Active Directory - Active Directory

Active Directory (ОБЪЯВЛЕНИЕ) это справочная служба разработан Microsoft за Домен Windows сети. Он входит в большинство Windows Server операционные системы как набор процессы и Сервисы.[1][2] Изначально Active Directory отвечала только за централизованное управление доменами. Однако Active Directory стала зонтичным названием для широкого спектра служб, связанных с идентификацией на основе каталогов.[3]

Сервер работает Доменная служба Active Directory (AD DS) роль называется контроллер домена. Это удостоверяет подлинность и разрешает все пользователи и компьютеры в Windows сеть доменного типа - назначение и применение политик безопасности для всех компьютеров, установка или обновление программного обеспечения. Например, когда пользователь входит в компьютер, который является частью домена Windows, Active Directory проверяет отправленный пароль и определяет, является ли пользователь Системный администратор или обычный пользователь.[4] Кроме того, он позволяет управлять и хранить информацию, обеспечивает механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных служб: служб сертификации, Службы федерации Active Directory, Облегченные службы каталогов и Услуги по управлению правами.[5]

Active Directory использует Легкий протокол доступа к каталогам (LDAP) версии 2 и 3, Версия Microsoft Kerberos, и DNS.

История

Active Directory, как и многие другие разработки в области информационных технологий, возникла из демократизация дизайна с помощью Запрос комментариев или RFC. В Инженерная группа Интернета (IETF), которая наблюдает за процессом RFC, приняла множество RFC, инициированных многочисленными участниками. Например, LDAP лежит в основе Active Directory. Также X.500 каталоги и Организационная единица предшествовала концепции Active Directory, в которой используются эти методы. Концепция LDAP начала появляться еще до основания Microsoft в апреле 1975 года, а RFC появились еще в 1971 году. RFC, вносящие вклад в LDAP, включают RFC 1823 (о LDAP API, август 1995 г.),[6] RFC 2307, RFC 3062, и RFC 4533.[7][8][9]

Microsoft представила Active Directory в 1999 году, сначала выпустив ее с Windows 2000 Server Edition и переработал его для расширения функциональности и улучшения администрирования в Windows Server 2003. Дополнительные улучшения появились в последующих версиях Windows Server. В Windows Server 2008, в Active Directory были добавлены дополнительные службы, такие как Службы федерации Active Directory.[10] Часть каталога, отвечающая за управление доменами, которая ранее была основной частью операционной системы,[10] была переименована в доменные службы Active Directory (ADDS) и стала ролью сервера, как и другие.[3] «Active Directory» стала общим названием для более широкого диапазона служб каталогов.[11] По словам Брайона Хайнса, все, что связано с идентификацией, было перенесено под знамя Active Directory.[3]

Службы Active Directory

Службы Active Directory состоят из нескольких служб каталогов. Наиболее известными являются доменные службы Active Directory, обычно сокращенный как AD DS или просто AD.[12]

Доменные службы

Доменные службы Active Directory (AD DS) - это краеугольный камень каждого Домен Windows сеть. В нем хранится информация об участниках домена, включая устройства и пользователей, проверяет их полномочия и определяет их права доступа. Сервер, на котором запущена эта служба, называется контроллер домена. С контроллером домена связываются, когда пользователь входит в систему, получает доступ к другому устройству в сети или ведет бизнес. Приложение в стиле метро загруженный в устройство.

Другие службы Active Directory (кроме СПД, как описано ниже), а также большинство серверных технологий Microsoft полагаются на доменные службы или используют их; примеры включают Групповая политика, Шифрованная файловая система, BitLocker, Службы доменных имен, Службы удаленных рабочих столов, Сервер обмена и SharePoint Server.

Самоуправляемые AD DS не следует путать с управляемыми Azure AD DS, которые являются облачным продуктом.[13]

Облегченные службы каталогов

Службы Active Directory облегченного доступа к каталогам (AD LDS), ранее известный как Режим приложения Active Directory (АДАМ),[14] это реализация LDAP протокол для AD DS.[15] AD LDS работает как служба на Windows Server. AD LDS разделяет базу кода с AD DS и обеспечивает те же функции, включая идентичные API, но не требует создания доменов или контроллеров домена. Он обеспечивает Хранилище данных для хранения данных каталога и Служба каталогов с LDAP Интерфейс службы каталогов. Однако, в отличие от AD DS, на одном сервере могут работать несколько экземпляров AD LDS.

Сертификационные услуги

Службы сертификатов Active Directory (AD CS) создают локальную инфраструктура открытого ключа. Он может создавать, проверять и отзывать сертификаты открытых ключей для внутреннего использования в организации. Эти сертификаты могут использоваться для шифрования файлов (при использовании с Шифрованная файловая система ), электронные письма (на S / MIME стандартный) и сетевой трафик (когда используется виртуальные частные сети, Безопасность транспортного уровня протокол или IPSec протокол).

