โดเมน Active Directory - สิ่งที่อยู่ในคำคำอธิบายและความคิดเห็น

ผู้ใช้มือใหม่ใด ๆ ที่พบตัวย่อเป็น AD สงสัยว่า Active Directory คืออะไร Active Directory เป็นบริการไดเรกทอรีที่พัฒนาโดย Microsoft สำหรับเครือข่ายโดเมน Windows รวมอยู่ในระบบปฏิบัติการ Windows Server ส่วนใหญ่เป็นชุดของกระบวนการและบริการ เริ่มแรกบริการจัดการเฉพาะกับการจัดการโดเมนแบบรวมศูนย์ อย่างไรก็ตามเริ่มต้นด้วย Windows Server 2008 AD ได้กลายเป็นชื่อสำหรับบริการการระบุตัวตนที่เกี่ยวข้องกับไดเรกทอรีที่หลากหลาย สิ่งนี้ทำให้ Active Directory สำหรับผู้เริ่มต้นเรียนรู้ได้ดีที่สุด

คำจำกัดความพื้นฐาน

เซิร์ฟเวอร์ที่ใช้บริการโดเมนActive Directory เรียกว่าตัวควบคุมโดเมน ตรวจสอบสิทธิ์และอนุญาตผู้ใช้และคอมพิวเตอร์ทั้งหมดในโดเมนเครือข่าย Windows กำหนดและใช้นโยบายความปลอดภัยให้กับพีซีทุกเครื่องรวมถึงติดตั้งหรืออัปเดตซอฟต์แวร์ ตัวอย่างเช่นเมื่อผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ที่รวมอยู่ในโดเมน Windows Active Directory จะตรวจสอบรหัสผ่านที่ให้ไว้และพิจารณาว่าวัตถุนั้นเป็นผู้ดูแลระบบหรือผู้ใช้ปกติ นอกจากนี้ยังช่วยให้คุณสามารถจัดการและจัดเก็บข้อมูลให้กลไกการตรวจสอบและการอนุญาตและสร้างกรอบการทำงานสำหรับการปรับใช้บริการอื่น ๆ ที่เกี่ยวข้อง: บริการการรับรองบริการไดเรกทอรีกลางและเบาและการจัดการสิทธิ์

Active Directory ใช้โปรโตคอล LDAP 2 และ 3, เวอร์ชัน Kerberos และ DNS ของ Microsoft

Active Directory - คืออะไร ในคำง่าย ๆ เกี่ยวกับความยากลำบาก

การติดตามข้อมูลเครือข่ายเป็นงานที่ต้องใช้เวลามาก แม้ในเครือข่ายขนาดเล็กผู้ใช้มักมีปัญหาในการค้นหาไฟล์เครือข่ายและเครื่องพิมพ์ หากไม่มีไดเรกทอรีของเครือข่ายขนาดกลางและขนาดใหญ่ก็ไม่สามารถจัดการได้และมักจะต้องเผชิญกับปัญหาในการค้นหาทรัพยากร

Microsoft Windows เวอร์ชันก่อนหน้ามีบริการที่ช่วยให้ผู้ใช้และผู้ดูแลระบบค้นหาข้อมูล ระบบเครือข่ายมีประโยชน์ในหลาย ๆ สภาพแวดล้อม แต่ส่วนต่อประสานที่ไม่สะดวกและการคาดเดาไม่ได้นั้นเป็นข้อเสียที่ชัดเจน สามารถใช้ WINS Manager และ Server Manager เพื่อดูรายการระบบ แต่ไม่สามารถใช้ได้กับผู้ใช้ ผู้ดูแลระบบใช้ตัวจัดการผู้ใช้เพื่อเพิ่มและลบข้อมูลจากวัตถุเครือข่ายชนิดต่าง ๆ โดยสิ้นเชิง แอปพลิเคชันเหล่านี้พิสูจน์แล้วว่าไม่ได้ผลสำหรับการทำงานในเครือข่ายขนาดใหญ่และทำให้เกิดคำถามขึ้นทำไมใน Active Directory

