Active Directory Domain Controler (AD DC)

Transkrypt

Active Directory Domain
Controler (AD DC)
Grupa robocza (1)



Jest logiczną grupą komputerów w sieci
współdzielących zasoby takie jak pliki,
foldery czy drukarki.
Jest określana mianem równoprawnej, gdyż
wszystkie komputery współdzielą zasoby na
równych prawach.
Każdy komputer grupy roboczej utrzymuje
lokalną bazę danych o zabezpieczeniach:
lista kont użytkowników i informacja o
zabezpieczeniach lokalnych zasobów.
Grupa robocza (2)


Administracja kontami użytkowników i
zabezpieczeniami jest zdecentralizowana –
użytkownik musi mieć konto na każdym
komputerze do zasobów którego chce mieć
dostęp.
Czynności administracyjne mają charakter
czysto lokalny – należy je wykonywać na
każdym komputerze grupy oddzielnie.
Grupa robocza (3)
Grupa robocza (4)




Nie wymaga komputera z systemem co
najmniej 2000 Server dla utrzymywania
zcentralizowanej bazy informacji o
zabezpieczeniach.
Prosta do zaprojektowania i wdrożenia
Odpowiednia dla niewielkiej ilości
komputerów położonych w bliskim
sąsiedztwie.
Przeznaczona dla niewielkiej liczby
użytkowników nie wymagających centralnej
administracji.
Domena Windows (1)




Jest logiczną grupą komputerów w sieci
współdzielących centralną, katalogową
bazę danych.
Baza składa się z kont użytkowników,
informacji o pozostałych zasobach w sieci
oraz zabezpieczeniach w domenie.
W Windows 2000/3/8 katalogowa baza
danych nazywa się katalogiem i jest częścią
usług obsługujących bazę danych Active
Directory.
W domenie katalog znajduje się na
komputerach skonfigurowanych jako
kontrolery domeny.
Domena Windows (2)



Udostępnia scentralizowaną administrację,
ponieważ wszystkie informacje
przechowywane są lokalnie.
Umożliwia użytkownikom jednokrotne
logowanie się w celu uzyskania dostępu do
określonych zasobów sieci (zgodnie z
uprawnieniami).
Jest skalowalna, co umożliwia tworzenie
dużych struktur sieciowych.
Domena Windows (4)
Cechy usługi Active Directory




Organizuje zasoby w domenie w sposób
hierarchiczny.
Skalowalność – wynikająca z podziału
zasobów sieci na jednostki logiczne.
Wsparcie dla otwartych standardów - scala
w sobie koncepcję internetowej przestrzeni
nazw z usługami katalogowymi Windows
NT.
Wykorzystuje DNS i może wymieniać
informację z dowolnymi usługami
wykorzystującymi LDAP (Lightweight
Directory Access Protocol).
Struktura usługi AD



Usługa rozdziela sieć na strukturę logiczną i
fizyczną.
Zasoby zorganizowane są w strukturze
logicznej, co pozwala na odnajdywanie
zasobów przy użyciu ich nazw, a nie
lokalizacji.
Przestrzeń nazw – ograniczony obszar w
obrębie którego nazwa reprezentująca
obiekt może być odnaleziona i
wykorzystana do uzyskania dostępu do
obiektu oraz jego atrybutów.
Organizacja logiczna

Przestrzeń nazw ciągła – jeśli nazwa
każdego obiektu zawiera sufiks
będący nazwą obiektu nadrzędnego
oraz istnieje jeden obiekt wyróżniony,
którego nazwa jest sufiksem
wszystkich pozostałych. Wyróżniony
obiekt to korzeń drzewa nazw.
Struktura logiczna (2)
Obiekt – wyróżniony i nazwany zbiór
atrybutów reprezentujących np.
użytkownika, komputer,...
 Zbiór klas – zestaw możliwych
rodzajów obiektów występujących w
AD.
 Schemat – opis wszystkich klas i
wszystkich związanych z nimi
atrybutów.

