ACTIVE DIRECTORY
Active Directory este o implementare a serviciilor de directoare LDAP, folosita de Microsoft in cadrul sistemelor de operare Windows. Astfel 'Active Directory' pune la dispozitia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, innoirea securitatii. Toate aceste operatiuni pot fi aplicate atat la retele mici, cat si la retele complexe.
Active Directory (AD) - este o ierarhie de cateva obiecte, unde obiectele se impart in trei categorii: resurse (ex: imprimanta), servicii (ex: posta electronica), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei 'Active Directory' este de a pune la dispozitie informatii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securitatii..
Fiecare obiect indiferent de categorie reprezinta o entitate si atributele ei, unde 'entitate' poate fi - 'Utilizator', 'Calculator', 'Imprimanta', 'Aplicatie' sau 'Resursa Partajata'. Mai mult decat atat, un obiect poate sa contina si alte obiecte. Atributele obiectului (structura de baza a obiectului in sine) sunt definite de o 'schema', care la rindul ei defineste si tipul obiectelor care pot fi stocate ca subobiecte in obiectul dat.
Active Directory reprezinta inima retelelor bazate pe sisteme de operare Windows. Principalele avantaje oferite de implementarea Active Directory in retea sunt descrise in continuare.
Autentificarea utilizatorilor - permite identificarea fara echivoc a fiecarui utilizator al retelei pe baza de utilizator si parola unic
Autorizarea accesului la resurse - pentru fiecare resursa din retea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.
Administrarea centralizata a tuturor serverelor si statiilor de lucru din retea.
Aplicarea consistenta a unor politici de securitate in cadrul retelei. Acesta din urma este in particular un avantaj foarte important in procesul de securizare al retelei.
Proiectare. Aplicare
La proiectarea Active Directory trebuie respectate cateva principii de design pentru a putea aplica usor masuri de securitate:
Minimizarea numarului de domenii. Acestea fiind arii de securitate distincte, un numar cat mai mic de domenii, preferabil unul singur, permite aplicarea usoara a politicilor de securitate.
Aplicarea politicilor generice de securitate la nivelul intregului domeniu si completarea acestora cu masuri specifice la nivele inferioare.
Pentru aplicarea politicilor de securitate se foloseste Group Policy. Deoarece politicile se aplica la mai multe nivele (domeniu, site, organization unit, local) si pot fi blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group Policy. De un real ajutor este Group Policy Management Console care permite evaluarea rezultatului aplicarii de politici multiple.
Politici de securitate
Cateva politici tipice care pot fi aplicate in cadrul unui domeniu:
dezactivarea stocarii parolei ca LMHash
configurarea nivelului de compatibilitate LanManager pentru autentificare
blocarea conturilor la introducerea gresita a parolei combinata cu impunerea de parole cu complexitate sporita
interzicerea posibilitatii de enumerare a obiectelor din Active Directory pentru clientii anonimi.
Active Directory este o conditie necesara pentru a putea aplica in mod sistematic politici de securitate in cadrul retelei si pentru a putea reduce complexitatea administrarii.
Pornim de la principiul simplu ca "o retea sigura este una bine proiectata, configurata si administrata "
Active Directory ne ofera aici un avantaj important ;
Active Directory este noul serviciu director, fundamentul retelelor NT 5.0 si al distribuirii resurselor. Directorul este o structura ierarhica de informatii care descrie obiectele ce apartin retelei numite si resursele retelei. Active Directory include directorul de obiecte(ca structura ce pastreaza informatii) impreuna cu serviciile care fac disponibile informatiile pastrate in director .
Directorul asigura accesul controlat al utilizatorilor la resurse ,printr-o singura procedura de deschidere de sesiune ( log ) .
Obiectele pe care le contine directorul sunt :
conturile utilizatorilor,
calculatoarele,
imprimantele,
grupurile,
politicile de sistem ,
dar si obiecte mai deosebite cum sunt conteinerele si unitatile organizatorice . Ele au rolul de a grupa celelalte tipuri de obiecte .
Accesul unui utilizator la un obiect este controlat de o
structura proprie de informatii . Ea se numeste Lista
de control a accesului (Access Control List -; ACL In acest fel administratorul unei retele poate delega
autoritate unor utilizatori individuali sau unor grupuri de utilizatori care
devin administratori de conteinere sau de subarbori .
Active Directory include si un serviciu de indexare si interogare care asigura regasirea
rapida a obiectelor, daca se cunosc una sau mai multe caracteristici ale
sale . In acest fel poate fi gasit un obiect si daca nu i se
cunoaste asezarea ierarhica din director .
