Активный каталог

Служба каталогов, созданная корпорацией Microsoft для доменных сетей Windows

Active Directory ( AD ) — это служба каталогов, разработанная корпорацией Microsoft для сетей доменов Windows . Операционные системы Windows Server включают ее в качестве набора процессов и служб . ^{[1] [2]} Первоначально Active Directory использовалась только для централизованного управления доменами. Однако в конечном итоге она стала общим названием для различных служб, связанных с идентификацией на основе каталогов. ^[3]

Контроллер домена — это сервер, на котором запущена роль доменных служб Active Directory ( AD DS ). Он аутентифицирует и авторизует всех пользователей и компьютеры в сети доменного типа Windows , назначая и применяя политики безопасности для всех компьютеров и устанавливая или обновляя программное обеспечение. Например, когда пользователь входит в компьютер, который является частью домена Windows, Active Directory проверяет предоставленные имя пользователя и пароль и определяет, является ли пользователь системным администратором или пользователем без прав администратора. ^[4] Кроме того, он позволяет управлять и хранить информацию, предоставляет механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных служб: служб сертификации, служб федерации Active Directory , служб облегченного каталога и служб управления правами . ^[5]

Active Directory использует протокол LDAP (Lightweight Directory Access Protocol ) версий 2 и 3, версию Kerberos от Microsoft ^[6] и DNS ^[7] .

Роберт Р. Кинг определил это следующим образом: ^[8]

«Домен представляет собой базу данных. Эта база данных содержит записи о сетевых службах — таких как компьютеры, пользователи, группы и другие вещи, которые используют, поддерживают или существуют в сети. База данных домена — это, по сути, Active Directory».

История

Как и многие усилия в области информационных технологий, Active Directory возникла из демократизации дизайна с использованием запросов на комментарии (RFC). Internet Engineering Task Force (IETF) курирует процесс RFC и приняла многочисленные RFC, инициированные широким кругом участников. Например, LDAP лежит в основе Active Directory. Кроме того, каталоги X.500 и Organizational Unit предшествовали концепции Active Directory, которая использует эти методы. Концепция LDAP начала появляться еще до основания Microsoft в апреле 1975 года, а RFC появились еще в 1971 году. RFC, вносящие вклад в LDAP, включают RFC 1823 (об API LDAP, август 1995 года), ^[9] RFC 2307, RFC 3062 и RFC 4533. ^{[10] [11] [12]}

Microsoft представила Active Directory в 1999 году, впервые выпустила его с выпуском Windows 2000 Server и пересмотрела его для расширения функциональности и улучшения администрирования в Windows Server 2003. Поддержка Active Directory также была добавлена ​​в Windows 95, Windows 98 и Windows NT 4.0 с помощью исправления, с некоторыми неподдерживаемыми функциями. ^{[13] [14]} Дополнительные улучшения появились в последующих версиях Windows Server . В Windows Server 2008 Microsoft добавила дополнительные службы в Active Directory, такие как службы федерации Active Directory . ^[15] Часть каталога, отвечающая за управление доменами, которая была основной частью операционной системы, ^[15] была переименована в службы доменов Active Directory (ADDS) и стала ролью сервера, как и другие. ^[3] «Active Directory» стала общим названием для более широкого спектра служб на основе каталогов. ^[16] По словам Байрона Хайнса, все, что связано с идентификацией, было передано под знамя Active Directory. ^[3]

Службы активного каталога

Службы Active Directory состоят из нескольких служб каталогов. Наиболее известными являются службы доменов Active Directory, обычно сокращенно называемые AD DS или просто AD.

Доменные услуги

Службы доменов Active Directory (AD DS) являются основой каждой доменной сети Windows . Они хранят информацию о членах домена, включая устройства и пользователей, проверяют их учетные данные и определяют их права доступа . Сервер, на котором запущена эта служба, называется контроллером домена . С контроллером домена связываются, когда пользователь входит в устройство, получает доступ к другому устройству по сети или запускает бизнес- приложение в стиле Metro, загруженное на машину.

Другие службы Active Directory (за исключением LDS, как описано ниже) и большинство серверных технологий Microsoft полагаются на доменные службы или используют их; примерами служат групповая политика , шифрованная файловая система , BitLocker , службы доменных имен , службы удаленных рабочих столов , Exchange Server и SharePoint Server .

Самостоятельно управляемая служба Active Directory DS должна отличаться от управляемой службы Azure AD DS , облачного продукта. ^[17]

Легкие службы каталогов

Active Directory Lightweight Directory Services (AD LDS), ранее называвшаяся Active Directory Application Mode (ADAM), ^[18] реализует протокол LDAP для AD DS. ^[19] Она работает как служба на Windows Server и предлагает ту же функциональность, что и AD DS, включая аналогичный API . Однако AD LDS не требует создания доменов или контроллеров домена. Она предоставляет хранилище данных для хранения данных каталога и службу каталогов с интерфейсом службы каталогов LDAP. В отличие от AD DS, несколько экземпляров AD LDS могут работать на одном сервере.

