Служба каталогов Active Directory

Служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды.

Основное назначение служб каталогов - управление сетевой безопасностью.

Модели безопасности

1) Рабочая группа - предназначена для использования в небольших одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер в сети с операционными системами Windows NT/2000/XP/2003 имеет свою собственную локальную базу данных учетных записей и с помощью этой локальной БД осуществляется управление доступом к ресурсам данного компьютера.

• SRV-1 и SRV-2 – серверы

• WS-1 и WS-2 – рабочие станции

• SAM-1, SAM2, SAM-3 и SAM-4 – базы данных

• USER-1 и USER-2 - учетные записи пользователей, существующие в каждой из баз SAM

Компьютер SRV-1 ничего «не знает» об учетных записях компьютеров SRV-2, WS-1, WS-2, а так же всех остальных компьютеров сети.

2) Доменная модель безопасности - основана на единой базе данных служб каталогов, доступной всем компьютерам сети. С помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.

• DC-1 и DC-2 – контроллеры домена

• SRV-1 и SRV-2 – серверы, WS-1 – одна из рабочих станций

• SAM-1, SAM2, SAM-3 – базы данных

• USER-1 и USER-2 - учетные записи пользователей, существующие в домене

• Group-1 и Group-2 – группы доменных пользователей

Пользователь регистрируется на компьютере ("входит в систему") со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам.

Служба каталогов Active Directory

• Служба каталогов Active Directory является, без сомнения, одним из главных концептуальных новшеств системы Windows Server (начиная с 2000).

• Все учетные пользовательские записи созданы однократно в доменной базе данных.

• С помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.

Возможности Active Directory

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

• Единая регистрация в сети - пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.

• Безопасность информации - средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети.

• Централизованное управление - администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.

• Администрирование с использованием групповых политик – GPO определяют «правила» работы в системе, привязываются к сайтам, доменам или организационным единицам.

• Гибкость изменений - служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься.

• Интеграция с DNS - единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.

• Расширяемость каталога - администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.

• Масштабируемость - служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т.е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.

• Репликация информации - в службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.

• Гибкость запросов к каталогу – быстрый поиск в сети объектов сети по их свойствам. Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.

• Стандартные интерфейсы - для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.

«Три кита» Active Directory

• Стандарт X.500

В AD частично реализована модель данных, описываемая стандартом

• Служба DNS

Служба, традиционная в сетях TCP/IP

• Протокол LDAP

Благодаря этому протоколу клиенты могут по имени находить в каталоге AD нужные объекты и получать доступ к их атрибутам.

Все термины и концепции так или иначе касаются этих трех "составных частей" службы каталогов (однако не следует считать, что для работы Active Directory необходимы только эти компоненты!).

Концепция Active Directory

Служба каталога является хранилищем информации, которая используется для:

• доступа к информации об объектах (таких как пользователи, компьютеры, домены и т.д.). Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его.

• обеспечения служб аутентификации (проверки подлинности) и безопасности.

Именование объектов

• Отличительное имя – Distinguished Name (DN)

В каталогах на базе протокола LDAP для идентификации объекта в масштабе всего леса используется механизм отличительных имен.

• DC (Domain Component) — указатель на составную часть доменного имени;

• OU (Organizational Unit) — указатель на организационное подразделение (ОП);

• CN (Common Name) — указатель на общее имя.

В Active Directory учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя:

« DC=ru, DC=company, CN=Users, CN=User »

• Относительное отличительное имя – Relative Distinguished Name (RDN)

Для идентификации объекта относительно контейнера, в котором данный объект хранится, существует относительное отличительное имя.

Учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users будет иметь RDN-имя:

«CN=User»

• Основное имя объекта – User Principal Name (UPN)

Кроме имен DN и RDN, используется основное имя объекта. Оно имеет формат <имя субъекта>@<суффикс домена>: User@company.ru

• Глобально уникальный идентификатор - Globally Unique Identifier (GUID, 128-битное число) – для того, чтобы не терять ссылки на объекты при их перемещении в лес

Планирование пространства имен AD

При планировании AD необходимо учитывать следующие моменты:

• тщательный выбор имен доменов верхнего уровня;

• качество коммуникаций в компании (связь между отдельными подразделениями и филиалами);

• организационная структура компании;

• количество пользователей и компьютеров в момент планирования;

• прогноз темпов роста количества пользователей и компьютеров.

Выбор имен доменов верхнего уровня:

• Один домен, одна зона DNS

Внутренняя сеть компании

Глобальная сеть Интернет

здесь company.ru - единая зона DNS для хранения:

• внутреннего домена AD

• ссылок на внешние ресурсы (веб-сайт, почтовый сервер)

Даже если сеть надежно защищена межсетевым экраном и другими средствами защиты, предоставление потенциальным взломщикам информации о структуре внутренней сети — вещь очень рискованная, поэтому данный способ организации пространства имен AD не рекомендуется (хотя на практике встречается довольно часто).

