Active Directory организована в разделы , каждый из которых содержит объекты определенного типа и соответствует определенному шаблону репликации. Microsoft часто называет эти разделы «контекстами именования». [31] Раздел «Схема» определяет классы объектов и атрибуты леса. Раздел «Конфигурация» содержит информацию о физической структуре и конфигурации леса (например, топологии сайта). Оба реплицируют все домены в лесу. Раздел «Домен» содержит все объекты, созданные в этом домене, и реплицируется только внутри него.

Физическая структура

[ редактировать ]

Сайты представляют собой физические (а не логические) группы, определяемые одной или несколькими IP- подсетями. [32] AD также определяет соединения, отличая низкоскоростные (например, WAN , VPN ) от высокоскоростных (например, LAN ) каналов. Определения сайтов не зависят от структуры домена и подразделения и являются общими для всего леса. Сайты играют решающую роль в управлении сетевым трафиком, создаваемым репликацией, и направлении клиентов к ближайшим контроллерам домена (DC). Microsoft Exchange Server 2007 использует топологию сайта для маршрутизации почты. Администраторы также могут определять политики на уровне сайта.

Информация Active Directory физически хранится на одном или нескольких одноранговых контроллерах домена , заменяя модель NT PDC / BDC . Каждый контроллер домена имеет копию Active Directory. Рядовые серверы, присоединенные к Active Directory и не являющиеся контроллерами домена, называются рядовыми серверами. [33] В разделе домена группа объектов действует как копии контроллеров домена, настроенных как глобальные каталоги. Эти серверы глобального каталога предлагают полный список всех объектов, расположенных в лесу. [34] [35]

Серверы глобального каталога реплицируют все объекты из всех доменов на себя, предоставляя международный список объектов в лесу. Однако, чтобы свести к минимуму трафик репликации и сохранить небольшую базу данных GC, реплицируются только выбранные атрибуты каждого объекта, называемые частичным набором атрибутов (PAS). PAS можно изменить, изменив схему и пометив функции для репликации в GC. [36] Более ранние версии Windows использовали NetBIOS для связи . Active Directory полностью интегрирован с DNS и требует TCP/IP —DNS. Для полноценной работы DNS-сервер должен поддерживать записи ресурсов SRV , также известные как служебные записи.

Репликация

[ редактировать ]

Active Directory использует репликацию с несколькими хозяевами для синхронизации изменений. [37] это означает, что реплики извлекают изменения с сервера, на котором они произошли, а не пересылаются на них. [38] Средство проверки согласованности знаний (KCC) использует определенные сайты для управления трафиком и создания топологии репликации ссылок сайтов. Внутрисайтовая репликация происходит часто и автоматически из-за уведомлений об изменениях, которые побуждают одноранговые узлы начать цикл репликации по запросу. Интервалы репликации между разными сайтами обычно менее согласованы и обычно не используют уведомления об изменениях. Однако при необходимости можно настроить его так же, как репликацию между местоположениями в одной сети.

Каждый канал DS3 , T1 и ISDN может иметь стоимость, и KCC соответствующим образом изменяет топологию канала сайта. Репликация может происходить транзитивно через несколько связей сайтов на мостах связей сайтов с тем же протоколом, если цена низкая. Однако KCC автоматически снижает стоимость прямого соединения между узлами по сравнению с транзитивными соединениями. Сервер-плацдарм в каждой зоне может отправлять обновления другим контроллерам домена в том же месте, чтобы реплицировать изменения между сайтами. Чтобы настроить репликацию для зон Active Directory, активируйте DNS в домене на основе сайта.

