Upload
patia
View
61
Download
0
Embed Size (px)
DESCRIPTION
Usługa Active Directory. Wprowadzenie. Informacja o zasobach sieci, sposobach i możliwościach ich wykorzystania Całkowicie zintegrowana z W2k Server Oferuje hierarchiczny widok zasobów sieci, rozszerzalność, skalowalność oraz rozproszony system zabezpieczeń - PowerPoint PPT Presentation
Citation preview
Usługa Active Directory
Wprowadzenie Informacja o zasobach sieci, sposobach i
możliwościach ich wykorzystania Całkowicie zintegrowana z W2k Server Oferuje hierarchiczny widok zasobów sieci,
rozszerzalność, skalowalność oraz rozproszony system zabezpieczeń
Integruje pochodzącą z Internetu koncepcję przestrzeni nazw z usługą katalogową systemu operacyjnego
Korzysta z LDAP jako protokołu dostępowego i wspiera model informacji protokołu X.500
Schemat rozszerzalny Schemat usługi AD zawiera formalną
definicję zawartości i struktury AD Domyślny schemat jest tworzony na
pierwszym kontrolerze domeny Schemat jest rozszerzalny, co oznacza
możliwość definiowania nowych typów obiektów i nowe atrybuty wszystkich typów obiektów
Katalog globalny (Global Catalog)
Centralny „magazyn” informacji o obiektach w drzewie domen lub lesie domen
Po zainstalowaniu usługi AD na pierwszym kontrolerze domeny staje się on domyślnie serwerem katalogu globalnego
Serwer katalogu globalnego jest kontrolerem domeny
Dodatkowe kontrolery domeny mogą być wyznaczone jako serwery katalogu globalnego (zwiększa ruch replikacyjny)
Obszar nazw Każda ograniczona przestrzeń, w której
można dokonać tłumaczenia nazwy na obiekt lub informację, którą nazwa ta reprezentuje
Oparty na schemacie nazewniczym DNS Ciągły jeśli nazwa obiektu podrzędnego
zawsze zawiera nazwę podrzędnej domeny Nieciągły gdy nazwy obiektów podrzędnego i
nadrzędnego nie są bezpośrednio powiązane
Diagram obszaru nazw
Schemat nazewniczy DNS
Nazwa wyróżniająca (DN)Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako Distinguished Name (DN). Podstawowe składnniki:
DC – Domain Component (Microsoft, com)
CN – Common Name (Users, Jan)
OU – Organisation Unit
O – Organisation (Internet)
Internet.com.Microsoft.Users.Jan
Względna nazwa wyróżniająca (RDN)
Część pełnej nazwy wyróżniającej wykorzystywana do odnajdowania obiektów przez odpytywania (nazwa wyróżniająca nie jest dokładnie znana)
Zazwyczaj jest to CN obiektu nadrzędnego W domenie jeden obiekt może mieć dwie
identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN
Unikalny identyfikator globalny
Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość
Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona
Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier)
GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu
W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID)
Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt)
Nazwa główna użytkownika
User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN
Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” ([email protected])
UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usuniętu bez wpływu na sposób logowania
Architektura usługi AD Model danych bazuje na modelu X.500 Schemat jest zaimplementowany jako zbiór
wystąpień klas obiektów składowanych w katalogu Model zabezpieczeń bazuje na strukturze Trusted
Computing Base (TCB) z listami kontroli dostępu Model administracyjny umożliwia zarządzanie tylko
użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania
DSA proces zarządzający fizycznym składowaniem katalogu – izoluje klientów od fizycznego formatu składowanych danych
Dostęp do usługi AD Możliwy jedynie przy pomocy protokołów
definiujących format wiadomości i interakcji: LDAP MAPI-RPC (Messaging Application Program
Interface – Remote Procedure Call) X.500
Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)
Model warstwowy usługi AD (1)
Składniki usług AD Directory System Agent (DSA) – tworzy
hierarchię składowania danych w katalogu. Dostarcza interfejsów dla API.
Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych
Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu
Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil)
Interfejsy LDAP – umożliwia dostęp do usługi AD
aplikacjom systemowym ja również tworzenie własnych aplikacji
REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjana i międzylokacyjna)
SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT)
MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC
Directory System Agent (DSA)
Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia: Identyfikację obiektu Przetwarzanie transakcji Wymuszanie uaktualniania schematu Wymuszanie kontroli dostępu Wspiera replikacje Utrzymuje strukturę hierarchiczną bazy danych oraz
zapewnia szybki dostęp do jej zawartości (odnośniki)
Warstwa bazy danych Zasłania przed użytkownikiem budowę
wewnętrzną katalogu dostarczając strukturę hierarchiczną
Tłumaczy każdą nazwę wyróżnioną (DN) na liczbę całkowitą (znacznik DN) będącą indeksem w bazie
Jest odpowiedzialna za tworzenie, usuwanie i odzyskiwanie poszczególnych rekordów, atrybutów wewnątrz rekordów i ich wartości w bazie danych AD (korzysta ze struktur danych DSA – bufora schematów)
Motor ESE Wdraża transakcyjny system bazy danych,
korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.dit w folderze %systemroot%\system32)
Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów)
Przystosowany do obsługi rzadkich wierszy macierzy Zapewnia obsługę schematu dynamicznego
(dostosowanie liczby atrybutów do aktualnie definiowanego obiektu)
Umożliwia przechowywanie atrybutów o wielu wartościach
Obszary nazw Obszar nazw jest najwyższego poziomu nazwą domeny
usługi AD dla instytucji składającej się z domen Windows2000, kontrolerów domen, jednostek organizacyjnych, relacji zaufania i drzew domen
Istotna zależność między obszarem nazw DNS a Active Directory
Wewnętrzny obszar nazw – struktura wewnętrzna usługi
Zewnętrzny obszar nazw – widoczny z zewnątrz, zazwyczaj udostępniany przez urządzenia aktywne sieci
Obszary nazw takie same Klienci wewnętrznej, prywatnej sieci firmowej muszą
mieć dostęp do serwerów wewnętrznego i zewnętrznego
Klienci zewnętrzni muszą mieć dostęp do zasobów i rozwiązywania nazw z zewnątrz
Konieczność istnienia dwóch odrębnych stref DNS odpowiednio dla rozwiązywania nazw zewnętrznych i wewnętrznych
Zalety: Identyczna nazwa drzewa Umożliwia użytkownikom korzystanie z sieci
zewnętrznej i wewnętrznej z wykorzystaniem tej samej nazwy (logowanie, e-mail)
Obszary nazw takie same (2)
Wady Skomplikowana konfiguracja (klienci proxy
muszą rozróżniać zasoby wewnętrzne i zewnętrzne)
Ograniczenia w publikowaniu zasobów wewnętrznych w Internecie
Niektóre prace administratorskie ulegają podwojeniu (np. DNS)
Pomimo identycznych nazw użytkownicy będą w różny sposób widzieli zasoby wewnętrzne i zewnętrzne
Rozdzielone obszary nazw Domena jest widziana pod różnymi nazwami z
zewnątrz i wewnątrz Konieczność rejestracji obu nazw w
zewnętrznym DNS co zapobiega wykorzystaniu wewnętrznego obszaru nazw przez publiczną sieć
Zalety: Łatwość odróżnienia zasobów wewnętrznych i
zewnętrznych Łatwa konfiguracja klientów proxy
Rozdzielone obszary nazw (2)
Wady: Nazwy logowania są inne niż adresy
poczty elektronicznej W Internetowym DNS należy
zarejestrować kilka nazw
Architektura obszaru nazw Ograniczenie ruchu replikacyjnego Możliwość łatwej rekonfiguracji struktury Skalowalność Rozróżnianie zasobów wewnętrznych i
zewnętrznych przy jednoczesnej ochronie danych Powinna reprezentować strukturę organizacyjną
przedsiębiorstwa Zalecane trzy warstwy domen
Domena katalogu głównego Domena pierwszej warstwy Domena drugiej warstwy
Domena katalogu głównego
Pierwsza domena w obszarze nazw odwzorowująca obszar nazw firmy
