Azt a hálózatot vagy hálózatrészt, amelyet egyetlen közös címtárral fel
ügyelnek, a Windows-kiszolgálók szóhasználatával t a r t o m á n y n a k
(domain) nevezzük. A tartományi címtár fizikai megjelenése a c í m t á r
a d a t b á z i s , amelyet a tartomány címtárkiszolgálói tárolnak, és ezek
nyújtják a vele kapcsolatos szolgáltatásokat is.
Az Active Directory a Windows Server operációs rendszerekbe épített
címtárszolgáltatás
A hierarchia szempontjából kétféle objektum lehet a címtárban: az erőforrás-objektum és a tároló. (E szempontból erőforrás-objektumnak tekintük
a felhasználói fiókokat és a felhasználócsoportokat is.)
A t á r o l ó (container) olyan objektum, amely más objektumokat tartalmaz. A hierarchia azáltal alakul ki, hogy az egyes tárolók további tárolókat is tartalmazhatnak (az erőforrás-objektumok mellett; a hierarchia
tetszőleges szintén lehetnek erőforrás-objektumok).
Az Active Directoryban az objektumok helyét az őket tartalmazó tárolók felsorolásával adhatjuk meg egyértelműen. A teljes név utolsó tagja
magának az objektumnak az őt közvetlenül tartalmazó tárolón belüli neve. Az Active Directoryban alapvetően háromféle tárolót használunk,
ezek:
601.1. Tervezés - A Active Director címtárszolgáltatás
• a t a r t o m á n y (domain): ez az Active Directoryval felügyelt hálózatok alapvető adminisztrációs egysége, egy címtáradatbázissal egy
tartomány felügyelhető;
• a típus nélküli speciálls tároló (kezdetben ilyen tárolókba kerülnek
az új felhasználók és a címtárrendszerbe belépő számítógépek) és
• a s z e r v e z e t i e g y s é g (organizational unit, OU), amely a tartomá
nyon belül teszi lehetövé az objektumok hierarchikus csoportba
szervezését.
A címtár a hálózatban az L D A P nevű c í mtárprotokoll használatával érhető el (LDAP: Lightweight Director Access Protocol, kb. kis terhelésű címtár-hozzáférési protokoll). Ezért a címtárbeli objektumok nevét
legtöbbször olyan formában kell megadni, amely megfelel a protokoll
szabványában előírt szabályoknak
artomány, fa, erdő, szervezeti egység
Azt a hálózatot vagy hálózatrészt, amelyet egyetlen közös címtárral fel
ügyelnek, a Windows-kiszolgálók szóhasználatával t a r t o m á n y n a k
(domain) nevezzük. A tartományi címtár fizikai megjelenése a c í m t á r
a d a t b á z i s , amelyet a tartomány címtárkiszolgálói tárolnak, és ezek
nyújtják a vele kapcsolatos szolgáltatásokat is. A címtárkiszolgálókat -
ugyancsak a Windows 2008 szóhasználatával - t a r t o m á n y v e z é r
l ő n e k (domain controller) nevezzük. A címtár alapú hálózatban levő
számítógépeket - amelyek maguk is bene vannak a nyilvántartásban - a
tartomány t a g j a i n a k (member) nevezzük. A tartomány címtárába felvett felhasználók pedig elvileg a tartomáy valamennyi számítágépén jogosultak helyben bejelentkezni-vagy a számítógépek erőforrásaihoz há
lózaton keresztül csatlakozni -, hacsak a hozzáférési engedélyek explicit
beállításával a rendszergazda el nem tiltja őket egyik vagy másik számí
tógéptőL
Mi történik, amikor a tartomány egy felhasználója leül egy tartománybeli számítógép elé, és bejelentkezik rajta? A bejelentkezés során közli a
nevét és jelszavát, továbbá azt, hogy ő a tartományban - nem pedig a
számítógép helyi felhasználó-adatbázisában - van nyilvántartva.
Mivel pedig a felhasználó nem a helyi számítógép nyilvántartásában
szerepel, az nem is tudja önállóan elvégezni a htelesítést. Ehelyett - a há
lózaton keresztül - a legközelebbi címtárkiszolgálóhoz, tartományvezérlőhöz fordul, és attól kérdezi meg, hogy adott névvel és jelszóval szere-
641.1. Tervezés - Az Active Directory címtárszolgáltatás
pel-e felhasználó a címtárban. Ha igen, a tartományvezérlő visszaküldi a
felhasználó biztonsági azonosítóját (SID), illetve azon felhasználócsoportok azonosítóját, amelyeknek a felhasználó tagja. A hitelesítést tehát a
tartományvezérlő végzi el: ezzel a teljes hálózat biztonsági rendszere egy
kézben tartható. Bár, ha egy tartománybeli számítógépen például megosztunk egy mappát, akkor az ahhoz tartozó hozzáférési engedélyeket
ott, azon a számítógépen kell beállitani - igaz viszont, hogy ekkor adhaták hozzáférési engedélyek a tartomány felhasználóinak is, és az is igaz,
hogy a megosztások kezelése és a hozzáférési engedélyek beállítása tá
volból, a tartomány tetszőleges más számítógépéről elvégezhető.