Organizacja logiczna (3)

Nazwa – opisuje położenie obiektu w
strukturze hierarchicznej (np. ścieżka
dostępu do pliku). Jest określana jako
Distinguished Name (DN). Podstawowe
składnniki:
◦
◦
◦
◦
DC – Domain Component (Microsoft, com)
CN – Common Name (Users, Jan)
OU – Organisation Unit
O – Organisation (Internet)
Internet.com.Microsoft.Users.Jan



Domena – podstawowa jednostka
administracji wymagająca istnienia co
najmniej jednego kontrolera.
Drzewo domen – wiele domen mających
wspólny schemat i konfigurację, tworzących
ciągłą przestrzeń nazw.
Domeny połączone są przez przechodnie i
zwrotne relacje zaufania weryfikowane
przez protokół Kerberos.
Model domeny
Model drzewa domen



Las – zbiór składający się z wielu drzew
domen, które nie tworzą ciągłej przestrzeni
nazw.
Replika – kopia bazy danych
przechowywana przez kontroler domeny.
Partycja – jednostka replikacji bazy danych
AD. Podstawowe to:
◦ partycja domeny,
◦ partycja schematu,
◦ partycja konfiguracji.
Przykład lasu domen
Partycja domeny – informacje o
obiektach w domenie. Replikowana w
całości na każdy kontroler domeny.
 Partycja schematu – zawiera definicje
schematów (klasy, atrybuty).
 Partycja konfiguracji – informacje o
wszystkich domenach w lesie,
kontrolerach i topologii replikacji.

Względna nazwa wyróżniająca
(RDN)
Część pełnej nazwy wyróżniającej
wykorzystywana do odnajdowania
obiektów przez odpytywanie (nazwa
wyróżniająca nie jest dokładnie
znana).
 Zazwyczaj jest to CN obiektu
nadrzędnego.
 W domenie jeden obiekt może mieć
dwie identyczne nazwy RDN ale nie
mogą istnieć dwa obiekty o takiej
samej nazwie RDN.

Unikalny identyfikator globalny
Oprócz nazwy obiekt w magazynie AD posiada
unikalną tożsamość.
 Nazwa może ulegać zmianie, tożsamość zawsze
pozostaje niezmieniona.
 Tożsamość definiuje Unikalny identyfikator
globalny (GUID – Globally Unique Identifier).
 GUID – liczba 128 – bitowa przyznana przez
agenta systemu katalogowego (DSA) w momencie
tworzenia obiektu.
 W Windows NT zasoby domeny są związane z
identyfikatorem zabezpieczeń (SID).
 Identyfikator GUID jest przechowywany w atrybucie
o nazwie objectGUID (każdy obiekt).

Nazwa główna użytkownika
User Principal Name (UPN) jest
„przyjazną”, krótszą -> łatwiejszą do
zapamiętania od DN.
 Składa się ze skróconej nazwy
użytkownika i zazwyczaj nazwy DNS
domeny oddzielonych „@”
([email protected]).
 UPN jest niezależna od DN obiektu,
dzięki czemu obiekt może zostać
przeniesiony lub usunięty bez wpływu
na sposób logowania.

Struktura fizyczna (1)



Ściśle związana z DNS.
Nazwy domen to nazwy DNS.
AD wykorzystuje DNS do lokalizacji usług.
Siedziba (site) – jedna lub więcej podsieci IP
(wysoka jakość połączenia). Siedziba może
zawierać kontrolery wielu domen, jak i
pojedyncza domena może rozciągać się na
wiele siedzib.
Struktura fizyczna (2)

Siedziby służą:
◦ Ograniczeniu ruchu replikacyjnego.
◦ Kierowania klienta do najbliższego mu serwera
oferującego żądaną usługę.
Siedziby muszą być połączone, aby możliwa
była komunikacja (głównie replikacyjna)
między kontrolerami domen.
 Połączenie – obszar zawierający jedną lub
wiele siedzib, w obrębie którego serwery z
różnych siedzib mogą łączyć się ze sobą.
Implementacja usługi
Model danych bazuje na modelu X.500.
Schemat jest zaimplementowany jako zbiór
wystąpień klas obiektów składowanych w
katalogu.
 Model zabezpieczeń bazuje na strukturze
Trusted Computing Base (TCB) z listami
kontroli dostępu.
 Model administracyjny umożliwia zarządzanie
tylko użytkownikom uprawnionym.
Przekazywanie uprawnień odbywa się na
zasadzie delegowania.
 Directory System Agent (DSA)-proces
zarządzający fizycznym składowaniem
katalogu. Izoluje klientów od fizycznego
formatu składowanych danych.