Сертификационные услуги

Службы сертификатов Active Directory (AD CS) устанавливают локальную инфраструктуру открытых ключей . Она может создавать, проверять, отзывать и выполнять другие подобные действия, сертификаты открытых ключей для внутреннего использования организации. Эти сертификаты могут использоваться для шифрования файлов (при использовании с шифрованной файловой системой ), электронных писем (по стандарту S/MIME ) и сетевого трафика (при использовании виртуальными частными сетями , протоколом Transport Layer Security или протоколом IPSec ).

AD CS существовала еще до Windows Server 2008, но ее название было просто Certificate Services. ^[20]

Для AD CS требуется инфраструктура AD DS. ^[21]

Федерация услуг

Службы федерации Active Directory (AD FS) — это служба единого входа . При наличии инфраструктуры AD FS пользователи могут использовать несколько веб-служб (например, интернет-форум , блог , онлайн-магазин , веб-почта ) или сетевых ресурсов, используя только один набор учетных данных, хранящихся в центральном месте, в отличие от необходимости предоставлять выделенный набор учетных данных для каждой службы. AD FS использует множество популярных открытых стандартов для передачи учетных данных токенов, таких как SAML , OAuth или OpenID Connect . ^[22] AD FS поддерживает шифрование и подписание утверждений SAML . ^[23] Цель AD FS — расширение AD DS: последняя позволяет пользователям проходить аутентификацию и использовать устройства, которые являются частью одной сети, используя один набор учетных данных. Первая позволяет им использовать тот же набор учетных данных в другой сети.

Как следует из названия, AD FS работает на основе концепции федеративной идентификации .

Для AD FS требуется инфраструктура AD DS, хотя ее партнер по федерации может и не требовать ее. ^[24]

Услуги по управлению правами

Службы управления правами Active Directory ( AD RMS ), ранее известные как службы управления правами или RMS до Windows Server 2008 , представляют собой серверное программное обеспечение, которое позволяет управлять правами на информацию , включенное в Windows Server . Оно использует шифрование и выборочный отказ для ограничения доступа к различным документам, таким как корпоративные электронные письма , документы Microsoft Word и веб-страницы . Оно также ограничивает операции, которые могут выполнять с ними авторизованные пользователи, такие как просмотр, редактирование, копирование, сохранение или печать. ИТ-администраторы могут создавать предустановленные шаблоны для конечных пользователей для удобства, но конечные пользователи по-прежнему могут определять, кто может получить доступ к контенту и какие действия они могут выполнять. ^[25]

Логическая структура

Active Directory — это служба, включающая базу данных и исполняемый код . Она отвечает за управление запросами и обслуживание базы данных. Directory System Agent — это исполняемая часть, набор служб и процессов Windows , работающих в Windows 2000 и более поздних версиях. ^[1] Доступ к объектам в базах данных Active Directory возможен через различные интерфейсы, такие как LDAP, ADSI, API обмена сообщениями и службы диспетчера учетных записей безопасности . ^[2]

Использованные объекты

Упрощенный пример внутренней сети издательской компании. В компании есть четыре группы с различными разрешениями для трех общих папок в сети.

Структуры Active Directory состоят из информации об объектах, классифицированных по двум категориям: ресурсы (например, принтеры) и субъекты безопасности (включая учетные записи пользователей или компьютеров и группы). Каждому субъекту безопасности назначается уникальный идентификатор безопасности (SID). Объект представляет собой отдельную сущность, например пользователя, компьютер, принтер или группу, вместе со своими атрибутами. Некоторые объекты могут даже содержать другие объекты внутри себя. Каждый объект имеет уникальное имя, а его определение представляет собой набор характеристик и информации по схеме , которая определяет хранилище в Active Directory.

Администраторы могут расширять или изменять схему с помощью объекта схемы , когда это необходимо. Однако, поскольку каждый объект схемы является неотъемлемой частью определения объектов Active Directory, их деактивация или изменение может кардинально изменить или нарушить развертывание. Изменение схемы автоматически влияет на всю систему, и новые объекты не могут быть удалены, а только деактивированы. Изменение схемы обычно требует планирования. ^[26]

Леса, деревья и домены

В сети Active Directory структура, которая содержит объекты, имеет разные уровни: лес, дерево и домен. Домены в развертывании содержат объекты, хранящиеся в одной реплицируемой базе данных, а структура имен DNS идентифицирует их домены, пространство имен . Домен — это логическая группа сетевых объектов, таких как компьютеры, пользователи и устройства, которые совместно используют одну и ту же базу данных Active Directory.

С другой стороны, дерево — это набор доменов и деревьев доменов в непрерывном пространстве имен, связанных в транзитивной иерархии доверия. Лес находится на вершине структуры, это набор деревьев со стандартным глобальным каталогом, схемой каталогов, логической структурой и конфигурацией каталогов. Лес — это защищенная граница, которая ограничивает доступ пользователей, компьютеров, групп и других объектов.