Ha a felhasználó sikeresen bejelentkezett, a címtárbeli jogaitól függően
nemcsak a saját számítógépe - és egyes hálózati kiszolgálók - erőforrásaihoz, hanem magához a címtáradatbázishoz is hozzáférhet, ott erőforrá
sokat kereshet, illetve megfelelő jogok birtokában a számítógépek és a
felhasználók nyilvántartásába is beleláthat
Egy tartomány címtárában a szártógépeket, a felhasználókat és az
erőforrásokat s z e r v e z e t i e g y s é g e k b e (organizational unit) lehet
szervezni. Ezzel egyetlen tartományon belül tükrözhető a hálózatot üzemeltető intézmény szervezeti felépítése. Akár minden szervezeti egységnek saját rendszergazdája lehet, aki felhasználókat és csoportokat kezel. Így a tartományi rendszergazda feladata megosztható.
A fentiek alapján az Active Directory által felügyelt hálózatok alapegysége a tartomány, hiszen ez az a hálózat vagy hálózatrész, amely
egyetlen, közös címtáradatbázist használ. Azonban a címtárrendszer
igény szerint a tartomány szintje alatt és fölött is tovább strukturálható.
Így több tartomány nagyobb egységgé fogható össze, anélkül hogy
címtáradatbázisaikat egyesíteni kellene. Az összekapcsolás alapjai a tartományok közötti m e g h a t a l m a z á s o s k a p c s o l a t o k (trust), amelyek lehetővé teszik, hogy egy tartomány felhasználói igénybe vegyék
egy másik tartomány számítógépeinek erőforrásait (és megfordítva). A
meghatalmazásos kapcsolatok útján a tartományok először is f á b a (tree)
szervezhetők: ez azt jelenti, hogy a tartományok között hierarchiát alakí
tunk ki, vagyis egyes tartományok más tartományok alá vannak rendelve. Egy tartomány hierarchiabeli helye pedig kiolvasható a tartomány nevéből: minden tartománynak strukturált neve van, amelyben azok a tartományok is fel vannak tüntetve, amelyeknek az adott tartomány az alá
rendeltje.
ügyelnek, a Windows-kiszolgálók szóhasználatával t a r t o m á n y n a k
(domain) nevezzük. A tartományi címtár fizikai megjelenése a c í m t á r
a d a t b á z i s , amelyet a tartomány címtárkiszolgálói tárolnak, és ezek
nyújtják a vele kapcsolatos szolgáltatásokat is.
Az Active Directory a Windows Server operációs rendszerekbe épített
címtárszolgáltatás
A hierarchia szempontjából kétféle objektum lehet a címtárban: az erőforrás-objektum és a tároló. (E szempontból erőforrás-objektumnak tekintük
a felhasználói fiókokat és a felhasználócsoportokat is.)
A t á r o l ó (container) olyan objektum, amely más objektumokat tartalmaz. A hierarchia azáltal alakul ki, hogy az egyes tárolók további tárolókat is tartalmazhatnak (az erőforrás-objektumok mellett; a hierarchia
tetszőleges szintén lehetnek erőforrás-objektumok).
Az Active Directoryban az objektumok helyét az őket tartalmazó tárolók felsorolásával adhatjuk meg egyértelműen. A teljes név utolsó tagja
magának az objektumnak az őt közvetlenül tartalmazó tárolón belüli neve. Az Active Directoryban alapvetően háromféle tárolót használunk,
ezek:
601.1. Tervezés - A Active Director címtárszolgáltatás
• a t a r t o m á n y (domain): ez az Active Directoryval felügyelt hálózatok alapvető adminisztrációs egysége, egy címtáradatbázissal egy
tartomány felügyelhető;
• a típus nélküli speciálls tároló (kezdetben ilyen tárolókba kerülnek
az új felhasználók és a címtárrendszerbe belépő számítógépek) és
• a s z e r v e z e t i e g y s é g (organizational unit, OU), amely a tartomá
nyon belül teszi lehetövé az objektumok hierarchikus csoportba
szervezését.
