Documente Academic
Documente Profesional
Documente Cultură
2013
Cuprins
1.Noiuni introductive. Problema. ............................................................. 3 1.1. 1.2. 1.3. 2. Serviciile Active Directory ........................................................... 4 Active Directory: director de informaii........................................ 7 Structura Active Directory........................................................... 9
Functionalitati Active Directory....................................................... 11 2.1. Administrare simplificata .............................................................. 11 2.2. Scalabilitate ................................................................................. 12 2.3. Suport standard pentru alte servicii ............................................. 13
3.
Princiipii de organizare................................................................... 15 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. Obiecte in Active Directory ....................................................... 15 Structura logic ........................................................................ 17 Domeniul .................................................................................. 18 Unitatea organizationala........................................................... 19 Arborele (Tree) ......................................................................... 20 Pdurea (forest) ....................................................................... 21 Catalogul global ....................................................................... 22
4. 5. 6.
Serviciile Active Directory Sursa: Active Directory For Dummies, 2nd edition
Active Directory Federation Services ncepnd cu varianta R2 al Windows Server 2003, Microsoft a inclus un pachet software opional numit Federation Service. Acesta ofer serviciul Single Sign-on (SSO) care ajut la minimalizarea numrului de ID-uri de logare si parole pe care utilizatorul trebuie s le introduc i simplific modul n care utilizatorii pot accesa resursele n alte medii IT. Acest soft face acum parte din Windows Server si a fosr redenumit Active Directory Federation Services sau AD FS.
Active Directory Certificate Services Certificate Services au fost n software-ul Windows Server de mai mult timp. Cu acest software se poate desemna o autoritate de certificare care poate emite chei publice folosite n autentificare prin smart cards sau criptarea datelor nainte de a fi trimise n reea. Serviciul de certificare ofer de asemenea administrarea necesar acestor certificate astfel nct acestea pot fi rennoite sau respinse.
Active Directory Rights Management Services Administrarea utilizatorilor pentru a stabili anumite restricii n ceea ce acetia fac cu datele a fost o problem pentru cele mai multe organizaii. Chiar dac Active Directory a realizat un control n ceea ce privete dreptul de acces asupra unui document, nu se putea controla ce va face utilizatorul cu datele dup ce acesta le acceseaz. Introducerea serviciului de management asupra drepturilor utilizatorilor a oferit organizaiilor controlul extins asupra documentelor. Spre exemplu un utilizator nu poate trimite prin e-mail un anumit document ctre utilizatori neautorizai.
Cmpurile de informaii Sursa: Active Directory For Dummies, 2nd edition Capacitatea acestui catalog de a primi ct i de a modifica datele fac ca Active Directory s fie un serviciu director. De ce nu putem considera Active Directory o baz de date? Este cert c are anumite funcionaliti comune bazelor de date incluznd stocarea, regasirea sau replicarea datelor, ns sunt anumite diferee importante. n primul rnd, serviciul de directoare este n mod normal optimiziat pentru citire deoare acestea reprezint marea majoritate a operaiilor care sunt executate i de obicei datele nu se schimb. Deasemena datele sunt structurate ntrun mod ierarhic, lucru care permite atribuirea denumirii de serviciu director. Repetnd analogia cu catalogul de telefoane, Pagini Aurii organizeaz obiectele n funcie de tipul de afacere. n acest mod se realizeaz cutarea mult mai rapid. Acelai lucru se poate spune i despre un serviciu director obiectele se pot organiza n containere de informaii care permit gsirea obiectelor mult mai uor, n comparaie cu o baz de date relaional cum ar fi Microsoft SQL Server, care este optimizat att pentru citire ct i pentru scriere deoarece datele sunt des citite i scrise. Deasemenea o baz de date n general nu ofer un mod ierarhic de organizare a datelor aa cum se ntmpl n cazul serviciului director.
