Usługa Active Directory

Wprowadzenie Informacja o zasobach sieci, sposobach i możliwościach ich wykorzystania Całkowicie zintegrowana z W2k Server Oferuje hierarchiczny widok zasobów sieci, rozszerzalność, skalowalność oraz rozproszony system zabezpieczeń Integruje pochodzącą z Internetu koncepcję przestrzeni nazw z usługą katalogową systemu operacyjnego Korzysta z LDAP jako protokołu dostępowego i wspiera model informacji protokołu X.500

Schemat rozszerzalny Schemat usługi AD zawiera formalną definicję zawartości i struktury AD Domyślny schemat jest tworzony na pierwszym kontrolerze domeny Schemat jest rozszerzalny, co oznacza możliwość definiowania nowych typów obiektów i nowe atrybuty wszystkich typów obiektów

Katalog globalny (Global Catalog) Centralny „magazyn” informacji o obiektach w drzewie domen lub lesie domen Po zainstalowaniu usługi AD na pierwszym kontrolerze domeny staje się on domyślnie serwerem katalogu globalnego Serwer katalogu globalnego jest kontrolerem domeny Dodatkowe kontrolery domeny mogą być wyznaczone jako serwery katalogu globalnego (zwiększa ruch replikacyjny)

Obszar nazw Każda ograniczona przestrzeń, w której można dokonać tłumaczenia nazwy na obiekt lub informację, którą nazwa ta reprezentuje Oparty na schemacie nazewniczym DNS Ciągły jeśli nazwa obiektu podrzędnego zawsze zawiera nazwę podrzędnej domeny Nieciągły gdy nazwy obiektów podrzędnego i nadrzędnego nie są bezpośrednio powiązane

Diagram obszaru nazw

Schemat nazewniczy DNS

Nazwa wyróżniająca (DN) Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki: DC – Domain Component (Microsoft, com) CN – Common Name (Users, Jan) OU – Organisation Unit O – Organisation (Internet) Internet.com.Microsoft.Users.Jan

Względna nazwa wyróżniająca (RDN) Część pełnej nazwy wyróżniającej wykorzystywana do odnajdowania obiektów przez odpytywania (nazwa wyróżniająca nie jest dokładnie znana) Zazwyczaj jest to CN obiektu nadrzędnego W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN

Unikalny identyfikator globalny Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier) GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID) Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt)

Nazwa główna użytkownika User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” (kowalski@microsoft.com) UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usuniętu bez wpływu na sposób logowania

Architektura usługi AD Model danych bazuje na modelu X.500 Schemat jest zaimplementowany jako zbiór wystąpień klas obiektów składowanych w katalogu Model zabezpieczeń bazuje na strukturze Trusted Computing Base (TCB) z listami kontroli dostępu Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania DSA proces zarządzający fizycznym składowaniem katalogu – izoluje klientów od fizycznego formatu składowanych danych

Dostęp do usługi AD Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji: LDAP MAPI-RPC (Messaging Application Program Interface – Remote Procedure Call) X.500 Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)

Model warstwowy usługi AD (1)

Składniki usług AD Directory System Agent (DSA) – tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla API. Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil)

Interfejsy LDAP – umożliwia dostęp do usługi AD aplikacjom systemowym ja również tworzenie własnych aplikacji REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjana i międzylokacyjna) SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT) MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC

Directory System Agent (DSA) Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia: Identyfikację obiektu Przetwarzanie transakcji Wymuszanie uaktualniania schematu Wymuszanie kontroli dostępu Wspiera replikacje Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki)

Warstwa bazy danych Zasłania przed użytkownikiem budowę wewnętrzną katalogu dostarczając strukturę hierarchiczną Tłumaczy każdą nazwę wyróżnioną (DN) na liczbę całkowitą (znacznik DN) będącą indeksem w bazie Jest odpowiedzialna za tworzenie, usuwanie i odzyskiwanie poszczególnych rekordów, atrybutów wewnątrz rekordów i ich wartości w bazie danych AD (korzysta ze struktur danych DSA – bufora schematów)

Motor ESE Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.dit w folderze %systemroot%\system32) Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów) Przystosowany do obsługi rzadkich wierszy macierzy Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu) Umożliwia przechowywanie atrybutów o wielu wartościach

