ACTIVE DIRECTORY

1. CE ESTE ACTIVE DIRECTORY

Active Directory (AD) este un serviciu de director pentru utilizare într-un mediu Windows Server.
Este o structură de bază distribuită, ierarhică, care distribuie informații despre infrastructură pentru
localizarea, securizarea, administrarea și organizarea resurselor de calculator și rețea, inclusiv
fișiere, utilizatori, grupuri, periferice și dispozitive de rețea.

Active Directory este propriul serviciu de directoare Microsoft utilizat pentru rețelele de domeniu
Windows. Oferă funcții de autentificare și autorizare, precum și oferă un cadru pentru alte astfel
de servicii. Directorul în sine este o bază de date LDAP care conține obiecte în rețea. Active
Directory utilizează sistemul de operare Windows Server.
Când oamenii vorbesc despre Active Directory, înseamnă de obicei Servicii de Domeniu Active
Directory, care oferă servicii de autentificare și autorizare integrate la scară completă.
Înainte de Windows 2000, modelul de autentificare și autorizare Microsoft a necesitat
descompunerea unei rețele în domenii și apoi conectarea domeniilor cu un sistem complicat și,
uneori, imprevizibil, al trusturilor unidirecționale. Active Directory a fost introdus în Windows
2000 ca o modalitate de a furniza servicii de director către medii mai complexe.

2. ALTE SERVICII ACTIVE DIRECTORY

De-a lungul timpului, Microsoft a adăugat servicii suplimentare sub banner-ul Active Directory.

Servicii de directoare ușoare Active Directory Această versiune ușoară a serviciilor de domeniu
înlătură o oarecare complexitate și funcționalitate avansată pentru a oferi doar funcționalitatea de
bază a serviciilor de director, fără a utiliza controlere de domeniu, păduri sau domenii. De obicei
utilizat în medii mici, de o rețea de birou.

Servicii de certificare Active Directory Certificate Services oferă servicii de certificare digitală și
sprijină infrastructura de chei publice sau PKI. Acest serviciu poate stoca, valida, crea și revoca
acreditările cheilor publice utilizate pentru criptare, în loc să genereze chei extern sau local.
Servicii de federație Active Directory Oferă un serviciu bazat pe web, autentificare de conectare
unică și autorizare, în principal pentru utilizare între organizații. Astfel, un contractant s-ar putea
conecta la propria sa rețea și ar putea fi autorizat pentru accesul său și la rețeaua clientului.

Servicii de gestionare a drepturilor Active Directory Acesta este un serviciu de gestionare a

drepturilor care descompune autorizarea dincolo de un model acordat sau acces refuzat și limitează
ceea ce un utilizator poate face cu anumite fișiere sau documente. Drepturile și restricțiile sunt
atașate documentului și nu utilizatorului. Aceste drepturi sunt utilizate în mod obișnuit pentru a
preveni imprimarea, copierea sau preluarea unei capturi de ecran a unui document.

3. STRUCTURA ACTIVE DIRECTORY

O caracteristică cheie a structurii Active Directory este autorizarea delegată și replicarea eficientă.
Fiecare parte a structurii organizaționale a AD limitează fie autorizarea, fie replicarea la acea
anumită parte.

Pădure
Pădurea este cel mai înalt nivel al ierarhiei organizației. O pădure este o graniță de securitate în
cadrul unei organizații. O pădure permite separarea delegării autorității într-un singur mediu.
Aceasta prevede un administrator cu drepturi și permisiuni de acces complet, dar numai la un
anumit subset de resurse. Este posibil să utilizați doar o singură pădure într-o rețea. Informațiile
despre pădure sunt stocate pe toți controlorii de domeniu, în toate domeniile, în pădure.

Copac
Un arbore este un grup de domenii. Domeniile dintr-un copac împărtășesc același spațiu de nume
rădăcină. În timp ce un copac împărtășește un spațiu pentru nume, copacii nu sunt limitati la
securitate sau replicare.