Для репликации Active Directory удаленные вызовы процедур используются (RPC) по IP (RPC/IP). SMTP используется для репликации между сайтами, но только для изменений в схеме, конфигурации или частичном наборе атрибутов (глобальный каталог) GC. Он не подходит для воспроизведения раздела домена по умолчанию. [39]

Выполнение

[ редактировать ]

Обычно в сети, использующей Active Directory, имеется более одного лицензированного сервера Windows. Резервное копирование и восстановление Active Directory возможны для сети с одним контроллером домена. [40] Однако Microsoft рекомендует использовать более одного контроллера домена, чтобы обеспечить автоматическую при отказе . защиту каталога [41] Контроллеры домена в идеале предназначены только для операций с каталогами и не должны запускать какое-либо другое программное обеспечение или роль. [42]

Поскольку некоторые продукты Microsoft, такие как SQL Server [43] [44] и обмен, [45] могут мешать работе контроллера домена, рекомендуется изолировать эти продукты на дополнительных серверах Windows. Их объединение может усложнить настройку и устранение неполадок контроллера домена или другого более сложного установленного программного обеспечения. [46] Если компания планирует внедрить Active Directory, ей следует приобрести несколько серверных лицензий Windows, чтобы иметь как минимум два отдельных контроллера домена. Администраторам следует рассмотреть возможность использования дополнительных контроллеров домена для обеспечения производительности или резервирования, а также отдельных серверов для таких задач, как хранение файлов, Exchange и SQL Server. [47] поскольку это гарантирует адекватную поддержку всех ролей сервера.

Одним из способов снижения затрат на физическое оборудование является использование виртуализации . Однако для обеспечения надлежащей защиты от сбоев Microsoft рекомендует не запускать несколько виртуализированных контроллеров домена на одном физическом оборудовании. [48]

База данных

[ редактировать ]

Active-Directory База данных , хранилище каталогов , в Windows 2000 Server использует JET Blue на базе расширяемый механизм хранения данных (ESE98). База данных каждого контроллера домена ограничена 16 терабайтами и 2 миллиардами объектов (но только 1 миллиардом участников безопасности). Microsoft создала базы данных NTDS, содержащие более 2 миллиардов объектов. [49] NT4 Менеджер учетных записей безопасности может поддерживать до 40 000 объектов. Он имеет две основные таблицы: таблицу данных и таблицу связей . В Windows Server 2003 добавлена ​​третья основная таблица для единичного экземпляра дескриптора безопасности . [49]

Программы могут получить доступ к функциям Active Directory [50] через COM-интерфейсы, предоставляемые интерфейсами службы Active Directory . [51]

Доверчивый

[ редактировать ]

Чтобы разрешить пользователям в одном домене доступ к ресурсам в другом, Active Directory использует доверительные отношения. [52]

Доверия внутри леса создаются автоматически при создании доменов. Лес устанавливает границы доверия по умолчанию, а неявное транзитивное доверие является автоматическим для всех доменов в лесу.

Терминология

[ редактировать ]
Одностороннее доверие
Один домен разрешает доступ пользователям в другом домене, но другой домен не разрешает доступ пользователям в первом домене.
Двустороннее доверие
Два домена разрешают доступ пользователям обоих доменов.
Доверенный домен
Домен, которому доверяют; чьи пользователи имеют доступ к доверяющему домену.
Транзитивное доверие
Доверие, которое может распространяться за пределы двух доменов на другие доверенные домены в лесу.
Нетранзитивное доверие
Одностороннее доверие, не выходящее за пределы двух доменов.
Явное доверие
Доверие, которое создает администратор. Оно не транзитивно и является только односторонним.
Доверие перекрестных ссылок
Явное доверие между доменами в разных деревьях или в одном дереве, когда между двумя доменами не существует отношений потомок/предок (дочерний/родительский).
Ярлык
Объединяет два домена в разных деревьях, транзитивно, одно- или двустороннее.
Лесной трест
Применяется ко всему лесу. Транзитивный, одно- или двусторонний.
Область
Может быть транзитивным или нетранзитивным (интранзитивным), одно- или двусторонним.
Внешний
Подключайтесь к другим лесам или доменам, не принадлежащим Active Directory. Нетранзитивный, одно- или двусторонний. [53]
ПАМ траст
Одностороннее доверие, используемое Microsoft Identity Manager от производственного леса (возможно, низкого уровня) до «бастионного» леса ( уровень функциональности Windows Server 2016 ), который обеспечивает ограниченное по времени членство в группах. [54] [55]

Инструменты управления

[ редактировать ]

Инструменты управления Microsoft Active Directory включают в себя:

  • Центр администрирования Active Directory (появился в Windows Server 2012 и более поздних версиях),
  • Пользователи и компьютеры Active Directory,
  • Домены и доверительные отношения Active Directory,
  • Сайты и службы Active Directory,
  • ADSI Редактировать,
  • Локальные пользователи и группы,
  • Оснастки схемы Active Directory для консоли управления Microsoft (MMC),
  • SysInternals ADExplorer.