ไดเรกทอรีโดยทั่วไปแล้วเป็นรายการของวัตถุทั้งหมด สมุดโทรศัพท์เป็นไดเรกทอรีประเภทหนึ่งที่จัดเก็บข้อมูลเกี่ยวกับผู้คนธุรกิจและองค์กรของรัฐและ พวกเขามักจะบันทึกชื่อที่อยู่และหมายเลขโทรศัพท์ สงสัย Active Directory เป็นคำที่ใช้ง่ายกล่าวได้ว่าเทคโนโลยีนี้คล้ายกับไดเรกทอรี แต่มีความยืดหยุ่นมากกว่า AD เก็บข้อมูลเกี่ยวกับองค์กรไซต์ระบบผู้ใช้การแชร์และวัตถุเครือข่ายอื่น ๆ.

แนวคิดพื้นฐานของไดเรกทอรีเบื้องต้น

ทำไมองค์กรต้องการ Active Directory ดังกล่าวในบทนำสู่ Active Directory บริการจะเก็บข้อมูลเกี่ยวกับส่วนประกอบเครือข่าย คู่มือ“ Active Directory สำหรับผู้เริ่มต้น” ระบุไว้ว่า อนุญาตให้ลูกค้าค้นหาวัตถุในเนมสเปซของพวกเขา อันนี้คำ (เรียกอีกอย่างว่าคอนโซลทรี) หมายถึงพื้นที่ที่สามารถวางส่วนประกอบเครือข่ายได้ ตัวอย่างเช่นสารบัญของหนังสือสร้างเนมสเปซที่สามารถกำหนดบทให้กับหมายเลขหน้า

DNS เป็นคอนโซลทรีที่แปลงชื่อโฮสต์เป็น IP แอดเดรสเช่น tPhonebooks จัดเตรียมเนมสเปซเพื่อแก้ไขชื่อสำหรับหมายเลขโทรศัพท์ และสิ่งนี้จะเกิดขึ้นใน Active Directory ได้อย่างไร AD จัดทำทรีคอนโซลสำหรับการแก้ไขชื่อวัตถุเครือข่ายให้กับวัตถุด้วยตนเองและ สามารถอนุญาตวัตถุที่หลากหลายรวมถึงผู้ใช้ระบบและบริการในเครือข่าย

วัตถุและคุณสมบัติ

สิ่งใดก็ตามที่ติดตาม Active Directory ถือเป็นวัตถุ คุณสามารถพูดง่ายๆว่านี่คือใน Active Directory เป็นผู้ใช้ระบบทรัพยากรหรือบริการใด ๆ มีใช้คำศัพท์ทั่วไปเนื่องจาก AD สามารถติดตามองค์ประกอบหลายรายการและวัตถุจำนวนมากสามารถใช้แอตทริบิวต์ร่วมกัน สิ่งนี้หมายความว่าอย่างไร

คุณสมบัติอธิบายวัตถุในไดเรกทอรีที่ใช้งานอยู่Active Directory ตัวอย่างเช่นวัตถุผู้ใช้ทั้งหมดจะแชร์แอตทริบิวต์เพื่อจัดเก็บชื่อผู้ใช้ นอกจากนี้ยังนำไปใช้กับคำอธิบายของพวกเขา ระบบเป็นวัตถุ แต่มีชุดคุณลักษณะที่แยกต่างหากซึ่งรวมถึงชื่อโฮสต์ที่อยู่ IP และตำแหน่งที่ตั้ง

ชุดของคุณลักษณะที่มีให้เฉพาะใด ๆชนิดของวัตถุเรียกว่าแบบแผน ทำให้คลาสของวัตถุแตกต่างจากกัน ข้อมูลสคีมาถูกจัดเก็บจริงใน Active Directory สิ่งที่พฤติกรรมการรักษาความปลอดภัยโพรโทคอลนี้มีความสำคัญมากคือความจริงที่ว่าโครงร่างนี้อนุญาตให้ผู้ดูแลระบบเพิ่มแอ็ตทริบิวต์ไปยังคลาสอ็อบเจ็กต์และแจกจ่ายข้ามเครือข่ายในทุกมุมของโดเมนโดยไม่ต้องรีสตาร์ท

