Active Directory -toimialueen palvelut (AD DS) on vain Microsoftin Active Directoryn ydintoiminto, jonka avulla käyttäjät voivat rakentaa keskitetyn, hyvin integroidun ja skaalautuvan Windows-verkon.

Järjestelmän ylläpitäjät voivat tallentaa, valvoa ja hallita sovellustietoja ja resurssitietoja systemaattisessa hierarkiarakenteessa. Tämä looginen rakenne koostuu AD-metsästä, sen toimialueista ja niiden organisaatioyksiköistä (Organizational Units, OU).

Verkonvalvojat voivat käsitellä tehokkaasti verkon käyttäjiä ja tietokoneita ja järjestää ne hajautettuun tietokantaan. Lisäksi AD DS:ssä on myös tietoturvaintegraatioita, kuten hakemistoresurssien käyttöoikeuksien rajoittaminen, SSO, LDAP, kirjautumisten valtuuttaminen, tietoturvasertifikaatit ja oikeuksien hallinta.

Voidaksemme ymmärtää AD DS:ää paremmin, perehdytään ensin IAM:iin (Identiteetti- ja pääsynhallinta) perusteellisesti.

Mitä IAM on?

LDAP-protokollan lanseeraus käänsi todella IAM-alan pöydät, sillä se palveli kahta jättiläistä eli

OpenLDAP- ja Microsoftin Active Directory -ratkaisuja sekä muita pienempiä. Molemmista näistä ratkaisuista tuli laajalti suosittuja yritysten keskuudessa ympäri maailmaa luotettavina identiteettipalveluntarjoajina.

Mitä identiteettipalveluntarjoaja tarkalleen ottaen tekee?

Identiteettipalveluntarjoajien tehtävänä on luoda organisaation käyttäjille ja tiedoille hyvin integroitu keskitetty säilytyspaikka.

IdP:ssä kaikki käyttäjätilejä koskevat tiedot tallennetaan resurssitietoineen turvallisesti. Resurssit liittyvät toisiinsa niitä hyödyntäneiden käyttäjäidentiteettien kanssa.

Ei pelkästään sitä, vaan resurssit, kuten verkot, sovellukset, järjestelmät jne. on myös rajoitettu tietylle käyttäjälle hänen roolinsa perusteella.

Active Directory -toimialuepalveluissa tämä prosessi toteutettiin Windows-pohjaisten verkkojen ja resurssien osalta. Kun käyttäjä kirjautuu tietokoneeseensa, AD DS tarjoaisi pääsyn resursseihin, joita käyttäjä tarvitsee ja joiden käyttöä varten hänet on todennettu.

Mikä on Active Directory?

Active Directory on Microsoftin teknologia, jota käytetään Windows Server -tilassa. Se on looginen hierarkiarakenne, joka pystyy jakamaan tietokantatietoja laitteiden ja verkon resurssien suojaamiseksi, hallitsemiseksi ja helpoksi paikantamiseksi.

Ei se ainoastaan tarjoa täysimittaisia valtuutus- ja todennusydintoimintoja, vaan se tarjoaa myös puitteet lukuisille muille palveluille. AD hyödyntää Windows Servers -käyttöjärjestelmää, ja se on itsessään LDAP-tietokanta, joka sisältää verkkoelementtejä.

Tarjotakseen hakemistopalveluja laajamittaisiin, monimutkaisiin ympäristöihin Active Directory otettiin helposti käyttöön Windows 2000:ssa.

Ad:n ensimmäinen ja tärkein tehtävä on todentaa käyttäjät toimialueverkossa. AD tallentaa kohteita, kuten tietokoneita, ryhmiä, tiedostojakoja, tiedostojen käyttöoikeuksia, tulostimia ja ryhmäkäytäntöjä.

Plussana se myös keskittää tietoturvaelementtejä, sillä kaikki käyttäjien tilit ja niiden salasanat on tallennettu yhteen paikkaan.

Tietotekniikan ylläpitäjät voivat luoda, rajoittaa tai poistaa käyttäjiä, määrittää ryhmäkäytäntöjä ja jopa sallia käyttäjien vaihtaa salasanojaan. Kaikki nämä toiminnot määrittävät, miten käyttäjät ovat vuorovaikutuksessa toimialueympäristössä.

Lyhyesti sanottuna AD DS on hyvin integroitu, keskitetty kehys toimialueen hallintaan. Jokaisesta toimialueesta tulee Active Directory Forestin elementti, mutta siinä voi olla myös useampia toimialueita, jotka on järjestetty systemaattisesti loogisiksi yksiköiksi.

Ilman AD:tä ylläpitäjien on luotava jokaiselle tietokoneelle paikallisia käyttäjiä ja nollattava jokaisen käyttäjän salasanat tietokoneella.

