Active Directory: Объяснение службы каталогов Microsoft

Microsoft Active Directory для сетей Windows может использоваться для централизованного управления внутренними ИТ-ресурсами компании, редактирования прав и политик, а также мониторинга различных служб. Здесь мы объясним, что представляет собой служба каталогов и как работает Windows AD.

Active Directory (AD) — это служба каталогов, разработанная компанией Microsoft для сетей Windows. AD играет важную роль для компаний со сложными ИТ-ресурсами, правами пользователей и иерархическими рабочими группами. В принципе, Active Directory можно рассматривать как своего рода адресную книгу, но с гораздо большими возможностями для администраторов по управлению, редактированию, запросам и структурированию хранимых данных пользователей и объектов. ИТ-структура организации может быть разделена на так называемые домены с помощью службы каталогов и может быть четко реплицирована.

Лучше всего проиллюстрировать, как работает Active Directory в сетевых серверах Windows и какие задачи она выполняет, можно на примере: Представьте себе крупную компанию со 150 сотрудниками. Все сотрудники зависят от внутренней ИТ-инфраструктуры компании, такой как учетные записи пользователей, принтеры, сканеры и права на компьютеры в различных рабочих группах. Чтобы избежать необходимости управлять ИТ-ресурсами индивидуально для каждой рабочей станции, Active Directory может отображать корпоративную структуру, хранить данные пользователей и объектов, а также централизованно управлять и распределять права.

Например, смену пароля не нужно производить на каждом устройстве, а только один раз в Windows AD. Обновления и модернизация системы также могут выполняться централизованно таким образом. Администрирование AD и доступ на запись к ИТ-ресурсам находится в руках системных администраторов. В задачи Microsoft Active Directory входят:

• Иерархическая организация и отображение внутренних ИТ-ресурсов, пользователей и объектов (оборудование, программное обеспечение, роли пользователей и сетевые компоненты/устройства/сервисы).
• Управление и структурирование пространства хранения данных.
• Разблокирование и блокирование прав доступа и приложений (например, к каталогам и сервисам).
• Обеспечение безопасности и защита корпоративной сети.

Active Directory в основном состоит из трех центральных компонентов: схемы, конфигурации и домена. В основе лежат домены, которые содержат всю важную информацию об ИТ-ресурсах и пользователях и отображают сеть. Не менее важными для общей структуры являются база данных и ее объекты. Ниже мы рассмотрим отдельные компоненты.

Как следует из названия, схема AD служит шаблоном для требуемых и разрешенных классификаций, а также типов записей AD. Сюда входят объекты и их атрибуты, классы и синтаксис атрибутов. Схема использует определения для определения того, какие объекты доступны или могут быть доступны в сети.

В то время как схема определяет возможное содержимое, конфигурация AD отображает структуру Active Directory и все содержащиеся в ней объекты, роли пользователей и общие ресурсы. Сюда входят существующие домены, которые подразделяют рабочие группы в компьютерной сети. В свою очередь, специфическое для домена содержимое и информация доступны только через внутренние контроллеры домена соответствующего домена. Они содержат глобальный каталог со всей важной информацией и частичной информацией о схеме, конфигурации и других доменах в той же сети. Глобальный каталог можно использовать для поиска и извлечения важной частичной информации в разных доменах.

Домены являются основой Active Directory и используются для иерархического структурирования объектов, рабочих групп и пользователей, управляемых администраторами. Подобно каталогам и подкаталогам, домен содержит всю информацию об объектах и атрибутах, которые относятся только к данному домену. Доступ к информации, специфичной для домена, возможен из других доменов, только если они включены в глобальный каталог. Вся остальная информация доступна только на внутреннем контроллере домена. Поэтому домен является важным структурирующим элементом, определяющим административные и сетевые единицы на области, рабочие группы и отделы, а также иерархически структурирующим полномочия. Доменные имена назначаются так же, как и в классических DNS-серверах.

База данных Active Directory основана на Microsoft Jet Engine, аналогично Microsoft Exchange Server. Она основана на объектах и является иерархической. Объекты представляют собой соответствующие наборы данных и групповые политики для ИТ-ресурсов. Их свойства называются атрибутами, а их типы определяются соответствующим образом. Объекты подразделяются на «учетные записи» (например, учетные записи, связанные со службами и пользователями, для сотрудников, групп или устройств) и «ресурсы» (например, общие ресурсы для приложений и служб).

Объекты делятся на «контейнеры», которые содержат дальнейшие предопределенные или самостоятельно определенные объекты, и «неконтейнеры», которые не содержат никаких дальнейших объектов и также называются конечными узлами/листовыми узлами.

Четыре центральных стандарта используются для обеспечения единообразного взаимодействия между компьютерами, приложениями, службами, каталогами AD и доменами:

• LDAP (Lightweight Directory Access Protocol): протокол для унифицированных запросов к каталогам Active Directory.
• Протокол Kerberos: Протокол для централизованной, унифицированной аутентификации и прав доступа пользователей на серверах AD.
• SMB (Server Message Block): Протокол для прав доступа, таких как групповые политики или сценарии входа в систему, к файлам в сети AD и на серверах.
• DNS (система доменных имен): Система для единообразной адресации имен компьютеров и доменов в Active Directory.

Если вы только бегло посмотрите, то не увидите, что в Active Directory есть деревья. Хотя это может показаться плохим каламбуром, на самом деле это правда, поскольку общая структура AD также называется лесом и может содержать несколько деревьев в виде корневых доменов и поддоменов DNS-пространства. Контейнеры, организованные в домены, считаются низшей единицей. Объединенные домены отображают организационную структуру и ресурсы предприятия, но также могут быть настроены независимо от физической и логической структуры предприятия. Таким образом, несколько мест могут быть объединены в один домен или различные домены могут управляться в одном месте.

Информация, к которой могут получить доступ все пользователи AD, — это

• схема,
• конфигурация
• и информация о домене в глобальном каталоге.

С другой стороны, доступ к специфическим для домена данным возможен только через уже упомянутые внутренние контроллеры домена. Домен обычно имеет два контроллера, которые предотвращают потерю данных с помощью многомастерной репликации, то есть резервных контроллеров и копий AD.

Преимущества Active Directory для сложных сетей Windows в компаниях с первого взгляда:

• Централизованное управление и настройка доменов, прав и политик для пользователей, групп, служб и приложений.
• Защита от сбоев и потери данных благодаря многомастерной репликации в доменной структуре.
• Сопоставление и централизованная настройка организационной структуры компьютерных сетей Windows.
• Гибкое расширение и масштабирование доменных структур.
• Защита информации посредством иерархического разграничения областей, отделов и рабочих групп с различными правами доступа.
• Совместимость с другими службами каталогов.
• Сокращение затрат и усилий за счет централизованного администрирования.