Dostęp do usługi

Możliwy jedynie przy pomocy
protokołów definiujących format
wiadomości i interakcji:
◦ LDAP
◦ MAPI-RPC (Messaging Application
Program Interface – Remote Procedure
Call)
◦ X.500

Dostęp do protokołów poprzez API
(interfejsy programowe aplikacji)
Model warstwowy usługi AD
Interfejsy
LDAP – protokół komunikacyjny w sieciach
TCP/IP, umożliwia dostęp do usługi AD
aplikacjom systemowym jak również tworzenie
własnych aplikacji (otwarty standard).
 REPL – wykorzystywany przez usługę replikacji
po IP lub SMTP (lokacyjna i międzylokacyjna).
 SAM – komunikacja międzydomenowa,
replikacja w domenach mieszanych (z
Windows NT).
 MAPI – dziedziczni klienci MAPI jak klient
komunikatów i pracy grupowej łączą się z DSA
z wykorzystaniem MAPI RPC.

Składniki usługi AD




Directory System Agent (DSA) – tworzy
hierarchię składowania danych w katalogu.
Dostarcza interfejsów dla interfejsów
programowych aplikacji API.
Database Layer – warstwa abstrakcyjna,
pośrednia dla odwołań do bazy danych.
Extensible Storage Engine – komunikuje się
bezpośrednio z rekordami w magazynie
katalogu.
Data store – plik bazy danych (Ntds.dit)
zarządzany przez motor bazy danych
(program narzędziowy Ntdsutil).
Directory System Agent (DSA)

Proces uruchamiany na każdym kontrolerze
domeny dla zarządzania fizycznym
składowaniem katalogu. Zapewnia:
◦
◦
◦
◦
◦
◦
Identyfikację obiektu.
Przetwarzanie transakcji.
Wymuszanie uaktualniania schematu.
Wymuszanie kontroli dostępu.
Wspiera replikacje.
Utrzymuje strukturę hierarchiczną bazy danych
oraz zapewnia szybki dostęp do jej zawartości
(odnośniki).
Motor ESE





Wdraża transakcyjny system bazy danych,
korzystający z plików dziennika dla zapewnienia
bezpieczeństwa transakcji (Esent.dll, Ntds.dit w
folderze %systemroot%\system32).
Umożliwia obsługę pliku bazy danych o rozmiarze
do 16 TB (~108 rekordów).
Przystosowany do obsługi rzadkich wierszy
macierzy.
Zapewnia obsługę schematu dynamicznego
(dostosowanie liczby atrybutów do aktualnie
definiowanego obiektu).
Umożliwia przechowywanie atrybutów o wielu
wartościach.
Baza danych usługi AD




Domyślna lokalizacja:
%systemroot%\Ntds.dit . Podczas
instalacji możliwa zmiana lokalizacji.
Zalecane umieszczenie bazy danych i
plików dziennika na oddzielnych
fizycznych dyskach – lepsza wydajność.
W zastosowaniach droższych RAID
sprzętowy (RAID-5 lub RAID-10).
Baza danych w pliku Ntds.dit. W trakcie
promocji jest kopiowany z katalogu
%systemroot%\system32 do
wyznaczonego katalogu i z niej
startowana jest usługa.
Udostępniony wolumen systemowy




Struktura istniejąca na wszystkich
kontrolerach domeny zawierająca skrypty i
obiekty zasad dla grup (zbiory ustawień
konfiguracyjnych powiązane z
poszczególnymi komputerami, lokacjami,
domenami dla sterowania zachowaniem
pulpitów użytkowników).
Domyślna lokalizacja: %systemroot%\Sysvol.
Udostępniony wolumen systemowy musi
znajdować się na partycji lub wolumenie
sformatowanym w systemie plików NTFS w
wersji 5.0.
Replikacja odbywa się według tego samego
harmonogramu co replikacja usługi AD (co 90
+rand(1..30) min).
Instalacja pierwszego kontrolera
domeny (1)
domeny (2)
domeny (3)
domeny (4)
domeny (5)
domeny (6)
domeny (7)
domeny (8)
domeny (9)
domeny (10)
domeny (11)
domeny (12)
domeny (13)
domeny (14)
domeny (15)
domeny (16)
Podłączanie klienta do domeny
(1)
Przeprowadza się od strony klienta
(2)
(3)
Drugi kontroler domeny (1)
Administrowanie zasobami
domeny
Konta domyślne



