Universitatea Politehnica Bucureti

Facultatea Electronic,Telecomunicaii i Tehnologia Informaiei

Retele de calculatoare si internet

Serviciul director ACTIVE DIRECTORY

Toader Bogdan
Master IISC, anul II

2013

1
Cuprins

1.Noiuni introductive. Problema. ............................................................. 3

1.1. Serviciile Active Directory ........................................................... 4
1.2. Active Directory: director de informaii........................................ 7
1.3. Structura Active Directory........................................................... 9
2. Functionalitati Active Directory....................................................... 11
2.1. Administrare simplificata .............................................................. 11
2.2. Scalabilitate ................................................................................. 12
2.3. Suport standard pentru alte servicii ............................................. 13
3. Princiipii de organizare................................................................... 15
3.1. Obiecte in Active Directory ....................................................... 15
3.2. Structura logic ........................................................................ 17
3.3. Domeniul .................................................................................. 18
3.4. Unitatea organizationala........................................................... 19
3.5. Arborele (Tree) ......................................................................... 20
3.6. Pdurea (forest) ....................................................................... 21
3.7. Catalogul global ....................................................................... 22
4. Replicarea ...................................................................................... 23
5. Concluzii ........................................................................................ 24
6. Bibliografie ..................................................................................... 25

2
1.Noiuni introductive. Problema.
Creterea numrului de calculatoare existente la un moment dat
ntr-o reea a impus necesitatea folosirii unui serviciu centralizat care s
asigure efectuarea diverselor operaii de reea, modelul workgroup fiind
greu de implementat i gestionat n astfel de situaii.

Un serviciu director (directory service) cuprinde o colecie de

informaii despre obiecte care sunt n legtur unele cu altele ntr-o
anumit privin. Serviciul director furnizeaz un mod consistent de a
identifica, localiza, organiza, securiza i simplifica accesul la resursele
unei reele de calculatoare.

Active directory este tehnologia creat de Microsoft pentru serviciul

director Windows Server. Active Directory pstreaz i pune la dispoziie
informaii despre resursele unei reele, organizate n obiecte. Fiecare
obiect are un set de atribute asociate, informaii care identific i descriu
obiectul.

Arhitectura Active Directory

Sursa: site Microsoft

3
1.1. Serviciile Active Directory

ncepnd cu Windows Server 2003, Microsoft a creat o aplicaie

serviciu director separat de Active Directory numita Active Directory
Application Mode sau ADAM. ADAM a fost construit ca s se adreseze
nevoilor organizaiilor care vor s implementeze un serviciu director care
nu necesit toate funcionalitile pe care le ofer Active Directory.

Astfel toate aceste servicii separate sunt nglobate n Active

Directory, care este ca o umbrel sub care se desfoar aceste servicii.

Serviciile Active Directory

Sursa: Active Directory For Dummies, 2nd edition

4
 Active Directory Federation Services

ncepnd cu varianta R2 al Windows Server 2003, Microsoft a

inclus un pachet software opional numit Federation Service. Acesta
ofer serviciul Single Sign-on (SSO) care ajut la minimalizarea
numrului de ID-uri de logare si parole pe care utilizatorul trebuie s le
introduc i simplific modul n care utilizatorii pot accesa resursele n
alte medii IT. Acest soft face acum parte din Windows Server si a fosr
redenumit Active Directory Federation Services sau AD FS.

Active Directory Federation Services

Sursa: www.support.citrix.com

Active Directory Certificate Services

Certificate Services au fost n software-ul Windows Server de mai

mult timp. Cu acest software se poate desemna o autoritate de
certificare care poate emite chei publice folosite n autentificare prin
smart cards sau criptarea datelor nainte de a fi trimise n reea. Serviciul
de certificare ofer de asemenea administrarea necesar acestor
certificate astfel nct acestea pot fi rennoite sau respinse.

5
 Active Directory Certificate Services
Sursa: www.plathome.com

Active Directory Rights Management Services

Administrarea utilizatorilor pentru a stabili anumite restricii n ceea

ce acetia fac cu datele a fost o problem pentru cele mai multe
organizaii. Chiar dac Active Directory a realizat un control n ceea ce
privete dreptul de acces asupra unui document, nu se putea controla ce
va face utilizatorul cu datele dup ce acesta le acceseaz. Introducerea
serviciului de management asupra drepturilor utilizatorilor a oferit
organizaiilor controlul extins asupra documentelor. Spre exemplu un
utilizator nu poate trimite prin e-mail un anumit document ctre utilizatori
neautorizai.