คอนเทนเนอร์ LDAP และชื่อ

คอนเทนเนอร์เป็นวัตถุชนิดพิเศษที่ใช้เพื่อจัดระเบียบบริการ ไม่ใช่วัตถุจริงเช่นผู้ใช้หรือระบบ ใช้เพื่อจัดกลุ่มรายการอื่นแทน วัตถุภาชนะสามารถซ้อนในภาชนะอื่น ๆ

องค์ประกอบแต่ละรายการใน AD มีชื่อ สิ่งเหล่านี้ไม่ใช่สิ่งที่คุณคุ้นเคยเช่น Ivan หรือ Olga เหล่านี้เป็นชื่อ LDAP ที่แตกต่าง ชื่อที่แตกต่างของ LDAP นั้นซับซ้อน แต่สามารถระบุวัตถุใด ๆ ในไดเรกทอรีได้โดยไม่คำนึงถึงชนิดของวัตถุ

ต้นไม้และเว็บไซต์ระยะ

ต้นไม้คำที่ใช้ในการอธิบายชุดของวัตถุใน Active Directory นี่อะไรน่ะ? ในคำง่าย ๆ นี้สามารถอธิบายได้ด้วยความช่วยเหลือของสมาคมต้นไม้ เมื่อคอนเทนเนอร์และวัตถุรวมกันเป็นลำดับชั้นพวกเขามักจะสร้างกิ่งไม้ - ดังนั้นชื่อ คำที่เกี่ยวข้องเป็นต้นไม้ย่อยอย่างต่อเนื่องที่หมายถึงลำต้นหลักที่ไม่เสียหายของต้นไม้

อุปมาต่อเนื่องคำว่า "ป่า" อธิบายคอลเล็กชันที่ไม่ได้เป็นส่วนหนึ่งของเนมสเปซเดียวกัน แต่มีสคีมาร่วมกันการกำหนดค่าและแคตตาล็อกส่วนกลาง ผู้ใช้ทุกคนสามารถใช้วัตถุในโครงสร้างเหล่านี้ได้หากมีการอนุญาตด้านความปลอดภัย องค์กรที่แบ่งออกเป็นหลายโดเมนควรจัดกลุ่มต้นไม้เป็นหนึ่งฟอเรสต์

ไซต์เป็นที่ตั้งทางภูมิศาสตร์กำหนดไว้ใน Active Directory ไซต์ที่สอดคล้องกับเครือข่ายย่อย IP แบบลอจิคัลและแอปพลิเคชันสามารถใช้เพื่อค้นหาเซิร์ฟเวอร์ที่ใกล้ที่สุดบนเครือข่าย การใช้ข้อมูลไซต์จาก Active Directory สามารถลดทราฟฟิกในเครือข่ายทั่วโลกได้อย่างมาก

การจัดการไดเรกทอรีที่ใช้งานอยู่

ส่วนประกอบ Active Directory ในสแนปอิน - ผู้ใช้ นี่เป็นเครื่องมือที่สะดวกที่สุดสำหรับการบริหาร Active Directory สามารถเข้าถึงได้โดยตรงจากกลุ่มโปรแกรม“ การดูแลระบบ” ในเมนู“ เริ่ม” มันมาแทนที่และปรับปรุง Server Manager และ User Manager จาก Windows NT 4.0

ความปลอดภัย

Active Directory มีบทบาทสำคัญในอนาคตของเครือข่าย Windows ผู้ดูแลระบบควรสามารถป้องกันไดเรกทอรีของตนจากผู้บุกรุกและผู้ใช้ในขณะที่มอบหมายงานให้ผู้ดูแลระบบรายอื่น ทั้งหมดนี้เป็นไปได้โดยใช้รูปแบบความปลอดภัยของ Active Directory ซึ่งเชื่อมโยงรายการควบคุมการเข้าถึง (ACL) กับแต่ละแอตทริบิวต์ของคอนเทนเนอร์และวัตถุในไดเรกทอรี

