Active Directory Domain Controler (AD DC)
Download
Report
Transcript Active Directory Domain Controler (AD DC)
Active Directory Domain
Controler (AD DC)
Grupa robocza (1)
Jest logiczną grupą komputerów w sieci
współdzielących zasoby takie jak pliki, foldery
czy drukarki.
Jest określana mianem równoprawnej, gdyż
wszystkie komputery współdzielą zasoby na
równych prawach.
Każdy komputer grupy roboczej utrzymuje
lokalną bazę danych o zabezpieczeniach: lista
kont użytkowników i informacja o
zabezpieczeniach lokalnych zasobów.
Grupa robocza (2)
Administracja kontami użytkowników i
zabezpieczeniami jest zdecentralizowana –
użytkownik musi mieć konto na każdym
komputerze do zasobów którego chce mieć
dostęp.
Czynności administracyjne mają charakter
czysto lokalny – należy je wykonywać na
każdym komputerze grupy oddzielnie.
Grupa robocza (3)
Grupa robocza (4)
Nie wymaga komputera z systemem co
najmniej 2000 Server dla utrzymywania
zcentralizowanej bazy informacji o
zabezpieczeniach.
Prosta do zaprojektowania i wdrożenia
Odpowiednia dla niewielkiej ilości komputerów
położonych w bliskim sąsiedztwie.
Przeznaczona dla niewielkiej liczby
użytkowników nie wymagających centralnej
administracji.
Domena Windows (1)
Jest logiczną grupą komputerów w sieci
współdzielących centralną, katalogową bazę
danych.
Baza składa się z kont użytkowników, informacji
o pozostałych zasobach w sieci oraz
zabezpieczeniach w domenie.
W Windows 2000/3/8 katalogowa baza danych
nazywa się katalogiem i jest częścią usług
obsługujących bazę danych Active Directory.
W domenie katalog znajduje się na
komputerach skonfigurowanych jako kontrolery
domeny.
Domena Windows (2)
Udostępnia scentralizowaną administrację,
ponieważ wszystkie informacje przechowywane
są lokalnie.
Umożliwia użytkownikom jednokrotne
logowanie się w celu uzyskania dostępu do
określonych zasobów sieci (zgodnie z
uprawnieniami).
Jest skalowalna, co umożliwia tworzenie dużych
struktur sieciowych.
Domena Windows (4)
Cechy usługi Active Directory
Organizuje zasoby w domenie w sposób
hierarchiczny.
Skalowalność – wynikająca z podziału zasobów
sieci na jednostki logiczne.
Wsparcie dla otwartych standardów - scala w
sobie koncepcję internetowej przestrzeni nazw
z usługami katalogowymi Windows NT.
Wykorzystuje DNS i może wymieniać
informację z dowolnymi usługami
wykorzystującymi LDAP (Lightweight Directory
Access Protocol).
Struktura usługi AD
Usługa rozdziela sieć na strukturę logiczną i
fizyczną.
Zasoby zorganizowane są w strukturze
logicznej, co pozwala na odnajdywanie zasobów
przy użyciu ich nazw, a nie lokalizacji.
Przestrzeń nazw – ograniczony obszar w
obrębie którego nazwa reprezentująca obiekt
może być odnaleziona i wykorzystana do
uzyskania dostępu do obiektu oraz jego
atrybutów.
Organizacja logiczna
Przestrzeń nazw ciągła – jeśli nazwa
każdego obiektu zawiera sufiks będący
nazwą obiektu nadrzędnego oraz istnieje
jeden obiekt wyróżniony, którego nazwa
jest sufiksem wszystkich pozostałych.
Wyróżniony obiekt to korzeń drzewa
nazw.
Struktura logiczna (2)
Obiekt – wyróżniony i nazwany zbiór
atrybutów reprezentujących np.
użytkownika, komputer,...
Zbiór klas – zestaw możliwych rodzajów
obiektów występujących w AD.
Schemat – opis wszystkich klas i
wszystkich związanych z nimi atrybutów.
Organizacja logiczna (3)
Nazwa – opisuje położenie obiektu w
strukturze hierarchicznej (np. ścieżka dostępu
do pliku). Jest określana jako Distinguished
Name (DN). Podstawowe składnniki:
◦
◦
◦
◦
DC – Domain Component (Microsoft, com)
CN – Common Name (Users, Jan)
OU – Organisation Unit
O – Organisation (Internet)
Internet.com.Microsoft.Users.Jan
Struktura logiczna (4)
Domena – podstawowa jednostka administracji
wymagająca istnienia co najmniej jednego
kontrolera.