Организационные единицы

Объекты, хранящиеся в домене, могут быть сгруппированы в организационные единицы (OU). ^[27] OU могут обеспечивать иерархию домена, упрощать его администрирование и могут напоминать структуру организации в управленческом или географическом плане. OU могут содержать другие OU — домены являются контейнерами в этом смысле. Microsoft рекомендует использовать OU вместо доменов для структуры и упрощения реализации политик и администрирования. OU — это рекомендуемый уровень, на котором следует применять групповые политики , которые являются объектами Active Directory, формально называемыми объектами групповой политики (GPO), хотя политики также могут применяться к доменам или сайтам (см. ниже). OU — это уровень, на котором обычно делегируются административные полномочия, но делегирование может выполняться и для отдельных объектов или атрибутов.

Организационные подразделения не имеют отдельного пространства имен. Как следствие, для совместимости с устаревшими реализациями NetBios учетные записи пользователей с идентичным SamAccountName не допускаются в одном домене, даже если объекты учетных записей находятся в отдельных OU. Это связано с тем, что SamAccountName, атрибут объекта пользователя, должен быть уникальным в пределах домена. ^[28] Однако два пользователя в разных OU могут иметь одно и то же общее имя (CN), имя, под которым они хранятся в самом каталоге, например, "fred.staff-ou.domain" и "fred.student-ou.domain", где "staff-ou" и "student-ou" являются OU.

В целом, причина отсутствия разрешения на дублирование имен посредством иерархического размещения каталогов заключается в том, что Microsoft в первую очередь полагается на принципы NetBIOS , который является методом управления сетевыми объектами с плоским пространством имен, который для программного обеспечения Microsoft восходит к Windows NT 3.1 и MS-DOS LAN Manager . Разрешение дублирования имен объектов в каталоге или полное исключение использования имен NetBIOS нарушит обратную совместимость с устаревшим программным обеспечением и оборудованием. Однако запрет дублирования имен объектов таким образом является нарушением LDAP RFC, на которых предположительно основана Active Directory.

По мере увеличения числа пользователей в домене, такие соглашения, как «первая буква, вторая буква, фамилия» ( западный порядок ) или наоборот (восточный порядок) не работают для распространенных фамилий, таких как Ли (李), Смит или Гарсия . Обходные пути включают добавление цифры в конец имени пользователя. Альтернативы включают создание отдельной системы идентификаторов уникальных номеров удостоверений сотрудников/студентов для использования в качестве имен учетных записей вместо фактических имен пользователей и разрешение пользователям назначать предпочтительную последовательность слов в рамках приемлемой политики использования .

Поскольку в пределах одного домена не может существовать повторяющихся имен пользователей, генерация имен учетных записей представляет собой значительную проблему для крупных организаций, которые нельзя легко разделить на отдельные домены, например, для учащихся в государственных школах или университетах, которые должны иметь возможность использовать любой компьютер в сети.

Теневые группы

В Active Directory организационные единицы (OU) не могут быть назначены владельцами или доверенными лицами. Только группы могут быть выбраны, и членам OU не могут быть коллективно назначены права на объекты каталога.

В Active Directory Microsoft OU не предоставляют разрешения на доступ, а объекты, размещенные в OU, не получают автоматически привилегии доступа на основе их содержащей OU. Это представляет собой ограничение дизайна, характерное для Active Directory, и другие конкурирующие каталоги, такие как Novell NDS , могут устанавливать привилегии доступа посредством размещения объектов в OU.

Active Directory требует отдельного шага для администратора, чтобы назначить объект в OU в качестве члена группы также в пределах этого OU. Использование только местоположения OU для определения разрешений доступа ненадежно, поскольку сущность могла еще не быть назначена объекту группы для этого OU.

Обычным обходным путем для администратора Active Directory является написание специального скрипта PowerShell или Visual Basic для автоматического создания и поддержки группы пользователей для каждого OU в их каталоге. Скрипты периодически запускаются для обновления группы в соответствии с членством в учетной записи OU. Однако они не могут мгновенно обновлять группы безопасности при каждом изменении каталога, как это происходит в конкурирующих каталогах, поскольку безопасность напрямую реализована в каталоге. Такие группы известны как теневые группы . После создания эти теневые группы можно выбирать вместо OU в административных инструментах. Справочная документация Microsoft Server 2008 упоминает теневые группы, но не предоставляет инструкции по их созданию. Кроме того, нет доступных методов сервера или оснасток консоли для управления этими группами. ^[29]

Организация должна определить структуру своей информационной инфраструктуры, разделив ее на один или несколько доменов и OU верхнего уровня. Это решение имеет решающее значение и может основываться на различных моделях, таких как бизнес-единицы, географические местоположения, ИТ-услуги, типы объектов или комбинации этих моделей. Непосредственная цель организации OU — упростить административное делегирование и, во-вторых, применить групповые политики. В то время как OU служат административной границей, сам лес является единственной границей безопасности. Все остальные домены должны доверять любому администратору в лесу для поддержания безопасности. ^[30]

Разделы

База данных Active Directory организована в разделы , каждый из которых содержит определенные типы объектов и следует определенному шаблону репликации. Microsoft часто называет эти разделы «контекстами именования». ^[31] Раздел «Схема» определяет классы объектов и атрибуты в лесу. Раздел «Конфигурация» содержит информацию о физической структуре и конфигурации леса (например, топология сайта). Оба реплицируют все домены в лесу. Раздел «Домен» содержит все объекты, созданные в этом домене, и реплицируется только внутри него.