AD CS появился раньше Windows Server 2008, но назывался просто Certificate Services.[16]

AD CS требует инфраструктуры AD DS.[17]

Службы федерации

Основная статья: Службы федерации Active Directory

Службы федерации Active Directory (AD FS) - это Единая точка входа служба. При наличии инфраструктуры AD FS пользователи могут использовать несколько веб-служб (например, Интернет-форум, блог, Онлайн шоппинг, электронная почта ) или сетевые ресурсы, использующие только один набор учетных данных, хранящихся в центральном месте, в отличие от необходимости предоставлять специальный набор учетных данных для каждой службы. Назначение AD FS - это расширение AD DS: последний позволяет пользователям аутентифицироваться и использовать устройства, которые являются частью одной сети, с использованием одного набора учетных данных. Первый позволяет им использовать один и тот же набор учетных данных в другой сети.

Как следует из названия, AD FS работает на основе концепции федеративная идентичность.

AD FS требует инфраструктуры AD DS, хотя ее партнер по федерации не может.[18]

Услуги по управлению правами

Основная статья: Службы управления правами Active Directory

Службы управления правами Active Directory (AD RMS, известный как Услуги по управлению правами или же RMS перед Windows Server 2008 ) - это серверное программное обеспечение для управление информационными правами поставляется с Windows Server. Он использует шифрование и форму выборочного отказа в функциональности для ограничения доступа к таким документам, как корпоративные. электронная почта, Microsoft Word документы и веб-страница, и операции, которые авторизованные пользователи могут выполнять с ними.

Логическая структура

В качестве службы каталогов экземпляр Active Directory состоит из базы данных и соответствующих исполняемый код отвечает за обслуживание запросов и поддержку базы данных. Исполняемая часть, известная как агент системы каталогов, представляет собой набор Службы Windows и процессы которые работают в Windows 2000 и новее.[1] Доступ к объектам в базах данных Active Directory можно получить через LDAP, ADSI ( компонентная объектная модель интерфейс), API обмена сообщениями и Менеджер учетных записей безопасности Сервисы.[2]

Объекты

Упрощенный пример внутренней сети издательской компании. В компании есть четыре группы с разными разрешениями для трех общих папок в сети.

Структуры Active Directory - это размещение информации о объекты. Объекты делятся на две большие категории: ресурсы (например, принтеры) и участники безопасности (учетные записи пользователей или компьютеров и группы). Участники безопасности назначаются уникальными идентификаторы безопасности (SID).

Каждый объект представляет собой единый объект - будь то пользователь, компьютер, принтер или группа - и его атрибуты. Некоторые объекты могут содержать другие объекты. Объект однозначно идентифицируется своим именем и имеет набор атрибутов - характеристик и информации, которые представляет объект, - определяемых схема, который также определяет типы объектов, которые могут храниться в Active Directory.

В объект схемы позволяет администраторам расширять или изменять схему при необходимости. Однако, поскольку каждый объект схемы является неотъемлемой частью определения объектов Active Directory, деактивация или изменение этих объектов может коренным образом изменить или прервать развертывание. Изменения схемы автоматически распространяются по всей системе. После создания объект можно только деактивировать, но нельзя удалить. Изменение схемы обычно требует планирования.[19]

Леса, деревья и владения

Каркас Active Directory, содержащий объекты, можно просматривать на нескольких уровнях. Лес, дерево и домен - это логические подразделения в сети Active Directory.

В рамках развертывания объекты группируются в домены. Объекты для одного домена хранятся в единой базе данных (которая может быть реплицирована). Домены идентифицируются по их DNS структура имени, пространство имен.

Домен определяется как логическая группа сетевых объектов (компьютеров, пользователей, устройств), которые совместно используют одну и ту же базу данных Active Directory.

Дерево - это совокупность одного или нескольких доменов и деревьев доменов в непрерывном пространстве имен, связанных в транзитивной иерархии доверия.

Вверху конструкции находится лес. Лес - это набор деревьев, которые имеют общий глобальный каталог, схему каталогов, логическую структуру и конфигурацию каталогов. Лес представляет собой границу безопасности, в пределах которой доступны пользователи, компьютеры, группы и другие объекты.

