Active Directory Domain Controler (AD...

ActiveActive DirectoryDirectory DomainDomain

ControlerControler (AD DC)(AD DC)

Grupa robocza (1)Grupa robocza (1)

Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki.

Jest określana mianem równoprawnej, gdyż wszystkie komputery współdzielą zasoby na równych prawach.

Każdy komputer grupy roboczej utrzymuje lokalną bazę danych o zabezpieczeniach: lista kont użytkowników i informacja o zabezpieczeniach lokalnych zasobów.

Administracja kontami użytkowników i

zabezpieczeniami jest zdecentralizowana –

użytkownik musi mieć konto na każdym

komputerze do zasobów którego chce mieć

dostęp.

Czynności administracyjne mają charakter

czysto lokalny – należy je wykonywać na

każdym komputerze grupy oddzielnie.

Nie wymaga komputera z systemem co najmniej 2000 Server dla utrzymywania zcentralizowanej bazy informacji o zabezpieczeniach.

Prosta do zaprojektowania i wdrożenia

Odpowiednia dla niewielkiej ilości komputerów położonych w bliskim sąsiedztwie.

Przeznaczona dla niewielkiej liczby użytkowników nie wymagających centralnej administracji.

Domena Windows (1)Domena Windows (1)

Jest logiczną grupą komputerów w sieci współdzielących centralną, katalogową bazę danych.

Baza składa się z kont użytkowników, informacji o pozostałych zasobach w sieci oraz zabezpieczeniach w domenie.

W Windows 2000/3/8 katalogowa baza danych nazywa się katalogiem i jest częścią usług obsługujących bazę danych ActiveDirectory.

W domenie katalog znajduje się na komputerach skonfigurowanych jako kontrolery domeny.

Udostępnia scentralizowaną administrację,

ponieważ wszystkie informacje

przechowywane są lokalnie.

Umożliwia użytkownikom jednokrotne

logowanie się w celu uzyskania dostępu do

określonych zasobów sieci (zgodnie z

uprawnieniami).

Jest skalowalna, co umożliwia tworzenie

dużych struktur sieciowych.

Cechy usługi Cechy usługi ActiveActive DirectoryDirectory

Organizuje zasoby w domenie w sposób hierarchiczny.

Skalowalność – wynikająca z podziału zasobów sieci na jednostki logiczne.

Wsparcie dla otwartych standardów - scala w sobie koncepcję internetowej przestrzeni nazw z usługami katalogowymi Windows NT.

Wykorzystuje DNS i może wymieniać informację z dowolnymi usługami wykorzystującymi LDAP (LightweightDirectory Access Protocol).

Struktura usługi ADStruktura usługi AD

Usługa rozdziela sieć na strukturę logiczną i fizyczną.

Zasoby zorganizowane są w strukturze logicznej, co pozwala na odnajdywanie zasobów przy użyciu ich nazw, a nie lokalizacji.

Przestrzeń nazw – ograniczony obszar w obrębie którego nazwa reprezentująca obiekt może być odnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów.

Organizacja logicznaOrganizacja logiczna

Przestrzeń nazw ciągła – jeśli nazwa

każdego obiektu zawiera sufiks

będący nazwą obiektu nadrzędnego

oraz istnieje jeden obiekt wyróżniony,

którego nazwa jest sufiksem

wszystkich pozostałych. Wyróżniony

obiekt to korzeń drzewa nazw.

Struktura logiczna (2)Struktura logiczna (2)

Obiekt – wyróżniony i nazwany zbiór

atrybutów reprezentujących np.

użytkownika, komputer,...

Zbiór klas – zestaw możliwych

rodzajów obiektów występujących w

Schemat – opis wszystkich klas i

wszystkich związanych z nimi

atrybutów.

Organizacja logiczna (3)Organizacja logiczna (3)

Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki:◦ DC – Domain Component (Microsoft, com)

◦ CN – Common Name (Users, Jan)

◦ OU – Organisation Unit

◦ O – Organisation (Internet)

Internet.com.Microsoft.Users.Jan

Domena – podstawowa jednostka

administracji wymagająca istnienia co

najmniej jednego kontrolera.

Drzewo domen – wiele domen mających

wspólny schemat i konfigurację, tworzących

ciągłą przestrzeń nazw.

Domeny połączone są przez przechodnie i

zwrotne relacje zaufania weryfikowane

przez protokół Kerberos.

Model domenyModel domeny

Model drzewa domenModel drzewa domen

Las – zbiór składający się z wielu drzew domen, które nie tworzą ciągłej przestrzeni nazw.

Replika – kopia bazy danych przechowywana przez kontroler domeny.

