Active Directory Domain Services (AD DS) není nic jiného než základní funkce služby Active Directory společnosti Microsoft, pomocí které mohou uživatelé vytvářet centralizovanou, dobře integrovanou a škálovatelnou síť Windows.
Správci systému mohou ukládat, monitorovat a spravovat data aplikací a informace o prostředcích v systematické hierarchické struktuře. Tato logická struktura zahrnuje doménovou strukturu AD, její domény a jejich příslušné organizační jednotky (OU).
Admini mohou efektivně zpracovávat uživatele a počítače v síti a uspořádat je do distribuované databáze. Kromě toho služba AD DS obsahuje také integrace zabezpečení, jako je omezení přístupu ke zdrojům adresáře, SSO, LDAP, autorizace přihlašovacích údajů, bezpečnostní certifikáty a správa práv.
Abychom službě AD DS lépe porozuměli, pojďme se nejprve důkladně seznámit se službou IAM (Identity and Access management).
- Co je to IAM?
- Co přesně dělá poskytovatel identit?
- Co je Active Directory?
- Typy objektů služby Active Directory:
- Klíčové prvky služby Active Directory Domain Services:
- Které služby jsou součástí služby Active Directory Domain Services?
- Úloha řadičů domény ve službě Active Directory Domain Services:
- Instalace služby Active Directory Domain Services
- Závěr:
Co je to IAM?
Spuštění protokolu LDAP skutečně obrátilo karty v odvětví IAM, protože sloužilo dvěma gigantům, tj. řešením OpenLDAP a Microsoft Active Directory spolu s dalšími menšími. Obě tato řešení se stala široce populární mezi podniky po celém světě jako spolehliví poskytovatelé identit.
Co přesně dělá poskytovatel identit?
Poskytovatelé identit mají za úkol vytvořit dobře integrované centrální úložiště pro uživatele a data organizace.
V poskytovateli identit jsou bezpečně uloženy všechny uživatelské účty spolu s informacemi o zdrojích. Prostředky jsou propojeny s identitami uživatelů, kteří je využívají.
Nejen to, prostředky, jako jsou sítě, aplikace, systémy atd. jsou také omezeny pro konkrétního uživatele na základě jeho role.
Pro služby Active Directory Domain byl tento proces proveden pro sítě a prostředky založené na systému Windows. Když se uživatel přihlásí ke svému počítači, služba AD DS by mu poskytla přístup ke zdrojům, které potřebuje a pro jejichž používání je ověřen.
Co je Active Directory?
Active Directory je technologie společnosti Microsoft, která se používá v prostoru Windows Server. Jedná se o logickou hierarchickou strukturu, která dokáže sdílet databázové informace pro zabezpečení, správu a snadné vyhledávání zařízení a síťových prostředků.
Nabízí nejen plnohodnotné základní funkce autorizace a ověřování, ale poskytuje také rámec pro řadu dalších služeb. Služba AD využívá operační systém Windows Servers a sama o sobě je databází LDAP obsahující síťové prvky.
Pro nabídku adresářových služeb pro rozsáhlá a komplexní prostředí byla služba Active Directory snadno zavedena v systému Windows 2000.
První a nejdůležitější úlohou služby AD je ověřování uživatelů v doménové síti. Služba AD uchovává objekty, jako jsou počítače, skupiny, sdílené soubory, oprávnění k souborům, tiskárny a zásady skupin.
Navíc také centralizuje prvky zabezpečení, protože všechny účty uživatelů a jejich příslušná hesla jsou uložena na jediném místě.
Administrátoři IT mohou vytvářet, omezovat nebo odebírat uživatele, nastavovat zásady skupin a dokonce povolovat uživatelům změnu jejich hesel. Všechny tyto funkce určují, jak budou uživatelé v prostředí domény komunikovat.
Zkrátka AD DS je dobře integrovaný centralizovaný rámec pro správu domény. Každá doména se stává prvkem doménové struktury Active Directory, ale může mít i více než jednu doménu systematicky uspořádanou do logických celků.