- Partea logic: structura logic ofer organizarea obiectelor. Aceste obiecte pot reprezenta utilizatori, calculatoare, grupuri i o varietate de alte entiti care sunt n mediul IT. Aceast structur este n primul rnd dependent de modul n care se dorete administrarea infrastructurii IT ct i de modul n care este structurat organizaia
- Partea fizic: toate serviciile de sub umbrela Active Directory sunt oferite de servere care ruleaz softul Active Directory. Aceste servere reprezint obiecte fizice care trebuiesc plasate n reea. Dup ce aceste servere sunt plasate, trebuie definit modul n care serverele vor comunica unele cu altele i cum vor fi direcionai utilizatorii ctre ele. Aceast topologie fizic este critic pentru o funcionare bun.
Dac ne referim din nou la analogia cu catalogul de telefoane, dac intrrile nu sunt plasate n categoriile corecte (locuine, restaurante, firme) nimeni nu poate gsi informaia pentru a fi utilizat.
10
11
2.2. Scalabilitate
Stocheaz informaia prin organizarea n seciuni care permit stocarea unui numr nelimitat de obiecte. Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar pot gzdui la fel de bine mai multe mii de calculatoare. Astfel directorul se poate extinde pentru a satisface cerinele diferitelor situaii: - Instalri mici cu un server i cteva sute de obiecte Pentru companiile mici si mijlocii sau organizatii mici. - Instalri mari cu sute de servere i milioane de obiecte Pentru companii mari sau organizatii extinse. 12
13
Avantajul pe care il ofera este legat de posibilitatea clienilor de a modifica tabelele DNS n mod dinamic. Prin folosirea serviciului DDNS se elimin nevoia de a desemna pe cineva care s redenumeasc serviciile. Orice obiect din Acive Directory se poate afia ca o pagina HTML n browser.
14
3. Princiipii de organizare
3.1. Obiecte in Active Directory
Active Directory (AD) - este o ierarhie de cteva obiecte, unde obiectele se mpart n trei categorii: resurse (ex: imprimant), servicii (ex: pota electronic), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziie informaii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securitii.. Fiecare obiect indiferent de categorie reprezint o entitate i atributele ei, unde 'entitate' poate fi - "Utilizator", "Calculator", "Imprimant", "Aplicaie" sau "Resurs Partajat". Mai mult dect att, un obiect poate s conin i alte obiecte. Atributele obiectului (structura de baz a obiectului n sine) sunt definite de o "schem", care la rndul ei definete i tipul obiectelor care pot fi stocate ca subobiecte n obiectul dat. Totul pare complicat, ns n realitate e mai simplu dect pare. Aceste reguli au fost inventate numai cu scopul ca s poat cumva s reflecte situaiile ntlnite de noi n fiecare zi. Pentru a le nelege, e mai bine s ne nchipuim o situaie care trebuie cumva reflectat n lumea IT, i printr-o metod de pseudo-inducie vom ajunge exact la ceea ce a fost expus mai sus. O "schem" e compus din dou tipuri de obiecte (sau meta-datele schemei): "clasa" i atributele". Aceste metadate exist cu scopul de a extinde sau modifica schema. Din motiv ce metadatele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicat schem), odata ce am modificat schema, efectele se raspndesc pe toate obiectele din Active Directory la care a fost aplicata schema dat - prin aceast caracteristic "Active Directory" este foarte puternic dar i foarte periculos - o modificare nechibzuit poate duce la efecte nedorite de nivel global (cum ar fi: scderi din salariu de nivel esenial, imposibilitatea ndeplinirii lucrului oamenilor care sunt 15
dependeni de efectele modificrii). O schem creat poate fi numai deactivat, nu i tears - deoarece crearea sau modificarea unei scheme este bazat pe motive serioase. Mai jos este prezentata o figura in care sunt prezentate principalele tipuri de obiecte din Active Directory.