Эти инструменты управления могут не обеспечивать достаточную функциональность для эффективного рабочего процесса в больших средах. Некоторые сторонние инструменты расширяют возможности администрирования и управления. Они предоставляют необходимые функции для более удобного процесса администрирования, такие как автоматизация, отчеты, интеграция с другими сервисами и т. д.

Интеграция Unix

[ редактировать ]

Различные уровни взаимодействия с Active Directory могут быть достигнуты в большинстве Unix-подобных операционных систем (включая Unix , Linux , Mac OS X или Java и программы на базе Unix) через совместимые со стандартами клиенты LDAP, но эти системы обычно не интерпретируют многие атрибуты. связанные с компонентами Windows, такими как групповая политика и поддержка односторонних доверительных отношений.

Третьи стороны предлагают интеграцию Active Directory для Unix-подобных платформ, в том числе:

Дополнения к схеме, поставляемые с Windows Server 2003 R2, включают атрибуты, которые достаточно близко соответствуют RFC 2307, чтобы их можно было использовать в целом. Эталонная реализация RFC 2307, nss_ldap и pam_ldap, предоставленная PADL.com, напрямую поддерживает эти атрибуты. Схема по умолчанию для членства в группах соответствует RFC 2307bis (предложенный). [59] Windows Server 2003 R2 включает оснастку консоли управления Microsoft , которая создает и редактирует атрибуты.

Альтернативный вариант — использовать другую службу каталогов, поскольку клиенты, отличные от Windows, аутентифицируются в ней, а клиенты Windows аутентифицируются в Active Directory. Клиенты, отличные от Windows, включают 389 Directory Server (ранее Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory и Sun Microsystems Sun Java System Directory Server . Последние два способны выполнять двустороннюю синхронизацию с Active Directory и, таким образом, обеспечивают «отклоненную» интеграцию.

Другой вариант — использовать OpenLDAP с его полупрозрачным слоем, который может дополнять записи на любом удаленном сервере LDAP дополнительными атрибутами, хранящимися в локальной базе данных. Клиенты, указывающие на локальную базу данных, видят записи, содержащие как удаленные, так и локальные атрибуты, в то время как удаленная база данных остается совершенно нетронутой. [ нужна ссылка ]

Администрирование (запрос, изменение и мониторинг) Active Directory может осуществляться с помощью многих языков сценариев, включая PowerShell , VBScript , JScript/JavaScript , Perl , Python и Ruby . [60] [61] [62] [63] Бесплатные и платные инструменты администрирования Active Directory могут помочь упростить и, возможно, автоматизировать задачи управления Active Directory.

С октября 2017 года Amazon AWS предлагает интеграцию с Microsoft Active Directory. [64]