A címtár a hálózatban az L D A P nevű c í mtárprotokoll használatával érhető el (LDAP: Lightweight Director Access Protocol, kb. kis terhelésű címtár-hozzáférési protokoll). Ezért a címtárbeli objektumok nevét
legtöbbször olyan formában kell megadni, amely megfelel a protokoll
szabványában előírt szabályoknak
artomány, fa, erdő, szervezeti egység
Azt a hálózatot vagy hálózatrészt, amelyet egyetlen közös címtárral fel
ügyelnek, a Windows-kiszolgálók szóhasználatával t a r t o m á n y n a k
(domain) nevezzük. A tartományi címtár fizikai megjelenése a c í m t á r
a d a t b á z i s , amelyet a tartomány címtárkiszolgálói tárolnak, és ezek
nyújtják a vele kapcsolatos szolgáltatásokat is. A címtárkiszolgálókat -
ugyancsak a Windows 2008 szóhasználatával - t a r t o m á n y v e z é r
l ő n e k (domain controller) nevezzük. A címtár alapú hálózatban levő
számítógépeket - amelyek maguk is bene vannak a nyilvántartásban - a
tartomány t a g j a i n a k (member) nevezzük. A tartomány címtárába felvett felhasználók pedig elvileg a tartomáy valamennyi számítágépén jogosultak helyben bejelentkezni-vagy a számítógépek erőforrásaihoz há
lózaton keresztül csatlakozni -, hacsak a hozzáférési engedélyek explicit
beállításával a rendszergazda el nem tiltja őket egyik vagy másik számí
tógéptőL
Mi történik, amikor a tartomány egy felhasználója leül egy tartománybeli számítógép elé, és bejelentkezik rajta? A bejelentkezés során közli a
nevét és jelszavát, továbbá azt, hogy ő a tartományban - nem pedig a
számítógép helyi felhasználó-adatbázisában - van nyilvántartva.
Mivel pedig a felhasználó nem a helyi számítógép nyilvántartásában
szerepel, az nem is tudja önállóan elvégezni a htelesítést. Ehelyett - a há
lózaton keresztül - a legközelebbi címtárkiszolgálóhoz, tartományvezérlőhöz fordul, és attól kérdezi meg, hogy adott névvel és jelszóval szere-
641.1. Tervezés - Az Active Directory címtárszolgáltatás
pel-e felhasználó a címtárban. Ha igen, a tartományvezérlő visszaküldi a
felhasználó biztonsági azonosítóját (SID), illetve azon felhasználócsoportok azonosítóját, amelyeknek a felhasználó tagja. A hitelesítést tehát a
tartományvezérlő végzi el: ezzel a teljes hálózat biztonsági rendszere egy
kézben tartható. Bár, ha egy tartománybeli számítógépen például megosztunk egy mappát, akkor az ahhoz tartozó hozzáférési engedélyeket
ott, azon a számítógépen kell beállitani - igaz viszont, hogy ekkor adhaták hozzáférési engedélyek a tartomány felhasználóinak is, és az is igaz,
hogy a megosztások kezelése és a hozzáférési engedélyek beállítása tá
volból, a tartomány tetszőleges más számítógépéről elvégezhető.
Ha a felhasználó sikeresen bejelentkezett, a címtárbeli jogaitól függően
nemcsak a saját számítógépe - és egyes hálózati kiszolgálók - erőforrásaihoz, hanem magához a címtáradatbázishoz is hozzáférhet, ott erőforrá
sokat kereshet, illetve megfelelő jogok birtokában a számítógépek és a
felhasználók nyilvántartásába is beleláthat
Egy tartomány címtárában a szártógépeket, a felhasználókat és az
erőforrásokat s z e r v e z e t i e g y s é g e k b e (organizational unit) lehet
szervezni. Ezzel egyetlen tartományon belül tükrözhető a hálózatot üzemeltető intézmény szervezeti felépítése. Akár minden szervezeti egységnek saját rendszergazdája lehet, aki felhasználókat és csoportokat kezel. Így a tartományi rendszergazda feladata megosztható.
A fentiek alapján az Active Directory által felügyelt hálózatok alapegysége a tartomány, hiszen ez az a hálózat vagy hálózatrész, amely
egyetlen, közös címtáradatbázist használ. Azonban a címtárrendszer
igény szerint a tartomány szintje alatt és fölött is tovább strukturálható.
Így több tartomány nagyobb egységgé fogható össze, anélkül hogy
címtáradatbázisaikat egyesíteni kellene. Az összekapcsolás alapjai a tartományok közötti m e g h a t a l m a z á s o s k a p c s o l a t o k (trust), amelyek lehetővé teszik, hogy egy tartomány felhasználói igénybe vegyék
egy másik tartomány számítógépeinek erőforrásait (és megfordítva). A
meghatalmazásos kapcsolatok útján a tartományok először is f á b a (tree)
szervezhetők: ez azt jelenti, hogy a tartományok között hierarchiát alakí
tunk ki, vagyis egyes tartományok más tartományok alá vannak rendelve. Egy tartomány hierarchiabeli helye pedig kiolvasható a tartomány nevéből: minden tartománynak strukturált neve van, amelyben azok a tartományok is fel vannak tüntetve, amelyeknek az adott tartomány az alá
rendeltje.
Nincsenek megjegyzések:
Megjegyzés küldése