Partycja – jednostka replikacji bazy danych AD. Podstawowe to:◦ partycja domeny,

◦ partycja schematu,

◦ partycja konfiguracji.

Przykład lasu domenPrzykład lasu domen

Partycja domeny – informacje o obiektach w domenie. Replikowana w całości na każdy kontroler domeny.

Partycja schematu – zawiera definicje schematów (klasy, atrybuty).

Partycja konfiguracji – informacje o wszystkich domenach w lesie, kontrolerach i topologii replikacji.

Względna nazwa wyróżniająca Względna nazwa wyróżniająca

(RDN)(RDN) Część pełnej nazwy wyróżniającej

wykorzystywana do odnajdowania obiektów przez odpytywanie (nazwa wyróżniająca nie jest dokładnie znana).

Zazwyczaj jest to CN obiektu nadrzędnego.

W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN.

Unikalny identyfikator globalnyUnikalny identyfikator globalny

Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość.

Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona.

Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier).

GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu.

W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID).

Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt).

Nazwa główna użytkownikaNazwa główna użytkownika

User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN.

Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” (kowalski@bss.data.com).

UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usunięty bez wpływu na sposób logowania.

Struktura fizyczna (1)Struktura fizyczna (1)

Ściśle związana z DNS.

Nazwy domen to nazwy DNS.

AD wykorzystuje DNS do lokalizacji usług.

Siedziba (site) – jedna lub więcej podsieci IP

(wysoka jakość połączenia). Siedziba może

zawierać kontrolery wielu domen, jak i

pojedyncza domena może rozciągać się na

wiele siedzib.

Struktura fizyczna (2)Struktura fizyczna (2)

Siedziby służą:◦ Ograniczeniu ruchu replikacyjnego.

◦ Kierowania klienta do najbliższego mu serwera oferującego żądaną usługę.

Siedziby muszą być połączone, aby możliwa była komunikacja (głównie replikacyjna) między kontrolerami domen.

Połączenie – obszar zawierający jedną lub wiele siedzib, w obrębie którego serwery z różnych siedzib mogą łączyć się ze sobą.

Implementacja usługiImplementacja usługi

Model danych bazuje na modelu X.500. Schemat jest zaimplementowany jako zbiór

wystąpień klas obiektów składowanych w katalogu.

Model zabezpieczeń bazuje na strukturze Trusted Computing Base (TCB) z listami kontroli dostępu.

Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania.

Directory System Agent (DSA)-proces zarządzający fizycznym składowaniem katalogu. Izoluje klientów od fizycznego formatu składowanych danych.

Dostęp do usługiDostęp do usługi

Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji:◦ LDAP

◦ MAPI-RPC (Messaging ApplicationProgram Interface – Remote ProcedureCall)

◦ X.500

Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)

Model warstwowy usługi ADModel warstwowy usługi AD

InterfejsyInterfejsy

LDAP – protokół komunikacyjny w sieciach TCP/IP, umożliwia dostęp do usługi AD aplikacjom systemowym jak również tworzenie własnych aplikacji (otwarty standard).

REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjna i międzylokacyjna).

SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT).

MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC.

Składniki usługi ADSkładniki usługi AD

Directory System Agent (DSA) – tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla interfejsów programowych aplikacji API.

Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych.

Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu.

Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil).

DirectoryDirectory System Agent (DSA)System Agent (DSA)

Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia:◦ Identyfikację obiektu.

◦ Przetwarzanie transakcji.

◦ Wymuszanie uaktualniania schematu.

◦ Wymuszanie kontroli dostępu.

◦ Wspiera replikacje.

◦ Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki).

Motor ESEMotor ESE

Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.dit w folderze %systemroot%\system32).

Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów).

Przystosowany do obsługi rzadkich wierszy macierzy.

Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu).

Umożliwia przechowywanie atrybutów o wielu wartościach.

Baza danych usługi ADBaza danych usługi AD

Domyślna lokalizacja: %systemroot%\Ntds.dit . Podczas instalacji możliwa zmiana lokalizacji.

Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach – lepsza wydajność.

W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10).

Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa.

Udostępniony wolumen systemowyUdostępniony wolumen systemowy

Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad dla grup (zbiory ustawień konfiguracyjnych powiązane z poszczególnymi komputerami, lokacjami, domenami dla sterowania zachowaniem pulpitów użytkowników).

Domyślna lokalizacja: %systemroot%\Sysvol. Udostępniony wolumen systemowy musi

znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0.

Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD (co 90 +rand(1..30) min).

