Az Active Directory, röviden AD a Microsoft egyes hálózati szolgáltatásainak gyűjtőneve, ezek:
X.500-alapú, LDAPv3 protokollal lekérdezhető, elsősorban Microsoft Windows-környezetben használatos címtárszolgáltatás;
Kerberos protokoll-alapú autentikáció;
DNS-alapú névszolgáltatás és egyéb hálózati információk.
Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások nyújtása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával a decentralizált felügyeletét. Számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév/jelszó páros megadásával biztosít hozzáférést (Single Sign On, SSO). Lehetőséget nyújt a rendszergazdák számára házirendek kiosztására, szoftverek és szoftverfrissítések telepítésére a szervezeten belül. Az Active Directory az információkat és beállításokat egy központi adatbázisban tárolja, a tartományvezérlő számítógépe(ke)n. Ennek az adatbázisnak a mérete egy kisvállalat néhány száz objektumától egy több ezer szervert üzemeltető nemzetközi vállalat sok millió objektumáig terjedhet. Az Active Directory szükséges néhány Windows-összetevő, mint például az Exchange, az RRAS, az ISA Server vagy a Certificate Services működéséhez.
Egy Active Directory-címtár legmagasabb szintje az erdő (forest), ami egy vagy több bizalmi kapcsolatokkal (trust) összekötött tartományt (domain) magába foglaló egy vagy több fa (tree) összessége. A tartományokat DNS-beli névterük azonosítja. A címtár objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja, ami három partícióra bomlik, ezek: az objektumok tulajdonságait leíró sémapartíció (schema partition), az erdő szerkezetét (tartományokat, fákat, helyeket) leíró konfigurációs partíció (configuration partition) és a tartomány objektumait tartalmazó tartományi partíció (domain partition). Ezeken kívül létezhetnek alkalmazáspartíciók (application partition) is.
Az Active Directory előzetes változatai 1999-ben jelentek meg, a végleges változat a Windows 2000 szerverváltozatával látott napvilágot. A Windows Server 2003-ban átdolgozott verzió jelent meg kiterjesztett szolgáltatáskészlettel és javított adminisztrációs lehetőségekkel. További előrelépések történtek a Windows Server 2003 R2 és a Windows Server 2008-as változatokban, ahol az Active Directory Domain Services nevet kapta.
Az Active Directoryt korábbi Microsoft dokumentumokban NTDS-nek (NT Directory Service) nevezték, egyes AD-segédprogramokban (például ntdsutil) még fellelhető ez az elnevezés.
Gyakori tévedés, hogy az Active Directory szoftverterjesztésre használható. Ez nem pontos, a szoftverterjesztést egy másik szolgáltatás nyújtja, ami az LDAP gyártóspecifikus séma-attribútumait használja fel. Tehát az AD nem automatizAz Active Directory objektumokból épül fel. Ezek három fő kategória egyikébe tartoznak: erőforrások (például nyomtatók), szolgáltatások (például e-mail) és felhasználók (felhasználói fiókok, csoportok). Az AD információkat tárol ezekről az objektumokról, rendszerezi őket, szabályozza a hozzáférést és biztonsági beállításokat tárol; ezzel egyben központosítva a hálózatot.
Minden objektum egyetlen entitást reprezentál – legyen az felhasználó, számítógép, nyomtató vagy egy csoport – attribútumaival együtt. Bizonyos objektumok más objektumokat tartalmazó konténerként is működhetnek. Egy objektumot egyértelműen azonosít megkülönböztetett neve (dn, distinguished name), ami tulajdonképpen az objektum neve és a fában elfoglalt helye együttesen. Például a Fabrikam.com tartomány felhasználóit tartalmazó szervezeti egység megkülönböztetett neve: "CN=Users, DC=Fabrikam, DC=com". Egy objektum megkülönböztetett neve változhat az objektum áthelyezésével, átnevezésével. Egy másik egyértelmű azonosító, ami viszont az objektum teljes élettartama alatt változatlan marad, az objectGUID attribútuma. Ez egy 128 bites, erdő-szinten garantáltan egyedi azonosító. Azt, hogy milyen típusú objektumok lehetnek az AD-ben, és ezek az objektumok hogyan viselkedhetnek, milyen információkat (attribútumokat vagy tulajdonságokat) tartalmazhatnak, a séma határozza meg.
