Active Directory Domain Services (AD DS) er intet andet end en kernefunktion i Microsofts Active Directory, hvorigennem brugere kan opbygge et centraliseret, velintegreret og skalerbart Windows-netværk.
Systemadministratorer kan gemme, overvåge og administrere applikationsdata og ressourceoplysninger i en systematisk hierarkistruktur. Denne logiske struktur omfatter AD-skoven, dens domæner og deres respektive organisatoriske enheder (OU’er).
Administratorer kan effektivt håndtere et netværks brugere og computere og organisere dem i en distribueret database. Desuden har AD DS også sikkerhedsintegrationer som f.eks. begrænsning af adgang til mapperessourcer, SSO, LDAP, godkendelse af logins, sikkerhedscertifikater og rettighedsstyring.
For at forstå AD DS bedre, skal vi først se grundigt på IAM (Identity and Access management).
- Hvad er IAM?
- Hvad gør en identitetsudbyder helt præcist?
- Hvad er Active Directory?
- Typer af Active Directory-objekter:
- Nøgleelementer i Active Directory Domain Services:
- Hvilke tjenester indgår i Active Directory Domain Services?
- Domænecontrollerens rolle i Active Directory Domain Services:
- Installation af Active Directory Domain Services
- Wrap Up:
Hvad er IAM?
Lanceringen af LDAP-protokollen vendte virkelig op og ned på IAM-branchen, da den tjente til to giganter nemlig
OpenLDAP og Microsoft Active Directory-løsninger sammen med andre mindre løsninger. Begge disse løsninger blev meget populære blandt virksomheder over hele verden som pålidelige identitetsudbydere.
Hvad gør en identitetsudbyder helt præcist?
Identitetsudbydere gør arbejdet med at skabe et velintegreret centralt lager for en organisations brugere og data.
I IdP’en gemmes alle brugerkonti sikkert sammen med ressourceoplysninger. Ressourcerne er indbyrdes forbundet med de brugeridentiteter, der udnyttede dem.
Nu er ressourcerne såsom netværk, applikationer, systemer osv. også begrænsede for en bestemt bruger baseret på deres rolle.
For Active Directory Domain services blev denne proces udført for Windows-baserede netværk og ressourcer. Når en bruger logger ind på sin computer, vil AD DS give adgang til de ressourcer, som brugeren har brug for og er godkendt til at bruge.
Hvad er Active Directory?
Active Directory er Microsofts teknologi, der skal bruges i Windows Server-området. Det er en logisk hierarkistruktur, der er i stand til at dele databaseoplysninger for at sikre, administrere og nemt lokalisere enheden og netværksressourcerne.
Det tilbyder ikke kun fuldskala-autorisations- og autentificeringskernefunktioner, men giver også en ramme for mange andre tjenester. AD gør brug af Windows Servers OS, og det er en LDAP-database i sig selv, der indeholder netværkselementer.
For at tilbyde katalogtjenester til store, komplekse miljøer blev Active Directory let introduceret i Windows 2000.
Den første og vigtigste rolle for AD er at autentificere brugere i domænenetværket. AD gemmer objekter som f.eks. computere, grupper, fildele, filtilladelser, printere og gruppepolitikker.
Plus, det centraliserer også sikkerhedselementer, da alle brugernes konti og deres respektive adgangskoder gemmes et enkelt sted.
IT-administratorer kan oprette, begrænse eller fjerne brugere, opsætte gruppepolitikker og endda tillade brugere at ændre deres adgangskoder. Alle disse funktioner bestemmer, hvordan brugerne skal interagere i domænemiljøet.
Kort sagt er AD DS en velintegreret, centraliseret ramme for domæneadministration. Hvert domæne bliver et element i Active Directory Forest, men det kan også have mere end et domæne, der systematisk er organiseret i logiske enheder.
Selv uden AD skal administratorer oprette lokale brugere på hver computer og nulstille adgangskoderne for hver enkelt af dem på deres pc.