Serviciul de replicare a directorului de
obiecte este responsabil cu obtinerea duplicatelor informatiilor care
sunt reprezentate in director . Aceste replici vor fi distribuite pe calculatoare gazda cu rol
special in retea.
Desi foloseste Active Directory , Windows NT 5.0 nu a renuntat la vechea de domeniu. Daca exista domeniul, atunci avem si . relatii de incredere!
Fiecare domeniu are un nume . Domeniul face parte din conceptul de securitate intr -o retea politicile de securitate si drepturile care trec granitele in domenii.
Administratorul unui domeniu are privilegii absolute numai in domeniul respectiv.
Un controler de domeniu este un calculator NTServer 5.0 pe care este instalat si ruleaza serviciul Active Directory .
Un domeniu poate cuprinde un singur controler de domeniu , dar pentru siguranta functionarii ,se recomanda sa coexiste doua sau la nevoie , chiar mai multe controlere de domeniu . Controlerele de domeniu vor detine duplicatele directorului.
Mai multe domenii pot alcatui un arbore de domenii . Acesta este o asociere de tip ierarhizat. Intre domeniile care formeaza arborele, se vor constitui implicit relatii bidirectionale si tranzitive de incredere (trust
Doi sau mai multi arbori de domenii se pot asocia intr-o
. padure de obiecte . In acest fel utilizatorii dintr-un domeniu pot avea acces
la resurse din orice domeniu care apartin padurii de obiecte .
Domeniile
NT sunt integrate acum in domeniile standard de nume folosite in Internet !
Active Directory foloseste modelul standard DNS (Domain Name Service ) de denumire si regasire a obiectelor ce apartin unui domeniu , ceea ce face ca numele domeniilor NT 5.0 sa corespunda numelor domeniilor DNS.
Windows NT 5.0 aduce cu sine si un nou sistem de fisiere: sistemul distribuit de fisiere (DFS ) . Acesta cuprinde o singura structura ierarhica de dosare si fisiere ,ale carei resurse pot fi distribuite fizic oriunde in retea . DFS ofera structura logica arborescenta in care exista resurse folosite de utilizatori aflati la rindul lor , oriunde in retea . Structura DFS incepe cu radacina si continua cu nodurile descendente.Nodurile pot fi frunze sau ramuri. Ramurile, la randul lor, pot contine subramuri. Arborele DFS este in acelasi timp si un unic spatiu de nume incadrat in spatiul de nume DNS. Active Directory pastreaza descrierea tipologiei de regasire a resurselor si este responsabil de corectitudinea, replicarea si sincronizarea lor. Accesul utilizatorilor la dosare si fisiere este reglementat prin permisiuni. Volumele sunt, din punct de vedere conceptual, esenta sistemului distribuit de fisiere : ierarhia unica a sistemului contine volume care sunt partajate pentru utilizatori.
Desi ierarhia este unica, volumele se pot afla pe calculatoare
diferite.
Administrarea
unei retele NT porneste de la conceptele care o guverneaza. Ele se vor regasi si in instrumentele folosite in
acest scop. Chiar daca instrumentele de
administrare sunt in esenta aceleasi cu cele din versiunea
anterioara, ele se prezinta insa in haina noua pe care le-o
ofera noua interfata.
Ceea ce este si mai important- adaptate noilor
concepte de tip obiectual ceea ce le stau la baza.
Structura Active Directory
In cazul Active Directory se poate vorbi de doua tipuri de structura, cea logica si cea fizica.
Structura logica este utila pentru a putea organiza resursele din retea, iar cea fizica este folosita pentru a configura si dirija traficul din retea.
Structura logica
Din
punct de vedere logic, Active Directory este format din domeniu, Organizational
Unit (OU), tree, forest si schema.
Domeniul
Unitatea centrala a structurii logice este domeniul, care are rol si de granita, din punct de vedere al securitatii. Aceasta inseamna ca un administrator al unui domeniu dispune de drepturile si permisiunile necesare pentru a face modificari numai in cadrul acelui domeniu. Pentru ca administratorul sa poata face modificari si in alt domeniu decit cel in care se afla, trebuie sa-i fie acordate permisiuni explicite.
De asemenea, domeniul are si rol de replicare, de fapt toate domain controllerele dintr-un domeniu participand la aceasta operatie. Active Directory foloseste un model de replicare numit multi-master, acest lucru insemnand ca toate domain controllerele dintr-un anumit domeniu pot primi informatii despre modificarile survenite in Active Directory si le pot replica la restul domain controllerelor.