Bez služby AD budou muset správci vytvářet místní uživatele na každém počítači a resetovat hesla pro každého z nich na jejich počítači.
Typy objektů služby Active Directory:
Objekty služby Active Directory lze rozlišit na dva typy:
- Objekty kontejnerů
Jedná se o hlavní objekty, které se v rámci nich skládají také z dalších objektů, jako jsou domény, lesy, stromy a organizační jednotky. - Listové objekty
Tyto objekty neobsahují další objekty uvnitř nich, například počítače, tiskárny, periferní zařízení, uživatele atd.
Klíčové prvky služby Active Directory Domain Services:
Služba Active Directory Domain Services obsahuje:
- Globální katalog
Skládá se z informací týkajících se objektů adresáře. Díky tomu mohou správci systému a uživatelé snadno najít informace o adresáři bez ohledu na to, v jaké doméně se nachází. Například jména uživatelů, kontakty a podobně. - Schéma
Je soubor pravidel definujících třídy objektů a jejich vlastnosti uložené v adresáři spolu s formátem jejich názvů a omezeními instancí objektů. - Mechanismus dotazů a indexů, s jehož pomocí mohou uživatelé sítě snadno publikovat nebo vyhledávat objekty a jejich atributy v systému AD.
- Služba replikace zahrnuje distribuci dat adresáře v rámci sítě. Tuto replikaci provádějí řadiče domény v rámci domény, z nichž každý má kopii adresářových dat pro svou doménu. Veškeré změny provedené v adresářových informacích jsou automaticky replikovány na řadiče domény v rámci domény, které tak mají stejný katalog a schéma. Služba AD využívá více řadičů domény z důvodu odolnosti proti chybám, vyvážení zátěže a dalších zásadních důvodů. Za tímto účelem musí mít každý řadič domény v rámci domény kopii své databáze AD. K tomu slouží služba replikace. Vězte, že řadiče domény z různých domén se mezi sebou nesmí replikovat.
- Místa: Jedná se o reprezentaci topologie sítě Windows.
- Protokol LDAP (Lightweight Directory Access Protocol):
Které služby jsou součástí služby Active Directory Domain Services?
AD DS se skládá z různých služeb, například:
- Doménové služby:
Jedná se o základní služby, které se starají o centralizaci dat, spravují ověřování přihlašovacích údajů, vyhledávací funkce a umožňují bezproblémovou komunikaci mezi uživateli v rámci domény. - Lehké adresářové služby:
Tyto služby poskytují podporu aplikacím s podporou adresářů pomocí protokolu LDAP. - Správa práv:
Tato funkce se týká práv k informacím, například omezení přístupu k osobním údajům uživatelů a šifrování důvěrných dat. - Služby federace adresářů:
DFS nabízí uživatelům funkce SSO (Single-Sign-On) pro bezpečné ověřování. Tato funkce je nejužitečnější při komunikaci s více webovými aplikacemi v rámci jedné relace. - Certifikační služby:
Tato funkce umožňuje vytvářet, sdílet a spravovat bezpečnostní certifikáty. Tyto certifikáty zajišťují bezpečnost a soukromí šifrováním dat odesílaných po síti.
Úloha řadičů domény ve službě Active Directory Domain Services:
Řadič domény (DC) není v podstatě nic jiného než server v síti Windows, který poskytuje uživatelům přístup ke zdrojům domény. Jeho hlavním cílem je autorizovat a ověřovat uživatele v síti na základě jejich jmen a hesel.
Řadiče domény hostí službu AD DS a také další služby, jako jsou:
- NetLogon:
Jeho cílem je ověřovat přihlašovací údaje uživatelů v doménové síti. - KDS:
Kerberos Key Distribution Center je služba, která slouží k vydávání, ověřování a provádění šifrování lístků Kerberos. Zajišťuje ověřování uživatelů při použití protokolu Kerberos. Služba obsahuje TCS (Ticket Granting Server) a autentizační server. - IsmServ (Intersite Messaging):
Tato služba pomáhá při výměně dat mezi počítači v síťovém prostředí systému Windows. - Služba W32time:
Služba času systému Windows neboli W32time využívá protokol NTP (Network Time Protocol) pro synchronizaci data a času pro všechny počítače v síťové doméně. Synchronizace hodin v počítačích je důležitá pro správnou funkci systému Kerberos.