Физическая структура

Сайты представляют собой физические (а не логические) группировки, определяемые одной или несколькими подсетями IP . ^[32] AD также определяет соединения, различая низкоскоростные (например, WAN , VPN ) и высокоскоростные (например, LAN ) соединения. Определения сайтов не зависят от домена и структуры OU и являются общими для всего леса. Сайты играют важную роль в управлении сетевым трафиком, создаваемым репликацией, и направлении клиентов на ближайшие контроллеры домена (DC). Microsoft Exchange Server 2007 использует топологию сайта для маршрутизации почты. Администраторы также могут определять политики на уровне сайта.

Информация Active Directory физически хранится на одном или нескольких контроллерах домена , заменяя модель NT PDC / BDC . Каждый DC имеет копию Active Directory. Серверы-участники, присоединенные к Active Directory, которые не являются контроллерами домена, называются серверами-участниками. ^[33] В разделе домена группа объектов действует как копии контроллеров домена, настроенных как глобальные каталоги. Эти серверы глобальных каталогов предлагают полный список всех объектов в лесу. ^{[34] [35]}

Серверы глобального каталога реплицируют все объекты из всех доменов на себя, предоставляя международный список сущностей в лесу. Однако, чтобы минимизировать трафик репликации и сохранить небольшую базу данных GC, реплицируются только выбранные атрибуты каждого объекта, называемые частичным набором атрибутов (PAS). PAS можно изменить, изменив схему и функции маркировки для репликации в GC. ^[36] Более ранние версии Windows использовали NetBIOS для связи. Active Directory полностью интегрирована с DNS и требует TCP/IP —DNS. Для полноценной работы DNS-сервер должен поддерживать записи ресурсов SRV , также известные как записи служб.

Репликация

Active Directory использует репликацию с несколькими мастерами для синхронизации изменений, ^[37] что означает, что реплики извлекают изменения с сервера, на котором произошло изменение, а не отправляются на них. ^[38] Knowledge Consistency Checker (KCC) использует определенные сайты для управления трафиком и создания топологии репликации связей сайта. Внутрисайтовая репликация происходит часто и автоматически из-за уведомлений об изменениях, которые побуждают одноранговые узлы начать цикл репликации pull. Интервалы репликации между разными сайтами обычно менее последовательны и обычно не используют уведомления об изменениях. Однако при необходимости можно настроить их так, чтобы они были такими же, как репликация между местоположениями в одной сети.

Каждая ссылка DS3 , T1 и ISDN может иметь стоимость, и KCC соответствующим образом изменяет топологию ссылок сайта. Репликация может происходить транзитивно через несколько ссылок сайта на мостах ссылок сайта с тем же протоколом , если цена низкая. Однако KCC автоматически устанавливает стоимость прямой ссылки сайта-сайта ниже, чем транзитивные соединения. Сервер-плацдарм в каждой зоне может отправлять обновления другим контроллерам домена в точном месте для репликации изменений между сайтами. Чтобы настроить репликацию для зон Active Directory, активируйте DNS в домене на основе сайта.

Для репликации Active Directory используются удаленные вызовы процедур (RPC) по IP (RPC/IP). SMTP используется для репликации между сайтами, но только для изменений в схеме, конфигурации или частичном наборе атрибутов (глобальном каталоге) GC. Он не подходит для воспроизведения раздела домена по умолчанию. ^[39]

Выполнение

Обычно сеть, использующая Active Directory, имеет более одного лицензированного сервера Windows. Резервное копирование и восстановление Active Directory возможны для сети с одним контроллером домена. ^[40] Однако Microsoft рекомендует использовать более одного контроллера домена для обеспечения автоматической защиты от сбоев каталога. ^[41] Контроллеры домена в идеале предназначены только для операций с каталогами и не должны запускать никакое другое программное обеспечение или роль. ^[42]

Поскольку некоторые продукты Microsoft, такие как SQL Server ^{[43] [44]} и Exchange ^[45] , могут мешать работе контроллера домена, рекомендуется изолировать эти продукты на дополнительных серверах Windows. Их объединение может усложнить настройку и устранение неполадок контроллера домена или другого установленного программного обеспечения. ^[46] Если вы планируете внедрить Active Directory, компания должна приобрести несколько лицензий на сервер Windows, чтобы иметь как минимум два отдельных контроллера домена. Администраторы должны рассмотреть дополнительные контроллеры домена для производительности или избыточности и отдельные серверы для таких задач, как хранение файлов, Exchange и SQL Server ^[47], поскольку это гарантирует, что все роли сервера будут адекватно поддерживаться.

