Az Active Directory tartományi szolgáltatások (AD DS) nem más, mint a Microsoft Active Directory egyik központi funkciója, amelyen keresztül a felhasználók központosított, jól integrált és skálázható Windows-hálózatot építhetnek.

A rendszeradminisztrátorok szisztematikus hierarchikus struktúrában tárolhatják, felügyelhetik és kezelhetik az alkalmazási adatokat és erőforrásinformációkat. Ez a logikai struktúra az AD erdőből, annak tartományaiból és a hozzájuk tartozó szervezeti egységekből (OU) áll.

A rendszergazdák hatékonyan kezelhetik a hálózat felhasználóit és számítógépeit, és egy elosztott adatbázisba szervezhetik őket. Ezenkívül az AD DS olyan biztonsági integrációkat is tartalmaz, mint a címtárforrásokhoz való hozzáférés korlátozása, az SSO, az LDAP, a bejelentkezések engedélyezése, a biztonsági tanúsítványok és a jogok kezelése.

Az AD DS jobb megértéséhez először nézzük meg alaposan az IAM-ot (Identitás- és hozzáférés-kezelés).

Mi az IAM?

Az LDAP protokoll bevezetése valóban felforgatta az IAM iparágat, mivel két óriás, azaz

OpenLDAP és Microsoft Active Directory megoldások mellett más kisebbek számára is szolgált. Mindkét megoldás világszerte széles körben népszerűvé vált a vállalatok körében, mint megbízható identitásszolgáltatók.

Mit is csinál pontosan egy identitásszolgáltató?

Az identitásszolgáltatók feladata, hogy egy jól integrált központi tárolót hozzanak létre a szervezet felhasználói és adatai számára.

Az IdP-ben az összes felhasználói fiókot biztonságosan tárolják az erőforrásadatokkal együtt. Az erőforrások az azokat használó felhasználói identitásokhoz kapcsolódnak.

Nem csak ez, hanem az erőforrások, például a hálózatok, alkalmazások, rendszerek stb. is le vannak korlátozva egy adott felhasználó számára a szerepkörük alapján.

Az Active Directory tartományi szolgáltatások esetében ezt a folyamatot a Windows-alapú hálózatok és erőforrások esetében hajtották végre. Ahogy egy felhasználó bejelentkezik a számítógépére, az AD DS hozzáférést biztosítana azokhoz az erőforrásokhoz, amelyekre a felhasználónak szüksége van, és amelyek használatához hitelesített.

Mi az Active Directory?

Az Active Directory a Microsoft Windows Server térben használható technológiája. Ez egy logikai hierarchikus struktúra, amely képes megosztani az adatbázis-információkat az eszköz- és hálózati erőforrások biztonsága, kezelése és könnyű megtalálása érdekében.

Nem csak teljes körű engedélyezési és hitelesítési alapfunkciókat kínál, hanem számos más szolgáltatás számára is keretet biztosít. Az AD a Windows Servers operációs rendszert használja, és önmagában egy LDAP-adatbázis, amely hálózati elemeket tartalmaz.

Az Active Directory a nagyméretű, összetett környezetek címtárszolgáltatásainak biztosítása érdekében a Windows 2000-ben készségesen bevezetésre került.

Az AD első és legfontosabb szerepe a felhasználók hitelesítése a tartományi hálózatban. Az AD olyan objektumokat tárol, mint a számítógépek, csoportok, fájlmegosztások, fájlengedélyek, nyomtatók és csoportházirendek.

Mellett a biztonsági elemeket is központosítja, mivel az összes felhasználói fiókot és a hozzájuk tartozó jelszavakat egyetlen helyen tárolja.

Az IT-adminisztrátorok létrehozhatnak, korlátozhatnak vagy eltávolíthatnak felhasználókat, beállíthatnak csoportházirendeket, és még a felhasználók számára is engedélyezhetik jelszavaik megváltoztatását. Mindezek a funkciók meghatározzák, hogy a felhasználók hogyan működnek együtt a tartományi környezetben.

Röviden, az AD DS egy jól integrált, központosított keretrendszer a tartománykezeléshez. Minden tartomány az Active Directory Forest elemévé válik, de több tartomány is lehet szisztematikusan logikai egységekbe szervezve.

Az AD nélkül az adminisztrátoroknak minden számítógépen helyi felhasználókat kell létrehozniuk, és minden egyes számítógépen újra kell állítaniuk a jelszavakat.

Az Active Directory objektumok típusai:

Az Active Directory objektumok két típusra különböztethetők meg:

  • Konténerobjektumok
    Ezek a fő objektumok, amelyeken belül más objektumokból is állnak, mint például tartományok, erdők, fák és szervezeti egységek.
  • Levélobjektumok
    Ezek az objektumok nem tartalmaznak más objektumokat, például számítógépeket, nyomtatókat, perifériás eszközöket, felhasználókat stb.

