Active Directory Domain Controler (AD DC)carme.pld-linux.org/~evil/varia/informatyka/semestr_6/uslugi... · Domena Windows (1) Jest logiczną ... Administrowanie zasobami domeny

ActiveActive DirectoryDirectory DomainDomain

ControlerControler (AD DC)(AD DC)

Grupa robocza (1)Grupa robocza (1)

Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki.

Jest określana mianem równoprawnej, gdyż wszystkie komputery współdzielą zasoby na równych prawach.

Każdy komputer grupy roboczej utrzymuje lokalną bazę danych o zabezpieczeniach: lista kont użytkowników i informacja o zabezpieczeniach lokalnych zasobów.


Administracja kontami użytkowników i

zabezpieczeniami jest zdecentralizowana –

użytkownik musi mieć konto na każdym

komputerze do zasobów którego chce mieć

dostęp.

Czynności administracyjne mają charakter

czysto lokalny – należy je wykonywać na

każdym komputerze grupy oddzielnie.



Nie wymaga komputera z systemem co najmniej 2000 Server dla utrzymywania zcentralizowanej bazy informacji o zabezpieczeniach.

Prosta do zaprojektowania i wdrożenia

Odpowiednia dla niewielkiej ilości komputerów położonych w bliskim sąsiedztwie.

Przeznaczona dla niewielkiej liczby użytkowników nie wymagających centralnej administracji.

Domena Windows (1)Domena Windows (1)

Jest logiczną grupą komputerów w sieci współdzielących centralną, katalogową bazę danych.

Baza składa się z kont użytkowników, informacji o pozostałych zasobach w sieci oraz zabezpieczeniach w domenie.

W Windows 2000/3/8 katalogowa baza danych nazywa się katalogiem i jest częścią usług obsługujących bazę danych ActiveDirectory.

W domenie katalog znajduje się na komputerach skonfigurowanych jako kontrolery domeny.


Udostępnia scentralizowaną administrację,

ponieważ wszystkie informacje

przechowywane są lokalnie.

Umożliwia użytkownikom jednokrotne

logowanie się w celu uzyskania dostępu do

określonych zasobów sieci (zgodnie z

uprawnieniami).

Jest skalowalna, co umożliwia tworzenie

dużych struktur sieciowych.


Cechy usługi Cechy usługi ActiveActive DirectoryDirectory

Organizuje zasoby w domenie w sposób hierarchiczny.

Skalowalność – wynikająca z podziału zasobów sieci na jednostki logiczne.

Wsparcie dla otwartych standardów - scala w sobie koncepcję internetowej przestrzeni nazw z usługami katalogowymi Windows NT.

Wykorzystuje DNS i może wymieniać informację z dowolnymi usługami wykorzystującymi LDAP (LightweightDirectory Access Protocol).

Struktura usługi ADStruktura usługi AD

Usługa rozdziela sieć na strukturę logiczną i fizyczną.

Zasoby zorganizowane są w strukturze logicznej, co pozwala na odnajdywanie zasobów przy użyciu ich nazw, a nie lokalizacji.

Przestrzeń nazw – ograniczony obszar w obrębie którego nazwa reprezentująca obiekt może być odnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów.

Organizacja logicznaOrganizacja logiczna

Przestrzeń nazw ciągła – jeśli nazwa

każdego obiektu zawiera sufiks

będący nazwą obiektu nadrzędnego

oraz istnieje jeden obiekt wyróżniony,

którego nazwa jest sufiksem

wszystkich pozostałych. Wyróżniony

obiekt to korzeń drzewa nazw.

Struktura logiczna (2)Struktura logiczna (2)

Obiekt – wyróżniony i nazwany zbiór

atrybutów reprezentujących np.

użytkownika, komputer,...

Zbiór klas – zestaw możliwych

rodzajów obiektów występujących w

AD.

Schemat – opis wszystkich klas i

wszystkich związanych z nimi

atrybutów.

Organizacja logiczna (3)Organizacja logiczna (3)

Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki:◦ DC – Domain Component (Microsoft, com)

◦ CN – Common Name (Users, Jan)

◦ OU – Organisation Unit

◦ O – Organisation (Internet)

Internet.com.Microsoft.Users.Jan


Domena – podstawowa jednostka

administracji wymagająca istnienia co

najmniej jednego kontrolera.

Drzewo domen – wiele domen mających

wspólny schemat i konfigurację, tworzących

ciągłą przestrzeń nazw.

Domeny połączone są przez przechodnie i

zwrotne relacje zaufania weryfikowane

przez protokół Kerberos.

Model domenyModel domeny

Model drzewa domenModel drzewa domen


Las – zbiór składający się z wielu drzew domen, które nie tworzą ciągłej przestrzeni nazw.

Replika – kopia bazy danych przechowywana przez kontroler domeny.

