Wstęp teoretyczny do Active Directory

Damian Stelmach | 28-09-2017

Active Directory to microsoftowa implementacja protokołu sieciowego warstwy aplikacji LDAP (ang. Lightweight Directory Access Protocol). Protokół LDAP stosowany jest w tak zwanych usługach katalogowych. Usługa katalogowa to nic innego jak obszerna, hierarchiczna baz danych, zawierająca informacje o użytkownikach, grupach użytkowników, komputerach, a także zasobach sieciowych, działających w sieciach firmowych, gdzie pracują serwery microsoftowe. To nic innego jak zbiór informacji o użytkownikach sieci, ich uprawnieniach do różnego rodzaju zasobów, komputerach, na jakich pracują, konfiguracji tych komputerów i tak dalej.

Active Directory pozwala administratorom sieci, centralnie, z poziomu jednego komputera (odpowiednio skonfigurowanego serwera) zarządzać całym zbiorem użytkowników w sieci, określać ich uprawnienia do zasobów sieciowych, a także konfigurować komputery, na których pracują. To potężne narzędzie zdecydowanie ułatwia pracę administratora w sieciach, gdzie pracują dziesiątki użytkowników i komputerów. Na całość usług związanych z Active Directory składa się aż pięć elementów:

  1. AD Domain Services.
  2. AD Certificate Services.
  3. AD Lightweight Directory Services.
  4. AD Rights Management Services.
  5. AD Federation Services.

W ramach kursu zajmować się będziemy Usługami Domenowymi Active Directory (ang. Active Directory Domain Services).

Pojęcia związane z Active Directory

Magazyn danych
plik, przechowywany na dysku serwera, zawierający informacje o obiektach usługi katalogowej. Obiektem usługi katalogowej może być użytkownik, grupa, jednostka organizacyjna czy też komputer. Plik nosi nazwę NTDS.dit
Kontroler domeny
serwer, na którym zainstalowano Active Directory, przechowujący kopię magazyny danych. Wyróżnić możemy kontrolery typu Global Catalog (katalog globalny), a także kontrolery tylko do odczytu - Read-Only Domain Controler oraz odczytu i zapisu – Writeable Domain Controler.
Domena
obszar sieci, któremu przydzielono określone możliwości oraz zasoby. W niej skupione są obiekty Active Directory, takie jak użytkownicy, grupy, jednostki organizacyjne oraz komputery działające w jej obrębie. Aby można było domenę utworzyć, wymagany jest przynajmniej jeden kontroler.
Las
zbiór jednej lub też wielu domen. Pierwsza domena, która zostanie utworzona w lesie, będzie tak zwaną domeną główną lasu, a cały las przyjmie nazwę taką jak domena główna. Jeśli przykładowo tworzymy nową domenę w nowym lesie i nazwiemy ją test.local to cały las przyjmie taką nazwę.
Drzewo
jedna domena, albo kilka domen pracujących pod tą samą przestrzenią nazw DNS.
AD przyklad
Jednostka organizacyjna
to obiekt usługi AD, pozwalający na przechowywanie użytkowników, grup użytkowników oraz komputery. Jednostkom organizacyjnym można przypisywać poszczególne zasady grupy oraz delegować uprawnienia administracyjne

Wymagania systemów klienckich korzystających z Active Directory

Każdy komputer kliencki, z zainstalowanym systemem Windows (7, 8.1 oraz 10) może pracować w domenie pod dwoma warunkami:

  • musi być w wersji przynajmniej Professional (może być w wersji Ultimate lub Enterprise), żadnej z wersji Home do domeny nie podłączymy,
  • oprócz licencji na sam system, do każdego klienta należy dokupić dodatkową licencję pozwalającą na korzystanie z zasobów serwera. Licencja to nosi nazwę CAL (ang. Client Access License). Więcej na temat licencji CAL przeczytacie na tej stronie.