Az AD-ban lévő sémaobjektumok határozzák meg az AD objektumainak tulajdonságait. Fontos szerepük miatt – az AD struktúráját alkotják – megváltoztatásuk vagy törlésük komoly következményekkel járhat, ezért csak szigorúan meghatározott szabályok alapján lehet változtatni rajtuk. Egy sémaobjektum megváltoztatása automatikusan továbbterjed az egész Active Directoryban, a létrehozott objektumot csak deaktiválni lehet – törölni nem. A séma megváltoztatása (tipikusan: bővítése) ezek miatt általában komoly tervezést igényel.[1]
A Windows Server 2008-ban már lehetőség volt egyes objektumokat védeni a véletlen törlés ellen. A Windows Server 2008 R2-ben bevezetett újdonság az Active Directory Lomtár, ami képes megőrizni az objektumok összes csatolt és nem csatolt értékű attribútumát, és az objektumokat ugyanabba a konzisztens logikai állapotba visszaállítani, mint amelyben a törlés előtt voltak (pl. csoporttagság, kapcsolódó hozzáférési jogok visszaállítása). A korábban hozzáférhető eszközökkel a logikailag törölt AD-objektumok nem voltak teljes értékűen visszaállíthatók. Az AD Lomtár csak Windows Server 2008 R2 erdő működési szinten hozzáférhető, de alapértelmezés szerint ott sincs engedélyezve.Az Active Directory támogatja a helyek (Site) létrehozását, ami nem logikai, hanem fizikai, méghozzá IP subnet (alhálózat) szerinti felosztást takar.[2] A helyek egymás között jó hálózati kapcsolattal rendelkező alhálózatok halmazaiként határozhatók meg. A helyek segítségével el lehet különíteni az alacsony (például WAN vagy VPN) és a magas sávszélességű kapcsolattal összekötött (LAN) helyszíneket. A helyek kialakítása független a tartományi és a szervezeti egység szerinti hierarchiától, és erdő-szinten egységes. A helyek szerepe a replikáció hálózati forgalmának szabályozásában van, továbbá abban, hogy a felhasználók a hozzájuk lehető legközelebb eső tartományvezérlőhöz csatlakozzanak, illetve más szolgáltatások esetén is a lokális példányt használják. A helyek összeköthetők (linkelhetők), a linkekhez költség rendelhető, ami a hálózati kapcsolat sebességét, megbízhatóságát vagy más fizikai jellemzőjét reprezentálja. Más szolgáltatások is „helytudatosak”, ilyenek a DFS-erőforrások, illetve a Microsoft Exchange 2007+ a levelek útválasztására is felhasználja a helytopológiát. A csoportházirendek szintén alkalmazhatók a helyek szintjén.Az Active Directory objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja (a Windows NT tartományban a „címtár” jellegű adatok még a registryben kaptak helyet), ebben egy többszintű keretrendszer foglal helyet. A struktúra legmagasabb szintjén foglal helyet az erdő (forest) – az AD minden objektumának, azok attribútumainak és szabályainak (az attribútumok szintaxisa) gyűjteménye. Az azonos erdőben található tartományvezérlőkről elmondható, hogy közös sémán és konfigurációs partíción osztoznak, és a globális katalógusokról azonos információkat érnek el. Az erdőt egy vagy több, kétirányú és tranzitív[3] bizalmi kapcsolat (trust) által összekötött fa (tree) alkotja. Egy-egy fában egy vagy több, konfigurációs és sémapartíciójukban megegyező tartomány (domain) lehet, amik egy tartományhierarchiát alkothatnak, melyben a szülő- és a gyermektartományok között automatikusan létrejövő, tranzitív kétirányú bizalmi kapcsolat van. Az azonos szintű tartományok között explicit bizalmi kapcsolatokat lehet létrehozni, ha szükséges. A tartományokat DNS-beli névterük azonosítja, és ez a tartományi hierarchiát is tükrözi (például a child.parent.root.com tartomány szülője a parent.root.com).
A tartományban lévő objektumok szervezeti egységekbe (Organizational Unit, OU) rendezhetők. Az OU-k adnak a tartománynak az adminisztrációt megkönnyítő hierarchiát, segítségükkel az Active Directory struktúrájára leképezhető a vállalat szervezeti felépítése vagy földrajzi elhelyezkedése. Egy OU tartalmazhat egy vagy több más OU-t is (ilyen értelemben a tartomány is tekinthető OU-nak), a többszörös egymásba ágyazás is megengedett. A Microsoft azt javasolja, hogy az Active Directoryt minél kevesebb tartományra bontsuk szét, és inkább szervezeti egységek létrehozásával tagoljuk a címtárat. A csoportházirendek (amik szintén AD objektumok, csoportházirend-objektum – Group Policy Object, röviden GPO néven) általában az OU szintjén fejtik ki hatásukat, bár tartomány és hely (site) szinten is alkalmazhatók. Többnyire az OU szintjén szokás a rendszergazdai jogosultságokat delegálni, bár a delegáció akár egyedi objektumok, sőt attribútumok szintjén is beállítható.
A vállalat informatikai infrastruktúrájának felosztása tartományok és szervezeti egységek hierarchiájára kulcsfontosságú tervezési lépés. A gyakori felosztási modellek közé tartozik az üzleti egységeket, a földrajzi elhelyezkedést, az informatikai szolgáltatási igényeket vagy az objektumtípusokat követő felosztás. Ezeket a modelleket gyakran együttesen alkalmazzák. A szervezeti egységek kialakításakor elsősorban a rendszergazdai jogok delegációját és a csoportházirendek alkalmazását érdemes szem előtt tartani. Bár a szervezeti egységek és a tartományok adminisztratív határvonalat képeznek, az egyetlen valódi biztonsági határt maga az erdő alkotja: az AD kialakítása szükségessé teszi, hogy minden tartományi rendszergazda megbízható legyen az egész vállalat (erdő) szintjén is.
Fizikailag az Active Directory adatai egy vagy több egyenrangú tartományvezérlőn (domain controller, DC) tárolódnak, szemben a Windows NT PDC/BDC (Primary/Backup DC) modelljével. Minden tartományvezérlőn megtalálható az Active Directory egy kópiája; általában valamelyik DC kópiájának változásai multi-master (több főkiszolgálós) replikációval szinkronizálódnak a többi DC-re (szemben például a sémaváltozások single-master replikációjával). Ez azt jelenti, hogy nincsen alá-fölérendeltségi viszony a replikációs partnerek között, hanem egy változtatásból eredő replikációs folyamatot – amely végighalad az adott tartomány tartományvezérlőin – bármelyik tartományvezérlő kezdeményezhet. Ütközés esetén a későbbi (pontosabban: magasabb frissítési sorszámmal, azaz Update Sequence Numberrel, USN-nel rendelkező) változás az erősebb. Ezt a helyzetet bonyolítja, hogy a Windows Server 2008-ban bevezetésre került az írásvédett tartományvezérlő (Read-Only Domain Controller, RODC) fogalma, melynél a replikáció csak „lefelé”, a központban található, írható tartományvezérlőtől a telephelyi RODC kiszolgáló felé történik. A tartomány részeként működő, de nem tartományvezérlő kiszolgálókat tartományi szervernek vagy tagkiszolgálónak (Member Server) nevezik.
