Popis

Základní pojmy

Active Directory je balík služeb, který se aktivuje na stroji s operačním systémem Windows Server. Součástí tohoto balíku je několik komponent, které jsou mezi sebou navzájem provázané a právě jejich kombinace umožňuje ulehčit správu velkého množství pracovních stanic a uživatelů v organizaci.

Doména

Pod tímto pojmem lze chápat oddělenou samostatnou adresářovou strukturu. Celý strom domény se dělí na takzvané organizační jednotky (OU), které rozčleňují jednotlivé objekty v doméně do kontrolovatelnějších množin. Objektem v AD může být další OU nebo účet uživatele, skupina nebo účet stroje, tedy počítače. Jednotlivým účtům lze přiřazovat členství ve skupinách a umisťovat je do Organizačních jednotek. Účet počítače se v doméně objeví po jeho zařazení do domény. Administrátoři domény si sami určují, které doménové uživatelské 

Autentizace

asaas

Autorizace

sss

Audit

sdas

Doménové politiky

sas

Certifikační autorita

asas

DNS

sdad

asdad

asdasd

asd

Primární funkcí doméno je poskytování centrální autentizace, autorizace a auditu neboli AAA. V Active Directory je oprávnění velice široká problematika, která staví základy na tom, že každý uživatel a stroj má v doméně svůj vlastní účet. Účty uživatelů jsou chráněny heslem a při přihlašování uživatele se u zadaných údajů kontroluje jejich pravost, jejich správnost a jejich platnost. Puživatelské účty mají oprávnění zařazovat počítače do domény. Jakmile je počítač zařazen do domény a správné Organizační jednotky, tak se na něj aplikují takové doménové politiky, které odpovídají jeho zařazení.

Autentizace

Toto je jinými slovy proces ověření. Autentizace uživatele probíhá v Active Directory pomocí přihlašovacího jména a hesla. Komunikace při ověřování je šifrovaná a tudíž je zaručena autentičnost údajů, které mezi klientským počítačem a serverem centrálního katalogu, proudí. Autentizací je potvrzena jednoznačná identifikace uživatele.

Autorizace

Každý uživatelský účet může mít různá oprávnění. Přidělení oprávnění se říká autorizace. Uživatelský účet může mít mnoho různých oprávnění, například pro využití vzdálené plochy na konkrétní stroje nebo pro přístup do sdíleného adresáře nebo pro změnu nastavení počítače. Množství dostupných nastavení, které lze uživatelskému účtu přidělit, je tak velké, že bez adresářových služeb a doménových skupinových politik by správa velkého množství uživatelů nebyla prakticky možná.

Audit

V rámci ucelení služeb je někdy nutné vědět, co se v adresářové službě děje. Auditování záznamů uložených v centrálním katalogu je nedílnou součástí Active Directory. Na doménovém řadiči se ukládají záznamy o operacích s doménovými účty a objekty. Jelikož je těchto záznamů ale velké množství, tak se takové záznamy ukládají pouze po omezenou dobu.

Mezi ukládané údaje patří:

• vytvoření, smazání a změna účtu
• přihlášení uživatele (i neúspěšné pokusy)
• přesun účtu, skupiny a Organizační jednotky
• vytvoření, smazání a změna skupiny
• změna členství ve skupině
• změny oprávnění účtů
• změny hesel účtů (pouze informace, nikoliv heslo samotné)

Doménové politiky

Pomocí tohoto nástroje doménoví administrátoři konfigurují počítače zařazené do domény. Politiky umožňují další dělení konfigurací na dvě kategorie.

• Uživatelské nastavení
• Systémové nastavení

Každá z kategorií může obsahovat naprosto stejné položky. Jde však o to, že systémové nastavení má většinou vyšší prioritu než uživatelské nastavení. Nemusí tomu tak být vždy, ale je to téměř pravidlem. Pro každé nastavení je v dokumentaci uvedeno, která z těchto kategorií má při jejich konfliktu větší prioritu. Uživatelská nastavení bývají svázána s uživatelským účtem nebo se skupinou uživatelů, kdežto Systémová nastavení jsou zase svázána s počítačovými účty nebo skupinami. Touto mechanikou lze docílit toho, že uživatel, který se přihlásí na počítač, bude mít vždy své zvolené jazykové nastavení nebo že bude vždy po startu počítače zapnutý NumLock.

Certifikační autorita

Součástí Active Directory je i modul certifikační autority. Tato autorita vydává certifikáty podepsané vlastní šifrou každému počítači v doméně. Tyto certifikáty pak slouží k ověření pravosti autentizačních dotazů a také nesou vlastní šifrovací klíče pro asymetrické šifrování komunikace mezi počítačem a doménovým řadičem. Certifikáty vydané touto autoritou slouží také mnoha jiným účelům a aplikacím, které se spoléhají na služby Active Directory.

DNS

Jelikož má každý počítač své jméno a počítače jsou v doméně zařazovány dle svého jména, ale komunikace probíhá pomocí TCP/IP protokolu, tak je nutné, aby byla v Active Directory dostupná služba DNS. Tato služba překládá názvy počítačů na IP adresy a zase naopak. IP adresy se totiž mohou měnit častěji než jména jednotlivých počítačů a proto je potřeba, aby tato data zůstávala konzistentní.

Doména AD.PEF.MENDELU.CZ

Doménové služby Active Directory jsou na PEF zajišťovány dvěma doménovými řadiči. Na doménu je také navázán centrální systém PEF pro správu aplikací, operačních systémů a aktualizací SCCM.