  Иконки-мини-страница url.gifДомен-Бостон
  Иконки-мини-страница url.gifДомен-Нью-Йорк
  Иконки-мини-страница url.gifДомен-Филадельфия
 Иконки-мини-страничка tree.gifДерево-Южный
  Иконки-мини-страница url.gifДомен-Атланта
  Иконки-мини-страница url.gifДомен-Даллас
Иконки-мини-страница url.gifДомен-Даллас
 Иконки-mini-folder.gifOU-Marketing
  Иконки-мини-иконка user.gifHewitt
  Иконки-мини-иконка user.gifАон
  Иконки-мини-иконка user.gifСтив
 Иконки-mini-folder.gifOU-Продажи
  Иконки-мини-иконка user.gifСчет
  Иконки-мини-иконка user.gifРальф
Пример географической организации зон интереса внутри деревьев и доменов.

Организационные единицы

Объекты, хранящиеся в домене, можно сгруппировать в организационные единицы (OUs).[20] Подразделения могут обеспечивать иерархию домена, упрощать его администрирование и могут напоминать структуру организации в управленческом или географическом плане. Подразделения могут содержать другие подразделения - в этом смысле домены являются контейнерами. Microsoft рекомендует использовать подразделения, а не домены для структурирования и упрощения реализации политик и администрирования. OU - это рекомендуемый уровень для применения групповые политики, которые являются объектами Active Directory, формально именуемыми объектами групповой политики (GPO), хотя политики также могут применяться к доменам или сайтам (см. ниже). OU - это уровень, на котором обычно делегируются административные полномочия, но делегирование также может выполняться для отдельных объектов или атрибутов.

У организационных единиц нет отдельного пространства имен. Как следствие, для совместимости с устаревшими реализациями NetBios учетные записи пользователей с идентичным sAMAccountName не допускаются в одном домене, даже если объекты учетных записей находятся в разных OU. Это связано с тем, что sAMAccountName, атрибут объекта пользователя, должен быть уникальным в пределах домена.[21] Однако два пользователя в разных подразделениях могут иметь одно и то же общее имя (CN), имя, под которым они хранятся в самом каталоге, например «fred.staff-ou.domain» и «fred.student-ou.domain», где «staff-ou» и «student-ou» - это OU.

В целом причина отсутствия учета повторяющихся имен при иерархическом размещении каталогов заключается в том, что Microsoft в первую очередь полагается на принципы NetBIOS, который представляет собой метод управления сетевыми объектами с плоским пространством имен, который для программного обеспечения Microsoft полностью восходит к Windows NT 3.1 и MS-DOS LAN менеджер. Разрешение дублирования имен объектов в каталоге или полное исключение использования имен NetBIOS предотвратит обратную совместимость с устаревшим программным обеспечением и оборудованием. Однако запрет на дублирование имен объектов таким способом является нарушением LDAP RFC, на которых предположительно основана Active Directory.

По мере увеличения количества пользователей в домене используются такие соглашения, как «первый инициал, средний инициал, фамилия» (Западный порядок ) или наоборот (восточный порядок) не подходят для общих фамилии подобно Ли (李), Смит или же Гарсия. Обходные пути включают добавление цифры в конец имени пользователя. Альтернативы включают создание отдельной системы идентификаторов с уникальными идентификационными номерами сотрудников / учащихся для использования в качестве имен учетных записей вместо имен реальных пользователей, а также предоставление пользователям возможности назначать свою предпочтительную последовательность слов в политика допустимого использования.

Поскольку повторяющиеся имена пользователей не могут существовать в пределах домена, создание имени учетной записи представляет собой серьезную проблему для крупных организаций, которые не могут быть легко разделены на отдельные домены, например учащихся в системе государственных школ или университетов, которые должны иметь возможность использовать любой компьютер в сети.

Теневые группы
В Active Directory организационные подразделения (OU) не могут быть назначены владельцами или опекунами. Можно выбрать только группы, а членам подразделений нельзя коллективно назначать права на объекты каталога.

В Microsoft Active Directory OU не предоставляют разрешения на доступ, а объектам, помещенным в OU, не назначаются автоматически права доступа на основе содержащихся в них OU. Это конструктивное ограничение, специфичное для Active Directory. Другие конкурирующие каталоги, такие как Novell NDS могут назначать права доступа посредством размещения объекта в пределах OU.

Active Directory требует отдельного шага для администратора, чтобы назначить объект в OU в качестве члена группы также в этом OU. Опираться только на расположение подразделения для определения разрешений на доступ ненадежно, поскольку объект, возможно, не был назначен объекту группы для этого подразделения.

Обычный обходной путь для администратора Active Directory - написать собственный PowerShell или же Visual Basic скрипт для автоматического создания и поддержки группа пользователей для каждого подразделения в своем каталоге. Сценарии запускаются периодически, чтобы обновить группу в соответствии с членством в учетной записи OU, но они не могут мгновенно обновить группы безопасности при изменении каталога, как это происходит в конкурирующих каталогах, где безопасность напрямую реализована в самом каталоге. Такие группы известны как теневые группы. После создания эти теневые группы можно выбрать вместо OU в инструментах администрирования.