Instalacja pierwszego kontrolera Instalacja pierwszego kontrolera

domeny (1)domeny (1)

Podłączanie klienta do domeny Podłączanie klienta do domeny

(1)(1)

Przeprowadza się od strony klienta

(2)(2)

(3)(3)

Drugi kontroler domeny (1)Drugi kontroler domeny (1)

Administrowanie zasobami Administrowanie zasobami

domenydomeny

Konta domyślneKonta domyślne

Wbudowane konta logowania – pseudokonta

instalowane wraz z systemem operacyjnym,

aplikacjami i usługami.

Wstępnie zdefiniowane – konta użytkowników i

grup tworzone przez system.

Wbudowane zabezpieczenia główne – specjalne

grupy tworzone w momencie uzyskiwania dostępu

do zasobów sieciowych, zwane tożsamościami

specjalnymi.

Wbudowane konta logowaniaWbudowane konta logowania

Do realizacji zadań specjalnych:

System lokalny (LocalSystem) – do uruchamiania procesów systemowych i obsługi zadań systemowych. Większość usług korzysta z tego konta przy uruchamianiu.

Usługa lokalna (LocalService) – do uruchamiania usług wymagających specjalnych uprawnień. Np. alarmy.

Usługa sieciowa (NetworkService) – do uruchamiania usług wymagających dodatkowych praw dostępu do sieci. Np. dzienniki wydajności.

Wbudowane konta użytkownikówWbudowane konta użytkowników

W przypadku serwerów członkowskich są kontami lokalnymi.

Mają swoje odpowiedniki w katalogu AD:

1. Administrator – nieograniczony dostęp do plików, katalogów, usług i całego systemu. Nie można go usunąć.

2. ASPNET – wykorzystywane przez system .NET Framework do uruchamiania procesów.

3. Gość – zaprojektowane z myślą o użytkownikach wymagających jednorazowego lub okazjonalnego dostępu do systemu.

4. Pomocnik – wykorzystywane przez wbudowaną usługę: Pomoc i obsługa techniczna.

Możliwości kontMożliwości kont

Przywileje – rodzaj uprawnienia pozwalającego użytkownikowi na wykonywanie określonych zadań administracyjnych. Mogą być przypisane do kont użytkowników i grup.

Prawa logowania – typ uprawnienia przyznający możliwość logowania się do systemu.

Uprawnienia wbudowane – przypisany grupom i zawierający ich automatyczne możliwości. Są wstępnie zdefiniowane i nie mogą być zmieniane. Np. Administratorzy, operatorzy kont.

Prawa dostępu – definiują operacje, które mogą być wykonywane na zasobach sieciowych. Mogą być przypisane użytkownikom, grupom i komputerom.

GrupyGrupy

Stanowią inny typ konta.

Umożliwiają proste przydzielanie uprawnień kontom użytkowników.

Prawa dostępu do różnych zasobów można przydzielać po prostu tworząc odpowiednie grupy i włączając do nich odpowiednich użytkowników.

Ponieważ w różnych domenach mogą istnieć grupy o tych samych nazwach, nazwę grupy podaje się w postaci domena\nazwa_grupy lub podając FQDN dla grupy.

Rodzaje grup (1)Rodzaje grup (1)

Grupy lokalne – zdefiniowane na lokalnym komputerze. Odnoszą się tylko do tego komputera. Tworzy się przy pomocy narzędzia Lokalni użytkownicy i grupy.

Grupy zabezpieczeń – grupy mające przydzielone identyfikatory zabezpieczeń SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory.

Grupy dystrybucji – wykorzystywane jako listy dystrybucyjne poczty elektronicznej. Nie posiadają SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory.

Rodzaje grup 2Rodzaje grup 2

Lokalne domenowe – wykorzystywane do przydzielania uprawnień w granicach pojedynczej domeny. Członkami mogą być użytkownicy oraz grupy z tej domeny.

Wbudowane grupy lokalne – grupy o specjalnym zakresie działania posiadające uprawnienia domeny lokalnej.

Globalne – grupy używane do przydzielania uprawnień do obiektów w dowolnej domenie należącej do drzewa lub lasu domen. W jej skład wchodzą konta z domeny, w której zdefiniowano grupę.

Uniwersalne – grupy wykorzystywane do przyznawania uprawnień w obrębie całego drzewa lub lasu. W jej skład mogą wchodzić konta użytkowników, grupy globalne oraz inne grupy uniwersalne z domeny, drzewa lub lasu.

Definiowanie użytkownika Definiowanie użytkownika

domenowegodomenowego

Hasło użytkownikaHasło użytkownika

Duże i małe litery rozróżnialne.

Złożoność (pula znaków, długość, hasła „słownikowe”).

Podsumowanie i brakiPodsumowanie i braki

Dodatkowe atrybuty użytkownikaDodatkowe atrybuty użytkownika

Active Directory Domain Controler (AD...