См. также

[ редактировать ]
  1. ^ Jump up to: а б «Агент системы каталогов» . Библиотека MSDN . Майкрософт . Проверено 23 апреля 2014 г.
  2. ^ Jump up to: а б Соломон, Дэвид А .; Руссинович, Марк (2005). «Глава 13». Внутреннее устройство Microsoft Windows: Microsoft Windows Server 2003, Windows XP и Windows 2000 (4-е изд.). Редмонд, Вашингтон: Microsoft Press . п. 840 . ISBN  0-7356-1917-4 .
  3. ^ Jump up to: а б с Хайнс, Байрон (ноябрь 2006 г.). «Будущее Windows: службы каталогов в Windows Server «Longhorn» » . Журнал ТехНет . Майкрософт . Архивировано из оригинала 30 апреля 2020 года . Проверено 30 апреля 2020 г.
  4. ^ «Active Directory в сети Windows Server 2003» . Коллекция Active Directory . Майкрософт . 13 марта 2003 г. Архивировано из оригинала 30 апреля 2020 г. . Проверено 25 декабря 2010 г.
  5. ^ Поддержка Rackspace (27 апреля 2016 г.). «Установка доменных служб Active Directory на 64-разрядной версии Windows Server 2008 R2 Enterprise» . Рэкспейс . Rackspace US, Inc. Архивировано из оригинала 30 апреля 2020 года . Проверено 22 сентября 2016 г.
  6. ^ «Microsoft Kerberos — приложения Win32» . docs.microsoft.com . 7 января 2021 г.
  7. ^ «Система доменных имен (DNS)» . docs.microsoft.com . 10 января 2022 г.
  8. ^ Кинг, Роберт (2003). Освоение Active Directory для Windows Server 2003 (3-е изд.). Аламеда, Калифорния: Сайбекс. п. 159. ИСБН  978-0-7821-5201-2 . OCLC   62876800 .
  9. ^ Хоуз, Т.; Смит, М. (август 1995 г.). «Прикладной программный интерфейс LDAP» . Рабочая группа по проектированию Интернета (IETF) . Архивировано из оригинала 30 апреля 2020 года . Проверено 26 ноября 2013 г.
  10. ^ Ховард, Л. (март 1998 г.). «Подход к использованию LDAP в качестве сетевой информационной службы» . Целевая группа инженеров Интернета (IETF) . Архивировано из оригинала 30 апреля 2020 года . Проверено 26 ноября 2013 г.
  11. ^ Зейленга, К. (февраль 2001 г.). «Расширенная операция изменения пароля LDAP» . Рабочая группа по проектированию Интернета (IETF) . Архивировано из оригинала 30 апреля 2020 года . Проверено 26 ноября 2013 г.
  12. ^ Зейленга, К.; Чой, Дж. Х. (июнь 2006 г.). «Операция синхронизации контента облегченного протокола доступа к каталогам (LDAP)» . Рабочая группа по проектированию Интернета (IETF) . Архивировано из оригинала 30 апреля 2020 года . Проверено 26 ноября 2013 г.
  13. ^ Дэниел Петри (8 января 2009 г.). «Клиент Active Directory (dsclient) для Win98/NT» .
  14. ^ «Dsclient.exe подключает компьютеры с Windows 9x/NT к Active Directory» . 5 июня 2003 г.
  15. ^ Jump up to: а б Томас, Гай (29 ноября 2000 г.). «Windows Server 2008 — новые возможности» . ComputerPerformance.co.uk . Computer Performance Ltd. Архивировано из оригинала 2 сентября 2019 года . Проверено 30 апреля 2020 г.
  16. ^ «Что нового в Active Directory в Windows Server» . Windows Server 2012 R2 и Технический центр Windows Server 2012 . Майкрософт . 31 августа 2016 г.
  17. ^ «Сравнение служб Active Directory в Azure» . docs.microsoft.com . 3 апреля 2023 г.
  18. ^ «АД ЛДС» . Майкрософт . Проверено 28 апреля 2009 г.
  19. ^ «AD LDS против AD DS» . Майкрософт. 2 июля 2012 года . Проверено 25 февраля 2013 г.
  20. ^ Закер, Крейг (2003). «11: Создание цифровых сертификатов и управление ими» . В Хардинге, Кэти; Джин, Тренари; Линда, Закер (ред.). Планирование и обслуживание сетевой инфраструктуры Microsoft Windows Server 2003 . Редмонд, Вашингтон: Microsoft Press. стр. 11–16 . ISBN  0-7356-1893-3 .
  21. ^ «Обзор служб сертификации Active Directory» . Microsoft TechNet . Майкрософт . Проверено 24 ноября 2015 г.
  22. ^ «Обзор аутентификации на порталах Power Apps» . Документы Майкрософт . Майкрософт . Проверено 30 января 2022 г.
  23. ^ «Как заменить сертификаты SSL, служебной связи, подписи и расшифровки токенов» . ТехНет . Майкрософт . Проверено 30 января 2022 г.
