Universitatea Politehnica Bucureti Facultatea Electronic,Telecomunicaii i Tehnologia Informaiei

Retele de calculatoare si internet Serviciul director ACTIVE DIRECTORY

Toader Bogdan Master IISC, anul II

2013

Cuprins
1.Noiuni introductive. Problema. ............................................................. 3 1.1. 1.2. 1.3. 2. Serviciile Active Directory ........................................................... 4 Active Directory: director de informaii........................................ 7 Structura Active Directory........................................................... 9

Functionalitati Active Directory....................................................... 11 2.1. Administrare simplificata .............................................................. 11 2.2. Scalabilitate ................................................................................. 12 2.3. Suport standard pentru alte servicii ............................................. 13

3.

Princiipii de organizare................................................................... 15 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. Obiecte in Active Directory ....................................................... 15 Structura logic ........................................................................ 17 Domeniul .................................................................................. 18 Unitatea organizationala........................................................... 19 Arborele (Tree) ......................................................................... 20 Pdurea (forest) ....................................................................... 21 Catalogul global ....................................................................... 22

4. 5. 6.

Replicarea ...................................................................................... 23 Concluzii ........................................................................................ 24 Bibliografie ..................................................................................... 25

1.Noiuni introductive. Problema.

Creterea numrului de calculatoare existente la un moment dat ntr-o reea a impus necesitatea folosirii unui serviciu centralizat care s asigure efectuarea diverselor operaii de reea, modelul workgroup fiind greu de implementat i gestionat n astfel de situaii. Un serviciu director (directory service) cuprinde o colecie de informaii despre obiecte care sunt n legtur unele cu altele ntr-o anumit privin. Serviciul director furnizeaz un mod consistent de a identifica, localiza, organiza, securiza i simplifica accesul la resursele unei reele de calculatoare. Active directory este tehnologia creat de Microsoft pentru serviciul director Windows Server. Active Directory pstreaz i pune la dispoziie informaii despre resursele unei reele, organizate n obiecte. Fiecare obiect are un set de atribute asociate, informaii care identific i descriu obiectul.

Arhitectura Active Directory Sursa: site Microsoft

1.1. Serviciile Active Directory

ncepnd cu Windows Server 2003, Microsoft a creat o aplicaie serviciu director separat de Active Directory numita Active Directory Application Mode sau ADAM. ADAM a fost construit ca s se adreseze nevoilor organizaiilor care vor s implementeze un serviciu director care nu necesit toate funcionalitile pe care le ofer Active Directory. Astfel toate aceste servicii separate sunt nglobate n Active Directory, care este ca o umbrel sub care se desfoar aceste servicii.

Serviciile Active Directory Sursa: Active Directory For Dummies, 2nd edition

Active Directory Federation Services ncepnd cu varianta R2 al Windows Server 2003, Microsoft a inclus un pachet software opional numit Federation Service. Acesta ofer serviciul Single Sign-on (SSO) care ajut la minimalizarea numrului de ID-uri de logare si parole pe care utilizatorul trebuie s le introduc i simplific modul n care utilizatorii pot accesa resursele n alte medii IT. Acest soft face acum parte din Windows Server si a fosr redenumit Active Directory Federation Services sau AD FS.

Active Directory Federation Services Sursa: www.support.citrix.com

Active Directory Certificate Services Certificate Services au fost n software-ul Windows Server de mai mult timp. Cu acest software se poate desemna o autoritate de certificare care poate emite chei publice folosite n autentificare prin smart cards sau criptarea datelor nainte de a fi trimise n reea. Serviciul de certificare ofer de asemenea administrarea necesar acestor certificate astfel nct acestea pot fi rennoite sau respinse.

Active Directory Certificate Services Sursa: www.plathome.com

Active Directory Rights Management Services Administrarea utilizatorilor pentru a stabili anumite restricii n ceea ce acetia fac cu datele a fost o problem pentru cele mai multe organizaii. Chiar dac Active Directory a realizat un control n ceea ce privete dreptul de acces asupra unui document, nu se putea controla ce va face utilizatorul cu datele dup ce acesta le acceseaz. Introducerea serviciului de management asupra drepturilor utilizatorilor a oferit organizaiilor controlul extins asupra documentelor. Spre exemplu un utilizator nu poate trimite prin e-mail un anumit document ctre utilizatori neautorizai.