การควบคุมระดับสูงช่วยให้ผู้ดูแลระบบสามารถให้สิทธิ์ผู้ใช้และกลุ่มที่แตกต่างกันสำหรับวัตถุและคุณสมบัติของพวกเขา พวกเขายังสามารถเพิ่มคุณสมบัติให้กับวัตถุและซ่อนคุณลักษณะเหล่านี้จากกลุ่มผู้ใช้บางกลุ่ม ตัวอย่างเช่นคุณสามารถตั้งค่า ACL เพื่อให้ผู้จัดการเท่านั้นสามารถดูโทรศัพท์บ้านของผู้ใช้

การบริหารงานที่มอบหมาย

แนวคิดใหม่สำหรับ Windows 2000 Server คือการดูแลระบบที่ได้รับมอบหมาย สิ่งนี้ช่วยให้คุณสามารถมอบหมายงานให้กับผู้ใช้อื่นโดยไม่ต้องให้สิทธิ์การเข้าถึงเพิ่มเติม การจัดการที่ได้รับมอบหมายสามารถกำหนดผ่านวัตถุเฉพาะหรือ subtrees อย่างต่อเนื่องของไดเรกทอรี นี่เป็นวิธีที่มีประสิทธิภาพมากกว่าในการให้การอนุญาตผ่านเครือข่าย

ในปลายทางสำหรับใครบางคนของสิทธิผู้ดูแลระบบโดเมนทั่วโลกทั้งหมดผู้ใช้สามารถได้รับสิทธิ์ภายในทรีย่อย Active Directory รองรับการสืบทอดดังนั้นวัตถุใหม่ใด ๆ จะสืบทอด ACL ของคอนเทนเนอร์

คำว่า "ความสัมพันธ์ที่ไว้วางใจ"

คำว่า "ความสัมพันธ์ที่เชื่อถือได้" ยังคงใช้อยู่ แต่ความสัมพันธ์ที่เชื่อถือได้มีฟังก์ชันการทำงานที่แตกต่างกัน ไม่มีความแตกต่างระหว่างการลงทุนทางเดียวและสองทาง ท้ายที่สุดแล้วความสัมพันธ์ที่เชื่อถือได้ของ Active Directory ทั้งหมดเป็นแบบสองทิศทาง นอกจากนี้พวกเขาทั้งหมดสกรรมกริยา ดังนั้นหากโดเมน A เชื่อถือโดเมน B และ B เชื่อถือ C ดังนั้นจะมีความสัมพันธ์ที่เชื่อถือโดยนัยโดยอัตโนมัติระหว่างโดเมน A กับโดเมน C

การตรวจสอบบัญชีใน Active Directory - อะไรคือเงื่อนไขง่ายๆ นี่เป็นคุณลักษณะด้านความปลอดภัยที่ช่วยให้คุณกำหนดได้ว่าใครพยายามเข้าถึงวัตถุรวมถึงความพยายามในการประสบความสำเร็จ

การใช้ DNS (ระบบชื่อโดเมน)

ระบบชื่อโดเมนซึ่งเป็น DNS ที่แตกต่างกันนั้นเป็นสิ่งจำเป็นสำหรับองค์กรใด ๆ DNS ให้การจำแนกชื่อระหว่างชื่อทั่วไปเช่น mspress.microsoft.com และที่อยู่ IP ที่ยังไม่ผ่านกระบวนการซึ่งใช้ส่วนประกอบระดับเครือข่ายสำหรับการสื่อสาร