Одним из способов снижения затрат на физическое оборудование является использование виртуализации . Однако для надлежащей защиты от сбоев Microsoft рекомендует не запускать несколько виртуализированных контроллеров домена на одном и том же физическом оборудовании. ^[48]

База данных

База данных Active-Directory , хранилище каталогов , в Windows 2000 Server использует Extensible Storage Engine (ESE98) на основе JET Blue . База данных каждого контроллера домена ограничена 16 терабайтами и 2 миллиардами объектов (но только 1 миллиардом участников безопасности). Microsoft создала базы данных NTDS с более чем 2 миллиардами объектов. ^[49] Менеджер учетных записей безопасности NT4 может поддерживать до 40 000 объектов. Он имеет две основные таблицы: таблицу данных и таблицу ссылок . В Windows Server 2003 добавлена ​​третья основная таблица для создания одного экземпляра дескриптора безопасности . ^[49]

Программы могут получать доступ к функциям Active Directory ^[50] через COM-интерфейсы, предоставляемые интерфейсами служб Active Directory . ^[51]

Доверяющий

Чтобы разрешить пользователям в одном домене получать доступ к ресурсам в другом, Active Directory использует доверительные отношения. ^[52]

Доверия внутри леса автоматически создаются при создании доменов. Лес устанавливает границы доверия по умолчанию, и неявное, транзитивное доверие является автоматическим для всех доменов в лесу.

Терминология

Одностороннее доверие

Один домен разрешает доступ пользователям другого домена, но другой домен не разрешает доступ пользователям первого домена.

Двустороннее доверие

Два домена разрешают доступ пользователям обоих доменов.

Доверенный домен

Домен, которому доверяют; пользователи которого имеют доступ к доверяющему домену.

Транзитивное доверие

Доверие, которое может распространяться за пределы двух доменов на другие доверенные домены в лесу.

Нетранзитивное доверие

Одностороннее доверие, не распространяющееся за пределы двух доменов.

Явное доверие

Доверие, которое создает администратор. Оно не транзитивно и действует только в одну сторону.

Перекрестное доверие

Явное доверие между доменами в разных деревьях или в одном дереве, когда между двумя доменами не существует отношений потомок/предок (ребенок/родитель).

Ярлык

Объединяет два домена в разных деревьях, транзитивно, одно- или двухсторонне.

Лесной фонд

Применяется ко всему лесу. Транзитивный, одно- или двухсторонний.

Область

Может быть транзитивным или нетранзитивным (непереходным), одно- или двусторонне-переходным.

Внешний

Подключаться к другим лесам или не-Active Directory доменам. Нетранзитивный, одно- или двухсторонний. ^[53]

доверие PAM

Одностороннее доверие, используемое Microsoft Identity Manager из производственного леса (возможно, низкого уровня) в «бастионный» лес ( уровень функциональности Windows Server 2016 ), который выдает ограниченное по времени членство в группах. ^{[54] [55]}

Инструменты управления

Инструменты управления Microsoft Active Directory включают в себя:

• Центр администрирования Active Directory (введен в Windows Server 2012 и более поздних версиях),
• Пользователи и компьютеры Active Directory,
• Домены и доверительные отношения Active Directory,
• Сайты и службы Active Directory,
• Редактирование ADSI,
• Локальные пользователи и группы,
• Оснастки схемы Active Directory для консоли управления Microsoft (MMC),
• SysInternals ADExplorer.

Эти инструменты управления могут не обеспечивать достаточной функциональности для эффективного рабочего процесса в больших средах. Некоторые сторонние инструменты расширяют возможности администрирования и управления. Они предоставляют основные функции для более удобного процесса администрирования, такие как автоматизация, отчеты, интеграция с другими службами и т. д.

Интеграция с Unix

Различные уровни взаимодействия с Active Directory могут быть достигнуты в большинстве Unix-подобных операционных систем (включая Unix , Linux , Mac OS X или программы на базе Java и Unix) с помощью соответствующих стандартам клиентов LDAP, но эти системы обычно не интерпретируют многие атрибуты, связанные с компонентами Windows, такие как групповая политика и поддержка односторонних доверительных отношений.

Третьи стороны предлагают интеграцию Active Directory для Unix-подобных платформ, включая:

• PowerBroker Identity Services , ранее Likewise ( BeyondTrust , ранее Likewise Software) – позволяет не-Windows-клиентам присоединяться к Active Directory ^[56]
• ADmitMac (Thursby Software Systems) ^[56]
• Samba ( свободное программное обеспечение под лицензией GPLv3 ) – Может выступать в качестве контроллера домена ^{[57] [58]}

Дополнения к схеме, поставляемые с Windows Server 2003 R2, включают атрибуты, которые достаточно точно соответствуют RFC 2307, чтобы быть общеприменимыми. Эталонная реализация RFC 2307, nss_ldap и pam_ldap, предоставленная PADL.com, поддерживает эти атрибуты напрямую. Схема по умолчанию для членства в группе соответствует RFC 2307bis (предлагается). ^[59] Windows Server 2003 R2 включает оснастку Microsoft Management Console , которая создает и редактирует атрибуты.