Active Directory Federation Services Sursa: www.mscerts.programming4.us

1.2. Active Directory: director de informaii

Informaia este organizat n date care fac referin la obiecte, fiecare obiect avnd anumite seturi de atribute asociate. S lum spre exemplu informaiile din catalogul de telefoane Pagini Albe. Fiecare obiect din acst catalog reprezint o adresa de locuin sau o firm care conine informaii precum numele, adresa sau numrul de telefon

Cmpurile de informaii Sursa: Active Directory For Dummies, 2nd edition Capacitatea acestui catalog de a primi ct i de a modifica datele fac ca Active Directory s fie un serviciu director. De ce nu putem considera Active Directory o baz de date? Este cert c are anumite funcionaliti comune bazelor de date incluznd stocarea, regasirea sau replicarea datelor, ns sunt anumite diferee importante. n primul rnd, serviciul de directoare este n mod normal optimiziat pentru citire deoare acestea reprezint marea majoritate a operaiilor care sunt executate i de obicei datele nu se schimb. Deasemena datele sunt structurate ntrun mod ierarhic, lucru care permite atribuirea denumirii de serviciu director. Repetnd analogia cu catalogul de telefoane, Pagini Aurii organizeaz obiectele n funcie de tipul de afacere. n acest mod se realizeaz cutarea mult mai rapid. Acelai lucru se poate spune i despre un serviciu director obiectele se pot organiza n containere de informaii care permit gsirea obiectelor mult mai uor, n comparaie cu o baz de date relaional cum ar fi Microsoft SQL Server, care este optimizat att pentru citire ct i pentru scriere deoarece datele sunt des citite i scrise. Deasemenea o baz de date n general nu ofer un mod ierarhic de organizare a datelor aa cum se ntmpl n cazul serviciului director.

1.3. Structura Active Directory

Un serviciu director precum Active Directory permit stocarea obiectelor ntr-o structur ierarhic. Aceast structur este una din prile care trebuiesc analizate atent dac se dorete implementarea Active Directory. Aceast structur are dou componente:

- Partea logic: structura logic ofer organizarea obiectelor. Aceste obiecte pot reprezenta utilizatori, calculatoare, grupuri i o varietate de alte entiti care sunt n mediul IT. Aceast structur este n primul rnd dependent de modul n care se dorete administrarea infrastructurii IT ct i de modul n care este structurat organizaia

- Partea fizic: toate serviciile de sub umbrela Active Directory sunt oferite de servere care ruleaz softul Active Directory. Aceste servere reprezint obiecte fizice care trebuiesc plasate n reea. Dup ce aceste servere sunt plasate, trebuie definit modul n care serverele vor comunica unele cu altele i cum vor fi direcionai utilizatorii ctre ele. Aceast topologie fizic este critic pentru o funcionare bun.

Dac ne referim din nou la analogia cu catalogul de telefoane, dac intrrile nu sunt plasate n categoriile corecte (locuine, restaurante, firme) nimeni nu poate gsi informaia pentru a fi utilizat.

Structura logica si fizica Active Directory Sursa: www.i.technet.microsoft.com

10

2. Functionalitati Active Directory

Active Directory ofera o serie de functionalitati. Dintre acestea vom descrie cautarea si gasirea facila prin administrare simplificata pe care o ofera, scalabilitatea si suportul standard pentru alte servicii.

