Active Directory Domain Services (AD DS) nu este altceva decât o funcție de bază în Active Directory de la Microsoft, prin intermediul căreia utilizatorii pot construi o rețea Windows centralizată, bine integrată și scalabilă.

Administratorii de sistem pot stoca, monitoriza și gestiona datele aplicațiilor și informațiile despre resurse într-o structură ierarhică sistematică. Această structură logică cuprinde pădurea AD, domeniile sale și unitățile organizaționale (OU) respective.

Administratorii pot gestiona eficient utilizatorii și computerele unei rețele și le pot organiza într-o bază de date distribuită. Mai mult decât atât, AD DS dispune, de asemenea, de integrări de securitate, cum ar fi limitarea accesului la resursele directorului, SSO, LDAP, autorizarea logărilor, certificatele de securitate și gestionarea drepturilor.

Pentru a înțelege mai bine AD DS, să analizăm mai întâi în detaliu IAM (Identity and Access management).

Ce este IAM?

Lansarea protocolului LDAP a dat cu adevărat peste cap industria IAM, deoarece a servit pentru doi giganți și anume:

OpenLDAP și Microsoft Active Directory, alături de alte soluții mai mici. Ambele aceste soluții au devenit foarte populare în rândul întreprinderilor din întreaga lume ca furnizori de identitate de încredere.

Ce face mai exact un furnizor de identitate?

Furnizorii de identitate fac treaba de a crea un magazin central bine integrat pentru utilizatorii și datele unei organizații.

În IdP, toate conturile de utilizator sunt stocate în siguranță împreună cu informațiile despre resurse. Resursele sunt interconectate cu identitățile utilizatorilor care le-au utilizat.

Nu numai atât, resursele, cum ar fi rețelele, aplicațiile, sistemele etc. sunt, de asemenea, restricționate pentru un anumit utilizator în funcție de rolul acestuia.

Pentru serviciile de domeniu Active Directory, acest proces a fost realizat pentru rețelele și resursele bazate pe Windows. Pe măsură ce un utilizator se conectează la computerul său, AD DS ar oferi acces la resursele de care utilizatorul are nevoie și pe care este autentificat pentru a le utiliza.

Ce este Active Directory?

Active Directory este tehnologia Microsoft care va fi utilizată în spațiul Windows Server. Este o structură ierarhică logică care este capabilă să partajeze informații din baza de date pentru a securiza, gestiona și localiza cu ușurință dispozitivul și resursele de rețea.

Nu numai că oferă funcții de bază de autorizare și autentificare la scară completă, dar oferă și un cadru pentru numeroase alte servicii. AD utilizează sistemul de operare Windows Servers și este o bază de date LDAP în sine care conține elemente de rețea.

Pentru a oferi servicii de directoare pentru mediile complexe și la scară largă, Active Directory a fost introdus cu ușurință în Windows 2000.

Primul și cel mai important rol al AD este acela de a autentifica utilizatorii în rețeaua de domenii. AD stochează obiecte cum ar fi computere, grupuri, partajări de fișiere, permisiuni de fișiere, imprimante și politici de grup.

În plus, centralizează și elementele de securitate, deoarece toate conturile utilizatorilor și parolele lor respective sunt stocate într-o singură locație.

Administratorii IT pot crea, restricționa sau elimina utilizatori, configura politici de grup și chiar permite utilizatorilor să își schimbe parolele. Toate aceste funcții determină modul în care utilizatorii vor interacționa în mediul domeniului.

În concluzie, AD DS este un cadru bine integrat și centralizat pentru gestionarea domeniului. Fiecare domeniu devine un element al Pădurii Active Directory, dar poate avea și mai multe domenii organizate sistematic în unități logice.

Fără AD, administratorii vor trebui să creeze utilizatori locali pe fiecare calculator și să reseteze parolele pentru fiecare dintre ei pe PC.

Tipuri de obiecte Active Directory:

Obiectele Active Directory pot fi diferențiate în două tipuri:

  • Obiecte container
    Acestea sunt obiectele principale care cuprind și alte obiecte în interiorul lor, cum ar fi Domenii, Păduri, Arbori și Unități organizaționale.
  • Obiecte frunză
    Aceste obiecte nu cuprind alte obiecte în interiorul lor, de exemplu, calculatoare, imprimante, dispozitive periferice, utilizatori etc.