Wbudowane konta logowania – pseudokonta
instalowane wraz z systemem operacyjnym,
aplikacjami i usługami.
Wstępnie zdefiniowane – konta użytkowników i
grup tworzone przez system.
Wbudowane zabezpieczenia główne – specjalne
grupy tworzone w momencie uzyskiwania dostępu
do zasobów sieciowych, zwane tożsamościami
specjalnymi.
Wbudowane konta logowania
Do realizacji zadań specjalnych:
 System lokalny (LocalSystem) – do uruchamiania
procesów systemowych i obsługi zadań
systemowych. Większość usług korzysta z tego
konta przy uruchamianiu.
 Usługa lokalna (LocalService) – do uruchamiania
usług wymagających specjalnych uprawnień. Np.
alarmy.
 Usługa sieciowa (NetworkService) – do
uruchamiania usług wymagających dodatkowych
praw dostępu do sieci. Np. dzienniki wydajności.
Wbudowane konta użytkowników


W przypadku serwerów członkowskich są kontami
lokalnymi.
Mają swoje odpowiedniki w katalogu AD:
1. Administrator – nieograniczony dostęp do plików,
katalogów, usług i całego systemu. Nie można go
usunąć.
2. ASPNET – wykorzystywane przez system .NET
Framework do uruchamiania procesów.
3. Gość – zaprojektowane z myślą o użytkownikach
wymagających jednorazowego lub okazjonalnego
dostępu do systemu.
4. Pomocnik – wykorzystywane przez wbudowaną usługę:
Pomoc i obsługa techniczna.
Możliwości kont




Przywileje – rodzaj uprawnienia pozwalającego
użytkownikowi na wykonywanie określonych zadań
administracyjnych. Mogą być przypisane do kont
użytkowników i grup.
Prawa logowania – typ uprawnienia przyznający
możliwość logowania się do systemu.
Uprawnienia wbudowane – przypisany grupom i
zawierający ich automatyczne możliwości. Są
wstępnie zdefiniowane i nie mogą być zmieniane.
Np. Administratorzy, operatorzy kont.
Prawa dostępu – definiują operacje, które mogą
być wykonywane na zasobach sieciowych. Mogą
być przypisane użytkownikom, grupom i
komputerom.
Grupy




Stanowią inny typ konta.
Umożliwiają proste przydzielanie uprawnień
kontom użytkowników.
Prawa dostępu do różnych zasobów można
przydzielać po prostu tworząc odpowiednie grupy i
włączając do nich odpowiednich użytkowników.
Ponieważ w różnych domenach mogą istnieć grupy
o tych samych nazwach, nazwę grupy podaje się w
postaci domena\nazwa_grupy lub podając FQDN
dla grupy.
Rodzaje grup (1)



Grupy lokalne – zdefiniowane na lokalnym
komputerze. Odnoszą się tylko do tego komputera.
Tworzy się przy pomocy narzędzia Lokalni
użytkownicy i grupy.
Grupy zabezpieczeń – grupy mające przydzielone
identyfikatory zabezpieczeń SID. Tworzy się
narzędziem Użytkownicy i komputery Active
Directory.
Grupy dystrybucji – wykorzystywane jako listy
dystrybucyjne poczty elektronicznej. Nie posiadają
SID. Tworzy się narzędziem Użytkownicy i
komputery Active Directory.
Rodzaje grup 2
Lokalne domenowe – wykorzystywane do
przydzielania uprawnień w granicach pojedynczej
domeny. Członkami mogą być użytkownicy oraz
grupy z tej domeny.
 Wbudowane grupy lokalne – grupy o specjalnym
zakresie działania posiadające uprawnienia
domeny lokalnej.
 Globalne – grupy używane do przydzielania
uprawnień do obiektów w dowolnej domenie
należącej do drzewa lub lasu domen. W jej skład
wchodzą konta z domeny, w której zdefiniowano
grupę.
 Uniwersalne – grupy wykorzystywane do
przyznawania uprawnień w obrębie całego drzewa
lub lasu. W jej skład mogą wchodzić konta
użytkowników, grupy globalne oraz inne grupy
uniwersalne z domeny, drzewa lub lasu.

Definiowanie użytkownika
domenowego
Hasło użytkownika
Duże i małe litery rozróżnialne.
 Złożoność (pula znaków, długość,
hasła „słownikowe”).

Podsumowanie i braki
Dodatkowe atrybuty użytkownika

Active Directory Domain Controler (AD DC)

Transkrypt

Podobne dokumenty

Adresy w Sieci