Az Active Directory tartományi szolgáltatások legfontosabb elemei:

Az Active Directory tartományi szolgáltatások a következőkből állnak:

  • Globális katalógus
    A címtárobjektumokra vonatkozó információkból áll. Ennek segítségével a rendszeradminisztrátorok és a felhasználók könnyen megtalálhatják a címtárinformációkat, függetlenül attól, hogy az melyik tartományban található. Például felhasználónevek, kapcsolatok és így tovább.
  • Séma
    A könyvtárban tárolt objektumok osztályait és tulajdonságait meghatározó szabályrendszer, a nevek formátumával és az objektumok példányaira vonatkozó korlátozásokkal együtt.
  • Lekérdezési és indexelési mechanizmus, amelynek segítségével a hálózati felhasználók könnyen közzétehetik vagy megtalálhatják az AD-ben lévő objektumokat és azok tulajdonságait.
  • A replikációs szolgáltatás a könyvtáradatok hálózaton belüli elosztását tartalmazza. Ezt a replikációt a tartományon belüli tartományvezérlők végzik, amelyek mindegyike rendelkezik a saját tartománya címtáradatainak egy-egy példányával. A címtáradatokon végzett bármilyen változtatás automatikusan replikálódik a tartományon belüli tartományvezérlőkre, így azok azonos katalógussal és sémával rendelkeznek. Az AD több tartományvezérlőt használ a hibatűrés, a terhelés kiegyensúlyozása és más fontos okok miatt. Ehhez egy tartományon belül minden tartományvezérlőnek rendelkeznie kell az AD-adatbázis egy példányával. Itt jön a képbe a replikációs szolgáltatás. Tudni kell, hogy a különböző tartományok tartományvezérlői nem replikálhatnak egymásra.
  • Sites: A Windows hálózati topológiájának ábrázolása.
  • Lightweight Directory Access Protocol (LDAP): Az LDAP egy olyan protokoll, amely lehetővé teszi, hogy az AD kommunikáljon más LDAP-alapú címtárszolgáltatásokkal a hálózaton belül.

Milyen szolgáltatásokat tartalmaz az Active Directory tartományi szolgáltatások?

Az AD DS különböző szolgáltatásokból áll, például:

  • Tartományi szolgáltatások:
    Ezek olyan alapvető szolgáltatások, amelyek az adatok központosítását, a bejelentkezés hitelesítésének kezelését, a keresési funkciókat és a felhasználók közötti zökkenőmentes kommunikációt teszik lehetővé a tartományon belül.
  • Lightweight Directory Services:
    Ezek a szolgáltatások az LDAP protokoll segítségével támogatást nyújtanak a címtárképes alkalmazásokhoz.
  • Rights Management:
    Ez a funkció az információs jogokról szól, például a felhasználók személyes adataihoz való hozzáférés korlátozásáról és a bizalmas adatok titkosításáról.
  • Directory Federation Services:
    AzDFS SSO (Single-Sign-On) funkciót kínál a felhasználóknak a biztonságos hitelesítéshez. Ez a funkció leginkább akkor hasznos, ha több webes alkalmazással kommunikál egy munkamenetben.
  • Tanúsítványszolgáltatások:
    Ez a funkció lehetővé teszi a biztonsági tanúsítványok létrehozását, megosztását és kezelését. Ezek a tanúsítványok a hálózaton keresztül küldött adatok titkosításával biztosítják a biztonságot és az adatvédelmet.

A tartományvezérlők szerepe az Active Directory tartományi szolgáltatásokban:

A tartományvezérlő (DC) alapvetően nem más, mint egy kiszolgáló a Windows-hálózatban, amely biztosítja a felhasználók hozzáférését a tartományi erőforrásokhoz. Fő célja a felhasználók engedélyezése és hitelesítése a hálózatban a nevük és jelszavuk alapján.

A tartományvezérlők fogadják az AD DS-t, valamint más szolgáltatásokat, mint például:

  • NetLogon:
    A célja a felhasználók bejelentkezési adatainak hitelesítése a tartományi hálózatban.
  • KDS:
    A Kerberos Key Distribution Center egy olyan szolgáltatás, amely a Kerberos jegyek kiadására, hitelesítésére és titkosítására szolgál. A Kerberos protokoll használata esetén hitelesíti a felhasználókat. A szolgáltatás rendelkezik TCS (Ticket Granting Server) és egy hitelesítő kiszolgálóval.
  • IsmServ (Intersite Messaging):
    Ez a szolgáltatás a Windows hálózati környezetben lévő PC-k közötti adatcserét segíti.
  • W32time szolgáltatás:
    A Windows time vagy W32time szolgáltatás az NTP-t (Network Time Protocol) használja a dátum és az idő szinkronizálására egy hálózati tartományon belüli összes PC számára. A számítógépek órájának szinkronizálása fontos a Kerberos megfelelő működéséhez.