2.1. Administrare simplificata

Active Directory este o implementare a serviciilor de directoare LDAP, folosit de Microsoft n cadrul sistemelor de operare Windows. Astfel Active Directory pune la dispoziia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, nnoirea securitii. Toate aceste operaiuni pot fi aplicate att la reele mici, ct i la reele complexe. Structura Active Directory este reprezentat printr-o ierarhie de obiecte, n care fiecare obiect reprezint o singur entitate: un computer, un utilizator, un grup, o imprimant. Obiectele au proprieti, numite i atribute. Unele obiecte sunt containere, deci conin alte obiecte, inclusiv alte containere. De aici structura ierarhic Active Directory. La nivelul cel mai nalt al ierarhiei Active Directory se afl forest (pdure). Un forest se compune din arbori (tree). La rndul lui un arbore este compus din domenii. Domain controllerul detine toate configuratiile si proprietatile obiectelor din Active Directory. Active Directory ofer posibilitatea de administrare a obiectelor si acces pentru toate resursele din reea dintr-un singur punct. Folosind o singur baz de date, Active Directory ofer posibilitatea administrrii centralizate a tuturor resurselor unei reele.

11

Administrare Centralizata in Active Directory Sursa: www.technet.microsoft.com

2.2. Scalabilitate
Stocheaz informaia prin organizarea n seciuni care permit stocarea unui numr nelimitat de obiecte. Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar pot gzdui la fel de bine mai multe mii de calculatoare. Astfel directorul se poate extinde pentru a satisface cerinele diferitelor situaii: - Instalri mici cu un server i cteva sute de obiecte Pentru companiile mici si mijlocii sau organizatii mici. - Instalri mari cu sute de servere i milioane de obiecte Pentru companii mari sau organizatii extinse. 12

Scalabilitate in Active Directory Sursa: www.technet.microsoft.com

2.3. Suport standard pentru alte servicii

Active Directory integreaz conceptele Internetului ntr-un spaiu de nume cu serviciul director Windows. Acesta ofer posibilitatea unificrii i managementul multiplelor spaii de nume. Pentru numele sistemului se utilizeaz DNS. Sistemul de nume de domeniu (abreviat DNS, n englez Domain Name System) este un sistem distribuit de pstrare i interogare a unor date arbitrare ntr-o structur ierarhic. Active Directory schimb informaii cu orice aplicaie sau director care utilizeaz LDAP sau HTTP.

13

Avantajul pe care il ofera este legat de posibilitatea clienilor de a modifica tabelele DNS n mod dinamic. Prin folosirea serviciului DDNS se elimin nevoia de a desemna pe cineva care s redenumeasc serviciile. Orice obiect din Acive Directory se poate afia ca o pagina HTML n browser.

Suport standard pentru alte servicii in Active Directory Sursa: www.i.technet.microsoft.com

14

3. Princiipii de organizare
3.1. Obiecte in Active Directory
Active Directory (AD) - este o ierarhie de cteva obiecte, unde obiectele se mpart n trei categorii: resurse (ex: imprimant), servicii (ex: pota electronic), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziie informaii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securitii.. Fiecare obiect indiferent de categorie reprezint o entitate i atributele ei, unde 'entitate' poate fi - "Utilizator", "Calculator", "Imprimant", "Aplicaie" sau "Resurs Partajat". Mai mult dect att, un obiect poate s conin i alte obiecte. Atributele obiectului (structura de baz a obiectului n sine) sunt definite de o "schem", care la rndul ei definete i tipul obiectelor care pot fi stocate ca subobiecte n obiectul dat. Totul pare complicat, ns n realitate e mai simplu dect pare. Aceste reguli au fost inventate numai cu scopul ca s poat cumva s reflecte situaiile ntlnite de noi n fiecare zi. Pentru a le nelege, e mai bine s ne nchipuim o situaie care trebuie cumva reflectat n lumea IT, i printr-o metod de pseudo-inducie vom ajunge exact la ceea ce a fost expus mai sus. O "schem" e compus din dou tipuri de obiecte (sau meta-datele schemei): "clasa" i atributele". Aceste metadate exist cu scopul de a extinde sau modifica schema. Din motiv ce metadatele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicat schem), odata ce am modificat schema, efectele se raspndesc pe toate obiectele din Active Directory la care a fost aplicata schema dat - prin aceast caracteristic "Active Directory" este foarte puternic dar i foarte periculos - o modificare nechibzuit poate duce la efecte nedorite de nivel global (cum ar fi: scderi din salariu de nivel esenial, imposibilitatea ndeplinirii lucrului oamenilor care sunt 15

dependeni de efectele modificrii). O schem creat poate fi numai deactivat, nu i tears - deoarece crearea sau modificarea unei scheme este bazat pe motive serioase. Mai jos este prezentata o figura in care sunt prezentate principalele tipuri de obiecte din Active Directory.