6
 Active Directory Federation Services
Sursa: www.mscerts.programming4.us

1.2. Active Directory: director de informaii

Informaia este organizat n date care fac referin la obiecte,

fiecare obiect avnd anumite seturi de atribute asociate. S lum spre
exemplu informaiile din catalogul de telefoane Pagini Albe. Fiecare
obiect din acst catalog reprezint o adresa de locuin sau o firm care
conine informaii precum numele, adresa sau numrul de telefon

7
 Cmpurile de informaii
Sursa: Active Directory For Dummies, 2nd edition

Capacitatea acestui catalog de a primi ct i de a modifica datele

fac ca Active Directory s fie un serviciu director. De ce nu putem
considera Active Directory o baz de date? Este cert c are anumite
funcionaliti comune bazelor de date incluznd stocarea, regasirea sau
replicarea datelor, ns sunt anumite diferee importante. n primul rnd,
serviciul de directoare este n mod normal optimiziat pentru citire deoare
acestea reprezint marea majoritate a operaiilor care sunt executate i
de obicei datele nu se schimb. Deasemena datele sunt structurate ntr-
un mod ierarhic, lucru care permite atribuirea denumirii de serviciu
director. Repetnd analogia cu catalogul de telefoane, Pagini Aurii
organizeaz obiectele n funcie de tipul de afacere. n acest mod se
realizeaz cutarea mult mai rapid. Acelai lucru se poate spune i
despre un serviciu director obiectele se pot organiza n containere de
informaii care permit gsirea obiectelor mult mai uor, n comparaie cu
o baz de date relaional cum ar fi Microsoft SQL Server, care este
optimizat att pentru citire ct i pentru scriere deoarece datele sunt
des citite i scrise. Deasemenea o baz de date n general nu ofer un
mod ierarhic de organizare a datelor aa cum se ntmpl n cazul
serviciului director.

8
1.3. Structura Active Directory

Un serviciu director precum Active Directory permit stocarea

obiectelor ntr-o structur ierarhic. Aceast structur este una din prile
care trebuiesc analizate atent dac se dorete implementarea Active
Directory. Aceast structur are dou componente:

- Partea logic: structura logic ofer organizarea obiectelor.

Aceste obiecte pot reprezenta utilizatori, calculatoare, grupuri i
o varietate de alte entiti care sunt n mediul IT. Aceast
structur este n primul rnd dependent de modul n care se
dorete administrarea infrastructurii IT ct i de modul n care
este structurat organizaia

- Partea fizic: toate serviciile de sub umbrela Active Directory

sunt oferite de servere care ruleaz softul Active Directory.
Aceste servere reprezint obiecte fizice care trebuiesc plasate
n reea. Dup ce aceste servere sunt plasate, trebuie definit
modul n care serverele vor comunica unele cu altele i cum vor
fi direcionai utilizatorii ctre ele. Aceast topologie fizic este
critic pentru o funcionare bun.

Dac ne referim din nou la analogia cu catalogul de telefoane,

dac intrrile nu sunt plasate n categoriile corecte (locuine,
restaurante, firme) nimeni nu poate gsi informaia pentru a fi
utilizat.

9
Structura logica si fizica Active Directory
Sursa: www.i.technet.microsoft.com

10
2. Functionalitati Active Directory

Active Directory ofera o serie de functionalitati. Dintre acestea vom

descrie cautarea si gasirea facila prin administrare simplificata pe care o
ofera, scalabilitatea si suportul standard pentru alte servicii.

2.1. Administrare simplificata

Active Directory este o implementare a serviciilor de directoare

LDAP, folosit de Microsoft n cadrul sistemelor de operare Windows.
Astfel Active Directory pune la dispoziia administratorilor un mediu
flexibil cu efect global pentru: asignarea permisiunilor, instalarea
programelor, nnoirea securitii. Toate aceste operaiuni pot fi aplicate
att la reele mici, ct i la reele complexe.

Structura Active Directory este reprezentat printr-o ierarhie de

obiecte, n care fiecare obiect reprezint o singur entitate: un computer,
un utilizator, un grup, o imprimant.