  24. ^ «Шаг 1: Задачи перед установкой» . ТехНет . Майкрософт . Проверено 21 октября 2021 г.
  25. ^ «Руководство по лаборатории тестирования: развертывание кластера AD RMS» . Документы Майкрософт . Майкрософт . 31 августа 2016 года . Проверено 30 января 2022 г.
  26. ^ Windows Server 2003: инфраструктура Active Directory . Майкрософт Пресс. 2003. стр. 1–8–1–9.
  27. ^ «Организационные подразделения» . Ресурсный комплект по распределенным системам ( TechNet ) . Майкрософт. 2011. Организационная единица в Active Directory аналогична каталогу в файловой системе.
  28. ^ «sAMAccountName всегда уникально в домене Windows... или нет?» . Джоуэр. 4 января 2012 года . Проверено 18 сентября 2013 г. примеры того, как можно создать несколько объектов AD с одним и тем же именем sAMAccountName
  29. ^ Справочник по Microsoft Server 2008, в котором обсуждаются теневые группы, используемые для детальной политики паролей: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  30. ^ «Определение безопасности и административных границ» . Корпорация Майкрософт. 23 января 2005 г. Однако у администраторов служб есть способности, выходящие за границы домена. По этой причине конечной границей безопасности является лес, а не домен.
  31. ^ Андреас Лютер (9 декабря 2009 г.). «Трафик репликации Active Directory» . Корпорация Майкрософт . Проверено 26 мая 2010 г. Active Directory состоит из одного или нескольких контекстов именования или разделов.
  32. ^ «Обзор сайтов» . Корпорация Майкрософт. 21 января 2005 г. Сайт представляет собой набор хорошо связанных подсетей.
  33. ^ «Планирование контроллеров домена и рядовых серверов» . Корпорация Майкрософт. 21 января 2005 г. [...] рядовые серверы [...] принадлежат домену, но не содержат копии данных Active Directory.
  34. ^ «Что такое глобальный каталог?» . Корпорация Майкрософт. 10 декабря 2009 г. [...] контроллер домена может находить только объекты в своем домене. [...] Глобальный каталог предоставляет возможность находить объекты из любого домена [...]
  35. ^ «Глобальный каталог» . Корпорация Майкрософт.
  36. ^ «Атрибуты, включенные в глобальный каталог» . Корпорация Майкрософт. 26 августа 2010 г. Атрибут isMemberOfPartialAttributeSet объекта AttributeSchema имеет значение TRUE, если атрибут реплицируется в глобальный каталог. [...] Принимая решение о размещении атрибута в глобальном каталоге или нет, помните, что вы обмениваете увеличенную репликацию и увеличенное дисковое пространство на серверах глобального каталога на потенциально более высокую производительность запросов.
  37. ^ «Хранилище данных каталога» . Корпорация Майкрософт. 21 января 2005 г. Active Directory использует четыре различных типа разделов каталога для хранения [...] данных. Разделы каталога содержат данные домена, конфигурации, схемы и приложения.
  38. ^ «Что такое модель репликации Active Directory?» . Корпорация Майкрософт. 28 марта 2003 г. Контроллеры домена запрашивают (извлекают) изменения, а не отправляют (отправляют) изменения, которые могут не понадобиться.
  39. ^ «Что такое топология репликации Active Directory?» . Корпорация Майкрософт. 28 марта 2003 г. SMTP можно использовать для транспортировки внедоменной репликации [...]
  40. ^ «Резервное копирование и восстановление Active Directory» . ТехНет . Майкрософт . 9 декабря 2009 года . Проверено 5 февраля 2014 г.
  41. ^ «AD DS: во всех доменах должно быть как минимум два функционирующих контроллера домена для обеспечения избыточности» . ТехНет . Майкрософт . Проверено 5 февраля 2014 г.
  42. ^ Поузи, Брайен (23 августа 2010 г.). «10 советов по эффективному проектированию Active Directory» . Техреспублика . CBS Интерактив . Проверено 5 февраля 2014 г. По возможности ваши контроллеры домена должны работать на выделенных серверах (физических или виртуальных).