Obszary nazw Obszar nazw jest najwyższego poziomu nazwą domeny usługi AD dla instytucji składającej się z domen Windows2000, kontrolerów domen, jednostek organizacyjnych, relacji zaufania i drzew domen Istotna zależność między obszarem nazw DNS a Active Directory Wewnętrzny obszar nazw – struktura wewnętrzna usługi Zewnętrzny obszar nazw – widoczny z zewnątrz, zazwyczaj udostępniany przez urządzenia aktywne sieci

Obszary nazw takie same Klienci wewnętrznej, prywatnej sieci firmowej muszą mieć dostęp do serwerów wewnętrznego i zewnętrznego Klienci zewnętrzni muszą mieć dostęp do zasobów i rozwiązywania nazw z zewnątrz Konieczność istnienia dwóch odrębnych stref DNS odpowiednio dla rozwiązywania nazw zewnętrznych i wewnętrznych Zalety: Identyczna nazwa drzewa Umożliwia użytkownikom korzystanie z sieci zewnętrznej i wewnętrznej z wykorzystaniem tej samej nazwy (logowanie, e-mail)

Obszary nazw takie same (2) Wady Skomplikowana konfiguracja (klienci proxy muszą rozróżniać zasoby wewnętrzne i zewnętrzne) Ograniczenia w publikowaniu zasobów wewnętrznych w Internecie Niektóre prace administratorskie ulegają podwojeniu (np. DNS) Pomimo identycznych nazw użytkownicy będą w różny sposób widzieli zasoby wewnętrzne i zewnętrzne

Rozdzielone obszary nazw Domena jest widziana pod różnymi nazwami z zewnątrz i wewnątrz Konieczność rejestracji obu nazw w zewnętrznym DNS co zapobiega wykorzystaniu wewnętrznego obszaru nazw przez publiczną sieć Zalety: Łatwość odróżnienia zasobów wewnętrznych i zewnętrznych Łatwa konfiguracja klientów proxy

Rozdzielone obszary nazw (2) Wady: Nazwy logowania są inne niż adresy poczty elektronicznej W Internetowym DNS należy zarejestrować kilka nazw

Architektura obszaru nazw Ograniczenie ruchu replikacyjnego Możliwość łatwej rekonfiguracji struktury Skalowalność Rozróżnianie zasobów wewnętrznych i zewnętrznych przy jednoczesnej ochronie danych Powinna reprezentować strukturę organizacyjną przedsiębiorstwa Zalecane trzy warstwy domen Domena katalogu głównego Domena pierwszej warstwy Domena drugiej warstwy

Domena katalogu głównego Pierwsza domena w obszarze nazw odwzorowująca obszar nazw firmy Wszystkie wewnętrzne domeny są częścią tej domeny tworząc przylegający, połączony w formie drzewa domen obszar nazw Serwery zawierające katalog główny nie są widoczne w Internecie

Domeny pierwszej warstwy Ich zadanie to stworzenie nazw domen „odpornych” na reorganizację firmy Mogą odpowiadać np. położeniu geograficznemu oddziałów Relacje zaufania pomiędzy domeną katalogu głównego a domenami pierwszej warstwy pozwalają aby zasoby były dostępne dla wszystkich odgałęzień drzewa domen Nazwy domen tej warstwy powinny mieć co najmniej 3 znaki długości (standard ISO 3166)

Domeny drugiej warstwy Całkowicie konfigurowalne stanowią podstawową jednostkę zarządzania Domeny podrzędne mogą być tworzone poniżej warstwy drugiej Przykład (ISO 3166): microsoft.com noamer.microsoft.com usa.noamer.microsoft.com ny.usa.noamer.microsoft.com

Planowanie jednostek organizacyjnych Tworzone w celu delegowania administrowania powinny odzwierciedlać szczegółową strukturę organizacyjną Przejrzysta struktura jednostek organizacyjnych zapewnia łatwą administrację Zastosowanie zasad zabezpieczeń Możliwość ograniczenia publikowania zasobów w sieci zewnętrznej Niezmienność struktury jednostek Zbliżona liczność jednostek organizacyjnych w domenie