Obiecte in Active Directory Sursa: www.i.msdn.microsoft.com

16

3.2. Structura logic

In Active Directory resursele sunt organizate ntr-o structur logic. Resursele fiind grupate logic, structura fizic a reelei devine transparent utilizatorilor . Structura logic este separat de structura fizic. Legtura dintre structura logic Active Directory i structura fizic a reelei se obine prin folosirea conceptului i a obiectului site. Obiectul site din Active Directory descrie aezarea fizic, geografic a reelelor care gzduiesc resursele descrise prin obiecte din Active Directory. Site-urile conin obiecte numite subreele (subnets). Obiectele site sunt folosite n legtur cu obiectele Group Policy, uureaz descoperirea resurselor, controleaz replicarea Active Directory i gestioneaz traficul n reea. Site-urile pot fi legate unele de altele prin aa-numitele legturi ntre site-uri (site link). Din punct de vedere fizic un site const n general din una sau, eventual, mai multe subreele interconectate la vitez mare n care funcioneaz servere controlere de domeniu. afl. Astfel resursele se gsesc dup nume indiferent de locaia unde se

17

3.3. Domeniul
Conform terminologiei Microsoft, domeniul este reprezentat dintrun grup de calculatoare care fac parte dintr-o reea i care folosesc n comun aceeai baz de date n care sunt reprezentate resursele reelei. Domeniul este administrat ca entitate distinct, cu reguli i proceduri comune pentru toate calculatoarele care l compun. Domeniile sunt recunoscute prin nume. Calculatoarele membre ale domeniului respect politica de securitate a domeniului. n plus, domeniul ofer i soluia administrrii centralizate a tuturor resurselor reelei, indiferent unde ar fi ele distribuite: administrarea bazei de date a domeniului este n fond soluia pentru administrarea tuturor resurselor reprezentate prin obiecte nscrise n aceast baz de date. O singur operaie de logon n domeniu (deschidere de sesiune) este suficient pentru ca un utilizator s fie recunoscut n domeniu i s aib acces la resursele domeniului, n limita permisiunilor i a privilegiilor de care dispune. Reprezentarea grafic a domeniului este triunghiul care sugereaz frontiera de administrare, frontiera de securitate i aezarea ierarhic a componentelor sale. Domeniul este construit n jurul unui controler de domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin un controler de domeniu. El deine toate informaiile despre domeniu, despre resursele reelei i este serverul folosit pentru autentificarea n domeniu (logon n domeniu). Crearea unui domeniu se obine prin crearea controlerului de domeniu. Instalarea serviciului Active Directory pe un server l transform n controler de domeniu.

18

3.4. Unitatea organizationala

Unitatea organizationala este un container folosit pentru a organiza obiecte n cadrul unui domeniu n grupuri administrative logice. Aceasta furnizeaz un mod de a delega administrarea utilizatorilor i a resurselor.

Obiecte in Active Directory Sursa: www.msdn.microsoft.com

19

3.5. Arborele (Tree)

Un arbore (tree) este o grupare de domenii din acelai spaiu de nume, deci o convenie relativ la modul n care sunt denumite acestea. ntre domenii exist relaii de tip printe - copil: un subdomeniu este fiul domeniului printe. Fiecare domeniu are un nume propriu. n figura alturat este reprezentat o structur de domenii, n care avem un singur tree (arbore). Numele domeniului rdcin este microsoft.com, nume n formatul Domain Name System (DNS). Numele subdomeniului se formeaz prin concatenarea unui sufix la numele printelui, ca de exemplu uk.microsoft.com, care este un subdomeniu al domeniului microsoft.com. Liniile care unesc domeniile definesc relaiile dintre ele: n acest caz sunt relaii de genul printecopil (parent-child) sau domeniu-subdomeniu.