Microsoft ссылается на теневые группы в справочной документации по Server 2008, но не объясняет, как их создавать. Нет встроенных серверных методов или консольных оснасток для управления теневыми группами.[22]

Разделение информационной инфраструктуры организации на иерархию из одного или нескольких доменов и подразделений верхнего уровня является ключевым решением. Общие модели делятся по бизнес-единицам, географическому положению, ИТ-услугам или по типу объекта и их гибридам. Организационные единицы должны быть структурированы в первую очередь для облегчения административного делегирования, а во вторую - для облегчения применения групповой политики. Хотя подразделения образуют административную границу, единственной истинной границей безопасности является сам лес, и администратору любого домена в лесу должны быть доверены все домены в лесу.[23]

Перегородки

База данных Active Directory организована в перегородки, каждый из которых содержит определенные типы объектов и соответствует определенному шаблону репликации. Microsoft часто называет эти разделы «контекстами именования».[24] Раздел «Схема» содержит определение классов объектов и атрибутов в лесу. Раздел «Конфигурация» содержит информацию о физической структуре и конфигурации леса (например, топологии сайта). Оба реплицируются на все домены в лесу. Раздел «Домен» содержит все объекты, созданные в этом домене, и реплицируется только в его домене.

Физическая структура

Места являются физическими (а не логическими) группами, определенными одним или несколькими IP подсети.[25] AD также содержит определения соединений, выделяя низкоскоростные (например, WAN, VPN ) от высокоскоростного (например, LAN ) ссылки. Определения сайтов не зависят от домена и структуры подразделения и являются общими для всего леса. Сайты используются для управления сетевым трафиком, генерируемым репликацией, а также для направления клиентов к ближайшему контроллеры домена (DC). Microsoft Exchange Server 2007 использует топологию сайта для маршрутизации почты. Политики также могут быть определены на уровне сайта.

Физически информация Active Directory хранится на одном или нескольких узлах. контроллеры домена, заменив NT PDC /BDC модель. Каждый DC имеет копию Active Directory. Серверы, присоединенные к Active Directory и не являющиеся контроллерами домена, называются рядовыми серверами.[26] Подмножество объектов в разделе домена реплицируется на контроллеры домена, настроенные как глобальные каталоги. Серверы глобального каталога (GC) предоставляют глобальный список всех объектов в лесу.[27][28]Серверы глобального каталога реплицируют на себя все объекты из всех доменов и, следовательно, предоставляют глобальный список объектов в лесу. Однако для минимизации трафика репликации и сохранения небольшого размера базы данных GC реплицируются только выбранные атрибуты каждого объекта. Это называется частичный набор атрибутов (ПАС). PAS можно изменить, изменив схему и пометив атрибуты для репликации в GC.[29] Использовались более ранние версии Windows NetBIOS общаться. Active Directory полностью интегрирована с DNS и требует TCP / IP —DNS. Для полноценной работы DNS-сервер должен поддерживать Записи ресурсов SRV, также известные как служебные записи.

Репликация

Active Directory синхронизирует изменения с помощью репликация с несколькими мастерами.[30] Репликация по умолчанию - это «вытягивание», а не «проталкивание», что означает, что реплики извлекают изменения с сервера, на котором это изменение было выполнено.[31] В Проверка согласованности знаний (KCC) создает топологию репликации ссылки на сайты используя определенные места управлять трафиком. Репликация внутри сайта происходит часто и автоматически в результате уведомления об изменении, которое заставляет одноранговые узлы начать цикл репликации по запросу. Интервалы межсайтовой репликации обычно реже и по умолчанию не используются уведомления об изменениях, хотя это можно настроить и сделать идентичным внутрисайтовой репликации.

Каждая ссылка может иметь "стоимость" (например, DS3, Т1, ISDN и т.д.), и KCC соответствующим образом изменяет топологию связи сайтов. Репликация может происходить транзитивно через несколько ссылок на сайты по одному и тому же протоколу. мосты ссылок на сайты, если стоимость невысока, хотя KCC автоматически стоит за прямую связь между сайтами меньше, чем за транзитивные соединения. Репликацию между сайтами можно настроить для выполнения между сервер-плацдарм на каждом сайте, который затем реплицирует изменения на другие контроллеры домена на сайте. Репликация для зон Active Directory настраивается автоматически при активации DNS в домене на основе сайта.