Hierarchia jednostek organizacyjnych Oparte na administracji lub obiektach (użytkownicy, grupy, zasady zabezpieczeń) Oparte na podziale geograficznym (struktura bez tendencji do zmian) Oparte na funkcjach działalności (np. rekrutacja, obsługa studenta itd. – stałe) Oparte na oddziałach (w oparciu o relacje między oddziałami - zmienne) Oparte na projektach (np. projekty badawcze, struktura nietrwała)

Planowanie lokacji Projekt fizyczny sieci opartej na Windows2000 Server obsługującej Active Directory Lokacja nie jest częścią obszaru nazw - użytkownicy i komputery zgrupowani są w domeny i jednostki organizacyjne Lokacja to zespolenie jednej lub więcej podsieci połączonych szybkimi łączami Rozłożenie lokacji wpływa na: Logowanie do stacji roboczych (klienci AD odszukują kontroler domeny w lokacji w której znajduje się użytkownik dla jego obsługi) Replikacje (międzylokacyjne powinny zachodzić rzadziej)

Łączenie podsieci w lokacje Konieczność zapewnienia szybkiego (co najmniej 512 Kbps) i niezawodnego połączenia Planowanie replikacji na godziny nie kolidujące ze zwykłym ruchem W usłudze AD struktura domeny i struktura lokacji utrzymywane są oddzielnie Pojedyncza domena może rozciągać się na wiele lokacji, a pojedyncza lokacja może zawierać wiele domen lub części wielu domen

Przykłady lokacji

Optymalizacje Logowania – określone stacje robocze i kontrolery powinny znajdować się w tej samej lokacji 1-5 stacji roboczych – nie tworzymy lokacji Stacji roboczych > 5 – tworzymy lokacje z lokalnym kontrolerem domeny. Replikacja może przebiegać wolnymi łączami poza godzinami szczytu

Wdrażanie usługi AD Kreator instalacji usługi AD (Start->Narzędzia administracyjne->Usługa Active Directory->Konfigurowanie serwera) Menu Start->uruchom->dcpromo.exe Dodawanie kontrolera domeny do istniejącej domeny Tworzenie pierwszego kontrolera domeny dla nowej domeny Tworzenie nowej domeny podrzędnej Tworzenie nowego drzewa domen

Typy kontrolerów domen

Kontrolery domen w praktyce Dodawanie do istniejącej domeny – utworzenie równoprawnego kontrolera domeny (nadmiarowość oraz redukcja obciążenia istniejących kontrolerów) Tworzenie pierwszego – utworzenie nowej domeny i pierwszego jej kontrolera (podział informacji dla skalowania usługi AD) Domena podrzędna jest dodawana do istniejącej domeny (stanowi jej część) Nowa domena nie będzie częścią istniejącej. Możliwe utworzenie nowego lasu lub części istniejącego

Baza danych usługi AD Domyślna lokalizacja: %systemroot%\Ntds. Podczas instalacji możliwa zmiana lokalizacji Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach – lepsza wydajność W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10) Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa

Udostępniony wolumen systemowy Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad grup Domyślna lokalizacja: %systemroot%\Sysvol Udostępniony wolumen systemowy musi znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0 Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD

Tryb domeny mieszany Kontroler pracuje w trybie mieszanym po pierwszej instalacji lub aktualizacji do systemu W2k Pozwala on na prace z kontrolerami domeny pracującymi pod kontrolą Windows NT 3.5 i 4.0 Konieczny do uwierzytelniania klientów korzystających z NTLM oraz do rozwiązywania nazw przez WINS

Tryb domeny macierzysty Wykorzystywany gdy wszystkie kontrolery domeny pracują pod kontrolą W2k Server W trakcie konwersji trybu: Ustaje wsparcie dla replikacji niższego poziomu (brak NTLM) Nie można dodawać kontrolerów niższego poziomu do domeny Podstawowy kontroler domeny przestaje być kontrolerem nadrzędnym; wszystkie kontrolery domeny stają się równoprawne

