Active Directory Domain Services (AD DS) är inget annat än en kärnfunktion i Microsofts Active Directory, genom vilken användarna kan bygga ett centraliserat, välintegrerat och skalbart Windows-nätverk.

Systemadministratörer kan lagra, övervaka och hantera programdata och resursinformation i en systematisk hierarkistruktur. Den här logiska strukturen består av AD-skogen, dess domäner och deras respektive organisatoriska enheter (OU).

Admins kan effektivt hantera ett nätverks användare och datorer och organisera dem i en distribuerad databas. Dessutom har AD DS också säkerhetsintegrationer som begränsning av åtkomst till katalogresurser, SSO, LDAP, auktorisering av inloggningar, säkerhetscertifikat och rättighetshantering.

För att förstå AD DS bättre ska vi först titta grundligt på IAM (Identity and Access management).

Vad är IAM?

Lanseringen av LDAP-protokollet vände verkligen på steken för IAM-branschen, eftersom det tjänade två jättar, nämligen

OpenLDAP och Microsoft Active Directory-lösningar tillsammans med andra mindre lösningar. Båda dessa lösningar blev mycket populära bland företag över hela världen som pålitliga identitetsleverantörer.

Vad exakt gör en identitetsleverantör?

Identitetsleverantörer gör jobbet med att skapa ett välintegrerat centralt lager för en organisations användare och data.

I IdP:n lagras alla användarkonton på ett säkert sätt tillsammans med resursinformation. Resurserna är sammankopplade med de användaridentiteter som utnyttjade dem.

Inte bara det, resurserna som nätverk, program, system etc. är också begränsade för en specifik användare baserat på dennes roll.

För Active Directory Domain services utfördes den här processen för Windows-baserade nätverk och resurser. När en användare loggar in på sin dator ger AD DS tillgång till resurser som användaren behöver och är autentiserad för att använda.

Vad är Active Directory?

Active Directory är Microsofts teknik som används i Windows Server-området. Det är en logisk hierarkistruktur som kan dela databasinformation för att säkra, hantera och enkelt lokalisera enhets- och nätverksresurser.

Det erbjuder inte bara fullskaliga kärnfunktioner för auktorisering och autentisering, utan ger också en ram för många andra tjänster. AD använder sig av Windows Servers OS och det är en LDAP-databas i sig själv som innehåller nätverkselement.

För att erbjuda katalogtjänster till storskaliga, komplexa miljöer introducerades Active Directory lätt i Windows 2000.

Den första och viktigaste rollen för AD är att autentisera användare i domännätverket. AD lagrar objekt som datorer, grupper, fildelningar, filbehörigheter, skrivare och grupprinciper.

På samma sätt centraliseras säkerhetselement eftersom alla användarkonton och deras respektive lösenord lagras på en enda plats.

IT-administratörer kan skapa, begränsa eller ta bort användare, ställa in grupprinciper och till och med tillåta att användare ändrar sina lösenord. Alla dessa funktioner bestämmer hur användarna kommer att interagera i domänmiljön.

Samt sett är AD DS ett välintegrerat, centraliserat ramverk för domänhantering. Varje domän blir en del av Active Directory Forest, men den kan också ha mer än en domän som är systematiskt organiserad i logiska enheter.

Och utan AD måste administratörer skapa lokala användare på varje dator och återställa lösenord för var och en av dem på sin dator.

Typer av Active Directory-objekt:

Active Directory-objekt kan särskiljas i två typer:

  • Containerobjekt
    Dessa är huvudobjekten som också består av andra objekt inom dem, t.ex. domäner, skogar, träd och organisatoriska enheter.
  • Leaf Objects
    Dessa objekt består inte av andra objekt inom dem, till exempel datorer, skrivare, kringutrustning, användare etc.

Nyckelelement i Active Directory Domain Services:

Active Directory Domain Services består av:

  • Global Catalog
    Innehåller information om katalogobjekt. Med detta kan systemadministratörer och användare enkelt hitta kataloginformationen, oavsett vilken domän den ingår i. Till exempel användarnamn, kontakter och så vidare.
  • Schema
    Är en uppsättning regler som definierar klasser av objekt och deras egenskaper som lagras i katalogen tillsammans med formatet för deras namn och begränsningar för objektens instanser.
  • Sök- och indexmekanism med vars hjälp nätverksanvändare enkelt kan publicera eller hitta objekt och deras attribut i AD.
  • Replikeringstjänsten innefattar distributionen av katalogdata över ett nätverk. Replikeringen utförs av domänkontrollanter inom en domän som var och en har en kopia av katalogdata för sin domän. Alla ändringar som görs i kataloginformationen replikeras automatiskt till domänkontrollanter inom en domän, så att de har samma katalog och schema. AD använder sig av flera domänkontrollanter för feltolerans, balansering av belastningen och andra viktiga skäl. Därför måste varje domänkontrollant inom en domän ha en kopia av sin AD-databas. Det är här replikeringstjänsten kommer in i bilden. Du ska veta att domänkontrollanter från olika domäner inte ska replikera till varandra.
  • Platser: Detta är representationen av Windows nätverkstopologi.
  • Lightweight Directory Access Protocol (LDAP): LDAP är ett protokoll som gör det möjligt för AD att kommunicera med andra LDAP-baserade katalogtjänster i nätverket.

Vilka tjänster ingår i Active Directory Domain Services?