Альтернативным вариантом является использование другой службы каталогов, поскольку клиенты, не являющиеся Windows, проходят аутентификацию в ней, в то время как клиенты Windows проходят аутентификацию в Active Directory. К клиентам, не являющимся Windows, относятся 389 Directory Server (ранее Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory и Sun Microsystems Sun Java System Directory Server . Последние два могут выполнять двустороннюю синхронизацию с Active Directory и, таким образом, обеспечивать «отклоненную» интеграцию.

Другой вариант — использовать OpenLDAP с его полупрозрачным оверлеем, который может расширять записи на любом удаленном сервере LDAP дополнительными атрибутами, хранящимися в локальной базе данных. Клиенты, указывающие на локальную базу данных, видят записи, содержащие как удаленные, так и локальные атрибуты, в то время как удаленная база данных остается полностью нетронутой. ^{[ необходима цитата ]}

Администрирование (запросы, изменение и мониторинг) Active Directory может осуществляться с помощью многих языков сценариев, включая PowerShell , VBScript , JScript/JavaScript , Perl , Python и Ruby . ^{[60] [61] [62] [63]} Бесплатные и платные инструменты администрирования Active Directory могут помочь упростить и, возможно, автоматизировать задачи управления Active Directory.

С октября 2017 года Amazon AWS предлагает интеграцию с Microsoft Active Directory. ^[64]

Смотрите также

• AGDLP (реализация контроля доступа на основе ролей с использованием вложенных групп)
• Открытый каталог Apple
• Гибкая работа с одним главным устройством
• FreeIPA
• Список программного обеспечения LDAP
• Демон служб безопасности системы (SSSD)
• Корпоративный сервер Univention