Active Directory ใช้เทคโนโลยี DNS อย่างกว้างขวางเพื่อค้นหาวัตถุ นี่คือการเปลี่ยนแปลงที่สำคัญจากระบบปฏิบัติการ Windows ก่อนหน้านี้ที่ต้องการชื่อ NetBIOS เพื่อแก้ไขโดยที่อยู่ IP และใช้ WINS หรือเทคนิคการแก้ปัญหาชื่อ NetBIOS อื่น

Active Directory ทำงานได้ดีที่สุดเมื่อใช้กับเซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 Microsoft ทำให้ผู้ดูแลระบบสามารถโยกย้ายไปยังเซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 ได้โดยง่ายโดยการจัดหาวิซาร์ดการย้ายข้อมูลที่จัดการผู้ดูแลระบบผ่านกระบวนการนี้

อาจใช้เซิร์ฟเวอร์ DNS อื่น อย่างไรก็ตามในกรณีนี้ผู้ดูแลระบบจะต้องใช้เวลามากขึ้นในการจัดการฐานข้อมูล DNS ความแตกต่างคืออะไร? หากคุณตัดสินใจที่จะไม่ใช้เซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 คุณต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DNS ของคุณเป็นไปตามโปรโตคอลการอัพเดทไดนามิก DNS เซิร์ฟเวอร์พึ่งพาการปรับปรุงระเบียนของพวกเขาแบบไดนามิกเพื่อค้นหาตัวควบคุมโดเมน นี่เป็นเรื่องที่น่าอึดอัดใจ หลังจากทั้งหมด eหากไม่สนับสนุนการอัปเดตแบบไดนามิกคุณต้องอัปเดตฐานข้อมูลด้วยตนเอง

โดเมน Windows และอินเทอร์เน็ตเข้ากันได้อย่างสมบูรณ์ ตัวอย่างเช่นชื่อเช่น mspress.microsoft.com จะระบุตัวควบคุมโดเมน Active Directory ที่รับผิดชอบโดเมนดังนั้นไคลเอนต์ใด ๆ ที่มีการเข้าถึง DNS สามารถค้นหาตัวควบคุมโดเมนได้ ลูกค้าสามารถใช้การแก้ไข DNS เพื่อค้นหาบริการจำนวนเท่าใดก็ได้เนื่องจากเซิร์ฟเวอร์ Active Directory เผยแพร่รายการที่อยู่ใน DNS โดยใช้คุณสมบัติการอัพเดทแบบไดนามิกใหม่ ข้อมูลนี้ถูกกำหนดเป็นโดเมนและเผยแพร่ผ่านเรคคอร์ดทรัพยากรบริการ รูปแบบการติดตาม SRV RR service.protocol.domain

เซิร์ฟเวอร์ Active Directory ให้บริการ LDAP เพื่อโฮสต์วัตถุและ LDAP ใช้ TCP เป็นโปรโตคอลพื้นฐานสำหรับชั้นการขนส่ง ดังนั้นไคลเอนต์ที่กำลังค้นหาเซิร์ฟเวอร์ Active Directory ในโดเมน mspress.microsoft.com จะค้นหาระเบียน DNS สำหรับ ldap.tcp.mspress.microsoft.com

แคตตาล็อกทั่วโลก

Active Directory ให้แคตตาล็อกส่วนกลาง (GC) และ ให้แหล่งข้อมูลเดียวสำหรับการค้นหาวัตถุใด ๆ ในเครือข่ายขององค์กร

แค็ตตาล็อกส่วนกลางเป็นบริการใน Windows 2000 Server ที่อนุญาตให้ผู้ใช้ค้นหาวัตถุใด ๆ ที่ได้รับอนุญาตให้เข้าถึง ฟังก์ชั่นนี้เหนือกว่ามากค้นหาคุณสมบัติแอปพลิเคชันคอมพิวเตอร์ที่รวมอยู่ใน Windows รุ่นก่อนหน้า ท้ายที่สุดผู้ใช้สามารถค้นหาวัตถุใด ๆ ใน Active Directory: เซิร์ฟเวอร์เครื่องพิมพ์ผู้ใช้และแอปพลิเคชัน
</ span> </ p>