Obiectele au proprieti, numite i atribute. Unele obiecte sunt

containere, deci conin alte obiecte, inclusiv alte containere. De aici
structura ierarhic Active Directory. La nivelul cel mai nalt al ierarhiei
Active Directory se afl forest (pdure). Un forest se compune din arbori
(tree). La rndul lui un arbore este compus din domenii.

Domain controllerul detine toate configuratiile si proprietatile

obiectelor din Active Directory.

Active Directory ofer posibilitatea de administrare a obiectelor si

acces pentru toate resursele din reea dintr-un singur punct. Folosind o
singur baz de date, Active Directory ofer posibilitatea administrrii
centralizate a tuturor resurselor unei reele.

11
 Administrare Centralizata in Active Directory

Sursa: www.technet.microsoft.com

2.2. Scalabilitate

Stocheaz informaia prin organizarea n seciuni care permit

stocarea unui numr nelimitat de obiecte.

Domeniile sunt scalabile: pot conine un numr mic de

calculatoare, dar pot gzdui la fel de bine mai multe mii de calculatoare.

Astfel directorul se poate extinde pentru a satisface cerinele

diferitelor situaii:

- Instalri mici cu un server i cteva sute de obiecte

Pentru companiile mici si mijlocii sau organizatii mici.

- Instalri mari cu sute de servere i milioane de obiecte

Pentru companii mari sau organizatii extinse.

12
 Scalabilitate in Active Directory

Sursa: www.technet.microsoft.com

2.3. Suport standard pentru alte servicii

Active Directory integreaz conceptele Internetului ntr-un spaiu de

nume cu serviciul director Windows. Acesta ofer posibilitatea unificrii i
managementul multiplelor spaii de nume.

Pentru numele sistemului se utilizeaz DNS. Sistemul de nume de

domeniu (abreviat DNS, n englez Domain Name System) este un
sistem distribuit de pstrare i interogare a unor date arbitrare ntr-o
structur ierarhic.

Active Directory schimb informaii cu orice aplicaie sau director

care utilizeaz LDAP sau HTTP.

13
 Avantajul pe care il ofera este legat de posibilitatea clienilor de a
modifica tabelele DNS n mod dinamic. Prin folosirea serviciului DDNS
se elimin nevoia de a desemna pe cineva care s redenumeasc
serviciile.

Orice obiect din Acive Directory se poate afia ca o pagina HTML

n browser.

Suport standard pentru alte servicii in Active Directory

Sursa: www.i.technet.microsoft.com

14
3. Princiipii de organizare

3.1. Obiecte in Active Directory

Active Directory (AD) - este o ierarhie de cteva obiecte, unde

obiectele se mpart n trei categorii: resurse (ex: imprimant), servicii (ex:
pota electronic), resurse umane (ex: utilizatori, grupe de utilizatori).
Scopul tehnologiei "Active Directory" este de a pune la dispoziie
informaii despre aceste obiecte, organizarea obiectelor, controlul
accesului, setarea securitii..

Fiecare obiect indiferent de categorie reprezint o entitate i

atributele ei, unde 'entitate' poate fi - "Utilizator", "Calculator",
"Imprimant", "Aplicaie" sau "Resurs Partajat". Mai mult dect att, un
obiect poate s conin i alte obiecte. Atributele obiectului (structura de
baz a obiectului n sine) sunt definite de o "schem", care la rndul ei
definete i tipul obiectelor care pot fi stocate ca subobiecte n obiectul
dat.

Totul pare complicat, ns n realitate e mai simplu dect pare.

Aceste reguli au fost inventate numai cu scopul ca s poat cumva s
reflecte situaiile ntlnite de noi n fiecare zi. Pentru a le nelege, e mai
bine s ne nchipuim o situaie care trebuie cumva reflectat n lumea IT,
i printr-o metod de pseudo-inducie vom ajunge exact la ceea ce a fost
expus mai sus.

O "schem" e compus din dou tipuri de obiecte (sau meta-datele

schemei): "clasa" i atributele". Aceste metadate exist cu scopul de a
extinde sau modifica schema. Din motiv ce metadatele schemei sunt
parte din obiectul pe care-l descriu (parte din obiectul la care a fost
aplicat schem), odata ce am modificat schema, efectele se
raspndesc pe toate obiectele din Active Directory la care a fost aplicata
schema dat - prin aceast caracteristic "Active Directory" este foarte
puternic dar i foarte periculos - o modificare nechibzuit poate duce la
efecte nedorite de nivel global (cum ar fi: scderi din salariu de nivel
esenial, imposibilitatea ndeplinirii lucrului oamenilor care sunt

15
dependeni de efectele modificrii). O schem creat poate fi numai
deactivat, nu i tears - deoarece crearea sau modificarea unei
scheme este bazat pe motive serioase.