AD DS består av olika tjänster, t.ex.:

  • Domäntjänster:
    Det här är kärntjänster som hanterar datacentralisering, hanterar inloggningsautentisering, sökfunktionalitet och möjliggör sömlös kommunikation mellan användare inom en domän.
  • Lightweight Directory Services:
    Dessa tjänster ger stöd för katalogaktiverade program med hjälp av LDAP-protokollet.
  • Rights Management:
    Denna funktion handlar om informationsrättigheter, t.ex. begränsning av åtkomst till användarnas personuppgifter och kryptering av konfidentiella data.
  • Directory Federation Services:
    DFS erbjuder SSO-funktioner (Single-Sign-On) till användarna för säker autentisering. Den här funktionen är mest användbar när man kommunicerar med flera webbprogram i en enda session.
  • Certifikattjänster:
    Med den här funktionen kan du skapa, dela och hantera säkerhetscertifikat. Certifikaten garanterar säkerhet och integritet genom att kryptera data som skickas över nätverket.

Domänkontrollanters roll i Active Directory Domain Services:

En domänkontrollant (DC) är i grund och botten inget annat än en server i Windows-nätverket som ger användaren åtkomst till domänresurser. Dess huvudsyfte är att auktorisera och autentisera användare i ett nätverk baserat på deras namn och lösenord.

Domänkontrollanter är värd för AD DS samt andra tjänster som:

  • NetLogon:
    Syftet är att autentisera inloggningsuppgifter för användare i domännätverket.
  • KDS:
    Kerberos Key Distribution Center är en tjänst som används för att utfärda, autentisera och utföra kryptering av Kerberosbiljetter. Den autentiserar användare när Kerberos-protokollet används. Tjänsten innehåller TCS (Ticket Granting Server) och en autentiserande server.
  • IsmServ (Intersite Messaging):
    Denna tjänst underlättar utbytet av data mellan datorer i en Windows-nätverksmiljö.
  • W32time-tjänst:
    Windows time eller W32time-tjänsten använder NTP (Network Time Protocol) för att synkronisera datum och tid för alla datorer i en nätverksdomän. Klocksynkroniseringen på datorerna är viktig för att Kerberos ska fungera korrekt.

Installation av Active Directory Domain Services

Vi ska se en snabb handledning om hur du installerar Active Directory Domain Services på Windows Server:

  • Öppnar Server Manager: Tryck på ikonen ”Windows” på tangentbordet och skriv ”Server Manager” i sökrutan. Programmet öppnas.
  • Lägg till roller och funktioner: I Server Manager-fönstret högerklickar du på ”Manage” (hantera) och väljer alternativet ”Add Roles and Features” (lägg till roller och funktioner). När guiden öppnas klickar du på ”Nästa”.
  • Välj installationstyp: Om du klickar på ”Nästa” öppnas fönstret Installationstyp där du måste välja alternativet ”Rollbaserad eller funktionsbaserad installation”. Klicka sedan på ”Next”.
  • Server Selection: Klicka på den server du vill installera AD DS på och klicka sedan på ”Next”.
  • Server Roles: I det här fönstret ser du många alternativ för roller. Kryssa för ”Active Directory Domain Services”.
  • Lägg till funktioner: Direkt därefter öppnas guiden ”Add Roles and Features” (Lägg till roller och funktioner). Klicka på knappen ”Add Features” (Lägg till funktioner) och tryck sedan på ”Next” (Nästa).
  • Select Features (Välj funktioner): Omedelbart öppnas avsnittet ”Select Features” (välj funktioner). Klicka helt enkelt på ”Next”.
  • Installation av AD DS: Nu öppnas huvudfönstret för AD DS-installationen, klicka på ”Next”.
  • Bekräftelsefönster: Bekräftelsefönster: Bekräftelsefönstret visar vad allt kommer att installeras på servern. När du har läst allt klickar du på ”Install”.
  • Promote to Domain Controller: Efter installationen går du till ”Server Manager” och du kommer att se en gul triangel som ikon för meddelande precis bredvid fliken ”Manage”. Klicka på den och välj ”Promote this server to a domain controller”.
  • Add a New Forest: Detta öppnar AD DS-konfigurationsguiden. Klicka på ”Add a new forest” (Lägg till en ny skog), skriv in företagets rotdomännamn och tryck på ”Next” (Nästa).
  • Domain Controller Options (Alternativ för domänkontrollanter): På nästa sida låter du alla standardrutor vara markerade och skriver in ditt DSRM-lösenord. Klicka på ”Next”.
  • DNS Options: På sidan DNS-alternativ kan det hända att du ser ett felmeddelande högst upp. Strunta i det och klicka på ”Next”.
  • NetBIOS-domännamn: Här kan du ändra domännamnet eller lämna standardnamnet som det är. Tryck på ”Next”.
  • Paths (sökvägar): Behåll standardvärdena för sökvägar och klicka på ”Next”.
  • Review Selections (granska val): På den här sidan kontrollerar du alla alternativ som du har valt hittills och klickar på ”Next”.
  • Prerequisites Check (Kontrollera förutsättningarna): Kontrollera alla alternativ som du har valt hittills och klicka på ”Next”: I det här fönstret kommer alla förutsättningar att valideras före installationen av AD DS. Om några fel dyker upp, titta på tidigare steg och åtgärda dem. Klicka på ”Install”.
    När du är klar startar din server om och sedan kan du logga in på domänen med DSRM-lösenordsinmatningen som du ställde in i steg 12.

Avsluta:

Active Directory Domain Services är en av de bästa terminologierna som används för att förbättra Windows-servern och få den att sticka ut i företag.

Den anpassar sig sömlöst till majoriteten av Microsofts lösningar, vilket underlättar för användarna att utföra sin verksamhet. När du installerar AD DS kan du enkelt hantera den via Active Directory Administrative Center. Hoppas att den här guiden var insiktsfull för dig att läsa!