Un alt rol important al domeniului este cel de
aplicare a Group Policy-urilor. Prin intermediul acestor politici de grup se
pot stabili diverse setari, se pot atribui aplicatii pentru anumiti utilizatori
din retea etc.
Pana acum, la versiunile
anterioare ale NT-ului, in cadrul unui domeniu nu putea exista un alt domeniu,
acest lucru fiind un dezavantaj pentru firmele mari, care au retele in diferite
locatii. Acestea trebuiau sa aiba o structura oarecum liniara, in care domeniul
era nivelul de sus, calculatoarele conectate fiind in nivelul de jos. In
Windows
Toate
aceste domenii si subdomenii impreuna cu obiectele fizice din retea
conectate la ele (calculatoare, imprimante, servere etc.) formeaza asa-numitul
TREE.
Un FOREST este format din mai multi trees.
Revenind la exemplul
prezentat, in cazul in care firma XYZ decide ca o anumita subdivizie este mai
importanta decat celelalte, de exemplu cea denumita ABC, atunci poate crea un
tree separat pentru aceasta, cu domeniul top-level abc.ro. Cele doua, xyz.ro si
abc.ro, formeaza in acest caz un forest.
Active Directory suporta doua tipuri de relatii de incredere (trust):
de tip unidirectional, nontranzitiva si
de tip bidirectional, tranzitiva.
Primul tip de relatie de incredere este specific retelelor Windows NT si inseamna ca daca domeniul A are incredere in domeniul B, aceasta nu inseamna automat ca si domeniul B are incredere in domeniul A. Nontranzitivitatea inseamna ca daca domeniul A are incredere in domeniul B, iar domeniul B are incredere in domeniul C, aceasta nu inseamna ca domeniul A are incredere in domeniul C.
Intre domeniile Windows 2000, relattiile de incredere implicite sunt cele de tip bidirectional, tranzitive. Bineinteles, se poate stabili ca tipul de relatie de incredere sa fie unidirectional, non-tranzitiv.
Unitatea organizationala (OU)
Urmatoarea componenta logica a Active Directory, o noutate a Windows 2000, este Organizational Unit-ul, pe romaneste spus unitatea organizationala.
Acesta este de fapt un obiect in Active Directory care poate contine utilizatori, computere, imprimante grupuri. Printr-o asemenea grupare in OU-uri, obiectele din retea pot fi organizate in mod logic, iar administratorul unui domeniu poate delega administrarea unui Organizational Unit unui utilizator din respectivul OU.
Cea din urma componenta logica a
Active Directory, schema, contine definitiile tuturor obiectelor
(calculatoare, imprimante, utilizatori etc.) stocate in Active Directory.
Definitiile pot fi de doua tipuri: clase si atribute. Clasele descriu obiectele (imprimante,
utilizatori etc.) care ar putea fi create in directory. Fiecare clasa este o
colectie de atribute, definite separat fata de clase. De exemplu, pentru
obiectele din clasa utilizatori (Users), atributele sunt: nume, adresa de mail,
momentul in care expira parola etc.
In Windows 2000 exista o singura schema pentru un intreg forest, astfel ca
toate obiectele create in Active Directory sa se conformeze aceleiasi reguli.
In momentul in care se opereaza modifi-cari in schema, acestea sunt replicate
la fiecare domain controller din forest.
Copacul
o Un copac este o grupare sau o aranjare ierarhica a unuia sau a mai multor domenii
o Toate domeniile dintr-un copac au in comun aceeasi schema Active Directory
o Toate domeniile dintr-un copac au in comun acelasi catalog global
Padurea
o Este o grupare sau o aranjare ierarhica a unuia sau a mai multor domenii separate, complet independente
o Toti copacii dintr-o padure au in comun aceeasi schema.
o Copacii diferiti pot avea structuri de nume diferite.
o Toate domeniile dintr-o padure au in comun acelasi catalog global.
o Domeniile dintr-o padure opereaza independent, dar padurea permite comunicarea in intreaga organizatie.
o Exista o relatie de incredere implicita bidirectionala
tranzitiva intre domenii
Structura fizica
Principalele responsabilitati ale structurii fizice a Active Directory se refera la replicare si la procesul de logon. Astfel, cele doua categorii de componente fizice ale Active Directory, site-urile si domain controller-ele, stabilesc cand si unde se va face replicarea, precum si cand si unde se va face logon-ul.