Elemente cheie ale serviciilor de domeniu Active Directory:

Serviciile de domeniu Active Directory cuprind:

  • Catalogul global
    Constituie informații referitoare la obiectele de director. Cu ajutorul acestuia, administratorii de sistem și utilizatorii pot găsi cu ușurință informațiile despre directoare, indiferent de domeniul în care acestea sunt conținute. De exemplu, nume de utilizatori, contacte și așa mai departe.
  • Schema
    Este un set de reguli care definesc clasele de obiecte și proprietățile acestora stocate în director, împreună cu formatul numelor acestora și limitele instanțelor obiectelor.
  • Mecanism de interogare și indexare cu ajutorul căruia utilizatorii rețelei pot publica sau găsi cu ușurință obiecte și atributele acestora în AD.
  • Serviciul de replicare include distribuția datelor de director în cadrul unei rețele. Această replicare este realizată de către controlorii de domeniu din cadrul unui domeniu, fiecare având o copie a datelor de director pentru domeniul lor. Orice modificare efectuată asupra informațiilor din director este replicată automat la controlorii de domeniu din cadrul unui domeniu, astfel încât aceștia au același catalog și aceeași schemă. AD utilizează mai multe controllere de domeniu pentru toleranța la erori, pentru echilibrarea sarcinii și din alte motive esențiale. Pentru aceasta, fiecare controler de domeniu dintr-un domeniu trebuie să aibă o copie a bazei sale de date AD. Aici intervine serviciul de replicare. Trebuie să știți că controlorii de domeniu din domenii diferite nu se replică între ei.
  • Site-uri: Aceasta este reprezentarea topologiei rețelei Windows.
  • Lightweight Directory Access Protocol (LDAP): LDAP este un protocol care permite AD să comunice cu alte servicii de directoare bazate pe LDAP din cadrul rețelei.

Ce servicii sunt incluse în Active Directory Domain Services?

AD DS este format din diverse servicii, cum ar fi:

  • Domain Services:
    Sunt servicii de bază care se ocupă de centralizarea datelor, gestionează autentificarea la autentificare, funcționalitatea de căutare și permit o comunicare perfectă între utilizatorii dintr-un domeniu.
  • Lightweight Directory Services:
    Aceste servicii oferă suport pentru aplicațiile bazate pe directoare cu ajutorul protocolului LDAP.
  • Rights Management:
    Această caracteristică se referă la drepturile de informare, cum ar fi restricționarea accesului la informațiile personale ale utilizatorilor și criptarea datelor confidențiale.
  • Directory Federation Services:
    DFS oferă utilizatorilor funcționalitatea SSO (Single-Sign-On) pentru o autentificare sigură. Această caracteristică este foarte utilă atunci când se comunică cu mai multe aplicații web într-o singură sesiune.
  • Certificate Services:
    Această caracteristică vă permite să creați, să partajați și să gestionați certificate de securitate. Aceste certificate asigură securitatea și confidențialitatea prin criptarea datelor trimise prin rețea.

Rolul controlorilor de domeniu în Active Directory Domain Services:

În principiu, un controlor de domeniu (DC) nu este altceva decât un server din rețeaua Windows care oferă utilizatorilor acces la resursele domeniului. Principalul său obiectiv este de a autoriza și autentifica utilizatorii dintr-o rețea pe baza numelor și parolelor acestora.

Controlerele de domeniu găzduiesc AD DS, precum și alte servicii, cum ar fi:

  • NetLogon:
    Său obiectiv este de a autentifica acreditările de conectare ale utilizatorilor din rețeaua de domeniu.
  • KDS:
    Kerberos Key Distribution Center este un serviciu utilizat pentru a emite, autentifica și efectua criptarea biletelor Kerberos. Acesta va autentifica utilizatorii atunci când se utilizează protocolul Kerberos. Serviciul dispune de TCS (Ticket Granting Server) și de un server de autentificare.
  • IsmServ (Intersite Messaging):
    Acest serviciu asistă schimbul de date între PC-uri într-un mediu Windows în rețea.
  • Serviciul W32time:
    Serviciul Windows time sau W32time utilizează NTP (Network Time Protocol) pentru sincronizarea datei și orei pentru toate PC-urile dintr-un domeniu în rețea. Sincronizarea ceasului pe calculatoare este importantă pentru ca Kerberos să funcționeze corect.