Drzewo domen – wiele domen mających
wspólny schemat i konfigurację, tworzących
ciągłą przestrzeń nazw.
Domeny połączone są przez przechodnie i
zwrotne relacje zaufania weryfikowane przez
protokół Kerberos.
Model domeny
Model drzewa domen
Struktura logiczna (5)
Las – zbiór składający się z wielu drzew domen,
które nie tworzą ciągłej przestrzeni nazw.
Replika – kopia bazy danych przechowywana
przez kontroler domeny.
Partycja – jednostka replikacji bazy danych AD.
Podstawowe to:
◦ partycja domeny,
◦ partycja schematu,
◦ partycja konfiguracji.
Przykład lasu domen
Struktura logiczna (6)
Partycja domeny – informacje o obiektach
w domenie. Replikowana w całości na
każdy kontroler domeny.
Partycja schematu – zawiera definicje
schematów (klasy, atrybuty).
Partycja konfiguracji – informacje o
wszystkich domenach w lesie,
kontrolerach i topologii replikacji.
Względna nazwa wyróżniająca
(RDN)
Część pełnej nazwy wyróżniającej
wykorzystywana do odnajdowania
obiektów przez odpytywanie (nazwa
wyróżniająca nie jest dokładnie znana).
Zazwyczaj jest to CN obiektu
nadrzędnego.
W domenie jeden obiekt może mieć dwie
identyczne nazwy RDN ale nie mogą
istnieć dwa obiekty o takiej samej nazwie
RDN.
Unikalny identyfikator globalny
Oprócz nazwy obiekt w magazynie AD posiada unikalną
tożsamość.
Nazwa może ulegać zmianie, tożsamość zawsze
pozostaje niezmieniona.
Tożsamość definiuje Unikalny identyfikator globalny
(GUID – Globally Unique Identifier).
GUID – liczba 128 – bitowa przyznana przez agenta
systemu katalogowego (DSA) w momencie tworzenia
obiektu.
W Windows NT zasoby domeny są związane z
identyfikatorem zabezpieczeń (SID).
Identyfikator GUID jest przechowywany w atrybucie o
nazwie objectGUID (każdy obiekt).
Nazwa główna użytkownika
User Principal Name (UPN) jest
„przyjazną”, krótszą -> łatwiejszą do
zapamiętania od DN.
Składa się ze skróconej nazwy
użytkownika i zazwyczaj nazwy DNS
domeny oddzielonych „@”
([email protected]).
UPN jest niezależna od DN obiektu,
dzięki czemu obiekt może zostać
przeniesiony lub usunięty bez wpływu na
sposób logowania.
Struktura fizyczna (1)
Ściśle związana z DNS.
Nazwy domen to nazwy DNS.
AD wykorzystuje DNS do lokalizacji usług.
Siedziba (site) – jedna lub więcej podsieci IP
(wysoka jakość połączenia). Siedziba może
zawierać kontrolery wielu domen, jak i
pojedyncza domena może rozciągać się na wiele
siedzib.
Struktura fizyczna (2)
Siedziby służą:
◦ Ograniczeniu ruchu replikacyjnego.
◦ Kierowania klienta do najbliższego mu serwera
oferującego żądaną usługę.
Siedziby muszą być połączone, aby możliwa była
komunikacja (głównie replikacyjna) między
kontrolerami domen.
Połączenie – obszar zawierający jedną lub wiele
siedzib, w obrębie którego serwery z różnych
siedzib mogą łączyć się ze sobą.
Implementacja usługi
Model danych bazuje na modelu X.500.
Schemat jest zaimplementowany jako zbiór
wystąpień klas obiektów składowanych w katalogu.
Model zabezpieczeń bazuje na strukturze Trusted
Computing Base (TCB) z listami kontroli dostępu.
Model administracyjny umożliwia zarządzanie tylko
użytkownikom uprawnionym. Przekazywanie
uprawnień odbywa się na zasadzie delegowania.
Directory System Agent (DSA)-proces zarządzający
fizycznym składowaniem katalogu. Izoluje klientów
od fizycznego formatu składowanych danych.
Dostęp do usługi
Możliwy jedynie przy pomocy protokołów
definiujących format wiadomości i
interakcji:
◦ LDAP
◦ MAPI-RPC (Messaging Application Program
Interface – Remote Procedure Call)
◦ X.500
Dostęp do protokołów poprzez API
(interfejsy programowe aplikacji)
Model warstwowy usługi AD
Interfejsy
LDAP – protokół komunikacyjny w sieciach TCP/IP,
umożliwia dostęp do usługi AD aplikacjom
systemowym jak również tworzenie własnych
aplikacji (otwarty standard).