Domenii
Fiecare pădure conține un domeniu rădăcină. Domeniile suplimentare pot fi utilizate pentru a crea
partiții suplimentare într-o pădure. Scopul unui domeniu este de a rupe directorul în bucăți mai
mici pentru a controla replicarea. Un domeniu limitează replicarea Active Directory numai la alte
controlere de domeniu din același domeniu. De exemplu, un birou din Oakland nu ar trebui să
reproducă datele AD din biroul din Pittsburg. Acest lucru economisește lățimea de bandă și
limitează daunele provocate de o încălcare de securitate.
Fiecare controler de domeniu dintr-un domeniu are o copie identică a bazei de date Active
Directory a domeniului respectiv. Aceasta este actualizată prin replicare constantă.
În timp ce domeniile au fost utilizate în modelul anterior bazat pe Windows-NT și încă oferă o
barieră de securitate, recomandarea este să nu utilizați doar domenii pentru a controla replicarea,
ci să utilizați unități organizaționale (OU) pentru a grupa și limita permisiunile de securitate.

Unități de organizare (OU) O unitate organizațională prevede gruparea autorității într-un subset
de resurse dintr-un domeniu. OU oferă o graniță de securitate pentru privilegii și autorizații
crescute, dar nu limitează replicarea obiectelor AD. OU-urile sunt utilizate pentru a delega
controlul în cadrul grupărilor funcționale. OU ar trebui utilizate pentru a implementa și a limita
securitatea și rolurile între grupuri, în timp ce domeniile ar trebui utilizate pentru a controla
replicarea Active Directory.

4. CONTROLERE DE DOMENIU

Controlerele de domeniu sunt Windows Servers, care conțin baza de date Active Directory și
îndeplinesc funcții legate de Active Directory, inclusiv autentificare și autorizare. Un controler de
domeniu este orice server Windows instalat cu rolul Controler de domeniu.
Fiecare controler de domeniu stochează o copie a bazei de date Active Directory care conține
informații despre toate obiectele din același domeniu. În plus, fiecare controler de domeniu
stochează schema pentru întreaga pădure, precum și toate informațiile despre pădure. Un controler
de domeniu nu va stoca o copie a oricărei scheme sau informații forestiere dintr-o pădure diferită,
chiar dacă acestea sunt pe aceeași rețea.

Roluri de control de domeniu specializate

Rolurile de control de domeniu specializate sunt utilizate pentru a îndeplini funcții specifice care
nu sunt disponibile pe controlerele de domeniu standard. Aceste roluri principale sunt atribuite
primului controler de domeniu creat în fiecare pădure sau domeniu. Cu toate acestea, un
administrator poate reasigna manual rolurile.

Schema master Există un singur master de schemă pentru fiecare pădure. Acesta conține copia
principală a schemei utilizate de toate celelalte controlere de domeniu. Dacă aveți o copie master
se asigură că toate obiectele sunt definite la fel.

Master domain name Pentru o pădure există un singur nume de domeniu. Maestrul de domeniu
asigură că toate numele obiectelor sunt unice și, atunci când este necesar, obiecte de referință
încrucișată stocate în alte directoare.

Master de infrastructură Există un singur master de infrastructură pe domeniu. Maestrul

infrastructurii păstrează lista obiectelor șterse și urmărește referințele pentru obiecte din alte
domenii.

Master de identificare relativ Există un master de identificare relativ pentru fiecare domeniu.
Urmărește alocarea și crearea identificatorilor de securitate (SID) unici pe întregul domeniu.

Emulator principal de control al domeniului Există un singur emulator principal de control al

domeniului (PDC) pe domeniu. Există pentru a oferi compatibilitate înapoi din cele mai vechi
sisteme de domenii bazate pe Windows NT. Răspunde la solicitările adresate unui PDC, așa cum
ar fi avut-o un PDC vechi.