Ссылки

1. "Агент системы каталогов". Библиотека MSDN . Microsoft . Получено 23 апреля 2014 г. .
2. Соломон, Дэвид А.; Руссинович, Марк (2005). "Глава 13". Внутреннее устройство Microsoft Windows: Microsoft Windows Server 2003, Windows XP и Windows 2000 (4-е изд.). Редмонд, Вашингтон: Microsoft Press . стр. 840. ISBN 0-7356-1917-4.
3. Hynes, Byron (ноябрь 2006 г.). «Будущее Windows: службы каталогов в Windows Server «Longhorn»». Журнал TechNet . Microsoft . Архивировано из оригинала 30 апреля 2020 г. . Получено 30 апреля 2020 г. .
4. "Active Directory в сети Windows Server 2003". Коллекция Active Directory . Microsoft . 13 марта 2003 г. Архивировано из оригинала 30 апреля 2020 г. Получено 25 декабря 2010 г.
5. Rackspace Support (27 апреля 2016 г.). "Установка служб домена Active Directory на Windows Server 2008 R2 Enterprise 64-bit". Rackspace . Rackspace US, Inc. Архивировано из оригинала 30 апреля 2020 г. Получено 22 сентября 2016 г.
6. "Microsoft Kerberos - Win32 apps". docs.microsoft.com . 7 января 2021 г.
7. «Система доменных имен (DNS)». docs.microsoft.com . 10 января 2022 г.
8. Кинг, Роберт (2003). Освоение Active Directory для Windows Server 2003 (3-е изд.). Аламеда, Калифорния: Sybex. стр. 159. ISBN 978-0-7821-5201-2. OCLC  62876800.
9. Howes, T.; Smith, M. (август 1995 г.). "Интерфейс прикладной программы LDAP". Internet Engineering Task Force (IETF) . Архивировано из оригинала 30 апреля 2020 г. . Получено 26 ноября 2013 г.
10. Howard, L. (март 1998 г.). «Подход к использованию LDAP в качестве сетевой информационной службы». Internet Engineering Task Force (IETF) . Архивировано из оригинала 30 апреля 2020 г. Получено 26 ноября 2013 г.
11. Zeilenga, K. (февраль 2001 г.). "LDAP Password Modify Extended Operation". Internet Engineering Task Force (IETF) . Архивировано из оригинала 30 апреля 2020 г. Получено 26 ноября 2013 г.
12. Zeilenga, K.; Choi, JH (июнь 2006 г.). «Операция синхронизации контента Lightweight Directory Access Protocol (LDAP)». Internet Engineering Task Force (IETF) . Архивировано из оригинала 30 апреля 2020 г. . Получено 26 ноября 2013 г.
13. Дэниел Петри (8 января 2009 г.). «Клиент Active Directory (dsclient) для Win98/NT».
14. «Dsclient.exe подключает ПК с Windows 9x/NT к Active Directory». 5 июня 2003 г.
15. Thomas, Guy (29 ноября 2000 г.). "Windows Server 2008 - Новые возможности". ComputerPerformance.co.uk . Computer Performance Ltd. Архивировано из оригинала 2 сентября 2019 г. . Получено 30 апреля 2020 г. .
16. «Что нового в Active Directory в Windows Server». Windows Server 2012 R2 и Windows Server 2012 Tech Center . Microsoft . 31 августа 2016 г.
17. «Сравнение служб на основе Active Directory в Azure». docs.microsoft.com . 3 апреля 2023 г.
18. "AD LDS". Microsoft . Получено 28 апреля 2009 г. .
19. "AD LDS против AD DS". Microsoft. 2 июля 2012 г. Получено 25 февраля 2013 г.
20. Закер, Крейг (2003). "11: Создание и управление цифровыми сертификатами" . В Harding, Kathy; Jean, Trenary; Linda, Zacker (ред.). Планирование и обслуживание сетевой инфраструктуры Microsoft Windows server 2003. Redmond, WA: Microsoft Press. стр. 11–16. ISBN 0-7356-1893-3.
21. "Обзор служб сертификатов Active Directory". Microsoft TechNet . Microsoft . Получено 24 ноября 2015 г. .
22. "Обзор аутентификации в порталах Power Apps". Microsoft Docs . Microsoft . Получено 30 января 2022 г. .
23. «Как заменить SSL, сервисные коммуникации, сертификаты подписи токенов и расшифровки токенов». TechNet . Microsoft . Получено 30 января 2022 г. .
24. "Шаг 1: Предварительные задачи установки". TechNet . Microsoft . Получено 21 октября 2021 г. .
25. "Руководство по тестовой лаборатории: развертывание кластера AD RMS". Microsoft Docs . Microsoft . 31 августа 2016 г. . Получено 30 января 2022 г. .
26. Windows Server 2003: Инфраструктура Active Directory . Microsoft Press. 2003. С. 1–8–1–9.
27. "Организационные единицы". Distributed Systems Resource Kit ( TechNet ) . Microsoft. 2011. Организационная единица в Active Directory аналогична каталогу в файловой системе.
28. "SamAccountName всегда уникален в домене Windows... или нет?". Joeware. 4 января 2012 г. Получено 18 сентября 2013 г. Примеры того, как можно создать несколько объектов AD с одним и тем же SamAccountName
29. Справочник Microsoft Server 2008, обсуждение теневых групп, используемых для детальных политик паролей: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
30. "Specifying Security and Administrative Boundaries". Корпорация Microsoft. 23 января 2005 г. Однако администраторы служб имеют возможности, которые пересекают границы доменов. По этой причине конечной границей безопасности является лес, а не домен.
31. Андреас Лютер (9 декабря 2009 г.). «Трафик репликации Active Directory». Корпорация Microsoft . Получено 26 мая 2010 г. Active Directory состоит из одного или нескольких контекстов именования или разделов.
32. "Обзор сайтов". Корпорация Microsoft. 21 января 2005 г. Сайт — это набор хорошо связанных подсетей.
33. «Планирование контроллеров домена и рядовых серверов». Корпорация Microsoft. 21 января 2005 г. [...] рядовые серверы, [...] принадлежат домену, но не содержат копию данных Active Directory.
34. "Что такое глобальный каталог?". Корпорация Microsoft. 10 декабря 2009 г. [...] контроллер домена может находить только объекты в своем домене. [...] Глобальный каталог предоставляет возможность находить объекты из любого домена [...]
35. «Глобальный каталог». Корпорация Microsoft.