Administrowanie usługą AD Obiekty usługi AD reprezentują zasoby sieciowe. Obiekt jest zbiorem atrybutów. Dodawanie nowych zasobów powoduje utworzenie nowych obiektów. Przed dodaniem nowych obiektów należy utworzyć jednostki organizacyjne, w skład których będą wchodziły te obiekty Jednostki administracyjne można tworzyć w domenie, w obiekcie kontroler domeny lub wewnątrz innej jednostki organizacyjnej Utworzenie nowej jednostki wymaga posiadania odpowiednich uprawnień (grupa Administratorzy) Nie można tworzyć jednostek administracyjnych w większości kontenerów domyślnych jak np. Użytkownicy czy Komputery

Jednostki organizacyjne Tworzone w celu delegowania kontroli administracyjnej do innych użytkowników lub administratorów Dla grupowania obiektów wymagających podobnych zajęć administracyjnych (np. konta użytkowników pracowników sezonowych) Ograniczają widzialność zasobów sieciowych w magazynie usługi Active Directory (użytkownicy mogą widzieć jedynie te zasoby do których mają dostęp). Jednostki organizacyjne tworzy się w przystawce Użytkownicy i komputery usługi Active Directory

Obiekty jednostek organizacyjnych Dodanie wymaga posiadania uprawnień (domyślnie członkowie grupy Administratorzy) Obiekty możliwe do dodania określają zasoby schematu Atrybuty obiektu w schemacie są kategoriami informacji definiującymi charakterystyki wszystkich możliwych wystąpień definiowanego typu obiektu Wartości atrybutów dowolnego wystąpienia obiektu czynią go unikalnym Obiekty tworzone są w przystawce Użytkownicy i komputery usługi Active Directory

Obiekty usługi Active Directory (1) Komputer – obiekt reprezentuje komputer i zawiera informacje o komputerze z domeny Kontakt – obiekt bez uprawnień zabezpieczeń i brakiem możliwości logowania. Reprezentuje zewnętrznych użytkowników na potrzeby poczty elektronicznej Grupa – może zawierać użytkowników, komputery i inne grupy. Ułatwia zarządzanie dużą liczbą obiektów

Obiekty usługi Active Directory (2) Drukarka – drukarka sieciowa opublikowana w katalogu. Jeśli komputer do którego jest podłączona nie znajduje się w AD drukarka musi zostać opublikowana oddzielnie Użytkownik – główne zabezpieczenie katalogu. Informacje zawarte w obiekcie pozwalają na logowanie się Udostępniony folder – obiekt jest wskaźnikiem do udostępnionego folderu (zawiera jego adres a nie dane). Udostępnione foldery znajdują się w rejestrze komputera, zaś a AD utworzony jest obiekt zawierający wskaźnik do udostępnionego folderu.

Zarządzanie obiektami usługi Active Directory Ustalanie położenia obiektów Modyfikowanie Usuwanie Przenoszenie Dla modyfikacji, usuwania i przenoszenia należy posiadać wymagane uprawnienia do obiektu oraz jednostki organizacyjnej do której będzie przenoszony dany obiekt

Ustalanie położenia obiektów Znajdowanie obiektów w domenie drzewa lub lasu Z wykorzystaniem przystawki Użytkownicy i komputery Active Directory z folderu Narzędzia administracyjne Odszukiwanie według Listy atrybutów (warunek) Zawartości listy atrybutów (pole) Wartość (pola atrybutu) Kryteria wyszukiwania (lista kryteriów wyszukiwania)

Przystawka

Modyfikowanie wartości atrybutów i usuwanie obiektów Użytkownicy i komputery usługi AD – znajdujemy obiekt , z menu Akcja -> Właściwości i dokonujemy modyfikacji właściwości obiektów Usuwamy obiekty, które nie są efektywnie wykorzystywane, po zaznaczeniu obiektu z menu Akcja wybieramy Usuń

Przenoszenie obiektów Przenoszenie obiektów jest możliwe pomiędzy lokalizacjami w magazynie AD oraz jednostkami organizacyjnymi Wykonywane w przypadku reorganizacji Użytkownicy i komputery usługi AD – zaznaczamy obiekt, z menu Akcja opcję Przenieś i wskazujemy nową lokalizację