Mai jos este prezentata o figura in care sunt prezentate principalele

tipuri de obiecte din Active Directory.

Obiecte in Active Directory

Sursa: www.i.msdn.microsoft.com

16
3.2. Structura logic

In Active Directory resursele sunt organizate ntr-o structur logic.

Resursele fiind grupate logic, structura fizic a reelei devine

transparent utilizatorilor .

Structura logic este separat de structura fizic. Legtura dintre

structura logic Active Directory i structura fizic a reelei se obine prin
folosirea conceptului i a obiectului site.

Obiectul site din Active Directory descrie aezarea fizic,

geografic a reelelor care gzduiesc resursele descrise prin obiecte din
Active Directory.

Site-urile conin obiecte numite subreele (subnets). Obiectele site

sunt folosite n legtur cu obiectele Group Policy, uureaz
descoperirea resurselor, controleaz replicarea Active Directory i
gestioneaz traficul n reea. Site-urile pot fi legate unele de altele prin
aa-numitele legturi ntre site-uri (site link). Din punct de vedere fizic un
site const n general din una sau, eventual, mai multe subreele
interconectate la vitez mare n care funcioneaz servere controlere de
domeniu.

Astfel resursele se gsesc dup nume indiferent de locaia unde se

afl.

17
3.3. Domeniul
Conform terminologiei Microsoft, domeniul este reprezentat dintr-
un grup de calculatoare care fac parte dintr-o reea i care folosesc n
comun aceeai baz de date n care sunt reprezentate resursele reelei.
Domeniul este administrat ca entitate distinct, cu reguli i proceduri
comune pentru toate calculatoarele care l compun.

Domeniile sunt recunoscute prin nume. Calculatoarele membre ale

domeniului respect politica de securitate a domeniului. n plus,
domeniul ofer i soluia administrrii centralizate a tuturor resurselor
reelei, indiferent unde ar fi ele distribuite: administrarea bazei de date a
domeniului este n fond soluia pentru administrarea tuturor resurselor
reprezentate prin obiecte nscrise n aceast baz de date. O singur
operaie de logon n domeniu (deschidere de sesiune) este suficient
pentru ca un utilizator s fie recunoscut n domeniu i s aib acces la
resursele domeniului, n limita permisiunilor i a privilegiilor de care
dispune.

Reprezentarea grafic a domeniului este triunghiul care sugereaz

frontiera de administrare, frontiera de securitate i aezarea ierarhic a
componentelor sale. Domeniul este construit n jurul unui controler de
domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin
un controler de domeniu. El deine toate informaiile despre domeniu,
despre resursele reelei i este serverul folosit pentru autentificarea n
domeniu (logon n domeniu). Crearea unui domeniu se obine prin
crearea controlerului de domeniu. Instalarea serviciului Active Directory
pe un server l transform n controler de domeniu.

18
3.4. Unitatea organizationala

Unitatea organizationala este un container folosit pentru a organiza

obiecte n cadrul unui domeniu n grupuri administrative logice.

Aceasta furnizeaz un mod de a delega administrarea utilizatorilor

i a resurselor.

Obiecte in Active Directory

Sursa: www.msdn.microsoft.com

19
3.5. Arborele (Tree)

Un arbore (tree) este o grupare de domenii din acelai spaiu de

nume, deci o convenie relativ la modul n care sunt denumite acestea.
ntre domenii exist relaii de tip printe - copil: un subdomeniu este fiul
domeniului printe. Fiecare domeniu are un nume propriu.

n figura alturat este reprezentat o structur de domenii, n care

avem un singur tree (arbore). Numele domeniului rdcin este
microsoft.com, nume n formatul Domain Name System (DNS).

Numele subdomeniului se formeaz prin concatenarea unui sufix la

numele printelui, ca de exemplu uk.microsoft.com, care este un
subdomeniu al domeniului microsoft.com. Liniile care unesc domeniile
definesc relaiile dintre ele: n acest caz sunt relaii de genul printe-
copil (parent-child) sau domeniu-subdomeniu.