Un site reprezinta o combinatie a mai multor subretele bazate pe TCP/IP care sunt conectate intre ele printr-o conexiune de mare viteza. Crearea site-urilor este necesara pentru a putea configura topologiile de acces si replicare ale Active Directory, astfel ca Windows 2000 sa foloseasca legaturile cele mai eficiente pentru aceste operatii. Pentru exemplul prezentat anterior, firma XYZ poate sa defineasca un site pentru sediul central si un altul pentru sucursala din Arad. Totusi, nu este necesar sa existe o corelare intre structura fizica si cea logica a Active Directory, acestea doua fiind independente.
Domain controller-ul, cealalta componenta a structurii fizice a Active Directory, este de fapt un calculator pe care ruleaza Windows 2000 Server si pe care se gaseste o copie a directory-ului.
De asemenea, domain controller-ul se ocupa de procesele de logon, autentificare, de gestionarea schimbarilor aparute in directory precum si de replicarea acestora la alte domain controller-e din respectivul domeniu.
Un domeniu poate avea unul sau mai multe
domain controller-e. Pentru o firma care dispune de o retea, este sufi-cient sa
dispuna de doua domain controller-e. Motivul pentru care ar trebui sa fie doua
si nu unul este de preintampinare a nefunctionarii retelei din cauza erorilor
sau defectiunilor aparute pe unul din domain controller-e. In cazul in care
este vorba de o firma mare, care este prezenta in mai multe locatii geografice,
este nevoie de unul sau mai multe domain controller-e pentru fiecare locatie.
Active
Directory foloseste un model de replicare multi-master. Totusi, anumite
schimbari survenite nu sunt replicate in mod multimaster, motiv pentru care
unele din controller-e vor avea si roluri speciale cum ar fi cel de Global Catalog Server.
o Catalogul global (global catalog) este depozitul central de informatii despre obiectele dintr-un copac sau padure
o Este creat automat pe domain controllerul initial din padure, denumit Global Catalog Server
o Permite intrarea in retea, furnizand informatia despre grupul in care se gaseste utilizatorul la un domain controller
o Permite gasirea informatiei indiferent in ce domeniu din padure se afla datele
Primul domain controller creat in Active Directory preia automat rolul de Global Catalog Server, dar se poate stabili ca si alte domain controller-e sa aiba acelasi rol, pentru a prelua din incarcare. Global catalog-ul este locul de stocare al celor mai frecvent utilizate atribute (de exemplu numele, prenumele si numele de logon al unui utilizator) ale tuturor obiectelor din Active Directory.
Active Directory rezolva urmatoarele probleme:
o Simplificarea administrarii. Active Directory ofera o singura baza de date pentru pastrarea informatiilor despre utilizatori si resurse
Politicile de grup sunt acum mult mai flexibile (pot fi aplicate mai precis), iar aria de aplicare a lor s-a extins (o politica poate cuprinde descrierea unui numar impresionant de actiuni)
DNS dynamic update protocol. Reduce necesitatea editarii manuale a DNS, mai ales in cazul aparitiei unor schimbari la nivelul clientilor DNS
Terminal Services permite clientilor accesarea aplicatiilor Windows ce ruleaza in totalitate pe server.
o Flexibilizarea administrarii. Permite delegarea autoritatii
o Scalabilitate In Windows NT exista limita de 40 000 de utilizatori pentru un domeniu, astfel incit pentru organizatii foarte mari trebuiau create mai multe domenii. In Windows 2000 pot exista milioane de utilizatori in fiecare domeniu.
o Folosirea protocoalelor standardizate. Accesarea Active Directory se face folosindu-se Lightweight Directory Access Protocol (LDAP) v3 In loc de un protocol proprietar.