Az Active Directory adatbázisa, a Directory Information Tree (címtárinformációs fa, DIT) az alábbi három tárterületre vagy partícióra bomlik (ezek a microsoftos terminológiában elnevezési környezet vagy névkörnyezet – Naming Context névre is hallgatnak):
Sémapartíció (schema partition): az egész erdő számára meghatározza az objektumosztályokat: az objektumok létrehozásának és módosításának a szabályait, az objektumok lehetséges tulajdonságait (attribútumait). Az erdő minden tartományvezérlőjére replikálódik, ezért ún. vállalati partíció (enterprise partition). Helye: cn=configuration,dc=forestRootDomain.[4]
Konfigurációs partíció (configuration partition): az egész erdő fizikai szerkezetét (például topológiáját) és beállításait határozza meg, beleértve a fákat, tartományokat, tartományi bizalmi kapcsolatokat és helyeket (sites, TCP/IP alhálózatok). Az erdő minden tartományvezérlőjére replikálódik, ezért ez is ún. vállalati partíció (enterprise partition). Helye: cn=schema,cn=configuration,dc=forestRootDomain.[4]
Tartományi partíció (domain partition): minden információt tárol az adott tartomány objektumairól (beleértve a szervezeti egységeket, csoportokat, felhasználókat stb.). Kizárólag az adott tartomány tartományvezérlőire replikálódik (illetve az erdő globális katalógusi – Global Catalog, GC – szerepkörű tartományvezérlőire is, részlegesen).
Részleges tartományi partíció – minden tartományi objektumot tartalmaz, de az objektumok tulajdonságainak csak részleges listájával.
Az alkalmazáspartíciók application partition közé (legalább Windows 2003-as működési szint esetén) tartozhatnak a tartomány vagy erdő szintű, AD-integrált DNS-zónák (ForestDnsZones, DomainDnsZones) is.[5]
Az Active Directory adatbázisa (a directory store) a Windows 2000-ben a Jet Blue-alapú Extensible Storage Engine-t (ESE98) használja adatbázismotornak, 16 terabájtos és 1 milliárd objektumos korláttal tartományvezérlőnként. Hoztak már létre kísérletképpen NTDS adatbázisokat 2 milliárdnál is több objektummal[6] – ehhez képest az NT4 Security Account Managere – biztonsági fiókkezelő adatbázisa – legfeljebb 40 000 objektumot volt képes kezelni. Az NTDS.DIT fájlnevű adatbázisnak két fő táblája van: az adattábla (data table), ami az objektumokat tárolja (a sorok reprezentálnak egy-egy objektumpéldányt, például egy felhasználót, az oszlopok pedig a hozzá tartozó attribútumokat) és a jóval kisebb hivatkozástábla (link table), ami a más objektumokra hivatkozó attribútumokat tárolja (például a csoporttagsági – MemberOf – attribútum). Ezeken kívül létezik az objektumokat leíró sématábla (schema table), ez kisebb méretű és lényegében statikus. A Windows 2003-ban az adatbázis Single Instance Store-t használ a jobb helykihasználás érdekében.A replikációs kapcsolatok az Active Directory tartományvezérlői között partíció szinten állnak fenn, tehát minden partíciónak külön összeköttetései vannak. Az erdő szintű partíciók (séma, konfiguráció, esetleg alkalmazáspartíciók) kapcsolati objektumai az erdő bármely két tartományvezérlőjét összeköthetik, a tartományi partíció kapcsolati objektumai csak tartományon belüli összeköttetéseket hoznak létre.
A Windows korábbi verzióival ellentétben, amik a NetBIOS protokoll segítségével kommunikáltak, az Active Directory teljes mértékben DNS- és TCP/IP-integrált – valójában a jól működő DNS elengedhetetlen az AD működéséhez. Ha nem a Windowsba épített DNS szolgáltatást használjuk, olyan DNS szerverre van szükség, ami támogatja a 2782-es RFC-ben definiált SRV erőforrásrekordokat (SRV resource record).
Az AD-beli replikáció pull („lekéréses”), nem pedig push („leküldéses”) típusú. A konzisztencia-ellenőrző szolgáltatás (KCC = Knowledge Consistency Checker) létrehoz egy site linkekből (helyek közötti hivatkozásokból) álló replikációs topológiát, a definiált helyeket használva a forgalom szabályzására. A site-on belüli (intrasite) replikáció gyakran és automatikusan megtörténik: minden változási értesítés egy lekéréses replikációs ciklust indít meg. Ez tömörítetlen adatforgalmat jelent, ami szinkron RPC kapcsolaton keresztül továbbítódik. A site-ok közötti (intersite) replikáció ritkábban, megadott időközönként történik és nem használja a változási értesítéseket, ám ez konfigurálható akár a site-on belüli replikációval megegyezőre is. Tömörített adatforgalom, amely RPC vagy aszinkron SMTP kapcsolaton keresztül történik. Az ISTG (Intersite Topology Generator) szolgáltatás alakítja ki az általában nem redundáns replikációs útvonalat. Különböző „költségeket” lehet az egyes helyek közötti hivatkozásokhoz rendelni (például a DSL vonallal összekötött telephelyeken a replikáció „olcsóbb” lehet, mint ISDN vonal használatakor), és a site linkek topológiáját a KCC ehhez igazodva változtatja meg. A tartományvezérlők közötti replikáció történhet tranzitív módon, több site linken keresztül (az azonos protokollt használó site link bridge-eken), ha az azokhoz rendelt költség alacsony, bár a KCC automatikusan alacsonyabb költséget rendel a közvetlen site-site kapcsolódásokhoz mint a tranzitívekhez. Két site közötti replikáció beállítható úgy is, hogy egy-egy bridgehead server („hídfőállás-kiszolgáló”) között történjen, amik aztán site-on belüli replikációval adják át a változásokat a site-on belül.
