Co je služba Active Directory®?
Active Directory® je nedílnou koncepční součástí a také názvem softwarové technologie vytvořené společností Microsoft®. Lze jej zobrazit podobně jako katalog a poskytuje základní seznam referencí pro prakticky cokoli, co lze spravovat v počítačové síťové infrastruktuře. Adresář je strukturován hierarchicky a může zahrnovat počítače, lidi a dokonce celé sítě. Systém poskytuje prostředky pro centrální správu počítačové sítě a její zabezpečení, které je škálovatelné, synchronizované a standardizované v celé síti.
Srdcem Active Directory® je protokol adresářové služby známý jako lehký protokol přístupu k adresáři (LDAP). Tento protokol stanoví prostředky, pomocí nichž je struktura adresářů organizována a čtena nebo zapisována do. Pro zabezpečení Active Directory® používá síťový ověřovací protokol Kerberos. Služba také poskytuje systém názvů domén (DNS) pro překlad adres internetového protokolu (IP) na rozpoznatelná jména.
Vše, co přejde do služby Active Directory®, je považováno za objekt. V zásadě existují dva typy objektů, prostředek a princip zabezpečení. Pokud jsou prostředky obvykle fyzickými konstrukcemi, jako jsou tiskárny, jsou objekty zásad zabezpečení trochu abstraktnější. Každému principu zabezpečení je v systému Active Directory® přidělen bezpečnostní identifikátor (SID) a pak představuje cokoli, co může systém ověřit a mít k němu přidružená oprávnění. Protože některé objekty mohou být zjevně oba typy, například počítač v síti, který je zdrojem i principem, mohou být v určitých případech vnořeny do sebe.
Při pohledu ze tří různých hierarchických úrovní se Active Directory® skládá z tzv. Lesů, stromů a domén. To může odrážet skutečnou strukturu organizace, geograficky i organizačně. Například doménový les se může skládat ze dvou primárních domén, z nichž jedna je pro Chicago a druhá pro New York. Pod každým z nich mohou být vytvořeny další domény pro řízení obchodních činností v každém městě, jako je účetní oddělení, prodejní tým, výzkum a vývoj atd. Tyto dva doménové stromy pak navazují vzájemný vztah důvěryhodnosti, takže uživatelé v jedné z domén mohou mít v případě potřeby přístupové prostředky ve druhé.
Jádrem Active Directory® je to, co se nazývá organizační jednotka (OU). Uvnitř domény může být vnořen libovolný počet organizačních jednotek. Umožňují, aby struktura Active Directory® odpovídala struktuře organizace a poskytovala centralizované prostředky pro distribuovanou správu objektů v adresáři. Díky zavedené organizační struktuře lze potom další správu delegovat na subdomény ve stromu, což umožňuje různé úrovně oprávnění pro různé organizační jednotky v organizaci.
Všechny informace v Active Directory® jsou uloženy v databázi nazývané úložiště adresářů. Systém umožňuje této databázi replikovat se mezi ostatními ve stromu domény a dále do lesa. Domény ve stromu pravidelně kontrolují změny v adresářovém úložišti v jiných doménách a v případě, že dojde ke změnám, pak data přetáhnou do jejich vlastní.