Репликация Active Directory использует Вызов удаленных процедур (RPC) через IP (RPC / IP). Между сайтами SMTP может использоваться для репликации, но только для изменений в GC схемы, конфигурации или частичного набора атрибутов (глобального каталога). SMTP нельзя использовать для репликации раздела домена по умолчанию.[32]

Выполнение

Как правило, в сети, использующей Active Directory, имеется более одного лицензированного сервера Windows. Резервное копирование и восстановление Active Directory возможно для сети с одним контроллером домена,[33] но Microsoft рекомендует использовать более одного контроллера домена для автоматического аварийное переключение защита каталога.[34] Контроллеры домена также идеально подходят только для работы с каталогами и не должны запускать какое-либо другое программное обеспечение или роль.[35]

Некоторые продукты Microsoft, такие как SQL Server[36][37] и обмен[38] могут мешать работе контроллера домена, что требует изоляции этих продуктов на дополнительных серверах Windows. Их объединение может усложнить настройку или устранение неполадок контроллера домена или другого установленного программного обеспечения.[39] Поэтому компании, намеревающейся внедрить Active Directory, рекомендуется приобрести несколько лицензий на сервер Windows, чтобы обеспечить как минимум два отдельных контроллера домена и, при необходимости, дополнительные контроллеры домена для повышения производительности или избыточности, отдельный файловый сервер, отдельный сервер Exchange, отдельный SQL Server,[40] и так далее для поддержки различных ролей сервера.

Затраты на физическое оборудование для множества отдельных серверов могут быть уменьшены за счет использования виртуализация, хотя для надлежащей защиты от сбоев Microsoft рекомендует не запускать несколько виртуализированных контроллеров домена на одном физическом оборудовании.[41]

База данных

Active-Directory база данных, то каталог магазин, в Windows 2000 Server используется JET Синий -основан Расширяемый механизм хранения (ESE98) и ограничен 16 терабайтами и 2 миллиардами объектов (но только 1 миллиардом участников безопасности) в базе данных каждого контроллера домена. Microsoft создала базы данных NTDS с более чем 2 миллиардами объектов.[42] (NT4's Менеджер аккаунта безопасности может поддерживать не более 40 000 объектов). Он называется NTDS.DIT ​​и имеет две основные таблицы: Таблица данных и таблица ссылок. Windows Server 2003 добавила третью основную таблицу для дескриптор безопасности одиночный экземпляр.[42]

Программы могут получить доступ к функциям Active Directory[43] через COM интерфейсы предоставленный Интерфейсы службы Active Directory.[44]

Доверчивый

Чтобы разрешить пользователям в одном домене получать доступ к ресурсам в другом, Active Directory использует доверие.[45]

Доверительные отношения внутри леса создаются автоматически при создании доменов. Лес устанавливает границы доверия по умолчанию, а неявное транзитивное доверие устанавливается автоматически для всех доменов в лесу.

Терминология

Одностороннее доверие
Один домен разрешает доступ пользователям в другом домене, но другой домен не разрешает доступ пользователям в первом домене.
Двустороннее доверие
Два домена разрешают доступ пользователям в обоих доменах.
Надежный домен
Домен, которому доверяют; пользователи которых имеют доступ к доверяющему домену.
Переходное доверие
Доверие, которое может распространяться за пределы двух доменов на другие доверенные домены в лесу.
Непереходное доверие
Одностороннее доверие, не выходящее за пределы двух доменов.
Явное доверие
Доверие, которое создает администратор. Он не транзитивен и действует только в одну сторону.
Перекрестное доверие
Явное доверие между доменами в разных деревьях или в одном дереве, когда между двумя доменами не существует отношения потомок / предок (дочерний / родительский).
Ярлык
Объединяет два домена в разных деревьях, транзитивный, одно- или двусторонний.
Лесной трест
Относится ко всему лесу. Переходный, одно- или двусторонний.
Область
Может быть транзитивным или нетранзитивным (непереходным), одно- или двусторонним.
Внешний
Подключитесь к другим лесам или доменам, не относящимся к AD. Нетранзитивный, одно- или двусторонний.[46]
PAM доверие
Одностороннее доверие, используемое Microsoft Identity Manager из (возможно, низкоуровневого) продуктивного леса в (Windows Server 2016 уровень функциональности) лес-бастион, который выдает ограниченное по времени членство в группах.[47][48]

Управленческие решения

Инструменты управления Microsoft Active Directory включают:

  • Центр администрирования Active Directory (введен в Windows Server 2012 и выше),
  • Пользователи и компьютеры Active Directory,
  • Домены и доверие Active Directory,
  • Сайты и службы Active Directory,
  • Редактировать ADSI,
  • Локальные пользователи и группы,
  • Оснастки схемы Active Directory для Консоль управления Microsoft (MMC),
  • SysInternals ADExplorer

Эти инструменты управления могут не обеспечивать достаточную функциональность для эффективного рабочего процесса в больших средах. Некоторые сторонние решения расширяют возможности администрирования и управления. Они предоставляют необходимые функции для более удобных процессов администрирования, такие как автоматизация, отчеты, интеграция с другими сервисами и т. Д.