A KCC a site-on belüli topológia előállítása során arra törekszik, hogy a változások replikációja legfeljebb három ugráson (hop) keresztül eljusson a site-on belül minden tartományvezérlőhöz. Ehhez a Simplified Ring Topology Generation metódust követi. A legegyszerűbb, egy tartományos esetet nézve: létrehoz egy (kétirányú) gyűrűt a tartományvezérlőkből – ha hét vagy kevesebb tartományvezérlőt tartalmaz a site, ezzel elő is állt a kívánt topológia. Ha a szerverek számra a hetet meghaladja, a gyűrűt kialakító kapcsolatokon kívül a KCC véletlenszerű módon további, optimalizáló kapcsolatokat hoz létre, időnként pedig a régiek közül egyet-egyet kitöröl. Az optimalizáló kapcsolatok valamennyi replikálandó partíció között kiépülnek.[7] Az automatikusan létrehozott replikációs topológia kézzel változtatható, fel lehet venni újabb replikációs linkeket.
A több tartománnyal bíró erdőkben az Active Directory adatbázisa részekre bontva van jelen: az egyes tartományok tartományvezérlői csak azokról az objektumokról vezetnek listákat, amik abba a tartományba tartoznak. Tehát például az „A” tartományban felvett felhasználóról nem tudnak a „B” tartomány tartományvezérlői. A globális katalóguskiszolgálók (GC servers) feladata, hogy az erdő minden objektumát számon tartsák. A globális katalógust az erre a katalóguskiszolgálói szerepkörre bekonfigurált tartományvezérlők vezetik. A globális katalóguskiszolgálók minden tartomány minden objektumát replikálják, így az egész erdő objektumainak listáját tartalmazzák. A replikációs forgalom, valamint a GC adatbázisméretének csökkentése érdekében azonban csak az objektumok néhány kiválasztott attribútuma kerül replikálásra (többnyire azok, amik alapján valószínűleg kereshetik az objektumot). Ezt részleges tulajdonsághalmaznak (partial attribute set – PAS) nevezik. A PAS-ben szereplő attribútumok finomhangolhatók, a sémát kell hozzá módosítani és beállítani az érintett attribútumoknál a GC-kre való replikációt.
Az AD replikációja távoli eljáráshívásokat (Remote Procedure Call, RPC) használ. Különböző helyek között SMTP protokoll is választható a replikációra, de csak konfigurációs vagy sémaváltozás replikálására (tanúsítványkiadó – CA – szerverre is szükség van ehhez az üzemmódhoz). Mivel az SMTP nem alkalmas a tartományi partíció replikációjára, ha egy tartomány egy WAN kapcsolat mindkét oldalán jelen van, a replikációhoz akkor is RPC-re lesz szükség.
Az alkalmazáspartíció replikációja az erdőn belül bármely tartomány vezérlői között megtörténhet, széles körben testre szabhatóEszközök az Active Directory konfigurálásához[szerkesztés]
Active Directory – felhasználók és számítógépek (ADUC – Active Directory Users and Computers). A leggyakrabban használt MMC-konzol, ezzel kezelhetők a címtár objektumai, létrehozhatók a felhasználói és számítógépfiókok, csoportok, szervezeti egységek, megosztott mappák és nyomtatók, illetve beállíthatók ezek tulajdonságai. Használható a tartományi szintű egyedi főkiszolgálói műveleteket (FSMO) végző tartományvezérlők megadására (RID Master, PDC Emulator, Infrastructure Master), a felügyeleti jogok delegálására és a tartomány működési szintjének emelésére is.
Active Directory – helyek és szolgáltatások (Active Directory Sites and Services). Ez az MMC-konzol a tartományok közötti bizalmi kapcsolatok kezelésére szolgál. Szintén alkalmas a Domain Naming Master FSMO szerepkört ellátó kiszolgálót kijelölésére.
Active Directory – tartományok és bizalmi kapcsolatok (Active Directory Domains and Trusts)
Active Directory Séma (Active Directory Schema). Beépülő modul, a séma kezelésére szolgál, és ennek segítségével mozgatható másik tartományvezérlőre a Schema Master szerep is.
DCPROMO – tartományvezérlővé való előléptetését/lefokozását végző varázsló
ntdsutil [1] – címtárszolgáltatás-karbantartási segédprogram, alkalmazáspartíciók létrehozására is használható.
Adprep [2] – Windows 2000 tartományok/erdők 2003-as frissítését készíti elő (sémát bővít, biztonsági beállításokat változtat, új címtárobjektumokat hoz létre)
LDIFDE [3] – AD-objektumok parancssori import/exportja, sémabővítés; a program által is használt LDIF-formátum az LDAP-címtárak közötti replikáció szabványa, így ezzel bármilyen művelet elvégezhető.
egyéb parancssori segédprogramok: DSadd, DSmod, DSquery, DSmove, DSrm, DSget, CSVDE
Active Directory felügyeleti központ (Administrative Center – PowerShell-alapú, Windows Server 2008 R2-ben jelent megálja a szoftverterjesztést, csak egy mechanizmust biztosít, amit más szolgáltatások erre használhatnak.
youtube keresés: Számítógép hálózatok
https://www.youtube.com/watch?v=ZIenonChISg
X.500-alapú, LDAPv3 protokollal lekérdezhető, elsősorban Microsoft Windows-környezetben használatos címtárszolgáltatás;
Kerberos protokoll-alapú autentikáció;
DNS-alapú névszolgáltatás és egyéb hálózati információk.
Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások nyújtása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával a decentralizált felügyeletét. Számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév/jelszó páros megadásával biztosít hozzáférést (Single Sign On, SSO). Lehetőséget nyújt a rendszergazdák számára házirendek kiosztására, szoftverek és szoftverfrissítések telepítésére a szervezeten belül. Az Active Directory az információkat és beállításokat egy központi adatbázisban tárolja, a tartományvezérlő számítógépe(ke)n. Ennek az adatbázisnak a mérete egy kisvállalat néhány száz objektumától egy több ezer szervert üzemeltető nemzetközi vállalat sok millió objektumáig terjedhet. Az Active Directory szükséges néhány Windows-összetevő, mint például az Exchange, az RRAS, az ISA Server vagy a Certificate Services működéséhez.
Egy Active Directory-címtár legmagasabb szintje az erdő (forest), ami egy vagy több bizalmi kapcsolatokkal (trust) összekötött tartományt (domain) magába foglaló egy vagy több fa (tree) összessége. A tartományokat DNS-beli névterük azonosítja. A címtár objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja, ami három partícióra bomlik, ezek: az objektumok tulajdonságait leíró sémapartíció (schema partition), az erdő szerkezetét (tartományokat, fákat, helyeket) leíró konfigurációs partíció (configuration partition) és a tartomány objektumait tartalmazó tartományi partíció (domain partition). Ezeken kívül létezhetnek alkalmazáspartíciók (application partition) is.
Az Active Directory előzetes változatai 1999-ben jelentek meg, a végleges változat a Windows 2000 szerverváltozatával látott napvilágot. A Windows Server 2003-ban átdolgozott verzió jelent meg kiterjesztett szolgáltatáskészlettel és javított adminisztrációs lehetőségekkel. További előrelépések történtek a Windows Server 2003 R2 és a Windows Server 2008-as változatokban, ahol az Active Directory Domain Services nevet kapta.
Az Active Directoryt korábbi Microsoft dokumentumokban NTDS-nek (NT Directory Service) nevezték, egyes AD-segédprogramokban (például ntdsutil) még fellelhető ez az elnevezés.
Gyakori tévedés, hogy az Active Directory szoftverterjesztésre használható. Ez nem pontos, a szoftverterjesztést egy másik szolgáltatás nyújtja, ami az LDAP gyártóspecifikus séma-attribútumait használja fel. Tehát az AD nem automatizAz Active Directory objektumokból épül fel. Ezek három fő kategória egyikébe tartoznak: erőforrások (például nyomtatók), szolgáltatások (például e-mail) és felhasználók (felhasználói fiókok, csoportok). Az AD információkat tárol ezekről az objektumokról, rendszerezi őket, szabályozza a hozzáférést és biztonsági beállításokat tárol; ezzel egyben központosítva a hálózatot.
Minden objektum egyetlen entitást reprezentál – legyen az felhasználó, számítógép, nyomtató vagy egy csoport – attribútumaival együtt. Bizonyos objektumok más objektumokat tartalmazó konténerként is működhetnek. Egy objektumot egyértelműen azonosít megkülönböztetett neve (dn, distinguished name), ami tulajdonképpen az objektum neve és a fában elfoglalt helye együttesen. Például a Fabrikam.com tartomány felhasználóit tartalmazó szervezeti egység megkülönböztetett neve: "CN=Users, DC=Fabrikam, DC=com". Egy objektum megkülönböztetett neve változhat az objektum áthelyezésével, átnevezésével. Egy másik egyértelmű azonosító, ami viszont az objektum teljes élettartama alatt változatlan marad, az objectGUID attribútuma. Ez egy 128 bites, erdő-szinten garantáltan egyedi azonosító. Azt, hogy milyen típusú objektumok lehetnek az AD-ben, és ezek az objektumok hogyan viselkedhetnek, milyen információkat (attribútumokat vagy tulajdonságokat) tartalmazhatnak, a séma határozza meg.