Typer af Active Directory-objekter:
Active Directory-objekter kan differentieres i to typer:
- Containerobjekter
Dette er de vigtigste objekter, der også består af andre objekter inden for dem, f.eks. domæner, skove, træer og organisatoriske enheder. - Bladobjekter
Disse objekter omfatter ikke andre objekter inden i dem, f.eks. computere, printere, perifere enheder, brugere osv.
Nøgleelementer i Active Directory Domain Services:
Active Directory Domain Services består af:
- Globalt katalog
Består af oplysninger om mappeobjekter. Med dette kan systemadministratorer og brugere nemt finde mappeoplysningerne, uanset hvilket domæne de er indeholdt i. F.eks. brugernavne, kontakter osv. - Skema
Er et sæt regler, der definerer klasser af objekter og deres egenskaber, der er gemt i kataloget, sammen med formatet af deres navne og begrænsninger på objekters forekomster. - Forespørgsels- og indeksmekanisme, ved hjælp af hvilken netværksbrugere nemt kan offentliggøre eller finde objekter og deres attributter i AD.
- Replikeringstjeneste omfatter distribution af katalogdata på tværs af et netværk. Denne replikering udføres af domænecontrollere inden for et domæne, som hver især har en kopi af katalogdata for deres domæne. Alle ændringer, der foretages i mappeoplysningerne, replikeres automatisk til domænecontrollere inden for et domæne, således at de har det samme katalog og skema. AD gør brug af flere domænecontrollere af hensyn til fejltolerance, balance af belastningen og andre vigtige årsager. Derfor skal hver domænecontroller i et domæne have en kopi af sin AD-database. Det er her, replikeringstjenesten kommer ind i billedet. Du skal vide, at domænecontrollere fra forskellige domæner ikke skal replikeres til hinanden.
- Steder: Dette er repræsentationen af Windows’ netværkstopologi.
- Lightweight Directory Access Protocol (LDAP): LDAP er en protokol, der gør det muligt for AD at kommunikere med andre LDAP-baserede katalogtjenester i netværket.
Hvilke tjenester indgår i Active Directory Domain Services?
AD DS består af forskellige tjenester som:
- Domænetjenester:
Dette er kernetjenester, der håndterer datacentralisering, håndterer login-godkendelse, søgefunktionalitet og muliggør problemfri kommunikation mellem brugere i et domæne. - Lightweight Directory Services:
Disse tjenester giver støtte til directory-aktiverede applikationer ved hjælp af LDAP-protokollen. - Rettighedsstyring:
Denne funktion handler om informationsrettigheder, f.eks. begrænsning af adgang til brugernes personlige oplysninger og kryptering af fortrolige data. - Directory Federation Services:
DFS tilbyder SSO-funktionalitet (Single-Sign-On) til brugerne med henblik på sikker godkendelse. Denne funktion er mest nyttig, når der kommunikeres med flere webprogrammer i en enkelt session. - Certifikattjenester:
Denne funktion giver dig mulighed for at oprette, dele og administrere sikkerhedscertifikater. Disse certifikater sikrer sikkerhed og privatlivets fred ved at kryptere data, der sendes på tværs af netværket.
Domænecontrollerens rolle i Active Directory Domain Services:
Grundlæggende er en domænecontroller (DC) ikke andet end en server i Windows-netværket, der giver brugeren adgang til domæneressourcer. Dens hovedformål er at godkende og autentificere brugere i et netværk baseret på deres navne og adgangskoder.
Domænecontrollere er vært for AD DS samt andre tjenester såsom:
- NetLogon:
Dets formål er at autentificere brugernes loginoplysninger i domænenetværket. - KDS:
Kerberos Key Distribution Center er en tjeneste, der bruges til at udstede, autentificere og udføre kryptering af Kerberos-billetter. Den autentificerer brugere, når de bruger Kerberos-protokollen. Tjenesten indeholder TCS (Ticket Granting Server) og en Authenticating Server. - IsmServ (Intersite Messaging):
Denne tjeneste hjælper med udveksling af data mellem pc’er i et Windows-netværksmiljø. - W32time-tjeneste:
Windows time eller W32time-tjenesten udnytter NTP (Network Time Protocol) til synkronisering af dato og tid for alle pc’er i et netværksdomæne. Synkroniseringen af uret på computerne er vigtig for, at Kerberos fungerer korrekt.