Az Active Directory tartományi szolgáltatások telepítése

Mutatunk egy gyors útmutatót az Active Directory tartományi szolgáltatások telepítéséhez a Windows Server rendszeren:

  • Kiszolgálókezelő megnyitása: Nyomja meg a billentyűzeten a “Windows” ikont, és írja be a keresőmezőbe a “Kiszolgálókezelő” szót. Az alkalmazás megnyílik.
  • Szerepkörök és funkciók hozzáadása: A Kiszolgálókezelő ablakban kattintson a jobb gombbal a “Kezelés” elemre, majd válassza a “Szerepkörök és funkciók hozzáadása” lehetőséget. A varázsló megnyitása után kattintson a “Tovább” gombra.
  • Telepítési típus kiválasztása: A “Tovább” gombra kattintva megnyílik a Telepítés típusa ablak, ahol ki kell választani a “Szerepkör- vagy funkcióalapú telepítés” opciót. Ezután kattintson a “Tovább” gombra.
  • Kiszolgáló kiválasztása: Itt jön a “Server Selection” (Kiszolgáló kiválasztása), kattintson arra a kiszolgálóra, amelyre az AD DS-t telepíteni kívánja, majd kattintson a “Next” (Tovább) gombra.
  • Server Roles (Kiszolgálói szerepkörök): Ebben az ablakban számos “Roles” opciót láthat. Jelölje be az “Active Directory tartományi szolgáltatások” lehetőséget.
  • Add Features: Rögtön ezután megnyílik a “Szerepkörök és funkciók hozzáadása” varázsló. Kattintson a “Add Features” gombra, majd a “Next” gombra.
  • Select Features: Azonnal megnyílik a “Szolgáltatások kiválasztása” rész. Egyszerűen kattintson a “Next” gombra.
  • AD DS telepítése: Most megnyílik az AD DS telepítésének fő ablaka, kattintson a “Next” gombra.
  • Megerősítő ablak: A megerősítő ablakban megjelenik, hogy mi minden lesz telepítve a szerverre. Miután elolvasta az egészet, kattintson a “Telepítés” gombra.
  • Promote to Domain Controller: A telepítés után lépjen a “Kiszolgálókezelő” menüpontba, ahol a “Kezelés” fül mellett jobbra egy sárga háromszög alakú értesítési ikon jelenik meg. Kattints rá, és válaszd a “Promote this server to a domain controller” lehetőséget.
  • Add a New Forest: Ez megnyitja az AD DS konfigurációs varázslót. Kattintson az “Új erdő hozzáadása” gombra, írja be a vállalat gyökértartományának nevét, majd nyomja meg a “Tovább” gombot.
  • Tartományvezérlő beállításai: A következő oldalon hagyja bejelölve az összes alapértelmezett négyzetet, és írja be a DSRM jelszavát. Kattintson a “Tovább” gombra.
  • DNS beállítások: A DNS Options (DNS-beállítások) oldalon hibaüzenet jelenhet meg a tetején. Ne törődjön vele, és kattintson a “Tovább” gombra.
  • NetBIOS tartománynév: Itt megváltoztathatja a tartománynevet, vagy meghagyhatja az alapértelmezett nevet. Nyomja meg a “Next” gombot.
  • Paths: Tartsa meg az elérési utak alapértelmezett értékét, és kattintson a “Tovább” gombra.
  • Review Selections: Ezen az oldalon ellenőrizze az összes eddig kiválasztott opciót, és nyomja meg a “Next” (Tovább) gombot.
  • Prerequisites Check (Előfeltételek ellenőrzése): Ebben az ablakban az AD DS telepítése előtt minden előfeltételt ellenőrizni kell. Ha bármilyen hiba felbukkan, nézze meg az előző lépéseket, és javítsa ki azokat. Kattintson a “Telepítés” gombra.
    Ha ez megtörtént, a kiszolgáló újraindul, majd a 12. lépésben beállított DSRM jelszó bevitelével bejelentkezhet a tartományba.

Wrap Up:

Active Directory Domain Services az egyik legjobb terminológia, amelyet a Windows kiszolgáló fejlesztésére és a vállalatoknál való kiemelésére használnak.

Zökkenőmentesen illeszkedik a Microsoft megoldások többségéhez, így megkönnyítve a felhasználók számára a műveletek elvégzését. Az AD DS telepítésekor az Active Directory felügyeleti központon keresztül könnyedén kezelheti azt. Remélem, hogy ez az útmutató tanulságos volt az Ön számára!