Az AD-ban lévő sémaobjektumok határozzák meg az AD objektumainak tulajdonságait. Fontos szerepük miatt – az AD struktúráját alkotják – megváltoztatásuk vagy törlésük komoly következményekkel járhat, ezért csak szigorúan meghatározott szabályok alapján lehet változtatni rajtuk. Egy sémaobjektum megváltoztatása automatikusan továbbterjed az egész Active Directoryban, a létrehozott objektumot csak deaktiválni lehet – törölni nem. A séma megváltoztatása (tipikusan: bővítése) ezek miatt általában komoly tervezést igényel.[1]
A Windows Server 2008-ban már lehetőség volt egyes objektumokat védeni a véletlen törlés ellen. A Windows Server 2008 R2-ben bevezetett újdonság az Active Directory Lomtár, ami képes megőrizni az objektumok összes csatolt és nem csatolt értékű attribútumát, és az objektumokat ugyanabba a konzisztens logikai állapotba visszaállítani, mint amelyben a törlés előtt voltak (pl. csoporttagság, kapcsolódó hozzáférési jogok visszaállítása). A korábban hozzáférhető eszközökkel a logikailag törölt AD-objektumok nem voltak teljes értékűen visszaállíthatók. Az AD Lomtár csak Windows Server 2008 R2 erdő működési szinten hozzáférhető, de alapértelmezés szerint ott sincs engedélyezve.Az Active Directory támogatja a helyek (Site) létrehozását, ami nem logikai, hanem fizikai, méghozzá IP subnet (alhálózat) szerinti felosztást takar.[2] A helyek egymás között jó hálózati kapcsolattal rendelkező alhálózatok halmazaiként határozhatók meg. A helyek segítségével el lehet különíteni az alacsony (például WAN vagy VPN) és a magas sávszélességű kapcsolattal összekötött (LAN) helyszíneket. A helyek kialakítása független a tartományi és a szervezeti egység szerinti hierarchiától, és erdő-szinten egységes. A helyek szerepe a replikáció hálózati forgalmának szabályozásában van, továbbá abban, hogy a felhasználók a hozzájuk lehető legközelebb eső tartományvezérlőhöz csatlakozzanak, illetve más szolgáltatások esetén is a lokális példányt használják. A helyek összeköthetők (linkelhetők), a linkekhez költség rendelhető, ami a hálózati kapcsolat sebességét, megbízhatóságát vagy más fizikai jellemzőjét reprezentálja. Más szolgáltatások is „helytudatosak”, ilyenek a DFS-erőforrások, illetve a Microsoft Exchange 2007+ a levelek útválasztására is felhasználja a helytopológiát. A csoportházirendek szintén alkalmazhatók a helyek szintjén.Az Active Directory objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja (a Windows NT tartományban a „címtár” jellegű adatok még a registryben kaptak helyet), ebben egy többszintű keretrendszer foglal helyet. A struktúra legmagasabb szintjén foglal helyet az erdő (forest) – az AD minden objektumának, azok attribútumainak és szabályainak (az attribútumok szintaxisa) gyűjteménye. Az azonos erdőben található tartományvezérlőkről elmondható, hogy közös sémán és konfigurációs partíción osztoznak, és a globális katalógusokról azonos információkat érnek el. Az erdőt egy vagy több, kétirányú és tranzitív[3] bizalmi kapcsolat (trust) által összekötött fa (tree) alkotja. Egy-egy fában egy vagy több, konfigurációs és sémapartíciójukban megegyező tartomány (domain) lehet, amik egy tartományhierarchiát alkothatnak, melyben a szülő- és a gyermektartományok között automatikusan létrejövő, tranzitív kétirányú bizalmi kapcsolat van. Az azonos szintű tartományok között explicit bizalmi kapcsolatokat lehet létrehozni, ha szükséges. A tartományokat DNS-beli névterük azonosítja, és ez a tartományi hierarchiát is tükrözi (például a child.parent.root.com tartomány szülője a parent.root.com).
A tartományban lévő objektumok szervezeti egységekbe (Organizational Unit, OU) rendezhetők. Az OU-k adnak a tartománynak az adminisztrációt megkönnyítő hierarchiát, segítségükkel az Active Directory struktúrájára leképezhető a vállalat szervezeti felépítése vagy földrajzi elhelyezkedése. Egy OU tartalmazhat egy vagy több más OU-t is (ilyen értelemben a tartomány is tekinthető OU-nak), a többszörös egymásba ágyazás is megengedett. A Microsoft azt javasolja, hogy az Active Directoryt minél kevesebb tartományra bontsuk szét, és inkább szervezeti egységek létrehozásával tagoljuk a címtárat. A csoportházirendek (amik szintén AD objektumok, csoportházirend-objektum – Group Policy Object, röviden GPO néven) általában az OU szintjén fejtik ki hatásukat, bár tartomány és hely (site) szinten is alkalmazhatók. Többnyire az OU szintjén szokás a rendszergazdai jogosultságokat delegálni, bár a delegáció akár egyedi objektumok, sőt attribútumok szintjén is beállítható.
A vállalat informatikai infrastruktúrájának felosztása tartományok és szervezeti egységek hierarchiájára kulcsfontosságú tervezési lépés. A gyakori felosztási modellek közé tartozik az üzleti egységeket, a földrajzi elhelyezkedést, az informatikai szolgáltatási igényeket vagy az objektumtípusokat követő felosztás. Ezeket a modelleket gyakran együttesen alkalmazzák. A szervezeti egységek kialakításakor elsősorban a rendszergazdai jogok delegációját és a csoportházirendek alkalmazását érdemes szem előtt tartani. Bár a szervezeti egységek és a tartományok adminisztratív határvonalat képeznek, az egyetlen valódi biztonsági határt maga az erdő alkotja: az AD kialakítása szükségessé teszi, hogy minden tartományi rendszergazda megbízható legyen az egész vállalat (erdő) szintjén is.
Fizikailag az Active Directory adatai egy vagy több egyenrangú tartományvezérlőn (domain controller, DC) tárolódnak, szemben a Windows NT PDC/BDC (Primary/Backup DC) modelljével. Minden tartományvezérlőn megtalálható az Active Directory egy kópiája; általában valamelyik DC kópiájának változásai multi-master (több főkiszolgálós) replikációval szinkronizálódnak a többi DC-re (szemben például a sémaváltozások single-master replikációjával). Ez azt jelenti, hogy nincsen alá-fölérendeltségi viszony a replikációs partnerek között, hanem egy változtatásból eredő replikációs folyamatot – amely végighalad az adott tartomány tartományvezérlőin – bármelyik tartományvezérlő kezdeményezhet. Ütközés esetén a későbbi (pontosabban: magasabb frissítési sorszámmal, azaz Update Sequence Numberrel, USN-nel rendelkező) változás az erősebb. Ezt a helyzetet bonyolítja, hogy a Windows Server 2008-ban bevezetésre került az írásvédett tartományvezérlő (Read-Only Domain Controller, RODC) fogalma, melynél a replikáció csak „lefelé”, a központban található, írható tartományvezérlőtől a telephelyi RODC kiszolgáló felé történik. A tartomány részeként működő, de nem tartományvezérlő kiszolgálókat tartományi szervernek vagy tagkiszolgálónak (Member Server) nevezik.