Installation af Active Directory Domain Services
Lad os se en hurtig vejledning i, hvordan du installerer Active Directory Domain Services på Windows Server:
- Åbner Server Manager: Tryk på ikonet “Windows” på dit tastatur, og skriv “Server Manager” i søgefeltet. Programmet åbnes.
- Tilføjelse af roller og funktioner: I vinduet Server Manager skal du højreklikke på “Manage” (Administrer) og vælge “Add Roles and Features” (Tilføj roller og funktioner). Når guiden åbnes, skal du klikke på “Næste”.
- Vælg installationstype: Klik på “Next” (Næste) for at åbne vinduet Installation Type (Installationstype), hvor du skal vælge indstillingen “Role-based or feature-based installation” (Rollebaseret eller funktionsbaseret installation). Klik derefter på “Next”.
- Server Selection (Servervalg): Klik på den server, du ønsker at installere AD DS på, og klik derefter på “Next”.
- Server Roles: I dette vindue vil du se mange “Roles” muligheder. Sæt kryds ved “Active Directory Domain Services”.
- Tilføj funktioner: Lige efter åbnes guiden “Add Roles and Features” (Tilføj roller og funktioner). Klik på knappen “Add Features” (Tilføj funktioner), og tryk derefter på “Next” (Næste).
- Select Features (Vælg funktioner): Umiddelbart åbnes afsnittet “Select Features” (Vælg funktioner). Du skal blot klikke på “Next”.
- Installation af AD DS: Nu åbnes hovedvinduet for AD DS-installationen, klik på “Next”.
- Bekræftelsesvindue: Bekræftelsesvindue: Bekræftelsesvinduet viser, hvad der alt sammen vil blive installeret på serveren. Når du har læst det hele, skal du klikke på “Install”.
- Promote to Domain Controller (Fremme til domænecontroller): Efter installationen skal du gå til “Server Manager”, og du vil se et gul trekantet notifikationsikon lige ved siden af fanen “Manage” (Administrer). Klik på det, og vælg “Promote this server to a domain controller”.
- Tilføj en ny skov: Dette vil åbne AD DS-konfigurationsguiden. Klik på “Add a new forest” (Tilføj en ny skov), og skriv virksomhedens roddomænenavn, og tryk på “Next” (Næste).
- Domain Controller Options (Indstillinger for domænecontroller): På den næste side skal du lade alle standardfelter være markeret, og indtaste din DSRM-adgangskode. Klik på “Next”.
- DNS Options (DNS-indstillinger): På siden DNS Options (DNS-indstillinger) kan du muligvis se en fejlmeddelelse øverst. Ignorér den, og tryk på “Next”.
- NetBIOS-domænenavn: Her kan du ændre domænenavnet eller lade standardnavnet stå som det er. Tryk på “Next”.
- Paths (Stier): Behold standardindstillingerne for stier, som de er, og klik på “Next”.
- Review Selections (Gennemgå valg): På denne side skal du kontrollere alle de indstillinger, du har valgt indtil nu, og trykke på “Next”.
- Prerequisites Check (Kontrol af forudsætninger): I dette vindue vil alle forudsætningerne blive valideret før installationen af AD DS. Hvis der dukker fejl op, skal du kigge på de foregående trin og rette dem. Klik på “Install”.
Når det er gjort, genstarter din server, og derefter kan du logge ind på domænet med DSRM-adgangskodeindtastning, som du har oprettet i trin 12.
Wrap Up:
Active Directory Domain Services er en af de bedste terminologier, der bruges til at forbedre Windows-serveren og få den til at skille sig ud i virksomheder.
Den tilpasser sig problemfrit med de fleste Microsoft-løsninger, hvilket gør det lettere for brugerne at udføre deres opgaver. Når du installerer AD DS, kan du nemt administrere det via Active Directory Administrative Center. Jeg håber, at denne vejledning var indsigtsfuld for dig at læse!
Skriv et svar