16
17
3.3. Domeniul
Conform terminologiei Microsoft, domeniul este reprezentat dintrun grup de calculatoare care fac parte dintr-o reea i care folosesc n comun aceeai baz de date n care sunt reprezentate resursele reelei. Domeniul este administrat ca entitate distinct, cu reguli i proceduri comune pentru toate calculatoarele care l compun. Domeniile sunt recunoscute prin nume. Calculatoarele membre ale domeniului respect politica de securitate a domeniului. n plus, domeniul ofer i soluia administrrii centralizate a tuturor resurselor reelei, indiferent unde ar fi ele distribuite: administrarea bazei de date a domeniului este n fond soluia pentru administrarea tuturor resurselor reprezentate prin obiecte nscrise n aceast baz de date. O singur operaie de logon n domeniu (deschidere de sesiune) este suficient pentru ca un utilizator s fie recunoscut n domeniu i s aib acces la resursele domeniului, n limita permisiunilor i a privilegiilor de care dispune. Reprezentarea grafic a domeniului este triunghiul care sugereaz frontiera de administrare, frontiera de securitate i aezarea ierarhic a componentelor sale. Domeniul este construit n jurul unui controler de domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin un controler de domeniu. El deine toate informaiile despre domeniu, despre resursele reelei i este serverul folosit pentru autentificarea n domeniu (logon n domeniu). Crearea unui domeniu se obine prin crearea controlerului de domeniu. Instalarea serviciului Active Directory pe un server l transform n controler de domeniu.
18
19
20
22
4. Replicarea
Serviciul Active Directory Service funcioneaz pe baza informaiile stocate pe controlerele de domeniu. Pentru existena unui domeniu este nevoie de un controler de domeniu. ntr-un domeniu pot funciona unul sau mai multe controlere de domeniu. Fiecare controler de domeniu deine un exemplar al bazei de date Active Directory. Modificrile efectuate ntr-un exemplar vor fi sincronizate cu celelalte exemplare Active Directory, n aa fel nct toate exemplarele de pe toate controlerele din domeniu s fie identice. Operaia de sincronizare a exemplarelor Active Directory este o replicare multi-master. Fiecare controler de domeniu deine un exemplar master al domeniului, adic fiecare exemplar poate fi modificat, prin crearea i tergerea de obiecte, prin modificarea valorilor asociate proprietilor (atributelor) unui obiect. Din timp n timp modificrile survenite ntr-un exemplar vor fi transmise celorlalte controlere de domeniu. Baza de date Active Directory este mprit, separat din punct de vedere logic n partiii. Fiecare partiie este o unitate de replicare i poate avea propria topologie de replicare.
23
5. Concluzii
In aceasta lucrare a fost prezentat Serviciul Director Active Directory. Principalele avantaje oferite de implementarea Active Directory n retea sunt descrise n continuare. Autentificarea utilizatorilor permite identificarea fara echivoc a fiecarui utilizator al retelei pe baza de utilizator si parola unica. Autorizarea accesului la resurse pentru fiecare resursa din retea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective. Administrarea centralizata a tuturor serverelor si statiilor de lucru din retea. Aplicarea consistenta a unor politici de securitate n cadrul retelei. Acesta din urma este n particular un avantaj foarte important n procesul de securizare al retelei. Active directory ajuta la administrarea resurselor intr-un mod centralizat. Permite instalarea unor politici de securitate. Permite instalarea programelor in functie de grupul din care face parte utilizatorul. Permite utilizatorilor gasirea rapida a resurselor din intreaga retea. Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar pot gzdui la fel de bine mai multe mii de calculatoare.
24
6. Bibliografie
1. Active Directory For Dummies, 2nd Edition, Published by Wiley Publishing, Inc. 2. Active Directory Cookbook 3rd Edition Dec 2008, Laura E. Hunter and Robbie Allen 3. Wikipedia 4. Active Directory: Designing, Deploying, and Running Active Directory by Brian Desmond, Joe Richards, Robbie Allen and Alistair G. Lowe-Norris (Mar 22, 2013) 5. Microsoft Technet Platform
25