Интеграция с Unix

Различные уровни взаимодействия с Active Directory могут быть достигнуты на большинстве Unix-подобный операционные системы (включая Unix, Linux, Mac OS X или программы на основе Java и Unix) через совместимые со стандартами клиенты LDAP, но эти системы обычно не интерпретируют многие атрибуты, связанные с компонентами Windows, например Групповая политика и поддержка односторонних трастов.

Третьи стороны предлагают интеграцию с Active Directory для Unix-подобных платформ, включая:

Дополнения схемы, поставляемые с Windows Server 2003 R2 включить атрибуты, которые сопоставлены достаточно близко, чтобы RFC 2307 для общего использования. Эталонная реализация RFC 2307, nss_ldap и pam_ldap, предоставленные PADL.com, напрямую поддерживают эти атрибуты. Схема по умолчанию для членства в группах соответствует RFC 2307bis (предлагается).[52] Windows Server 2003 R2 включает Консоль управления Microsoft оснастка, которая создает и редактирует атрибуты.

Альтернативный вариант - использовать другую службу каталогов, поскольку клиенты, отличные от Windows, аутентифицируются в ней, в то время как клиенты Windows аутентифицируются в AD. Клиенты, отличные от Windows, включают 389 Сервер каталогов (ранее Fedora Directory Server, FDS), ViewDS Identity Solutions - ViewDS v7.2 Каталог с поддержкой XML и Sun Microsystems Сервер системного каталога Sun Java. Оба последних могут выполнять двустороннюю синхронизацию с AD и, таким образом, обеспечивать «отклоненную» интеграцию.

Другой вариант - использовать OpenLDAP с этими полупрозрачный overlay, который может расширять записи на любом удаленном сервере LDAP дополнительными атрибутами, хранящимися в локальной базе данных. Клиенты, указывающие на локальную базу данных, видят записи, содержащие как удаленные, так и локальные атрибуты, в то время как удаленная база данных остается полностью нетронутой.[нужна цитата ]

Администрирование (запросы, изменение и мониторинг) Active Directory можно выполнить с помощью многих языков сценариев, включая PowerShell, VBScript, JScript / JavaScript, Perl, Python, и Рубин.[53][54][55][56] Бесплатные и платные инструменты администрирования AD могут помочь упростить и, возможно, автоматизировать задачи управления AD.

С октября 2017 года Amazon AWS предлагает интеграцию с Microsoft Active Directory.[57]