36. «Атрибуты, включенные в глобальный каталог». Корпорация Microsoft. 26 августа 2010 г. Атрибут isMemberOfPartialAttributeSet объекта attributeSchema устанавливается в значение TRUE, если атрибут реплицируется в глобальный каталог. [...] Принимая решение о том, следует ли помещать атрибут в глобальный каталог, помните, что вы жертвуете улучшенной репликацией и увеличенным дисковым хранилищем на серверах глобального каталога ради потенциально более высокой производительности запросов.
37. "Directory data store". Microsoft Corporation. 21 января 2005 г. Active Directory использует четыре различных типа разделов каталога для хранения [...] данных. Разделы каталога содержат данные домена, конфигурации, схемы и приложения.
38. «Что такое модель репликации Active Directory?». Корпорация Microsoft. 28 марта 2003 г. Контроллеры домена запрашивают (извлекают) изменения, а не отправляют (отправляют) изменения, которые могут не понадобиться.
39. «Что такое топология репликации Active Directory?». Корпорация Microsoft. 28 марта 2003 г. SMTP может использоваться для транспортировки репликации вне домена [...]
40. "Резервное копирование и восстановление Active Directory". TechNet . Microsoft . 9 декабря 2009 г. Получено 5 февраля 2014 г.
41. "AD DS: Все домены должны иметь по крайней мере два функционирующих контроллера домена для избыточности". TechNet . Microsoft . Получено 5 февраля 2014 г. .
42. Posey, Brien (23 августа 2010 г.). "10 советов по эффективному проектированию Active Directory". TechRepublic . CBS Interactive . Получено 5 февраля 2014 г. . По возможности контроллеры домена должны работать на выделенных серверах (физических или виртуальных).
43. "Вы можете столкнуться с проблемами при установке SQL Server на контроллере домена (версия 3.0)". Поддержка . Microsoft . 7 января 2013 г. Получено 5 февраля 2014 г.
44. Дегремонт, Мишель (30 июня 2011 г.). «Могу ли я установить SQL Server на контроллере домена?». Блог Microsoft SQL Server . Получено 5 февраля 2014 г. Из соображений безопасности и производительности мы рекомендуем не устанавливать автономный SQL Server на контроллере домена.
45. «Установка Exchange на контроллере домена не рекомендуется». TechNet . Microsoft . 22 марта 2013 г. Получено 5 февраля 2014 г.
46. "Security Considerations for a SQL Server Installation". TechNet . Microsoft . Получено 5 февраля 2014 г. После установки SQL Server на компьютер вы не сможете сделать компьютер контроллером домена членом домена. Перед тем как сделать хост-компьютер членом домена, необходимо удалить SQL Server.
47. "Exchange Server Analyzer". TechNet . Microsoft . Получено 5 февраля 2014 г. Запуск SQL Server на том же компьютере, что и производственный почтовый сервер Exchange, не рекомендуется.
48. "Запуск контроллеров домена в Hyper-V". TechNet . Microsoft . Планирование виртуализации контроллеров домена . Получено 5 февраля 2014 г. Вам следует попытаться избежать создания потенциальных отдельных точек отказа при планировании развертывания виртуального контроллера домена.frank
49. efleis (8 июня 2006 г.). "Большая база данных AD? Вероятно, не такая большая". Blogs.technet.com. Архивировано из оригинала 17 августа 2009 г. Получено 20 ноября 2011 г.
50. Беркувер, Сандер. «Основы Active Directory». Программное обеспечение Veeam .
51. Интерфейсы службы Active Directory, Microsoft
52. "Технический справочник по доверительным отношениям между доменами и лесами". Корпорация Microsoft. 28 марта 2003 г. Доверительные отношения позволяют [...] аутентифицировать [...] и совместно использовать ресурсы между доменами или лесами
53. "Domain and Forest Trusts Work". Корпорация Microsoft. 11 декабря 2012 г. Получено 29 января 2013 г. Определяет несколько видов доверительных отношений. (автоматические, ярлыки, леса, области, внешние)
54. «Управление привилегированным доступом для доменных служб Active Directory». docs.microsoft.com . 8 февраля 2023 г.
55. "TechNet Wiki". social.technet.microsoft.com . 17 января 2024 г.
56. Edge, Charles S. Jr; Smith, Zack; Hunter, Beau (2009). "Глава 3: Active Directory". Руководство администратора Enterprise Mac . Нью-Йорк: Apress . ISBN 978-1-4302-2443-3.
57. "Samba 4.0.0 доступна для загрузки". SambaPeople . Проект SAMBA. Архивировано из оригинала 15 ноября 2010 г. Получено 9 августа 2016 г.
58. "The great DRS success!". SambaPeople . SAMBA Project. 5 октября 2009 г. Архивировано из оригинала 13 октября 2009 г. Получено 2 ноября 2009 г.
59. "RFC 2307bis". Архивировано из оригинала 27 сентября 2011 г. Получено 20 ноября 2011 г.
60. "Администрирование Active Directory с помощью Windows PowerShell". Microsoft . Получено 7 июня 2011 г.
61. «Использование скриптов для поиска в Active Directory». Microsoft. 26 мая 2010 г. Получено 22 мая 2012 г.
62. "Репозиторий скриптов Perl ITAdminTools". ITAdminTools.com . Получено 22 мая 2012 г. .
63. "Win32::OLE". Perl Open-Source Community . Получено 22 мая 2012 г.
64. "Представляем AWS Directory Service для Microsoft Active Directory (Standard Edition)". Amazon Web Services . 24 октября 2017 г.

Внешние ссылки

• Microsoft Technet: Белая книга: Архитектура Active Directory (Единый технический документ, дающий обзор Active Directory.)
• Microsoft Technet: Подробное описание Active Directory на Windows Server 2003
• Библиотека Microsoft MSDN: [MS-ADTS]: Техническая спецификация Active Directory (часть Microsoft Open Specification Promise )
• Режим приложения Active Directory (ADAM)
• Microsoft MSDN: [AD-LDS]: службы Active Directory Lightweight Directory
• Microsoft TechNet: [AD-LDS]: службы Active Directory Lightweight Directory
• Microsoft MSDN: Схема Active Directory
• Microsoft TechNet: Понимание схемы
• Журнал Microsoft TechNet: Расширение схемы Active Directory
• Microsoft MSDN: Службы сертификации Active Directory
• Microsoft TechNet: Службы сертификации Active Directory