Active Directory -objektien tyypit:

Active Directory -objektit voidaan erottaa kahteen tyyppiin:

  • Konttiobjektit
    Nämä ovat pääobjekteja, jotka koostuvat myös muista objekteista niiden sisällä, kuten toimialueista (Domains), metsistä (Forests), puista (Trees) ja organisaatioyksiköistä.
  • Lehtiobjektit
    Nämä objektit eivät sisällä muita objekteja, esimerkiksi tietokoneita, tulostimia, oheislaitteita, käyttäjiä jne.

Active Directory -toimialuepalveluiden keskeiset elementit:

Active Directory -toimialuepalvelut koostuvat seuraavista osista:

  • Maailmanlaajuisesta hakemistoluettelosta
    Koostuu hakemisto-objekteja koskevista tiedoista. Tämän avulla järjestelmän ylläpitäjät ja käyttäjät voivat helposti löytää hakemistotiedot riippumatta siitä, mihin toimialueeseen ne sisältyvät. Esimerkiksi käyttäjätunnukset, yhteystiedot ja niin edelleen.
  • Skeema
    On joukko sääntöjä, jotka määrittelevät hakemistoon tallennettujen objektien luokat ja niiden ominaisuudet sekä niiden nimien muodon ja objektien instansseja koskevat rajoitukset.
  • Kysely- ja hakemistomekanismi, jonka avulla verkon käyttäjät voivat helposti julkaista tai löytää AD:ssä olevia objekteja ja niiden ominaisuuksia.
  • Replikointipalvelu pitää sisällään hakemistotiedon levittämisen verkon yli. Tämän replikoinnin suorittavat toimialueen sisällä olevat toimialueohjaimet, joilla kullakin on kopio toimialueensa hakemistotiedoista. Kaikki hakemistotietoihin tehdyt muutokset kopioidaan automaattisesti toimialueen sisällä oleviin toimialueen ohjaimiin, jolloin niillä on sama luettelo ja skeema. AD käyttää useita toimialueohjaimia vikasietoisuuden, kuorman tasapainottamisen ja muiden tärkeiden syiden vuoksi. Tätä varten jokaisella toimialueen sisällä olevalla toimialueenohjaimella on oltava kopio AD-tietokannastaan. Tässä kohtaa replikointipalvelu tulee kuvaan mukaan. Tiedä, että eri toimialueiden toimialueohjaimet eivät saa replikoida toisiaan.
  • Sites: Tämä on Windowsin verkkotopologian esitys.
  • LDAP (Lightweight Directory Access Protocol): LDAP on protokolla, jonka avulla AD voi kommunikoida verkon muiden LDAP-pohjaisten hakemistopalveluiden kanssa.

Mitä palveluita Active Directory -toimialueen palvelut sisältävät?

AD DS koostuu erilaisista palveluista, kuten:

  • Toimialueen palvelut:
    Nämä ovat ydinpalveluita, jotka hoitavat tietojen keskittämisen, hallitsevat kirjautumistodennuksen, hakutoiminnot ja mahdollistavat saumattoman yhteydenpidon toimialueen käyttäjien välillä.
  • Kevyet hakemistopalvelut:
    Nämä palvelut tarjoavat tukea hakemistokäyttöön soveltuville sovelluksille LDAP-protokollan avulla.
  • Oikeuksien hallinta:
    Tässä ominaisuudessa on kyse tieto-oikeuksista, kuten käyttäjien henkilökohtaisten tietojen käyttöoikeuden rajoittamisesta ja luottamuksellisten tietojen salaamisesta.
  • Hakemistojen yhdistämispalvelut:
    DFS tarjoaa SSO-toiminnallisuuden (Single-Sign-On) käyttäjille turvallista todennusta varten. Tästä ominaisuudesta on eniten hyötyä, kun kommunikoidaan useiden verkkosovellusten kanssa samassa istunnossa.
  • Varmennepalvelut:
    Tämän ominaisuuden avulla voit luoda, jakaa ja hallita turvavarmenteita. Nämä varmenteet varmistavat turvallisuuden ja yksityisyyden salaamalla verkon kautta lähetettävät tiedot.

Toimialueen ohjainten rooli Active Directory -toimialuepalveluissa:

Periaatteessa toimialueen ohjain (DC) ei ole mitään muuta kuin Windows-verkon palvelin, joka tarjoaa käyttäjille pääsyn toimialueen resursseihin. Sen päätavoitteena on valtuuttaa ja todentaa verkon käyttäjät heidän nimiensä ja salasanojensa perusteella.