Partycja – jednostka replikacji bazy danych AD. Podstawowe to:◦ partycja domeny,

◦ partycja schematu,

◦ partycja konfiguracji.

Przykład lasu domenPrzykład lasu domen


Partycja domeny – informacje o obiektach w domenie. Replikowana w całości na każdy kontroler domeny.

Partycja schematu – zawiera definicje schematów (klasy, atrybuty).

Partycja konfiguracji – informacje o wszystkich domenach w lesie, kontrolerach i topologii replikacji.

Względna nazwa wyróżniająca Względna nazwa wyróżniająca

(RDN)(RDN) Część pełnej nazwy wyróżniającej

wykorzystywana do odnajdowania obiektów przez odpytywanie (nazwa wyróżniająca nie jest dokładnie znana).

Zazwyczaj jest to CN obiektu nadrzędnego.

W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN.

Unikalny identyfikator globalnyUnikalny identyfikator globalny

Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość.

Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona.

Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier).

GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu.

W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID).

Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt).

Nazwa główna użytkownikaNazwa główna użytkownika

User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN.

Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” ([email protected]).

UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usunięty bez wpływu na sposób logowania.

Struktura fizyczna (1)Struktura fizyczna (1)

Ściśle związana z DNS.

Nazwy domen to nazwy DNS.

AD wykorzystuje DNS do lokalizacji usług.

Siedziba (site) – jedna lub więcej podsieci IP

(wysoka jakość połączenia). Siedziba może

zawierać kontrolery wielu domen, jak i

pojedyncza domena może rozciągać się na

wiele siedzib.

Struktura fizyczna (2)Struktura fizyczna (2)

Siedziby służą:◦ Ograniczeniu ruchu replikacyjnego.

◦ Kierowania klienta do najbliższego mu serwera oferującego żądaną usługę.

Siedziby muszą być połączone, aby możliwa była komunikacja (głównie replikacyjna) między kontrolerami domen.

Połączenie – obszar zawierający jedną lub wiele siedzib, w obrębie którego serwery z różnych siedzib mogą łączyć się ze sobą.

Implementacja usługiImplementacja usługi

Model danych bazuje na modelu X.500. Schemat jest zaimplementowany jako zbiór

wystąpień klas obiektów składowanych w katalogu.

Model zabezpieczeń bazuje na strukturze Trusted Computing Base (TCB) z listami kontroli dostępu.

Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania.

Directory System Agent (DSA)-proces zarządzający fizycznym składowaniem katalogu. Izoluje klientów od fizycznego formatu składowanych danych.

Dostęp do usługiDostęp do usługi

Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji:◦ LDAP

◦ MAPI-RPC (Messaging ApplicationProgram Interface – Remote ProcedureCall)

◦ X.500

Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)

Model warstwowy usługi ADModel warstwowy usługi AD

InterfejsyInterfejsy

LDAP – protokół komunikacyjny w sieciach TCP/IP, umożliwia dostęp do usługi AD aplikacjom systemowym jak również tworzenie własnych aplikacji (otwarty standard).

REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjna i międzylokacyjna).

SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT).

MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC.

Składniki usługi ADSkładniki usługi AD

Directory System Agent (DSA) – tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla interfejsów programowych aplikacji API.

Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych.

Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu.

Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil).

DirectoryDirectory System Agent (DSA)System Agent (DSA)

Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia:◦ Identyfikację obiektu.

◦ Przetwarzanie transakcji.

◦ Wymuszanie uaktualniania schematu.

◦ Wymuszanie kontroli dostępu.

◦ Wspiera replikacje.

◦ Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki).

Motor ESEMotor ESE

Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.dit w folderze %systemroot%\system32).

Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów).

Przystosowany do obsługi rzadkich wierszy macierzy.

Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu).

Umożliwia przechowywanie atrybutów o wielu wartościach.

Baza danych usługi ADBaza danych usługi AD

Domyślna lokalizacja: %systemroot%\Ntds.dit . Podczas instalacji możliwa zmiana lokalizacji.

Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach – lepsza wydajność.

W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10).

Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa.

Udostępniony wolumen systemowyUdostępniony wolumen systemowy

Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad dla grup (zbiory ustawień konfiguracyjnych powiązane z poszczególnymi komputerami, lokacjami, domenami dla sterowania zachowaniem pulpitów użytkowników).

Domyślna lokalizacja: %systemroot%\Sysvol. Udostępniony wolumen systemowy musi

znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0.

Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD (co 90 +rand(1..30) min).

Instalacja pierwszego kontrolera Instalacja pierwszego kontrolera

domeny (1)domeny (1)































Podłączanie klienta do domeny Podłączanie klienta do domeny

(1)(1)

Przeprowadza się od strony klienta


(2)(2)


(3)(3)

Drugi kontroler domeny (1)Drugi kontroler domeny (1)






Administrowanie zasobami Administrowanie zasobami

domenydomeny

Konta domyślneKonta domyślne

Wbudowane konta logowania – pseudokonta

instalowane wraz z systemem operacyjnym,

aplikacjami i usługami.