Az Active Directory adatbázisa, a Directory Information Tree (címtárinformációs fa, DIT) az alábbi három tárterületre vagy partícióra bomlik (ezek a microsoftos terminológiában elnevezési környezet vagy névkörnyezet – Naming Context névre is hallgatnak):
Sémapartíció (schema partition): az egész erdő számára meghatározza az objektumosztályokat: az objektumok létrehozásának és módosításának a szabályait, az objektumok lehetséges tulajdonságait (attribútumait). Az erdő minden tartományvezérlőjére replikálódik, ezért ún. vállalati partíció (enterprise partition). Helye: cn=configuration,dc=forestRootDomain.[4]
Konfigurációs partíció (configuration partition): az egész erdő fizikai szerkezetét (például topológiáját) és beállításait határozza meg, beleértve a fákat, tartományokat, tartományi bizalmi kapcsolatokat és helyeket (sites, TCP/IP alhálózatok). Az erdő minden tartományvezérlőjére replikálódik, ezért ez is ún. vállalati partíció (enterprise partition). Helye: cn=schema,cn=configuration,dc=forestRootDomain.[4]
Tartományi partíció (domain partition): minden információt tárol az adott tartomány objektumairól (beleértve a szervezeti egységeket, csoportokat, felhasználókat stb.). Kizárólag az adott tartomány tartományvezérlőire replikálódik (illetve az erdő globális katalógusi – Global Catalog, GC – szerepkörű tartományvezérlőire is, részlegesen).
Részleges tartományi partíció – minden tartományi objektumot tartalmaz, de az objektumok tulajdonságainak csak részleges listájával.
Az alkalmazáspartíciók application partition közé (legalább Windows 2003-as működési szint esetén) tartozhatnak a tartomány vagy erdő szintű, AD-integrált DNS-zónák (ForestDnsZones, DomainDnsZones) is.[5]
Az Active Directory adatbázisa (a directory store) a Windows 2000-ben a Jet Blue-alapú Extensible Storage Engine-t (ESE98) használja adatbázismotornak, 16 terabájtos és 1 milliárd objektumos korláttal tartományvezérlőnként. Hoztak már létre kísérletképpen NTDS adatbázisokat 2 milliárdnál is több objektummal[6] – ehhez képest az NT4 Security Account Managere – biztonsági fiókkezelő adatbázisa – legfeljebb 40 000 objektumot volt képes kezelni. Az NTDS.DIT fájlnevű adatbázisnak két fő táblája van: az adattábla (data table), ami az objektumokat tárolja (a sorok reprezentálnak egy-egy objektumpéldányt, például egy felhasználót, az oszlopok pedig a hozzá tartozó attribútumokat) és a jóval kisebb hivatkozástábla (link table), ami a más objektumokra hivatkozó attribútumokat tárolja (például a csoporttagsági – MemberOf – attribútum). Ezeken kívül létezik az objektumokat leíró sématábla (schema table), ez kisebb méretű és lényegében statikus. A Windows 2003-ban az adatbázis Single Instance Store-t használ a jobb helykihasználás érdekében.A replikációs kapcsolatok az Active Directory tartományvezérlői között partíció szinten állnak fenn, tehát minden partíciónak külön összeköttetései vannak. Az erdő szintű partíciók (séma, konfiguráció, esetleg alkalmazáspartíciók) kapcsolati objektumai az erdő bármely két tartományvezérlőjét összeköthetik, a tartományi partíció kapcsolati objektumai csak tartományon belüli összeköttetéseket hoznak létre.
A Windows korábbi verzióival ellentétben, amik a NetBIOS protokoll segítségével kommunikáltak, az Active Directory teljes mértékben DNS- és TCP/IP-integrált – valójában a jól működő DNS elengedhetetlen az AD működéséhez. Ha nem a Windowsba épített DNS szolgáltatást használjuk, olyan DNS szerverre van szükség, ami támogatja a 2782-es RFC-ben definiált SRV erőforrásrekordokat (SRV resource record).
Az AD-beli replikáció pull („lekéréses”), nem pedig push („leküldéses”) típusú. A konzisztencia-ellenőrző szolgáltatás (KCC = Knowledge Consistency Checker) létrehoz egy site linkekből (helyek közötti hivatkozásokból) álló replikációs topológiát, a definiált helyeket használva a forgalom szabályzására. A site-on belüli (intrasite) replikáció gyakran és automatikusan megtörténik: minden változási értesítés egy lekéréses replikációs ciklust indít meg. Ez tömörítetlen adatforgalmat jelent, ami szinkron RPC kapcsolaton keresztül továbbítódik. A site-ok közötti (intersite) replikáció ritkábban, megadott időközönként történik és nem használja a változási értesítéseket, ám ez konfigurálható akár a site-on belüli replikációval megegyezőre is. Tömörített adatforgalom, amely RPC vagy aszinkron SMTP kapcsolaton keresztül történik. Az ISTG (Intersite Topology Generator) szolgáltatás alakítja ki az általában nem redundáns replikációs útvonalat. Különböző „költségeket” lehet az egyes helyek közötti hivatkozásokhoz rendelni (például a DSL vonallal összekötött telephelyeken a replikáció „olcsóbb” lehet, mint ISDN vonal használatakor), és a site linkek topológiáját a KCC ehhez igazodva változtatja meg. A tartományvezérlők közötti replikáció történhet tranzitív módon, több site linken keresztül (az azonos protokollt használó site link bridge-eken), ha az azokhoz rendelt költség alacsony, bár a KCC automatikusan alacsonyabb költséget rendel a közvetlen site-site kapcsolódásokhoz mint a tranzitívekhez. Két site közötti replikáció beállítható úgy is, hogy egy-egy bridgehead server („hídfőállás-kiszolgáló”) között történjen, amik aztán site-on belüli replikációval adják át a változásokat a site-on belül.
