Active Directory (AD) – это иерархическая служба каталога от компании Microsoft, которая используется в доменной среде Windows для организации и централизованного управления различными типами объектов: компьютерами, пользователями, серверами, принтерами. AD является центральным элементом управления и аутентификации в сетях Windows. Active Directory тесно связана и интегрирована о множеством служб и приложений Microsoft, таких как DNS, DHCP, почтовая служба Exchange Server, и т.д. Благодаря тому, что все учетные записи пользователи хранятся в единой базе AD, пользователь может войти под своей учетной записью и паролем на любой компьютер в домене AD (в отличии от workgroup, где на каждом компьютере хранится собственная база пользователей).

Архитектуры и основные понятия Active Directory

AD организована в иерархическую структуру. В архитектуре AD есть следующие элементы:

  • Лес AD (forest) – самый высокий уровень иерархии Active Directory. Он представляет собой набор связанных доменов, которые разделяют общую схему, структуру и глобальный каталог
  • Домен – отдельная область внутри леса AD, со своей границу безопасности и репликацией. Содержит пользователей, компьютеры, группы и другие объекты.
  • Организационная единица (OU) – контейнеры внутри домена для логической группировки объектов (аналог – папки на диске). OU является точки назначения GPO и делегирования полномочий.
  • Для установки домена Active Directory нужно установить роль Active Directory Domain Services (ADDS) на компьютере с Windows Server. Такой сервер называется контроллер домена Active Directory (DC). В домене может быть один или несколько контроллеров домена, в зависимости от потребностей и размера домена. Контроллеры домена выполняют аутентификацию пользователей и обслуживают запросы на доступ к ресурсам сети (используется как logon server);
  • На контроллере домена хранится база Active Directory (NTDS.DIT). Каждый контроллер домена хранит свою копию базы AD и реплицирует новые/измененные данный с другим DC.
  • Сайт AD – объекты AD, представляющие собой одну или несколько физических IP подсетей, связанных быстрыми каналами. Обычно сайты AD отражают физические географические или логические границы в вашей корпоративной сети. Клиенты выполняют аутентификацию, получают политики с контроллеров домена в своих сайтах. В каждом сайте может находится один или несколько контроллеров домена. Между сайтами можно настроить интервалы репликации для уменьшения нагрузки на WAN каналы.
  • Global Catalog (GC) – эта роль может быть назначена любому контроллеру домена. Такой DC будет хранить краткую информацию о всем лесе и использоваться для выполнения поиска и аутентификации в разных доменах;
  • Групповые политики (GPO) — позволяют администраторам настраивать параметры компьютеров и пользователей в сети с использованием централизованных политик
  • Схема AD – определяет структуру и возможные атрибуты объектов в Active Directory.
  •  

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *