Active Directory Domain Services (AD DS) to nic innego jak podstawowa funkcja w Microsoft’s Active Directory, dzięki której użytkownicy mogą zbudować scentralizowaną, dobrze zintegrowaną i skalowalną sieć Windows.

Administratorzy systemu mogą przechowywać, monitorować i zarządzać danymi aplikacji i informacjami o zasobach w systematycznej strukturze hierarchicznej. Ta logiczna struktura obejmuje las AD, jego domeny i ich odpowiednie jednostki organizacyjne (OU).

Administratorzy mogą sprawnie obsługiwać użytkowników i komputery w sieci oraz organizować je w rozproszoną bazę danych. Co więcej, AD DS posiada również integracje bezpieczeństwa, takie jak ograniczanie dostępu do zasobów katalogowych, SSO, LDAP, autoryzowanie logowań, certyfikaty bezpieczeństwa i zarządzanie prawami.

Aby lepiej zrozumieć AD DS, przyjrzyjmy się najpierw dokładnie IAM (Identity and Access management).

Czym jest IAM?

Powstanie protokołu LDAP naprawdę odwróciło bieg wydarzeń w branży IAM, ponieważ posłużył on dwóm gigantom viz.

OpenLDAP i Microsoft Active Directory wraz z innymi mniejszymi rozwiązaniami. Oba te rozwiązania stały się popularne wśród przedsiębiorstw na całym świecie jako wiarygodni dostawcy tożsamości.

What Exactly Does an Identity Provider Do?

Dostawcy tożsamości wykonują pracę polegającą na tworzeniu dobrze zintegrowanego centralnego sklepu dla użytkowników i danych organizacji.

W IdP, wszystkie konta użytkowników są bezpiecznie przechowywane wraz z informacjami o zasobach. Zasoby są powiązane z tożsamościami użytkowników, którzy je wykorzystali.

Nie tylko to, zasoby takie jak sieci, aplikacje, systemy itp. są również ograniczone dla konkretnego użytkownika w oparciu o jego rolę.

Dla usług Active Directory Domain, proces ten został przeprowadzony dla sieci i zasobów opartych na systemie Windows. Gdy użytkownik loguje się do swojego komputera, AD DS zapewnia dostęp do zasobów, których użytkownik potrzebuje i jest uwierzytelniony, aby z nich korzystać.

Co to jest Active Directory?

Active Directory to technologia firmy Microsoft używana w przestrzeni Windows Server. Jest to logiczna struktura hierarchiczna, która jest w stanie współdzielić informacje z bazy danych w celu zabezpieczenia, zarządzania i łatwego lokalizowania urządzeń i zasobów sieciowych.

Nie tylko oferuje pełnowymiarowe funkcje autoryzacji i uwierzytelniania, ale także zapewnia ramy dla wielu innych usług. AD korzysta z systemu operacyjnego Windows Servers i sam w sobie jest bazą danych LDAP zawierającą elementy sieciowe.

Aby zaoferować usługi katalogowe dla dużych, złożonych środowisk, Active Directory został łatwo wprowadzony w Windows 2000.

Pierwszą i najważniejszą rolą AD jest uwierzytelnianie użytkowników w sieci domenowej. AD przechowuje obiekty takie jak komputery, grupy, udziały w plikach, uprawnienia do plików, drukarki i polityki grupowe.

Plus, centralizuje również elementy bezpieczeństwa, ponieważ wszystkie konta użytkowników i ich hasła są przechowywane w jednym miejscu.

Administratorzy IT mogą tworzyć, ograniczać lub usuwać użytkowników, ustawiać polityki grupowe, a nawet pozwalać użytkownikom na zmianę ich haseł. Wszystkie te funkcje określają, w jaki sposób użytkownicy będą wchodzić w interakcje w środowisku domeny.

W skrócie, AD DS to dobrze zintegrowane, scentralizowane ramy do zarządzania domenami. Każda domena staje się elementem Active Directory Forest, ale może też mieć więcej niż jedną domenę systematycznie zorganizowaną w logiczne jednostki.

Bez AD, administratorzy będą musieli tworzyć lokalnych użytkowników na każdym komputerze i resetować hasła dla każdego z nich na swoim komputerze.

Typy obiektów Active Directory:

Obiekty Active Directory można rozróżnić na dwa typy:

  • Obiekty kontenerowe
    Są to główne obiekty, które składają się również z innych obiektów wewnątrz nich, takich jak domeny, lasy, drzewa i jednostki organizacyjne.
  • Obiekty liści
    Te obiekty nie zawierają innych obiektów wewnątrz nich, na przykład komputerów, drukarek, urządzeń peryferyjnych, użytkowników itp.

Kluczowe elementy usług Active Directory Domain Services:

Usługi Active Directory Domain Services składają się z:

  • Katalogu globalnego
    Zawiera informacje dotyczące obiektów katalogowych. Dzięki niemu administratorzy systemu i użytkownicy mogą łatwo znaleźć informacje katalogowe, niezależnie od tego, w której domenie są zawarte. Na przykład nazwy użytkowników, kontakty i tak dalej.
  • Schemat
    Jest to zbiór reguł określających klasy obiektów i ich właściwości przechowywane w katalogu wraz z formatem ich nazw i ograniczeniami dotyczącymi instancji obiektów.
  • Mechanizm zapytań i indeksów, za pomocą którego użytkownicy sieci mogą łatwo publikować lub znajdować obiekty i ich atrybuty w AD.
  • Usługa replikacji obejmuje dystrybucję danych katalogowych w sieci. Replikacja ta jest wykonywana przez kontrolery domeny w ramach domeny, z których każdy posiada kopię danych katalogowych dla swojej domeny. Wszelkie zmiany dokonane w informacjach katalogowych są automatycznie replikowane do kontrolerów domeny w obrębie domeny, dzięki czemu mają one ten sam katalog i schemat. AD korzysta z wielu kontrolerów domeny dla odporności na błędy, równowagi obciążenia i innych istotnych powodów. W tym celu każdy kontroler domeny w ramach domeny musi posiadać kopię swojej bazy danych AD. W tym miejscu pojawia się usługa replikacji. Należy pamiętać, że kontrolery domeny z różnych domen nie mogą replikować się wzajemnie.
  • Sites: Jest to reprezentacja topologii sieci w systemie Windows.
  • Lightweight Directory Access Protocol (LDAP): LDAP to protokół umożliwiający AD komunikowanie się z innymi usługami katalogowymi opartymi na LDAP w obrębie sieci.

Które usługi wchodzą w skład Active Directory Domain Services?

AD DS składa się z różnych usług, takich jak:

  • Domain Services:
    Są to usługi podstawowe, które obsługują centralizację danych, zarządzają uwierzytelnianiem logowania, funkcjami wyszukiwania i umożliwiają bezproblemową komunikację między użytkownikami w obrębie domeny.
  • Lightweight Directory Services:
    Usługi te zapewniają wsparcie dla aplikacji obsługujących katalogi za pomocą protokołu LDAP.
  • Rights Management:
    Ta funkcja dotyczy praw do informacji, takich jak ograniczanie dostępu do informacji osobistych użytkowników i szyfrowanie poufnych danych.
  • Directory Federation Services:
    DFS oferuje użytkownikom funkcjonalność SSO (Single-Sign-On) w celu bezpiecznego uwierzytelniania. Funkcja ta jest najbardziej przydatna podczas komunikacji z wieloma aplikacjami internetowymi w ramach jednej sesji.
  • Certificate Services:
    Funkcja ta pozwala na tworzenie, udostępnianie i zarządzanie certyfikatami bezpieczeństwa. Certyfikaty te zapewniają bezpieczeństwo i prywatność poprzez szyfrowanie danych przesyłanych przez sieć.

Rola kontrolerów domeny w usługach Active Directory Domain Services:

Podstawowo, kontroler domeny (DC) to nic innego jak serwer w sieci Windows, który zapewnia użytkownikom dostęp do zasobów domeny. Jego głównym celem jest autoryzacja i uwierzytelnianie użytkowników w sieci na podstawie ich nazw i haseł.

Kontrolery domeny hostują AD DS, jak również inne usługi, takie jak:

  • NetLogon:
    Jego celem jest uwierzytelnianie poświadczeń logowania użytkowników w sieci domeny.
  • KDS:
    Kerberos Key Distribution Center jest usługą używaną do wydawania, uwierzytelniania i przeprowadzania szyfrowania biletów Kerberos. Umożliwia uwierzytelnianie użytkowników korzystających z protokołu Kerberos. Usługa zawiera serwer TCS (Ticket Granting Server) i serwer uwierzytelniający.
  • IsmServ (Intersite Messaging):
    Usługa ta wspomaga wymianę danych między komputerami w środowisku sieciowym Windows.
  • Usługa W32time:
    Czas Windows lub usługa W32time wykorzystuje protokół NTP (Network Time Protocol) do synchronizacji daty i czasu dla wszystkich komputerów w domenie sieciowej. Synchronizacja zegara na komputerach jest ważna, aby Kerberos działał prawidłowo.

Instalacja Active Directory Domain Services

Zobaczmy szybki samouczek, jak zainstalować Active Directory Domain Services na Windows Server:

  • Otwierając Server Manager: Naciśnij ikonę „Windows” na klawiaturze i wpisz „Server Manager” w polu wyszukiwania. Aplikacja zostanie otwarta.
  • Dodawanie ról i funkcji: W oknie Server Manager klikamy prawym przyciskiem myszy na „Manage” i wybieramy opcję „Add Roles and Features”. Po otwarciu kreatora należy kliknąć na „Next”.
  • Select Installation Type: Kliknięcie „Next” spowoduje otwarcie okna Installation Type, w którym należy wybrać opcję „Role-based or feature-based installation”. Następnie kliknij na „Next”.
  • Server Selection: Tutaj następuje „Wybór serwera” kliknij na serwer, na którym chcesz zainstalować AD DS, a następnie kliknij „Dalej”.
  • Role serwera: W tym oknie zobaczysz wiele opcji „Role”. Zaznacz „Active Directory Domain Services”.
  • Add Features: Zaraz po tym otworzy się kreator „Add Roles and Features”. Kliknij na przycisk „Dodaj cechy”, a następnie naciśnij „Dalej”.
  • Wybierz cechy: Natychmiast otworzy się sekcja „Wybierz cechy”. Wystarczy kliknąć na „Next”.
  • Installation of AD DS: Teraz otwiera się główne okno instalacji AD DS, kliknij na „Next”.
  • Confirmation Window: Okno potwierdzenia wyświetla, co wszystko zostanie zainstalowane na serwerze. Po przeczytaniu wszystkiego, kliknij na „Install”.
  • Promote to Domain Controller: Po instalacji, przejdź do „Server Manager” i zobaczysz żółtą trójkątną ikonę powiadomienia tuż obok zakładki „Manage”. Kliknij na nią i wybierz „Promote ten serwer do kontrolera domeny”.
  • Dodaj nowy las: Spowoduje to otwarcie AD DS Configuration Wizard. Kliknij na „Dodaj nowy las” i wpisz nazwę domeny głównej swojego przedsiębiorstwa i naciśnij „Next”.
  • Opcje kontrolera domeny: Na następnej stronie zachowaj wszystkie domyślne pola wyboru zaznaczone i wpisz hasło DSRM. Kliknij przycisk „Dalej”.
  • Opcje DNS: Na stronie Opcje DNS, możesz zobaczyć komunikat o błędzie na górze. Ignoruj go i naciśnij „Dalej”.
  • Nazwa domeny NetBIOS: Tutaj możesz zmienić nazwę domeny lub pozostawić domyślną nazwę, jak to jest. Hit „Dalej”.
  • Ścieżki: Zachowaj domyślne ścieżki tak jak jest i kliknij „Dalej”.
  • Review Selections: Na tej stronie sprawdź wszystkie opcje, które wybrałeś do tej pory, i kliknij „Next”.
  • Prerequisites Check: W tym oknie wszystkie warunki wstępne zostaną sprawdzone przed instalacją AD DS. Jeśli pojawią się jakieś błędy, należy sprawdzić poprzednie kroki i je naprawić. Kliknij przycisk „Zainstaluj”.
    Po zakończeniu, serwer zostanie ponownie uruchomiony, a następnie będzie można zalogować się do domeny z DSRM hasło wejściowe, które zostały ustawione w kroku 12.

Wrap Up:

Active Directory Domain Services jest jednym z najlepszych terminologii używanych do zwiększenia serwera Windows i uczynić go wyróżniać się w przedsiębiorstwach.

Jest płynnie dostosowuje się z większością rozwiązań firmy Microsoft, ułatwiając użytkownikom wykonywać swoje operacje. Po zainstalowaniu AD DS, można łatwo zarządzać nim poprzez Centrum Administracyjne Active Directory. Mam nadzieję, że ten przewodnik był dla Ciebie wnikliwy!

.