Wstępnie zdefiniowane – konta użytkowników i

grup tworzone przez system.

Wbudowane zabezpieczenia główne – specjalne

grupy tworzone w momencie uzyskiwania dostępu

do zasobów sieciowych, zwane tożsamościami

specjalnymi.

Wbudowane konta logowaniaWbudowane konta logowania

Do realizacji zadań specjalnych:

System lokalny (LocalSystem) – do uruchamiania procesów systemowych i obsługi zadań systemowych. Większość usług korzysta z tego konta przy uruchamianiu.

Usługa lokalna (LocalService) – do uruchamiania usług wymagających specjalnych uprawnień. Np. alarmy.

Usługa sieciowa (NetworkService) – do uruchamiania usług wymagających dodatkowych praw dostępu do sieci. Np. dzienniki wydajności.

Wbudowane konta użytkownikówWbudowane konta użytkowników

W przypadku serwerów członkowskich są kontami lokalnymi.

Mają swoje odpowiedniki w katalogu AD:

1. Administrator – nieograniczony dostęp do plików, katalogów, usług i całego systemu. Nie można go usunąć.

2. ASPNET – wykorzystywane przez system .NET Framework do uruchamiania procesów.

3. Gość – zaprojektowane z myślą o użytkownikach wymagających jednorazowego lub okazjonalnego dostępu do systemu.

4. Pomocnik – wykorzystywane przez wbudowaną usługę: Pomoc i obsługa techniczna.

Możliwości kontMożliwości kont

Przywileje – rodzaj uprawnienia pozwalającego użytkownikowi na wykonywanie określonych zadań administracyjnych. Mogą być przypisane do kont użytkowników i grup.

Prawa logowania – typ uprawnienia przyznający możliwość logowania się do systemu.

Uprawnienia wbudowane – przypisany grupom i zawierający ich automatyczne możliwości. Są wstępnie zdefiniowane i nie mogą być zmieniane. Np. Administratorzy, operatorzy kont.

Prawa dostępu – definiują operacje, które mogą być wykonywane na zasobach sieciowych. Mogą być przypisane użytkownikom, grupom i komputerom.

GrupyGrupy

Stanowią inny typ konta.

Umożliwiają proste przydzielanie uprawnień kontom użytkowników.

Prawa dostępu do różnych zasobów można przydzielać po prostu tworząc odpowiednie grupy i włączając do nich odpowiednich użytkowników.

Ponieważ w różnych domenach mogą istnieć grupy o tych samych nazwach, nazwę grupy podaje się w postaci domena\nazwa_grupy lub podając FQDN dla grupy.

Rodzaje grup (1)Rodzaje grup (1)

Grupy lokalne – zdefiniowane na lokalnym komputerze. Odnoszą się tylko do tego komputera. Tworzy się przy pomocy narzędzia Lokalni użytkownicy i grupy.

Grupy zabezpieczeń – grupy mające przydzielone identyfikatory zabezpieczeń SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory.

Grupy dystrybucji – wykorzystywane jako listy dystrybucyjne poczty elektronicznej. Nie posiadają SID. Tworzy się narzędziem Użytkownicy i komputery Active Directory.

Rodzaje grup 2Rodzaje grup 2

Lokalne domenowe – wykorzystywane do przydzielania uprawnień w granicach pojedynczej domeny. Członkami mogą być użytkownicy oraz grupy z tej domeny.

Wbudowane grupy lokalne – grupy o specjalnym zakresie działania posiadające uprawnienia domeny lokalnej.

Globalne – grupy używane do przydzielania uprawnień do obiektów w dowolnej domenie należącej do drzewa lub lasu domen. W jej skład wchodzą konta z domeny, w której zdefiniowano grupę.

Uniwersalne – grupy wykorzystywane do przyznawania uprawnień w obrębie całego drzewa lub lasu. W jej skład mogą wchodzić konta użytkowników, grupy globalne oraz inne grupy uniwersalne z domeny, drzewa lub lasu.

Definiowanie użytkownika Definiowanie użytkownika

domenowegodomenowego

Hasło użytkownikaHasło użytkownika

Duże i małe litery rozróżnialne.

Złożoność (pula znaków, długość, hasła „słownikowe”).

Podsumowanie i brakiPodsumowanie i braki

Dodatkowe atrybuty użytkownikaDodatkowe atrybuty użytkownika

Documents

Active Directory Domain Controler (AD DC)carme.pld-linux.org/~evil/varia/informatyka/semestr_6/uslugi... · Domena Windows (1) Jest logiczną ... Administrowanie zasobami domeny