Active Directory suporta urmatoarele tehnologii:
|
Tehnologie |
Scop |
Specificatii |
|
DHCP |
Gestionarea adreselor de retea |
RFC 2131 |
|
DNS |
Gestionarea numelor |
RFC 2052 si 2163 |
|
Simple Network Time Protocol (SNTP) |
Distribuited time service |
RFC 1769 |
|
Lightweight Directory Access Protocol (LDAP) v3 |
Client directory access |
RFC 2251 |
|
LDAP 'C' |
Directory API |
RFC 1823 |
|
LDAP |
Schema de directoare |
RFC 2247, 2252 si 2256 |
|
Kerberos v5 |
Autentificare |
RFC 1510 |
|
Certificari X.509 V3 |
Autentificare |
ISO X.509 |
|
TCP/IP |
RFC 791 si 793 |
You can install Active Directory by selecting 'Start', 'Run', and typing 'Dcpromo.exe' in the text box or follow the following selections: Avem posibilitatea sa instalam Active Directory, prin selectarea 'Start', 'Run', si tastarea 'Dcpromo.exe' in caseta de text sau sa urmam urmatoarele selectii:
On non Windows 2000 systems, the Directory Service Client can be installed which will allow those systems to: La non sistemele Windows 2000, directorul Serviciului de client poate fi instalat, care va permite acestor sisteme la:
DNS is required to use Active Directory since clients use DNS to locate Active Directory controllers. DNS este necesara pentru a folosi Active Directory, deoarece clientii utilizare DNS pentru a localiza Active Directory controlori. Servers and client computers register their names and IP addresses with the DNS server. Servere si computere client isi inregistreaza numele si adresele IP cu serverului DNS. The DNS server must support Service Resource Records (SRVs) according to RFC 2052 and dynamic update protocol according to RFC 2136. Serverul DNS trebuie sa accepte Serviciul Resurse Records (SRVs), in conformitate cu RFC 2052 si dinamic actualizare protocol in conformitate cu RFC 2136. DNS can be installed with the Active Directory server or on a separate DNS server. DNS poate fi instalat cu Active Directory Server sau pe un alt server DNS.
In each child domain, Active Directory must be installed on the first domain controller. In fiecare copil domeniu, Active Directory trebuie sa fie instalat pe primul controler de domeniu.
Pasul 1
Start -> Run si tastati 'dcpromo'
Pasul 2
Se va selecta 'Domain Controller pentru un domeniu nou'
Pasul 4
Se va selecta 'de domeniu intr-o noua padure'
Pasul 5
Introduceti in FQDN (nume de domeniu complet calificat) pe care doriti sa-l utilizati
Se stabileste numele de NetBIOS. Aceasta este aproape intotdeauna acelasi numele introdus de mai sus,.
Pasul 6
Va fi prezentat un ecran de DNS in care se solicita sa configurati DNS. Selectati optiunea de mijloc (Instalare si configurare pentru mine). Acest lucru, cel mai probabil, nu va infiinta dns corect. Odata ce ati terminat, va rugam sa vedeti https://wehow.ehow.com/how_2002003_fix-active-directory-dns-problems.html pentru isntructiuni cu privire la modul de testare - si, daca este necesar - pentru a stabili DNS-ul.
Pasul 7
Selectati permisiunea tip dorita. Selectati a doua optiune. .
Pasul 9
Alegeti o parola.
Pasul 10
In acest moment in instalarea va sunt prezentate cu o baza 'Rezumat' pagina cota de optiuni pe care le-ati selectat. Asigurati-va ca acestea sunt stabilite in mod corespunzator inainte de a continua. Odata ce selectati 'Next', Active Directory va incepe a se instala,
Pasul 11
Active Directory va dura ceva timp, ar putea fi cateva minute, o jumatate de ora. Dupa instalare , va trebui sa reporniti sistemul.
Select 'Start', 'Programs', 'Administrative Tools', 'Active Directory Users and Computers' and click the + next to the domain. Selectati 'Start', 'Programe', 'Instrumente de administrare', 'Active Directory Users and Computers' si faceti clic pe + de langa domeniul. Highlight the domain controllers folder, and the computer Active Directory was installed on should appear in the right pane. Evidentiati controlerele de domeniu dosar, si computerul Active Directory a fost instalat pe ar trebui sa apara in panoul din dreapta.
Concluzie
o Active directory ajuta la administrarea resurselor intr-un mod centralizat.
o Permite instalarea unor politici de securitate.
o Permite instalarea programelor in functie de grupul din care face parte utilizatorul.
o Permite utilizatorilor gasirea rapida a resurselor din intreaga retea.
Bibliografie
|
Politica de confidentialitate |
 .com |
Copyright ©
2024 - Toate drepturile rezervate. Toate documentele au caracter informativ cu scop educational. |
Personaje din literatura |
| Baltagul – caracterizarea personajelor |
| Caracterizare Alexandru Lapusneanul |
| Caracterizarea lui Gavilescu |
| Caracterizarea personajelor negative din basmul |
Tehnica si mecanica |
| Cuplaje - definitii. notatii. exemple. repere istorice. |
| Actionare macara |
| Reprezentarea si cotarea filetelor |
Geografie |
| Turismul pe terra |
| Vulcanii Și mediul |
| Padurile pe terra si industrializarea lemnului |
| Termeni si conditii |
| Contact |
| Creeaza si tu |
