Ce este Active Directory?

| Daniel Androne

Ce este Active Directory?

Creat n anul 1996, Active Directory este deobicei denumit simplu AD, a fost initial utilizat cu
Windows 2000 Server ca un serviciu de director pentru reelele cu domenii Windows.De fapt,
Active Directory este o baz de date, care este folosita n principal pentru a servi o locaie central,
pentru autentificarea si autorizarea tuturor utilizatorilor i computerelor dintr-o reea. n afar de
aceasta, Active Directory foloseste Lightweight Directory Access Protocol (LDAP), care este mai
mult un protocol de aplicaie utilizat pentru accesarea i pstrarea informaiilor de director distribuite
printr-o reea IP.
Ce este Active Directory?
Structura fundamental intern a Active Directory este formata dintr-o matrice de obiecte care sunt
aranjate ntr-o ierarhie. De fapt, aceste obiecte pot fi uor clasificate, n general, n resurse i
principii de securitate.Unele dintre exemplele de obiecte Active Directory sunt utilizatori, computere,
grupuri, site-uri, servicii, imprimante, etc. Fiecare obiect este unic n general, si este considerat ca o
entitate ce prezinta cu un set special de atribute.Atributele de obiecte i tipul de obiecte care pot fi
stocate n AD sunt descrise printr-o schem.
Structura inerent a Active Directory este n continuare clasificata ntr-un numr de niveluri care, de
fapt depinde de vizibilitatea obiectelor.O reea AD poate fi organizata n patru forme diferite de
structuri recipiente speciale: Paduri, Domenii, Uniti Organizatoriale i Site-uri.
Pdurile:Acesta este un set de obiecte Active Directory.
Domeniul:Este mai mult ca o compilaie de obiecte si computere care mprtesc un set
comun de politici, un nume i o baz de date a membrilor lor.
Unitile organizaionale:OU sunt recipientele n care sunt grupate domeniile.Funcia lor
cheie este de a crea o ierarhie de domeniu s semene cu structura companiei Active Directory
n termeni de organizare.
Site-urile:Site-urile nu sunt dependente de domenii i structura OU i, prin urmare, sunt mai
mult considerate ca grupuri fizice care sunt definite de ctre una dintre subreele IP.Rolul lor
esenial este de a distinge ntre locatii conectate prin conexiuni de mica i de mare vitez.
Active Directoryeste o implementare a serviciilor de directoareLDAP, folosit deMicrosoftn cadrul
sistemelor de operareWindows. Astfel Active Directory pune la dispoziiaadministratorilorun
mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, nnoirea
securitii. Toate aceste operaiuni pot fi aplicate att la reele mici, ct i la reele complexe.

Obiecte
Active Directory (AD) este o ierarhie de cteva obiecte, unde obiectele se mpart n trei categorii:
resurse (ex:imprimant), servicii (ex:pota electronic), resurse umane (ex: utilizatori, grupe de
utilizatori). Scopul tehnologiei Active Directory este de a pune la dispoziie informaii despre aceste
obiecte, organizarea obiectelor, controlul accesului, setarea securitii.
Fiecare obiect indiferent de categorie reprezint o entitate i atributele ei, unde entitate poate fi
Utilizator, Calculator, Imprimant, Aplicaie sau Resurs Partajat. Mai mult dect att, un
obiect poate s conin i alte obiecte. Atributele obiectului (structura de baz a obiectului n sine)
sunt definite de o schem, care la rndul ei definete i tipul obiectelor care pot fi stocate ca
subobiecte n obiectul dat.
Totul pare complicat, ns n realitate e mai simplu dect pare. Aceste reguli au fost inventate numai
cu scopul ca s poat cumva s reflecte situaiile ntlnite de noi n fiecare zi. Pentru a le nelege, e

https://danielandrone.wordpress.com/2012/11/22/ce-este-active-directory/[10/20/2015 3:18:13 PM]

Ce este Active Directory? | Daniel Androne

mai bine s ne nchipuim o situaie care trebuie cumva reflectat n lumeaIT, i printr-o metod de
pseudo-inducie vom ajunge exact la ceea ce a fost expus mai sus.
O schem e compus din dou tipuri de obiecte (sau meta-datele schemei): clasa i atributele.
Aceste metadate exist cu scopul de a extinde sau modifica schema. Din motiv ce metadatele
schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicat schem),
odata ce am modificat schema, efectele se raspndesc pe toate obiectele din Active Directory la
care a fost aplicata schema dat prin aceast caracteristic Active Directory este foarte puternic
dar i foarte periculos o modificare nechibzuit poate duce la efecte nedorite de nivel global (cum
ar fi: scderi din salariu de nivel esenial, imposibilitatea ndeplinirii lucrului oamenilor care sunt
dependeni de efectele modificrii). O schem creat poate fi numai deactivat, nu i tears
deoarece crearea sau modificarea unei scheme este bazat pe motive serioase.

Securitatea Active Directory

Active Directory reprezinta inima retelelor bazate pe sisteme de operare Windows.
Principalele avantaje oferite de implementarea Active Directory n retea sunt descrise n
continuare.
Autentificarea utilizatorilor permite identificarea fara echivoc a fiecarui utilizator al retelei pe
baza de utilizator si parola unica.
Autorizarea accesului la resurse pentru fiecare resursa din retea pot fi configurate liste de
acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei
respective.
Administrarea centralizata a tuturor serverelor si statiilor de lucru din retea.
Aplicarea consistenta a unor politici de securitate n cadrul retelei. Acesta din urma este n
particular un avantaj foarte important n procesul de securizare al retelei.
La proiectarea Active Directory trebuie respectate cteva principii de design pentru a putea aplica
usor masuri de securitate:
Minimizarea numarului de domenii. Acestea fiind arii de securitate distincte, un numar ct mai
mic de domenii, preferabil unul singur, permite aplicarea usoara a politicilor de securitate
Aplicarea politicilor generice de securitate la nivelul ntregului domeniu si completarea acestora
cu masuri specifice la nivele inferioare
Pentru aplicarea politicilor de securitate se foloseste Group Policy. Deoarece politicile se aplica la
mai multe nivele (domeniu, site, organization unit, local) si pot fi blocate sau suprascrise, trebuie
realizat un plan detaliat privind utilizarea Group Policy. De un real ajutor este Group Policy
Management Console care permite evaluarea rezultatului aplicarii de politici multiple.
Cteva politici tipice care pot fi aplicate n cadrul unui domeniu:
dezactivarea stocarii parolei ca LMHash
configurarea nivelului de compatibilitate LanManager pentru autentificare
blocarea conturilor la introducerea gresita a parolei combinata cu impunerea de parole cu
complexitate sporita
interzicerea posibilitatii de enumerare a obiectelor din Active Directory pentru clientii anonimi
Pentru o lista completa de setari de securitate care pot fi aplicate cu Group Policy, consultati
Windows Server 2003 Security Guide.
Active Directory este o conditie necesara pentru a putea aplica n mod sistematic politici de
securitate n cadrul retelei si pentru a putea reduce complexitatea administrarii. Pornim de la
principiul simplu ca o retea sigura este una bine proiectata, configurata si administrata. Active
Directory ne ofera aici un avantaj important

https://danielandrone.wordpress.com/2012/11/22/ce-este-active-directory/[10/20/2015 3:18:13 PM]

Ce este Active Directory? | Daniel Androne

https://danielandrone.wordpress.com/2012/11/22/ce-este-active-directory/[10/20/2015 3:18:13 PM]