• Одно имя домена, две различные зоны DNS

1) company.ru - зона DNS для хранения внутреннего домена AD

2) company.ru - зона DNS для хранения ссылок на внешние ресурсы

Внутренняя сеть компании

Глобальная сеть Интернет

Зоны никак между собой не связаны — ни механизмами репликации, ни ручной синхронизацией. Данный вариант несложно реализовать, но для сетевого администратора возникает нагрузка управления двумя разными доменами с одним именем.

• Расщепление пространства имен DNS

R – маршрутизатор, прокси-сервер, МСЭ

corp.company.ru - поддомен на внутреннем DNS-сервере. На базе этого поддомена создается домен AD.

company.ru - корневой домен для хранения:

• ссылок на внешние ресурсы

• ссылка на делегирование управления поддоменом на внутренний DNS-сервер

Пользователям Интернета доступен минимум информации о внутренней сети. Такой вариант организации пространства имен довольно часто используется компаниями.

• Два различных домена DNS для внешних ресурсов и для Active Directory

Внутренняя сеть компании

Глобальная сеть Интернет

comp.ru - зарегистрированное доменное имя для развертывания AD

company.ru - зарегистрированное доменное имя для публикации внешних ресурсов

Самый оптимальный сценарий планирования пространства имен:

• имя внешнего домена никак не связано с именем внутреннего домена, и не возникает никаких проблем с возможностью показа в Интернет внутренней структуры

• регистрация (покупка) внутреннего имени гарантирует отсутствие потенциальных конфликтов, вызванных тем, что какая-то другая компания может зарегистрировать в Интернете имя, совпадающее с внутренним именем вашей компании.

Установка Active Directory

Любой сервер, на который вы устанавливаете Active Directory, должен иметь в своих настройках протокола TCP/IP указание на сервер DNS, который необходимо установить и настроить предварительно. Если вы не сделаете это заранее, то инсталляция Active Directory автоматически создаст для вас структуру DNS (интегрированный в AD сервер DNS).

Инструмент, который используется для установки (или удаления) Active Directory на сервер, называется Active Directory Installation Wizard (мастер установки Active Directory) – dcpromo.exe

Несколько важных требований, которые необходимо знать для установки Active Directory:

• Система должна работать под OS Windows 2000 (2003) Server, Advanced Server или Datacenter Server.

• Установка AD (Active Directory) требует как минимум 200 Мбайт дискового пространства для базы данных AD и 50 Мбайт для ведения файла журнала. Они могут размещаться на разделах с файловой системой FAT, FAT32 или NTFS.

• На сервере должен быть как минимум один раздел с файловой системой NTFS для хранения папки SYSVOL.

• Требуется, чтобы был установлен и настроен протокол TCP/IP.

• Требуются соответствующие административные права.

Мастер установки AD может использоваться для различных целей:

• создание нового леса (нового корневого домена)

• добавления контроллера домена к существующему домену

• создание нового дерева и создание нового дочернего домена (поддомена)

В ходе выполнения мастера очень важно правильно отвечать на предлагаемые вопросы, особенно когда создается новый корневой домен или лес, так как в последствии вы не сможете выполнить некоторых действий (переименовать лес, например).

Логическая структура Active Directory

Домен – логическая группа пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации.

Деревья – в AD набор документов может создаваться в порядке, напоминающем структуру дерева. В этом случае «дочерний» домен наследует свое имя от «родительского» домена. OU может содержать только объекты из того домена, в котором они расположены.

Леса – термин, применяемый для описания совокупности AD деревьев.

OU – организационная единица, которая является контейнером, помогающем группировать объекты для целей делегирования административных прав или применения групповых политик в домене.

Глобальный каталог – перечень всех объектов, которые существуют в лесу Active Directory.

Для того чтобы подразделения имели свои собственные отдельные пространства имен, нужно объединить деревья и сформировать лес.

В данной конфигурации домены подпадают под взаимоотношение дети-родители, при котором дочерний домен получает имя от родительского.

Физическая структура Active Directory

Сайт – это совокупность подсетей TCP/IP, между которыми существует высокоскоростное соединение. Хотя «высокоскоростное» - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN – соединениям. Вы определяете сайт в Active Directory для контроля репликации, аутентификации и местоположения служб.

Контроллеры доменов - храниться база данных Active Directory. Не может быть домена по крайней мере без одного контроллера домена. В Windows 2003 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2003 Server – повышение роли сервера.

С труктура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут находится несколько доменов.