Смотрите также

Рекомендации

  1. ^ а б "Агент системы каталогов". Библиотека MSDN. Microsoft. Получено 23 апреля 2014.
  2. ^ а б Соломон, Дэвид А.; Руссинович Марк (2005). «Глава 13». Внутреннее устройство Microsoft Windows: Microsoft Windows Server 2003, Windows XP и Windows 2000 (4-е изд.). Редмонд, Вашингтон: Microsoft Press. п.840. ISBN  0-7356-1917-4.
  3. ^ а б c Хайнс, Байрон (ноябрь 2006 г.). «Будущее Windows: службы каталогов в Windows Server» Longhorn"". Журнал TechNet. Microsoft. В архиве с оригинала 30 апреля 2020 г.. Получено 30 апреля 2020.
  4. ^ «Active Directory в сети Windows Server 2003». Коллекция Active Directory. Microsoft. 13 марта 2003 г. В архиве с оригинала 30 апреля 2020 г.. Получено 25 декабря 2010.
  5. ^ Поддержка Rackspace (27 апреля 2016 г.). «Установка доменных служб Active Directory на 64-разрядную версию Windows Server 2008 R2 Enterprise». Rackspace. Rackspace US, Inc. В архиве с оригинала 30 апреля 2020 г.. Получено 22 сентября 2016.
  6. ^ Howes, T .; Смит, М. (август 1995 г.). "Интерфейс прикладной программы LDAP". Инженерная группа Интернета (IETF). В архиве с оригинала 30 апреля 2020 г.. Получено 26 ноября 2013.
  7. ^ Ховард, Л.(Март 1998 г.). «Подход к использованию LDAP в качестве сетевой информационной службы». Инженерная группа Интернета (IETF). В архиве с оригинала 30 апреля 2020 г.. Получено 26 ноября 2013.
  8. ^ Зейленга, К. (февраль 2001 г.). «Расширенная операция изменения пароля LDAP». Инженерная группа Интернета (IETF). В архиве с оригинала 30 апреля 2020 г.. Получено 26 ноября 2013.
  9. ^ Zeilenga, K .; Чой, Дж. (Июнь 2006 г.). «Операция синхронизации содержимого упрощенного протокола доступа к каталогам (LDAP)». Инженерная группа Интернета (IETF). В архиве с оригинала 30 апреля 2020 г.. Получено 26 ноября 2013.
  10. ^ а б Томас, Гай (29 ноября 2000 г.). «Windows Server 2008 - Новые возможности». ComputerPerformance.co.uk. Computer Performance Ltd. В архиве из оригинала 2 сентября 2019 г.. Получено 30 апреля 2020.
  11. ^ «Что нового в Active Directory в Windows Server». Технический центр Windows Server 2012 R2 и Windows Server 2012. Microsoft.
  12. ^ Службы Active Directory technet.microsoft.com
  13. ^ Сравните самоуправляемые доменные службы Active Directory, Azure Active Directory и управляемые доменные службы Azure Active Directory docs.microsoft.com
  14. ^ «AD LDS». Microsoft. Получено 28 апреля 2009.
  15. ^ «AD LDS против AD DS». Microsoft. Получено 25 февраля 2013.
  16. ^ Закер, Крейг (2003). «11: Создание цифровых сертификатов и управление ими». В Хардинге, Кэти; Жан, Тренари; Линда, Закер (ред.). Планирование и обслуживание сетевой инфраструктуры Microsoft Windows server 2003. Редмонд, Вашингтон: Microsoft Press. стр.11–16. ISBN  0-7356-1893-3.
  17. ^ «Обзор служб сертификации Active Directory». Microsoft TechNet. Microsoft. Получено 24 ноября 2015.
  18. ^ «Шаг 1. Задачи перед установкой». TechNet. Microsoft. Получено 24 ноября 2015.
  19. ^ Windows Server 2003: инфраструктура Active Directory. Microsoft Press. 2003. С. 1–8–1–9.
  20. ^ «Организационные единицы». Комплект ресурсов по распределенным системам (TechNet ). Microsoft. 2011 г. Организационная единица в Active Directory аналогичен каталогу в файловой системе
  21. ^ «sAMAccountName всегда уникален в домене Windows… или нет?». Joeware. 4 января 2012 г.. Получено 18 сентября 2013. примеры того, как несколько объектов AD могут быть созданы с одним и тем же sAMAccountName
  22. ^ Справочник по Microsoft Server 2008, в котором обсуждаются теневые группы, используемые для детализированных политик паролей: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  23. ^ «Определение безопасности и административных границ». Корпорация Майкрософт. 23 января 2005 г. Однако у администраторов служб есть возможности, которые выходят за границы домена. По этой причине конечной границей безопасности является лес, а не домен.
  24. ^ Андреас Лютер. «Трафик репликации Active Directory». Корпорация Майкрософт. Получено 26 мая 2010. Active Directory состоит из одного или нескольких контекстов именования или разделов.
  25. ^ «Обзор сайтов». Корпорация Майкрософт. 21 января 2005 г. Сайт - это набор хорошо связанных подсетей.
  26. ^ «Планирование контроллеров домена и рядовых серверов». Корпорация Майкрософт. 21 января 2005 г. [...] рядовые серверы, [...] принадлежат домену, но не содержат копии данных Active Directory.
  27. ^ "Что такое глобальный каталог?". Корпорация Майкрософт. 10 декабря 2009 г. [...] контроллер домена может находить только объекты в своем домене. [...] Глобальный каталог предоставляет возможность находить объекты из любого домена [...]
  28. ^ «Глобальный каталог». Корпорация Майкрософт.