Documents

napŒdy i sterowanie Autotransformatory · 2010. 7. 7. · Autotransformator jest specjaln„ odmian„ transformatora, w której po‡„czono uzwojenia pierwotne i wtórne, rezygnuj„c

Dr. Rainer Baumann, ABB STOTZ-KONTAKT GmbH; Dr. …€¦ · Integration von Schlüsselkomponenten der Fabrikautomation . ... Slide 10. Integration von ... Motor controler Soft‐starter

arbeitsbuch menschen a2 2хайлайт42.рф/assets/images/uslugi/obuchenie-yazykam... · TEST Familie. Ergänzen Sie. a Cousin und Cousine b und Nichte d Schwiegervater und Ordnen

Produkt- information TLC 640-01 Türlautsprecher-Controler€¦ · TLC 640-01 Programmierung Die Programmierung des TLC 640-01 kann auf 2 Arten erfolgen - direkt am Gerät über Programmiertasten

UMOWA NR CGM/……/…… · Web viewPodstawą zawarcia niniejszej Umowy, zwanej dalej „Umową”, jest wybór najkorzystniejszej oferty w przeprowadzonym postępowaniu o udzielenie

Bluetooth USB Adaptercache- · 2011. 7. 15. · Cechy Produktu Adapter USB jest zgodny ze standardem Bluetooth wersja 1.2 i zapewnia: • Zgodność ze specyfikacją urządzeń Bluetooth

Unsere Schule trägt den Namen Kurt Tucholsky. Er lebte von 1890 bis 1935. To jest patron naszej szkoly. On żył od 1890 od 1935. Our school is named after

Medizin, Schönheit und Du · 2008-07-28 · Bioptron Pro 1 - nowa potężna broń w walce z uporczywymi dolegliwościami ! Światło jest źródłem dobrego samopoczucia, wyso-kiej

Programm der Exkursion nach Warschau 2013 ... · Gdzie tutaj jest apteka? /gdschje tl!taj jeßt apt.Eb/ Pro~ mi dac cos na prezit;mbienief biegunky kasze/JprOsche mi datch zosch na

Tapezieren Kleben Spachteln Renovieren · 2016· 01 You can find the total range in our main catalogue. Cały asortyment jest dostępny w naszym głównym katalogu. Kompletní sortiment

List & Label Report - DAKOTEC · 2014. 10. 16. · NX242ES, LAB Gruppen FP10000, 4x2,1kW 50,00 Amp-Rack Nexo PS10 (2 Wege), 2x 1600W 2x 1600W 4Ohm, mit Controler & Frontanschlusspanel

Trafo + Controler · 2016-09-06 · Trafo + Controler 2 1 - Verkkoliitäntäjohto 2 - Liitäntäpistoke 1 - Netzanschlusskabel 2 - Anschluss-Stecker 3 - Buchse 4 - Rotes Anschlusskabel

il. 1 Projekt konkursowy Urbs na Stadthaus w Nysie ... · * Artykuł jest rozszerzoną wersją referatu wygłoszonego na konferencji naukowej Region w państwie ‒ państwo w regionie

RedCart.pl · Phantom 3 Standard - Instrukcja obstugi czenie nadajnika ze statkiem Phantom 3 Standard est potaczony z nadajnikiem domyšlnie, a ponowne potaczen'e jest potrzebne 'edynie,

ALLes DreHT sicH UM sie ZAWsZe Z MYŚLĄ service O TOBiedartech.com.pl/storage/app/media/MisjaOlivaTorras.pdf · klienta. Nasza główna siedziba zlokalizowana jest w Manresa, (okolice

Разрез 1-1.jyU:2Q0 Таблица грузоподъемности Liebherr 200 ...pprexpert.ru/uslugi/razrabotka-ppr/ppr-na-krovelnye-raboty/ППР на... · 2. Максимальная

Spare parts list - pwoutlet.com hd2.5_30 ch_cs.pdf · Liczba sztuk podana jest jako minimal-na ilość zamówienia =1m i w zależności od potrzeb zwiększa się ją o kolejne pełne

Programmierhandbuchzander/kcc/kcc_phb.pdf · Controler und ein Flipflop zum Schalten der Motoren der Dis-kettenlaufwerke, die im I/O-Adreßraum des 'KC compact' liegen. Sie sind über

Achtung! Warning! Varning! - Jordbruksverket · 2019-06-11 · ba nie jest niebezpieczna dla ludzi, ale pozostałości żywności, takie jak kiełbasy i szynka, mogą rozprzestr-zeniać

KESSE L- Duschrinne Linearis Comfort · 2019. 3. 8. · DIN 49073 i DIN VDE 0606. To gniazdo kontaktowe jest przeznaczone wyłcznie do tego celu. Z racji moliwych problemów z miejscem