  43. ^ «Вы можете столкнуться с проблемами при установке SQL Server на контроллере домена (версия 3.0)» . Поддерживать . Майкрософт . 7 января 2013 года . Проверено 5 февраля 2014 г.
  44. ^ Дегремон, Мишель (30 июня 2011 г.). «Могу ли я установить SQL Server на контроллере домена?» . Блог Microsoft SQL Server . Проверено 5 февраля 2014 г. По соображениям безопасности и производительности мы рекомендуем не устанавливать автономный SQL Server на контроллере домена.
  45. ^ «Установка Exchange на контроллере домена не рекомендуется» . ТехНет . Майкрософт . 22 марта 2013 года . Проверено 5 февраля 2014 г.
  46. ^ «Вопросы безопасности при установке SQL Server» . ТехНет . Майкрософт . Проверено 5 февраля 2014 г. После установки SQL Server на компьютер вы не сможете превратить компьютер из контроллера домена в члена домена. Прежде чем изменить хост-компьютер на члена домена, необходимо удалить SQL Server.
  47. ^ «Анализатор сервера Exchange» . ТехНет . Майкрософт . Проверено 5 февраля 2014 г. Не рекомендуется запускать SQL Server на том же компьютере, что и рабочий сервер почтовых ящиков Exchange.
  48. ^ «Запуск контроллеров домена в Hyper-V» . ТехНет . Майкрософт . Планирование виртуализации контроллеров домена . Проверено 5 февраля 2014 г. При планировании развертывания виртуального контроллера домена вам следует стараться избегать создания потенциальных единых точек отказа.
  49. ^ Jump up to: а б Эфлейс (8 июня 2006 г.). «Большая база данных AD? Вероятно, не такая большая» . Блоги.technet.com. Архивировано из оригинала 17 августа 2009 года . Проверено 20 ноября 2011 г.
  50. ^ Беркувер, Сандер. «Основы Active Directory» . Программное обеспечение Veeam .
  51. ^ Интерфейсы службы Active Directory , Microsoft
  52. ^ «Технический справочник по доменным и лесным трастам» . Корпорация Майкрософт. 28 марта 2003 г. Трасты обеспечивают [...] аутентификацию и [...] совместное использование ресурсов между доменами или лесами.
  53. ^ «Работа доменных и лесных трастов» . Корпорация Майкрософт. 11 декабря 2012 года . Проверено 29 января 2013 г. Определяет несколько видов трастов. (автоматический, ярлык, лес, область, внешний)
  54. ^ «Управление привилегированным доступом для доменных служб Active Directory» . docs.microsoft.com . 8 февраля 2023 г.
  55. ^ «ТехНет Вики» . Social.technet.microsoft.com . 17 января 2024 г.
  56. ^ Jump up to: а б Эдж, Чарльз С. младший; Смит, Зак; Хантер, Бо (2009). «Глава 3: Active Directory». Руководство администратора Enterprise Mac . Нью-Йорк: Апресс . ISBN  978-1-4302-2443-3 .
  57. ^ «Samba 4.0.0 доступна для скачивания» . СамбаЛюди . Проект САМБА. Архивировано из оригинала 15 ноября 2010 года . Проверено 9 августа 2016 г.
  58. ^ «Большой успех DRS!» . СамбаЛюди . Проект САМБА. 5 октября 2009 года. Архивировано из оригинала 13 октября 2009 года . Проверено 2 ноября 2009 г.
  59. ^ «RFC 2307бис» . Архивировано из оригинала 27 сентября 2011 года . Проверено 20 ноября 2011 г.
  60. ^ «Администрирование Active Directory с помощью Windows PowerShell» . Майкрософт . Проверено 7 июня 2011 г.
  61. ^ «Использование сценариев для поиска в Active Directory» . Майкрософт. 26 мая 2010 года . Проверено 22 мая 2012 г.
  62. ^ «Репозиторий Perl-скриптов ITAdminTools» . ITAdminTools.com . Проверено 22 мая 2012 г.
  63. ^ «Win32::OLE» . Сообщество открытого исходного кода Perl . Проверено 22 мая 2012 г.
  64. ^ «Представляем службу каталогов AWS для Microsoft Active Directory (стандартная версия)» . Веб-сервисы Amazon . 24 октября 2017 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: f369e9878dbbad8ffcf1bdc4e928241c__1721729760
URL1:https://arc.ask3.ru/arc/aa/f3/1c/f369e9878dbbad8ffcf1bdc4e928241c.html
Заголовок, (Title) документа по адресу, URL1:
Active Directory - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)