Strona główna >Dla studentów >Konto domenowe >Active Directory

Active Directory




Active Directory (AD) jest technologią firmy Microsoft, dostępną w systemach Windows Server. Pozwala  ona  na zarządzanie tożsamościami,  relacjami w sieci firmowej, przez co umożliwia  kontrolę nad całą siecią i wdrożona w prawidłowy sposób poprawia bezpieczeństwo. Usługa Active Directory ma możliwość zarządzania kontami, konfigurowania ustawień systemowych użytkownika, praw dostępu, konfiguracji uprawnień aplikacji, a także w prosty sposób zarządza nimi.  Technologia składa się z wielu komponentów. Są to: Active Directory Domain Services (AD DS), Active Directory Rights Management Services (AD RMS), Active Directory Federation Services (AD FS), Active Directory Certificate Services (AD CS), Active Directory Lightweight Directory Services (AD LDS).

Active Directory Domain Services jest centralną bazą, która jest bezpieczna, łatwo skalowalna i prosta w zarządzaniu. Dzięki niej można zarządzać użytkownikami, ich prawami dostępu do zasobów, komputerami oraz innymi poleceniami. Baza ta jest repozytorium informacji o użytkownikach, obiektach w sieci. Pozwala stworzyć strukturę w oparciu o las , domenę , lokalizację , drzewa , OU . Kontroler domeny pełniący rolę Globalnego Katalogu może odnajdywać dowolny obiekt w obrębie lasu. OU jest to jednostka organizacyjna (Organization Unit), dzięki której można  grupować obiekty np.: użytkowników, komputery, drukarki. Struktura Active Directory jest przedstawiona na rysunku poniżej.

adstructure.png


Active Directory Rights Management Services jest usługą, możliwiającą kontrolę dokumentów. Zwykły serwer windowsowy kontroluje dostęp do danego dokumentu. AD RMS pozwala na sprawowanie kontroli nad dokumentem po jego otwarciu. Jeśli wyślemy komuś plik, to dzięki AD RMS możemy zastrzec, czy ten plik będzie tylko do odczytu, czy dana osoba będzie mogła go wydrukować lub skopiować zawartość. Usługa umożliwia zastosowanie polityk dla dokumentów niezależnie od tego, czy dany plik będzie otwierany w trybie offline czy online, a także czy to odbędzie się w naszej sieci firmowej, czy poza nią. Dzięki temu możemy chronić swoją własność intelektualną, zawartość dokumentów przed nieuprawnionymi zmianami, a także ustalać kto i w jaki sposób może korzystać z danego dokumentu.


Active Directory Federation Services umożliwia stosowanie tożsamości i praw dostępu na wielu platformach, zarówno w środowiskach opartych o technologie Windows, jak i nie-Windowsowych, a także w celach dostarczania  dostępu zaufanym partnerom spoza naszej sieci. W złożonych środowiskach każda organizacja kontroluje sama tożsamości i prawa dostępu wewnątrz własnej sieci, ale może również w bezpieczny sposób zaakceptować tożsamości pochodzące z zaufanych firm. Użytkownicy są uwierzytelniani w jednej sieci, jednak dostają uprawnienia do zasobów w innych sieciach, taki proces jest nazywany SSO. Jest to dobry przykład stosowany przez firmę Microsoft LiveID  dawniej Microsoft Passport do dostępu do zasobów w różnych portalach. AD FS rozszerza wewnętrzną strukturę AD DS na zewnątrz poprzez standardowe protokoły TCP/IP  na portach np., 80 (HTTP) i 443 (HTTPS). Serwer z AD FS powinien znajdować się w sieci granicznej. AD FS może się opierać o AD CS w celu stworzenia zaufanych serwerów i o AD RMS, aby rozszerzyć zabezpieczenia dla własności intelektualnej.


Active Directory Certificate Services może służyć jako centrum certyfikacyjne, dzięki któremu firmy będą mogły wystawiać cyfrowo podpisane certyfikaty, będące częścią infrastruktury PKI, która łączy osoby, urządzenia lub usługi z ich prywatnymi kluczami. Certyfikaty mogą być wykorzystywane do uwierzytelniania użytkowników i urządzeń, autoryzacji w oparciu o karty inteligentne, autoryzacji stron WWW, a także aplikacji np.: bezpieczne sieci bezprzewodowe, VPN, EFS, podpis elektroniczny i inne. AD CS wewnątrz sieci może być zintegrowany z AD DS i automatycznie wystawiać certyfikaty dla użytkowników i urządzeń.


Active Directory Lightweight Directory Services jest substytutem AD DS opartym o ten sam kod źródłowy, znany również jako Active Directory Application Services (ADAM). Rola ta umożliwia dostarczenie usług katalogowych dla aplikacji, które tego potrzebują. AD LDS przetrzymuje i replikuje  dane związane tylko z aplikacjami. Jest ono wykorzystywane do aplikacji, które potrzebują usług katalogowych, ale nie muszą tych danych rozpowszechniać do kontrolerów domeny. AD LDS wspiera wiele niezależnych baz danych na jednym systemie operacyjnym , dzięki czemu umożliwia dla każdej aplikacji stosowanie niezależnego schematu baz danych, portów SSL, oddzielnych logów. Usługa nie opiera się o AD DS.,  więc może być wdrożona na niezależnych serwerach  oraz w środowisku grup roboczych. Jednakże w środowiskach, w których zostało wdrożone AD DS, AD LDS może wykorzystywać AD DS w celu potwierdzania tożsamości użytkowników, grup i komputerów. AD LDS jest przydatny w celu przeprowadzania uwierzytelniania w sieciach wystawionych na większe ryzyko ingerencji z zewnątrz np., w celu autoryzacji użytkowników na stronach WWW. Takie rozwiązanie jest bezpieczniejsze niż wykorzystywanie do tego celu AD DS.