Instalace služby Active Directory Domain Services
Podívejme se na stručný návod, jak nainstalovat službu Active Directory Domain Services na serveru Windows:
- Otevření Správce serveru: Stiskněte na klávesnici ikonu „Windows“ a do vyhledávacího pole napište „Server Manager“. Otevře se aplikace.
- Přidání rolí a funkcí: V okně Správce serveru klikněte pravým tlačítkem myši na položku „Spravovat“ a vyberte možnost „Přidat role a funkce“. Jakmile se otevře průvodce, klikněte na „Další“.
- Vyberte typ instalace: Kliknutím na tlačítko „Další“ se otevře okno Typ instalace, kde je třeba vybrat možnost „Instalace na základě rolí nebo funkcí“. Poté klikněte na „Další“.
- Výběr serveru:
- Server Roles (Role serveru): Zde se zobrazí okno „Server Selection“ (Výběr serveru), kde klikněte na server, na který chcete AD DS nainstalovat, a poté klikněte na „Next“ (Další): V tomto okně se zobrazí mnoho možností „Roles“. Zaškrtněte „Active Directory Domain Services“.
- Přidat funkce: Hned poté se otevře průvodce „Přidat role a funkce“. Klepněte na tlačítko „Přidat funkce“ a poté stiskněte tlačítko „Další“.
- Vyberte funkce: Ihned se otevře sekce „Select Features“. Jednoduše klikněte na „Další“.
- Instalace AD DS: Nyní se otevře hlavní okno instalace AD DS, klikněte na „Další“.
- Potvrzovací okno: Potvrzovací okno zobrazuje, co všechno bude na serveru nainstalováno. Jakmile si vše přečtete, klikněte na „Instalovat“.
- Povýšit na řadič domény: Po instalaci přejděte do „Správce serveru“ a hned vedle karty „Spravovat“ se zobrazí ikona oznámení se žlutým trojúhelníkem. Klikněte na ni a zvolte „Povýšit tento server na řadič domény“.
- Přidat novou doménovou strukturu: Tím se otevře Průvodce konfigurací AD DS. Klikněte na „Přidat novou doménovou strukturu“, zadejte název kořenové domény vašeho podniku a stiskněte „Další“.
- Možnosti řadiče domény: Na další stránce ponechte všechna výchozí políčka zaškrtnutá a zadejte heslo DSRM. Klepněte na „Další“.
- Možnosti DNS: Na stránce Možnosti DNS se může v horní části zobrazit chybové hlášení. Ignorujte ji a stiskněte tlačítko „Další“.
- Název domény NetBIOS: Zde můžete změnit název domény nebo ponechat výchozí název tak, jak je. Stiskněte tlačítko „Další“.
- Cesty:
- Review Selections: Ponechte výchozí cesty tak, jak jsou, a klepněte na tlačítko „Next“: Na této stránce zkontrolujte všechny dosud vybrané možnosti a stiskněte tlačítko „Další“.
- Kontrola předpokladů: V tomto okně budou před instalací služby AD DS ověřeny všechny předběžné podmínky. Pokud se objeví nějaké chyby, podívejte se na předchozí kroky a opravte je. Klepněte na tlačítko „Instalovat“.
Po dokončení se server restartuje a poté se budete moci přihlásit do domény pomocí zadání hesla DSRM, které jste nastavili v kroku 12.
Závěr:
Služba Active Directory Domain Services je jednou z nejlepších terminologií používaných k vylepšení serveru Windows a jeho vyniknutí v podnicích.
Bezproblémově se přizpůsobuje většině řešení společnosti Microsoft a usnadňuje uživatelům jejich operace. Po instalaci služby AD DS ji můžete snadno spravovat prostřednictvím Centra správy služby Active Directory. Doufám, že pro vás byla tato příručka poučným čtením!
Napsat komentář