Structura de domenii cu un singur arbore

Sursa: www.microsoft.com

20
3.6. Pdurea (forest)

O pdure (forest) este o grupare de arbori (tree) care au spaii de

nume distincte.

n aceast figur este reprezentat un forest cu cu dou

arborescene. Fiecare dintre ele are un spaiu de nume independent.

Numele forest-ului este dat de numele primului domeniu creat n

forest numit i domeniul rdcin pentru forest (forest root domain). n
cazul nostru este microsoft.com.

n situaia n care structura unui Active Directory conine un singur

domeniu atunci el este i domeniul rdcin. Cu alte cuvinte exist i n
acest caz particular un arbore i un forest.

Padure cu doua arborescente in Active Directory

21
3.7. Catalogul global

Serverul Catalog Global este un controler de domeniu care, pe

lng partiiile obinuite, mai deine i exemplare de tip read-only (numai
citire) ale tuturor partiiilor de tipul domain din forest. Exemplarul
propriului domeniu este integral, n schimb pentru celelalte domenii
exemplarele sunt read-only i sunt pariale. Exemplarele pariale conin
toate obiectele din domeniu, ns nu cu toate atributele.

Serverele catalog global sunt folosite pentru cutarea i gsirea

obiectelor n ierarhia de domenii din forest. Cutrile efectuate n ntregul
Active Directory (Entire Directory) au loc n catalogul global. Primul
controler de domeniu din forest devine implicit i server catalog global.
Rolul de server catalog global poate fi modificat prin Active Directory
Sites and Services.

22
4. Replicarea

Serviciul Active Directory Service funcioneaz pe baza informaiile

stocate pe controlerele de domeniu. Pentru existena unui domeniu este
nevoie de un controler de domeniu.

ntr-un domeniu pot funciona unul sau mai multe controlere de

domeniu. Fiecare controler de domeniu deine un exemplar al bazei de
date Active Directory. Modificrile efectuate ntr-un exemplar vor fi
sincronizate cu celelalte exemplare Active Directory, n aa fel nct
toate exemplarele de pe toate controlerele din domeniu s fie identice.
Operaia de sincronizare a exemplarelor Active Directory este o replicare
multi-master.

Fiecare controler de domeniu deine un exemplar master al

domeniului, adic fiecare exemplar poate fi modificat, prin crearea i
tergerea de obiecte, prin modificarea valorilor asociate proprietilor
(atributelor) unui obiect. Din timp n timp modificrile survenite ntr-un
exemplar vor fi transmise celorlalte controlere de domeniu.

Baza de date Active Directory este mprit, separat din punct de

vedere logic n partiii. Fiecare partiie este o unitate de replicare i poate
avea propria topologie de replicare.

23
5. Concluzii

In aceasta lucrare a fost prezentat Serviciul Director Active Directory.

Principalele avantaje oferite de implementarea Active Directory n retea
sunt descrise n continuare.

Autentificarea utilizatorilor permite identificarea fara echivoc a

fiecarui utilizator al retelei pe baza de utilizator si parola unica.
Autorizarea accesului la resurse pentru fiecare resursa din retea
pot fi configurate liste de acces care specifica explicit permisiunile
pe care le au utilizatorii sau grupurile asupra resursei respective.
Administrarea centralizata a tuturor serverelor si statiilor de lucru
din retea.
Aplicarea consistenta a unor politici de securitate n cadrul retelei.
Acesta din urma este n particular un avantaj foarte important n
procesul de securizare al retelei.
Active directory ajuta la administrarea resurselor intr-un mod
centralizat.
Permite instalarea unor politici de securitate.
Permite instalarea programelor in functie de grupul din care face
parte utilizatorul.
Permite utilizatorilor gasirea rapida a resurselor din intreaga retea.
Domeniile sunt scalabile: pot conine un numr mic de
calculatoare, dar pot gzdui la fel de bine mai multe mii de
calculatoare.

24
6. Bibliografie

1. Active Directory For Dummies, 2nd Edition, Published

by Wiley Publishing, Inc.

2. Active Directory Cookbook 3rd Edition Dec 2008, Laura E.

Hunter and Robbie Allen

3. Wikipedia

4. Active Directory: Designing, Deploying, and Running

Active Directory by Brian Desmond, Joe Richards, Robbie

Allen and Alistair G. Lowe-Norris (Mar 22, 2013)

5. Microsoft Technet Platform

25