Instalarea serviciilor de domeniu Active Directory

Vezi un tutorial rapid despre cum se instalează serviciile de domeniu Active Directory pe Windows Server:

  • Deschiderea Server Manager: Apăsați pictograma „Windows” de pe tastatură și tastați „Server Manager” în caseta de căutare. Aplicația se va deschide.
  • Adăugarea de roluri și caracteristici: În fereastra Server Manager, faceți clic dreapta pe „Manage” (Gestionare) și selectați opțiunea „Add Roles and Features” (Adăugare roluri și caracteristici). Odată ce se deschide expertul, faceți clic pe „Next”.
  • Select Installation Type (Selectați tipul de instalare): Dacă faceți clic pe „Next” (Următorul), se va deschide fereastra Installation Type (Tip de instalare) în care trebuie să selectați opțiunea „Role-based or feature-based installation” (Instalare bazată pe roluri sau pe caracteristici). Apoi faceți clic pe „Next”.
  • Server Selection (Selectare server): Aici apare „Server Selection” (Selectare server) faceți clic pe serverul pe care doriți să instalați AD DS și apoi faceți clic pe „Next” (Următorul).
  • Server Roles (Roluri server): În această fereastră, veți vedea mai multe opțiuni „Roles”. Bifați pe „Active Directory Domain Services”.
  • Add Features (Adăugare funcții): Imediat după, se va deschide expertul „Add Roles and Features” (Adăugare roluri și caracteristici). Faceți clic pe butonul „Add Features” (Adăugați caracteristici) și apoi apăsați „Next” (Următorul).
  • Select Features (Selectați caracteristici): Imediat se va deschide secțiunea „Select Features”. Pur și simplu faceți clic pe „Next”.
  • Installation of AD DS: Acum se deschide fereastra principală a instalării AD DS, faceți clic pe „Next”.
  • Confirmation Window: Fereastra de confirmare afișează ce tot ce va fi instalat pe server. După ce ați citit totul, faceți clic pe „Install”.
  • Promote to Domain Controller: După instalare, mergeți la „Server Manager” și veți vedea o pictogramă de notificare cu triunghi galben chiar lângă fila „Manage”. Faceți clic pe ea și alegeți „Promovează acest server la un controler de domeniu”.
  • Adăugați o nouă pădure: Acest lucru va deschide Expertul de configurare AD DS. Faceți clic pe „Add a new forest” (Adăugați o nouă pădure), introduceți numele domeniului rădăcină al întreprinderii dumneavoastră și apăsați „Next” (Următorul).
  • Domain Controller Options (Opțiuni controler de domeniu): Pe pagina următoare, păstrați toate căsuțele implicite bifate și introduceți parola DSRM. Apăsați „Next”.
  • DNS Options (Opțiuni DNS): În pagina DNS Options, este posibil să vedeți un mesaj de eroare în partea de sus. Ignorați-l și apăsați „Next” (Următorul).
  • NetBIOS domain name (Nume domeniu NetBIOS): Aici puteți schimba numele domeniului sau puteți lăsa numele implicit așa cum este. Apăsați „Next”.
  • Paths (Căi de acces): Păstrați căile implicite așa cum sunt și apăsați „Next” (Următorul).
  • Review Selections (Revizuirea selecțiilor): În această pagină, verificați toate opțiunile pe care le-ați selectat până acum și apăsați „Next” (Următorul).
  • Verificarea condițiilor prealabile: În această fereastră, toate condițiile prealabile vor fi validate înainte de instalarea AD DS. Dacă apar erori, uitați-vă la pașii anteriori și corectați-le. Faceți clic pe „Install”.
    După ce ați terminat, serverul dvs. se va reporni și apoi veți putea să vă conectați la domeniu cu parola de intrare DSRM pe care ați configurat-o la pasul 12.

Încheiere:

Active Directory Domain Services este una dintre cele mai bune terminologii folosite pentru a îmbunătăți serverul Windows și a-l face să iasă în evidență în întreprinderi.

Se adaptează fără probleme cu majoritatea soluțiilor Microsoft, facilitând operațiunile utilizatorilor. Pe măsură ce instalați AD DS, îl puteți gestiona cu ușurință prin Active Directory Administrative Center. Sperăm că acest ghid v-a fost util de citit!

.