REPL – wykorzystywany przez usługę replikacji po
IP lub SMTP (lokacyjna i międzylokacyjna).
SAM – komunikacja międzydomenowa, replikacja w
domenach mieszanych (z Windows NT).
MAPI – dziedziczni klienci MAPI jak klient
komunikatów i pracy grupowej łączą się z DSA z
wykorzystaniem MAPI RPC.
Składniki usługi AD
Directory System Agent (DSA) – tworzy
hierarchię składowania danych w katalogu.
Dostarcza interfejsów dla interfejsów
programowych aplikacji API.
Database Layer – warstwa abstrakcyjna,
pośrednia dla odwołań do bazy danych.
Extensible Storage Engine – komunikuje się
bezpośrednio z rekordami w magazynie
katalogu.
Data store – plik bazy danych (Ntds.dit)
zarządzany przez motor bazy danych (program
narzędziowy Ntdsutil).
Directory System Agent (DSA)
Proces uruchamiany na każdym kontrolerze
domeny dla zarządzania fizycznym
składowaniem katalogu. Zapewnia:
◦
◦
◦
◦
◦
◦
Identyfikację obiektu.
Przetwarzanie transakcji.
Wymuszanie uaktualniania schematu.
Wymuszanie kontroli dostępu.
Wspiera replikacje.
Utrzymuje strukturę hierarchiczną bazy danych oraz
zapewnia szybki dostęp do jej zawartości (odnośniki).
Motor ESE
Wdraża transakcyjny system bazy danych, korzystający z
plików dziennika dla zapewnienia bezpieczeństwa
transakcji (Esent.dll, Ntds.dit w folderze
%systemroot%\system32).
Umożliwia obsługę pliku bazy danych o rozmiarze do 16
TB (~108 rekordów).
Przystosowany do obsługi rzadkich wierszy macierzy.
Zapewnia obsługę schematu dynamicznego
(dostosowanie liczby atrybutów do aktualnie
definiowanego obiektu).
Umożliwia przechowywanie atrybutów o wielu
wartościach.
Baza danych usługi AD
Domyślna lokalizacja: %systemroot%\Ntds.dit
. Podczas instalacji możliwa zmiana
lokalizacji.
Zalecane umieszczenie bazy danych i plików
dziennika na oddzielnych fizycznych dyskach
– lepsza wydajność.
W zastosowaniach droższych RAID
sprzętowy (RAID-5 lub RAID-10).
Baza danych w pliku Ntds.dit. W trakcie
promocji jest kopiowany z katalogu
%systemroot%\system32 do wyznaczonego
katalogu i z niej startowana jest usługa.
Udostępniony wolumen systemowy
Struktura istniejąca na wszystkich kontrolerach
domeny zawierająca skrypty i obiekty zasad dla
grup (zbiory ustawień konfiguracyjnych powiązane
z poszczególnymi komputerami, lokacjami,
domenami dla sterowania zachowaniem pulpitów
użytkowników).
Domyślna lokalizacja: %systemroot%\Sysvol.
Udostępniony wolumen systemowy musi
znajdować się na partycji lub wolumenie
sformatowanym w systemie plików NTFS w
wersji 5.0.
Replikacja odbywa się według tego samego
harmonogramu co replikacja usługi AD (co 90
+rand(1..30) min).
Instalacja pierwszego kontrolera
domeny (1)
Instalacja pierwszego kontrolera
domeny (2)
Instalacja pierwszego kontrolera
domeny (3)
Instalacja pierwszego kontrolera
domeny (4)
Instalacja pierwszego kontrolera
domeny (5)
Instalacja pierwszego kontrolera
domeny (6)
Instalacja pierwszego kontrolera
domeny (7)
Instalacja pierwszego kontrolera
domeny (8)
Instalacja pierwszego kontrolera
domeny (9)
Instalacja pierwszego kontrolera
domeny (10)
Instalacja pierwszego kontrolera
domeny (11)
Instalacja pierwszego kontrolera
domeny (12)
Instalacja pierwszego kontrolera
domeny (13)
Instalacja pierwszego kontrolera
domeny (14)
Instalacja pierwszego kontrolera
domeny (15)
Instalacja pierwszego kontrolera
domeny (16)
Podłączanie klienta do domeny (1)
Przeprowadza się od strony klienta
Podłączanie klienta do domeny (2)
Podłączanie klienta do domeny (3)
Drugi kontroler domeny (1)
Drugi kontroler domeny (2)
Drugi kontroler domeny (3)
Drugi kontroler domeny (4)
Drugi kontroler domeny (5)
Drugi kontroler domeny (6)
Administrowanie zasobami domeny
Konta domyślne
Wbudowane konta logowania – pseudokonta
instalowane wraz z systemem operacyjnym, aplikacjami i
usługami.