A KCC a site-on belüli topológia előállítása során arra törekszik, hogy a változások replikációja legfeljebb három ugráson (hop) keresztül eljusson a site-on belül minden tartományvezérlőhöz. Ehhez a Simplified Ring Topology Generation metódust követi. A legegyszerűbb, egy tartományos esetet nézve: létrehoz egy (kétirányú) gyűrűt a tartományvezérlőkből – ha hét vagy kevesebb tartományvezérlőt tartalmaz a site, ezzel elő is állt a kívánt topológia. Ha a szerverek számra a hetet meghaladja, a gyűrűt kialakító kapcsolatokon kívül a KCC véletlenszerű módon további, optimalizáló kapcsolatokat hoz létre, időnként pedig a régiek közül egyet-egyet kitöröl. Az optimalizáló kapcsolatok valamennyi replikálandó partíció között kiépülnek.[7] Az automatikusan létrehozott replikációs topológia kézzel változtatható, fel lehet venni újabb replikációs linkeket.
A több tartománnyal bíró erdőkben az Active Directory adatbázisa részekre bontva van jelen: az egyes tartományok tartományvezérlői csak azokról az objektumokról vezetnek listákat, amik abba a tartományba tartoznak. Tehát például az „A” tartományban felvett felhasználóról nem tudnak a „B” tartomány tartományvezérlői. A globális katalóguskiszolgálók (GC servers) feladata, hogy az erdő minden objektumát számon tartsák. A globális katalógust az erre a katalóguskiszolgálói szerepkörre bekonfigurált tartományvezérlők vezetik. A globális katalóguskiszolgálók minden tartomány minden objektumát replikálják, így az egész erdő objektumainak listáját tartalmazzák. A replikációs forgalom, valamint a GC adatbázisméretének csökkentése érdekében azonban csak az objektumok néhány kiválasztott attribútuma kerül replikálásra (többnyire azok, amik alapján valószínűleg kereshetik az objektumot). Ezt részleges tulajdonsághalmaznak (partial attribute set – PAS) nevezik. A PAS-ben szereplő attribútumok finomhangolhatók, a sémát kell hozzá módosítani és beállítani az érintett attribútumoknál a GC-kre való replikációt.
Az AD replikációja távoli eljáráshívásokat (Remote Procedure Call, RPC) használ. Különböző helyek között SMTP protokoll is választható a replikációra, de csak konfigurációs vagy sémaváltozás replikálására (tanúsítványkiadó – CA – szerverre is szükség van ehhez az üzemmódhoz). Mivel az SMTP nem alkalmas a tartományi partíció replikációjára, ha egy tartomány egy WAN kapcsolat mindkét oldalán jelen van, a replikációhoz akkor is RPC-re lesz szükség.
Az alkalmazáspartíció replikációja az erdőn belül bármely tartomány vezérlői között megtörténhet, széles körben testre szabhatóEszközök az Active Directory konfigurálásához[szerkesztés]
Active Directory – felhasználók és számítógépek (ADUC – Active Directory Users and Computers). A leggyakrabban használt MMC-konzol, ezzel kezelhetők a címtár objektumai, létrehozhatók a felhasználói és számítógépfiókok, csoportok, szervezeti egységek, megosztott mappák és nyomtatók, illetve beállíthatók ezek tulajdonságai. Használható a tartományi szintű egyedi főkiszolgálói műveleteket (FSMO) végző tartományvezérlők megadására (RID Master, PDC Emulator, Infrastructure Master), a felügyeleti jogok delegálására és a tartomány működési szintjének emelésére is.
Active Directory – helyek és szolgáltatások (Active Directory Sites and Services). Ez az MMC-konzol a tartományok közötti bizalmi kapcsolatok kezelésére szolgál. Szintén alkalmas a Domain Naming Master FSMO szerepkört ellátó kiszolgálót kijelölésére.
Active Directory – tartományok és bizalmi kapcsolatok (Active Directory Domains and Trusts)
Active Directory Séma (Active Directory Schema). Beépülő modul, a séma kezelésére szolgál, és ennek segítségével mozgatható másik tartományvezérlőre a Schema Master szerep is.
DCPROMO – tartományvezérlővé való előléptetését/lefokozását végző varázsló
ntdsutil [1] – címtárszolgáltatás-karbantartási segédprogram, alkalmazáspartíciók létrehozására is használható.
Adprep [2] – Windows 2000 tartományok/erdők 2003-as frissítését készíti elő (sémát bővít, biztonsági beállításokat változtat, új címtárobjektumokat hoz létre)
LDIFDE [3] – AD-objektumok parancssori import/exportja, sémabővítés; a program által is használt LDIF-formátum az LDAP-címtárak közötti replikáció szabványa, így ezzel bármilyen művelet elvégezhető.
egyéb parancssori segédprogramok: DSadd, DSmod, DSquery, DSmove, DSrm, DSget, CSVDE
Active Directory felügyeleti központ (Administrative Center – PowerShell-alapú, Windows Server 2008 R2-ben jelent megálja a szoftverterjesztést, csak egy mechanizmust biztosít, amit más szolgáltatások erre használhatnak.
youtube keresés: Számítógép hálózatok
https://www.youtube.com/watch?v=ZIenonChISg
Nincsenek megjegyzések:
Megjegyzés küldése