Toimialueohjaimet isännöivät AD DS:ää sekä muita palveluita, kuten:

  • NetLogon:
    Sen tavoitteena on todentaa käyttäjien kirjautumistiedot toimialueverkossa.
  • KDS:
    Kerberos-avainten jakelukeskus (Kerberos Key Distribution Center, KDS-keskus)

    • KDS:
    Kerberoksen avainten jakelukeskusta (Key Distribution Center, KDS-keskus)

  • on Palvelu, jolla voidaan laskea liikkeeseen kerberos-lipukkeja (engl. Se todentaa käyttäjät, kun käytetään Kerberos-protokollaa. Palvelussa on TCS (Ticket Granting Server) ja Authenticating Server.
  • IsmServ (Intersite Messaging):
    Tämä palvelu auttaa tietojen vaihtoa tietokoneiden välillä Windows-verkkoympäristössä.
  • W32time-palvelu:
    Windows time eli W32time-palvelu käyttää NTP:tä (Network Time Protocol) päivämäärän ja kellonajan synkronoimiseen kaikkien verkkotoimialueen tietokoneiden välillä. Tietokoneiden kellonajan synkronointi on tärkeää, jotta Kerberos toimisi kunnolla.

Aktiivisen hakemiston toimialuepalveluiden asentaminen

Katsotaanpa nopea ohje Active Directory -toimialuepalveluiden asentamisesta Windows Serveriin:

  • Avataan Server Manager: Paina näppäimistön ”Windows”-kuvaketta ja kirjoita hakukenttään ”Server Manager”. Sovellus avautuu.
  • Roolien ja ominaisuuksien lisääminen: Napsauta Server Manager -ikkunassa hiiren kakkospainikkeella ”Manage” (Hallinta) ja valitse ”Add Roles and Features” (Lisää rooleja ja ominaisuuksia) -vaihtoehto. Kun ohjattu toiminto avautuu, napsauta ”Seuraava”.
  • Valitse asennustyyppi: Napsauttamalla ”Seuraava” avautuu Asennustyyppi -ikkuna, jossa sinun on valittava ”Rooli- tai ominaisuuspohjainen asennus” -vaihtoehto. Napsauta sitten ”Seuraava”.
  • Palvelimen valinta: Klikkaa palvelinta, johon haluat asentaa AD DS:n ja klikkaa sitten ”Seuraava”.
  • Palvelinroolit: Tässä ikkunassa näet monia ”Roles” -vaihtoehtoja. Rastita ”Active Directory Domain Services”.
  • Add Features: Ohjattu ”Add Roles and Features” (Lisää rooleja ja ominaisuuksia) avautuu heti tämän jälkeen. Napsauta ”Add Features” -painiketta ja paina sitten ”Next”.
  • Select Features: Valitse ominaisuudet: Heti avautuu ”Select Features” -osio. Klikkaa yksinkertaisesti ”Next”.
  • AD DS:n asennus: Nyt avautuu AD DS:n asennuksen pääikkuna, klikkaa ”Next”.
  • Confirmation Window: Vahvistusikkuna näyttää, mitä kaikkea palvelimelle asennetaan. Kun olet lukenut kaiken, klikkaa ”Install”.
  • Promote to Domain Controller: Asennuksen jälkeen siirry ”Server Manageriin” ja näet keltaisen kolmiomaisen ilmoituskuvakkeen heti ”Manage”-välilehden vieressä. Klikkaa sitä ja valitse ”Promote this server to a domain controller”.
  • Add a New Forest: Tämä avaa AD DS Configuration Wizard -ohjelman. Napsauta ”Add a new forest” (Lisää uusi metsä) ja kirjoita yrityksesi juurialueen nimi ja paina ”Next” (Seuraava).
  • Domain Controller Options (Toimialueen ohjaimen asetukset): Seuraavalla sivulla pidä kaikki oletusasetukset valittuna ja kirjoita DSRM-salasana. Napsauta ”Seuraava”.
  • DNS-asetukset: DNS Options -sivun yläreunassa saattaa näkyä virheilmoitus. Jätä se huomiotta ja paina ”Seuraava”.
  • NetBIOS-verkkotunnus: Tässä voit muuttaa verkkotunnusta tai jättää oletusnimen ennalleen. Paina ”Seuraava”.
  • Polut: Pidä polkujen oletusasetukset ennallaan ja napsauta ”Seuraava”.
  • Review Selections: Tarkista tällä sivulla kaikki tähän mennessä valitsemasi vaihtoehdot ja paina ”Next”.
  • Prerequisites Check: Tässä ikkunassa kaikki ennakkoedellytykset tarkistetaan ennen AD DS:n asennusta. Jos esiin tulee virheitä, katso edellisiä vaiheita ja korjaa ne. Kun asennat AD DS:n, voit hallita sitä helposti Active Directory Administrative Centerin kautta. Toivottavasti tämä opas oli oivaltavaa luettavaa!