Wstępnie zdefiniowane – konta użytkowników i grup
tworzone przez system.
Wbudowane zabezpieczenia główne – specjalne grupy
tworzone w momencie uzyskiwania dostępu do
zasobów sieciowych, zwane tożsamościami specjalnymi.
Wbudowane konta logowania
Do realizacji zadań specjalnych:
System lokalny (LocalSystem) – do uruchamiania
procesów systemowych i obsługi zadań systemowych.
Większość usług korzysta z tego konta przy
uruchamianiu.
Usługa lokalna (LocalService) – do uruchamiania usług
wymagających specjalnych uprawnień. Np. alarmy.
Usługa sieciowa (NetworkService) – do uruchamiania
usług wymagających dodatkowych praw dostępu do
sieci. Np. dzienniki wydajności.
Wbudowane konta użytkowników
W przypadku serwerów członkowskich są kontami
lokalnymi.
Mają swoje odpowiedniki w katalogu AD:
1. Administrator – nieograniczony dostęp do plików, katalogów,
usług i całego systemu. Nie można go usunąć.
2. ASPNET – wykorzystywane przez system .NET Framework do
uruchamiania procesów.
3. Gość – zaprojektowane z myślą o użytkownikach
wymagających jednorazowego lub okazjonalnego dostępu do
systemu.
4. Pomocnik – wykorzystywane przez wbudowaną usługę: Pomoc
i obsługa techniczna.
Możliwości kont
Przywileje – rodzaj uprawnienia pozwalającego
użytkownikowi na wykonywanie określonych zadań
administracyjnych. Mogą być przypisane do kont
użytkowników i grup.
Prawa logowania – typ uprawnienia przyznający
możliwość logowania się do systemu.
Uprawnienia wbudowane – przypisany grupom i
zawierający ich automatyczne możliwości. Są wstępnie
zdefiniowane i nie mogą być zmieniane. Np.
Administratorzy, operatorzy kont.
Prawa dostępu – definiują operacje, które mogą być
wykonywane na zasobach sieciowych. Mogą być
przypisane użytkownikom, grupom i komputerom.
Grupy
Stanowią inny typ konta.
Umożliwiają proste przydzielanie uprawnień kontom
użytkowników.
Prawa dostępu do różnych zasobów można przydzielać
po prostu tworząc odpowiednie grupy i włączając do
nich odpowiednich użytkowników.
Ponieważ w różnych domenach mogą istnieć grupy o
tych samych nazwach, nazwę grupy podaje się w postaci
domena\nazwa_grupy lub podając FQDN dla grupy.
Rodzaje grup (1)
Grupy lokalne – zdefiniowane na lokalnym komputerze.
Odnoszą się tylko do tego komputera. Tworzy się przy
pomocy narzędzia Lokalni użytkownicy i grupy.
Grupy zabezpieczeń – grupy mające przydzielone
identyfikatory zabezpieczeń SID. Tworzy się narzędziem
Użytkownicy i komputery Active Directory.
Grupy dystrybucji – wykorzystywane jako listy
dystrybucyjne poczty elektronicznej. Nie posiadają SID.
Tworzy się narzędziem Użytkownicy i komputery
Active Directory.
Rodzaje grup 2
Lokalne domenowe – wykorzystywane do
przydzielania uprawnień w granicach pojedynczej
domeny. Członkami mogą być użytkownicy oraz grupy z
tej domeny.
Wbudowane grupy lokalne – grupy o specjalnym
zakresie działania posiadające uprawnienia domeny
lokalnej.
Globalne – grupy używane do przydzielania uprawnień
do obiektów w dowolnej domenie należącej do drzewa
lub lasu domen. W jej skład wchodzą konta z domeny, w
której zdefiniowano grupę.
Uniwersalne – grupy wykorzystywane do
przyznawania uprawnień w obrębie całego drzewa lub
lasu. W jej skład mogą wchodzić konta użytkowników,
grupy globalne oraz inne grupy uniwersalne z domeny,
drzewa lub lasu.
Definiowanie użytkownika
domenowego
Hasło użytkownika
Duże i małe litery rozróżnialne.
Złożoność (pula znaków, długość, hasła
„słownikowe”).
Podsumowanie i braki
Dodatkowe atrybuty użytkownika