Structura de domenii cu un singur arbore Sursa: www.microsoft.com

20

3.6. Pdurea (forest)

O pdure (forest) este o grupare de arbori (tree) care au spaii de nume distincte. n aceast figur este reprezentat un forest cu cu dou arborescene. Fiecare dintre ele are un spaiu de nume independent. Numele forest-ului este dat de numele primului domeniu creat n forest numit i domeniul rdcin pentru forest (forest root domain). n cazul nostru este microsoft.com. n situaia n care structura unui Active Directory conine un singur domeniu atunci el este i domeniul rdcin. Cu alte cuvinte exist i n acest caz particular un arbore i un forest.

Padure cu doua arborescente in Active Directory 21

3.7. Catalogul global

Serverul Catalog Global este un controler de domeniu care, pe lng partiiile obinuite, mai deine i exemplare de tip read-only (numai citire) ale tuturor partiiilor de tipul domain din forest. Exemplarul propriului domeniu este integral, n schimb pentru celelalte domenii exemplarele sunt read-only i sunt pariale. Exemplarele pariale conin toate obiectele din domeniu, ns nu cu toate atributele. Serverele catalog global sunt folosite pentru cutarea i gsirea obiectelor n ierarhia de domenii din forest. Cutrile efectuate n ntregul Active Directory (Entire Directory) au loc n catalogul global. Primul controler de domeniu din forest devine implicit i server catalog global. Rolul de server catalog global poate fi modificat prin Active Directory Sites and Services.

22

4. Replicarea
Serviciul Active Directory Service funcioneaz pe baza informaiile stocate pe controlerele de domeniu. Pentru existena unui domeniu este nevoie de un controler de domeniu. ntr-un domeniu pot funciona unul sau mai multe controlere de domeniu. Fiecare controler de domeniu deine un exemplar al bazei de date Active Directory. Modificrile efectuate ntr-un exemplar vor fi sincronizate cu celelalte exemplare Active Directory, n aa fel nct toate exemplarele de pe toate controlerele din domeniu s fie identice. Operaia de sincronizare a exemplarelor Active Directory este o replicare multi-master. Fiecare controler de domeniu deine un exemplar master al domeniului, adic fiecare exemplar poate fi modificat, prin crearea i tergerea de obiecte, prin modificarea valorilor asociate proprietilor (atributelor) unui obiect. Din timp n timp modificrile survenite ntr-un exemplar vor fi transmise celorlalte controlere de domeniu. Baza de date Active Directory este mprit, separat din punct de vedere logic n partiii. Fiecare partiie este o unitate de replicare i poate avea propria topologie de replicare.

23

5. Concluzii
In aceasta lucrare a fost prezentat Serviciul Director Active Directory. Principalele avantaje oferite de implementarea Active Directory n retea sunt descrise n continuare. Autentificarea utilizatorilor permite identificarea fara echivoc a fiecarui utilizator al retelei pe baza de utilizator si parola unica. Autorizarea accesului la resurse pentru fiecare resursa din retea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective. Administrarea centralizata a tuturor serverelor si statiilor de lucru din retea. Aplicarea consistenta a unor politici de securitate n cadrul retelei. Acesta din urma este n particular un avantaj foarte important n procesul de securizare al retelei. Active directory ajuta la administrarea resurselor intr-un mod centralizat. Permite instalarea unor politici de securitate. Permite instalarea programelor in functie de grupul din care face parte utilizatorul. Permite utilizatorilor gasirea rapida a resurselor din intreaga retea. Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar pot gzdui la fel de bine mai multe mii de calculatoare.

24

6. Bibliografie
1. Active Directory For Dummies, 2nd Edition, Published by Wiley Publishing, Inc. 2. Active Directory Cookbook 3rd Edition Dec 2008, Laura E. Hunter and Robbie Allen 3. Wikipedia 4. Active Directory: Designing, Deploying, and Running Active Directory by Brian Desmond, Joe Richards, Robbie Allen and Alistair G. Lowe-Norris (Mar 22, 2013) 5. Microsoft Technet Platform

25