Active Directory

Z SOISK systemy operacyjne i sieci komputerowe
Przejdź do nawigacji Przejdź do wyszukiwania

Active Directory, AD, to usługa katalogowa (hierarchiczna baza danych) dla systemów Windows, będąca implementacją protokołu LDAP.

Domena typu NT4 pozwalała na przechowywanie informacji o ograniczonej stałej liczbie typów obiektów (konto użytkownika lub komputera, grupie) z ograniczoną stałą liczbą atrybutów przypisanych do konkretnych typów obiektów – nie istniała możliwość rozszerzenia schematu domeny o dodatkowe atrybuty lub typy obiektów, które można przechowywać. Domeny posiadały też technologiczne ograniczenie liczby obiektów, które mogłyby być przechowywane (do ok. 40 tys. obiektów w jednej domenie). Domeny nie były oparte też na żadnym otwartym protokole – nie istniała możliwość dostępu z aplikacji innych producentów bez wykorzystania bibliotek pochodzących od producenta firmy Microsoft.

|Domena typu Active Directory jako następca usuwa największe wady domen, tj. wprowadzono:

  • hierarchiczność przechowywania informacji;
  • dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory);
  • rozszerzalność schematu zawierającego definicje obiektów.

Active Directory występuje w dwóch wersjach – pełnej, zintegrowanej z systemem Windows, niezbędnej dla zarządzania kontami Active Directory, oraz wersji aplikacyjnej, instalowanej w systemie Windows, jednak nie powiązanej z domenami Windows. Wersja aplikacyjna nosi nazwę ADAM, skrót angielskiej nazwy Active Directory Application Mode.

Struktura Active Directory

W Active Directory informacje grupowane są hierarchicznie. Podstawową jednostką jest tzw. liść, który położony jest w kontenerze w Active Directory nazywanym jednostką organizacyjną (ang. organizational unit, OU). Liście i kontenery zorganizowane są w domeny.

Drzewo

Domeny zorganizowane hierarchicznie mogą tworzyć strukturę drzewa. Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego poziomu (ang. root) – korzeń drzewa. Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc drzewo. Niższe poziomy mogą się rozgałęziać.

Las

Każde drzewo znajduje się w jakimś lesie (ang. forest). Las składa się z przynajmniej jednego drzewa. Nie istnieje możliwość utrzymywania drzewa bez utrzymywania lasu. Uwaga ta odnosi się również do domeny Active Directory – domena nie może istnieć samodzielnie, musi istnieć w jakimś drzewie i jakimś lesie. Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem się staje) oraz pierwszy las. Las bierze nazwę od tej domeny.

Zależność od usługi DNS

Domeny zorganizowane w drzewo współdzielą jedną przestrzeń adresową DNS, tzn. domeny kolejnych poziomów mają wspólny korzeń (dla domeny najwyższego poziomu) nazewniczy, np. domena.pl, a wszystkie domeny niższych poziomów posiadają nazwy powstałe przez dodanie nazwy domeny do domeny najwyższego poziomu, np. serwer.domena.pl, nowy.domena.pl, marketing.lublin.domena.pl.

Relacje zaufania

Głównym powodem istnienia Active Directory jest autoryzacja obiektów (np. użytkowników), którzy mają prawo lub nie dostępu do innych obiektów Active Directory (dowolnych, np. kontenera lub obiektu użytkownika) oraz do zasobów innych, w tym dyskowych, sieciowych oraz aplikacji. Żeby była możliwa automatyczna autoryzacja użytkownika wobec innej usługi Active Directory lub zasobów korzystających z tej innej usługi (np. zasobu sieciowego), musi istnieć relacja zaufania pomiędzy domenami Active Directory.

Domeny połączone relacją zaufania "ufają sobie", o ile jest to relacja zaufania dwustronna, lub tylko jedna ufa drugiej, jeżeli jest to relacja jednostronna. Domeny w obrębie jednego lasu (w tym w obrębie tego samego drzewa) ufają sobie [1].

Ad.jpg