Magazin de date Depozitarea și regăsirea datelor pe orice controler de domeniu este gestionată de
magazinul de date. Magazinul de date este compus din trei straturi. Stratul de jos este baza de date
în sine. Stratul de mijloc este componenta serviciului, Directory System Agent (DSA), stratul bazei
de date și Extensible Storage Engine (ESE). Stratul superior este serviciul de stocare a directorilor,
LDAP (Lightweight Directory Access Protocol), interfața de replicare, API-ul de mesagerie
(MAPI) și Managerul conturilor de securitate (SAM).
5. DOMAIN NAME SYSTEM (DNS)

Active Directory conține informații despre locația obiectelor stocate în baza de date, cu toate
acestea Active Directory folosește sistemul de nume de domeniu (DNS) pentru a localiza
controlerele de domeniu. În cadrul directorului activ, fiecare domeniu are un nume de domeniu
DNS și fiecare computer conectat are un nume DNS în același domeniu.

Obiecte

Totul din Active Directory este stocat ca obiect. Clasa ar putea fi de asemenea definită ca „tipul”
unui obiect din schemă. Atributele sunt componentele obiectului – atributele unui obiect sunt
definite de clasa sa. Obiectele trebuie definite în schemă înainte ca datele să poată fi stocate în
director. Odată definite, datele sunt stocate în directorul activ sub formă de obiecte individuale.
Fiecare obiect trebuie să fie unic și să reprezinte un singur lucru, cum ar fi un utilizator, computer
sau un grup unic de lucruri (de exemplu, un grup de utilizatori).
Cele două tipuri principale de obiecte sunt resurse și directori de securitate. Directorilor de
securitate li se atribuie identificatori de securitate (SID), dar resursele nu sunt.

6. REPLICARE

Active Directory utilizează mai multe controlere de domeniu din mai multe motive, inclusiv
echilibrarea sarcinii și toleranța la erori. Pentru ca acesta să funcționeze, fiecare controler de
domeniu trebuie să aibă o copie completă a bazei de date Active Directory a domeniului său.
Asigurarea că fiecare operator are o copie curentă a bazei de date apare prin replicare.
Replicarea este limitată de domeniu. Controlerele de domeniu pe domenii diferite nu se reproduc
între ele, chiar și în cadrul aceleiași păduri. Fiecare controler de domeniu este egal. Deși versiunile
anterioare de Windows aveau controlere de domeniu primar și secundar, nu există așa ceva în
Active Directory. Ocazional, există o anumită confuzie din cauza continuării numelui „controler
de domeniu” de la vechiul sistem bazat pe încredere în Active Directory.
Replicarea funcționează pe un sistem de tragere, ceea ce înseamnă că un controler de domeniu
solicită sau „trage” informațiile de la alt controler de domeniu, mai degrabă decât fiecare controler
de domeniu care trimite sau „împinge” date către alții. În mod implicit, controlerii de domeniu
solicită date de replicare la fiecare 15 secunde. Anumite evenimente de înaltă securitate
declanșează un eveniment de replicare imediată, cum ar fi blocarea contului.
Doar modificările sunt replicate. Pentru a asigura fidelitatea într-un sistem multi-master, fiecare
controler de domeniu urmărește modificările și solicită doar actualizări de la ultima replicare.
Modificările sunt replicate pe întregul domeniu folosind un mecanism de stocare și transmitere,
astfel încât orice modificare este replicată la solicitare, chiar dacă modificarea nu a avut originea
pe controlerul de domeniu care a răspuns la solicitarea de replicare.
Ambele împiedică excesul de trafic și pot fi configurate pentru a se asigura că fiecare controler de
domeniu solicită datele sale de replicare de la cel mai de dorit server. De exemplu, o locație la
distanță cu o conexiune rapidă și o conexiune lentă la alte site-uri cu controlere de domeniu poate
seta un „cost” pentru fiecare conexiune. În acest sens, cererea de replicare se va face prin
conexiunea mai rapidă.

Sursa: https://www.paessler.com/it-explained/active-directory
Subiecte asemanatoare
SERVER

VPN

Syslog

MQTT

Categorii
• Blog (116)
o Academia IT (18)
o Analize IT – backup date (2)
o Analize IT – externalizare (2)
o Analize IT – prezenta web (3)
o Analize IT – securitate (88)
o Analize IT – software (1)