  29. ^ «Атрибуты, включенные в глобальный каталог». Корпорация Майкрософт. 26 августа 2010 г. Атрибут isMemberOfPartialAttributeSet объекта attributeSchema имеет значение TRUE, если атрибут реплицируется в глобальный каталог. [...] Принимая решение о размещении атрибута в глобальном каталоге, помните, что вы жертвуете увеличенной репликацией и увеличенным дисковым хранилищем на серверах глобального каталога для потенциально более высокой производительности запросов.
  30. ^ «Хранилище данных каталога». Корпорация Майкрософт. 21 января 2005 г. Active Directory использует четыре различных типа разделов каталога для [...] хранения данных. Разделы каталога содержат данные домена, конфигурации, схемы и приложения.
  31. ^ «Что такое модель репликации Active Directory?». Корпорация Майкрософт. 28 марта 2003 г. Контроллеры домена запрашивают (извлекают) изменения, а не отправляют (отправляют) изменения, которые могут быть не нужны.
  32. ^ «Что такое топология репликации Active Directory?». Корпорация Майкрософт. 28 марта 2003 г. SMTP может использоваться для передачи недоменной репликации [...]
  33. ^ «Резервное копирование и восстановление Active Directory». TechNet. Microsoft. Получено 5 февраля 2014.
  34. ^ «AD DS: все домены должны иметь как минимум два работающих контроллера домена для обеспечения избыточности». TechNet. Microsoft. Получено 5 февраля 2014.
  35. ^ Поузи, Брайен (23 августа 2010 г.). «10 советов по эффективному проектированию Active Directory». TechRepublic. CBS Interactive. Получено 5 февраля 2014. По возможности контроллеры домена должны работать на выделенных серверах (физических или виртуальных).
  36. ^ «Вы можете столкнуться с проблемами при установке SQL Server на контроллер домена (версия 3.0)». Поддерживать. Microsoft. 7 января 2013 г.. Получено 5 февраля 2014.
  37. ^ Дегремон, Мишель (30 июня 2011 г.). «Могу ли я установить SQL Server на контроллер домена?». Блог Microsoft SQL Server. Получено 5 февраля 2014. По соображениям безопасности и производительности мы не рекомендуем устанавливать автономный SQL Server на контроллере домена.
  38. ^ «Не рекомендуется устанавливать Exchange на контроллер домена». TechNet. Microsoft. 22 марта 2013 г.. Получено 5 февраля 2014.
  39. ^ «Соображения безопасности при установке SQL Server». TechNet. Microsoft. Получено 5 февраля 2014. После установки SQL Server на компьютер вы не можете изменить компьютер с контроллера домена на члена домена. Перед заменой хост-компьютера членом домена необходимо удалить SQL Server.
  40. ^ «Анализатор сервера Exchange». TechNet. Microsoft. Получено 5 февраля 2014. Не рекомендуется запускать SQL Server на том же компьютере, что и производственный сервер почтовых ящиков Exchange.
  41. ^ «Запуск контроллеров домена в Hyper-V». TechNet. Microsoft. Планирование виртуализации контроллеров домена. Получено 5 февраля 2014. При планировании развертывания виртуального контроллера домена следует попытаться избежать создания потенциальных единых точек отказа.
  42. ^ а б efleis (8 июня 2006 г.). «Большая база данных AD? Наверное, не такая большая». Blogs.technet.com. Архивировано из оригинал 17 августа 2009 г.. Получено 20 ноября 2011.
  43. ^ Беркувер, Сандер. «Основы Active Directory». Программное обеспечение Veeam.
  44. ^ Интерфейсы службы Active Directory, Microsoft
  45. ^ «Технический справочник по доверительным отношениям между доменами и лесами». Корпорация Майкрософт. 28 марта 2003 г. Доверительные отношения обеспечивают [...] аутентификацию и [...] совместное использование ресурсов между доменами или лесами.
  46. ^ "Доверительные отношения между доменами и лесами работают". Корпорация Майкрософт. 11 декабря 2012 г.. Получено 29 января 2013. Определяет несколько видов трастов. (автоматический, ярлык, лес, область, внешний)
  47. ^ Microsoft Identity Manager: управление привилегированным доступом для доменных служб Active Directory
  48. ^ TechNet: MIM 2016: Управление привилегированным доступом (PAM) - часто задаваемые вопросы
  49. ^ а б Эдж, Чарльз С., младший; Смит, Зак; Хантер, Бо (2009). «Глава 3: Active Directory». Руководство администратора Enterprise Mac. Нью-Йорк: Apress. ISBN  978-1-4302-2443-3.
  50. ^ «Samba 4.0.0 доступна для загрузки». СамбаЛюди. Проект САМБА. В архиве из оригинала 15 ноября 2010 г.. Получено 9 августа 2016.
  51. ^ "Большой успех DRS!". СамбаЛюди. Проект САМБА. 5 октября 2009 г. Архивировано с оригинал 13 октября 2009 г.. Получено 2 ноября 2009.
  52. ^ "RFC 2307bis". Архивировано из оригинал 27 сентября 2011 г.. Получено 20 ноября 2011.
  53. ^ «Администрирование Active Directory с помощью Windows PowerShell». Microsoft. Получено 7 июн 2011.
  54. ^ «Использование сценариев для поиска в Active Directory». Microsoft. Получено 22 мая 2012.
  55. ^ "Репозиторий скриптов Perl ITAdminTools". ITAdminTools.com. Получено 22 мая 2012.
  56. ^ "Win32 :: OLE". Сообщество Perl с открытым исходным кодом. Получено 22 мая 2012.
  57. ^ https://aws.amazon.com/blogs/security/introduction-aws-directory-service-for-microsoft-active-directory-standard-edition/

внешняя ссылка