Wszystkie wewnętrzne domeny są częścią tej domeny tworząc przylegający, połączony w formie drzewa domen obszar nazw
Serwery zawierające katalog główny nie są widoczne w Internecie
Domeny pierwszej warstwy
Ich zadanie to stworzenie nazw domen „odpornych” na reorganizację firmy
Mogą odpowiadać np. położeniu geograficznemu oddziałów
Relacje zaufania pomiędzy domeną katalogu głównego a domenami pierwszej warstwy pozwalają aby zasoby były dostępne dla wszystkich odgałęzień drzewa domen
Nazwy domen tej warstwy powinny mieć co najmniej 3 znaki długości (standard ISO 3166)
Domeny drugiej warstwy Całkowicie konfigurowalne stanowią
podstawową jednostkę zarządzania Domeny podrzędne mogą być
tworzone poniżej warstwy drugiej Przykład (ISO 3166):
1. microsoft.com2. noamer.microsoft.com3. usa.noamer.microsoft.com4. ny.usa.noamer.microsoft.com
Planowanie jednostek organizacyjnych
Tworzone w celu delegowania administrowania powinny odzwierciedlać szczegółową strukturę organizacyjną
Przejrzysta struktura jednostek organizacyjnych zapewnia łatwą administrację
Zastosowanie zasad zabezpieczeń Możliwość ograniczenia publikowania zasobów
w sieci zewnętrznej Niezmienność struktury jednostek Zbliżona liczność jednostek organizacyjnych w
domenie
Hierarchia jednostek organizacyjnych
Oparte na administracji lub obiektach (użytkownicy, grupy, zasady zabezpieczeń)
Oparte na podziale geograficznym (struktura bez tendencji do zmian)
Oparte na funkcjach działalności (np. rekrutacja, obsługa studenta itd. – stałe)
Oparte na oddziałach (w oparciu o relacje między oddziałami - zmienne)
Oparte na projektach (np. projekty badawcze, struktura nietrwała)
Planowanie lokacji Projekt fizyczny sieci opartej na Windows2000
Server obsługującej Active Directory Lokacja nie jest częścią obszaru nazw -
użytkownicy i komputery zgrupowani są w domeny i jednostki organizacyjne
Lokacja to zespolenie jednej lub więcej podsieci połączonych szybkimi łączami
Rozłożenie lokacji wpływa na: Logowanie do stacji roboczych (klienci AD odszukują
kontroler domeny w lokacji w której znajduje się użytkownik dla jego obsługi)
Replikacje (międzylokacyjne powinny zachodzić rzadziej)
Łączenie podsieci w lokacje
Konieczność zapewnienia szybkiego (co najmniej 512 Kbps) i niezawodnego połączenia
Planowanie replikacji na godziny nie kolidujące ze zwykłym ruchem
W usłudze AD struktura domeny i struktura lokacji utrzymywane są oddzielnie
Pojedyncza domena może rozciągać się na wiele lokacji, a pojedyncza lokacja może zawierać wiele domen lub części wielu domen
Przykłady lokacji
Optymalizacje Logowania – określone stacje robocze i
kontrolery powinny znajdować się w tej samej lokacji
1-5 stacji roboczych – nie tworzymy lokacji
Stacji roboczych > 5 – tworzymy lokacje z lokalnym kontrolerem domeny. Replikacja może przebiegać wolnymi łączami poza godzinami szczytu
Wdrażanie usługi AD Kreator instalacji usługi AD (Start->Narzędzia
administracyjne->Usługa Active Directory->Konfigurowanie serwera)
Menu Start->uruchom->dcpromo.exe Dodawanie kontrolera domeny do istniejącej
domeny Tworzenie pierwszego kontrolera domeny dla nowej
domeny Tworzenie nowej domeny podrzędnej Tworzenie nowego drzewa domen
Typy kontrolerów domen
Kontrolery domen w praktyce
Dodawanie do istniejącej domeny – utworzenie równoprawnego kontrolera domeny (nadmiarowość oraz redukcja obciążenia istniejących kontrolerów)
Tworzenie pierwszego – utworzenie nowej domeny i pierwszego jej kontrolera (podział informacji dla skalowania usługi AD) Domena podrzędna jest dodawana do istniejącej
domeny (stanowi jej część) Nowa domena nie będzie częścią istniejącej. Możliwe
utworzenie nowego lasu lub części istniejącego
Baza danych usługi AD Domyślna lokalizacja: %systemroot%\Ntds.
Podczas instalacji możliwa zmiana lokalizacji Zalecane umieszczenie bazy danych i plików
dziennika na oddzielnych fizycznych dyskach – lepsza wydajność
W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10)
Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa
Udostępniony wolumen systemowy
Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad grup
Domyślna lokalizacja: %systemroot%\Sysvol Udostępniony wolumen systemowy musi
znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0
Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD
Tryb domeny mieszany Kontroler pracuje w trybie mieszanym
po pierwszej instalacji lub aktualizacji do systemu W2k
Pozwala on na prace z kontrolerami domeny pracującymi pod kontrolą Windows NT 3.5 i 4.0
Konieczny do uwierzytelniania klientów korzystających z NTLM oraz do rozwiązywania nazw przez WINS
Tryb domeny macierzysty Wykorzystywany gdy wszystkie kontrolery
domeny pracują pod kontrolą W2k Server W trakcie konwersji trybu: Ustaje wsparcie dla replikacji niższego
poziomu (brak NTLM) Nie można dodawać kontrolerów niższego
poziomu do domeny Podstawowy kontroler domeny przestaje być
kontrolerem nadrzędnym; wszystkie kontrolery domeny stają się równoprawne
Administrowanie usługą AD
Obiekty usługi AD reprezentują zasoby sieciowe. Obiekt jest zbiorem atrybutów. Dodawanie nowych zasobów powoduje utworzenie nowych obiektów. Przed dodaniem nowych obiektów należy utworzyć jednostki organizacyjne, w skład których będą wchodziły te obiekty
Jednostki administracyjne można tworzyć w domenie, w obiekcie kontroler domeny lub wewnątrz innej jednostki organizacyjnej
Utworzenie nowej jednostki wymaga posiadania odpowiednich uprawnień (grupa Administratorzy)
Nie można tworzyć jednostek administracyjnych w większości kontenerów domyślnych jak np. Użytkownicy czy Komputery
Jednostki organizacyjne Tworzone w celu delegowania kontroli
administracyjnej do innych użytkowników lub administratorów
Dla grupowania obiektów wymagających podobnych zajęć administracyjnych (np. konta użytkowników pracowników sezonowych)
Ograniczają widzialność zasobów sieciowych w magazynie usługi Active Directory (użytkownicy mogą widzieć jedynie te zasoby do których mają dostęp).
Jednostki organizacyjne tworzy się w przystawce Użytkownicy i komputery usługi Active Directory
Obiekty jednostek organizacyjnych
Dodanie wymaga posiadania uprawnień (domyślnie członkowie grupy Administratorzy)
Obiekty możliwe do dodania określają zasoby schematu
Atrybuty obiektu w schemacie są kategoriami informacji definiującymi charakterystyki wszystkich możliwych wystąpień definiowanego typu obiektu
Wartości atrybutów dowolnego wystąpienia obiektu czynią go unikalnym
Obiekty tworzone są w przystawce Użytkownicy i komputery usługi Active Directory
Obiekty usługi Active Directory (1)
Komputer – obiekt reprezentuje komputer i zawiera informacje o komputerze z domeny
Kontakt – obiekt bez uprawnień zabezpieczeń i brakiem możliwości logowania. Reprezentuje zewnętrznych użytkowników na potrzeby poczty elektronicznej
Grupa – może zawierać użytkowników, komputery i inne grupy. Ułatwia zarządzanie dużą liczbą obiektów
Obiekty usługi Active Directory (2)
Drukarka – drukarka sieciowa opublikowana w katalogu. Jeśli komputer do którego jest podłączona nie znajduje się w AD drukarka musi zostać opublikowana oddzielnie
Użytkownik – główne zabezpieczenie katalogu. Informacje zawarte w obiekcie pozwalają na logowanie się
Udostępniony folder – obiekt jest wskaźnikiem do udostępnionego folderu (zawiera jego adres a nie dane). Udostępnione foldery znajdują się w rejestrze komputera, zaś a AD utworzony jest obiekt zawierający wskaźnik do udostępnionego folderu.
Zarządzanie obiektami usługi Active Directory
Ustalanie położenia obiektów Modyfikowanie Usuwanie Przenoszenie Dla modyfikacji, usuwania i
przenoszenia należy posiadać wymagane uprawnienia do obiektu oraz jednostki organizacyjnej do której będzie przenoszony dany obiekt
Ustalanie położenia obiektów
Znajdowanie obiektów w domenie drzewa lub lasu
Z wykorzystaniem przystawki Użytkownicy i komputery Active Directory z folderu Narzędzia administracyjne
Odszukiwanie według Listy atrybutów (warunek) Zawartości listy atrybutów (pole) Wartość (pola atrybutu) Kryteria wyszukiwania (lista kryteriów wyszukiwania)
Przystawka
Modyfikowanie wartości atrybutów i usuwanie obiektów
Użytkownicy i komputery usługi AD – znajdujemy obiekt , z menu Akcja -> Właściwości i dokonujemy modyfikacji właściwości obiektów
Usuwamy obiekty, które nie są efektywnie wykorzystywane, po zaznaczeniu obiektu z menu Akcja wybieramy Usuń
Przenoszenie obiektów Przenoszenie obiektów jest możliwe
pomiędzy lokalizacjami w magazynie AD oraz jednostkami organizacyjnymi
Wykonywane w przypadku reorganizacji
Użytkownicy i komputery usługi AD – zaznaczamy obiekt, z menu Akcja opcję Przenieś i wskazujemy nową lokalizację