Wat is een Active Directory®?
Een Active Directory® is zowel de integrale conceptuele component als de naam van een softwaretechnologie die is gemaakt door Microsoft®. Het kan worden gezien als een catalogus en biedt een essentiële referentielijst voor vrijwel alles dat kan worden beheerd in een computernetwerkinfrastructuur. De map is hiërarchisch gestructureerd en kan computers, mensen en zelfs hele netwerken omvatten. Het systeem biedt een middel voor het centraal beheren van een computernetwerk en de beveiliging ervan die schaalbaar, gesynchroniseerd en gestandaardiseerd is in het hele netwerk.
De kern van Active Directory® is een directoryserviceprotocol dat bekend staat als het lichtgewicht directory access protocol (LDAP). Dit protocol legt de middelen vast waarmee de mapstructuur wordt georganiseerd en gelezen of waarnaar wordt geschreven. Voor de beveiliging gebruikt Active Directory® het Kerberos-netwerkverificatieprotocol. De service biedt ook een domeinnaamsysteem (DNS) voor het vertalen van IP-adressen (Internet Protocol) in herkenbare namen.
Alles wat in een Active Directory® gaat, wordt als een object beschouwd. Er zijn in principe twee soorten objecten, een resource en een beveiligingsprincipe. Waar resources doorgaans fysieke constructies zijn, zoals printers, zijn de objecten van het beveiligingsprincipe iets abstracter. Elk beveiligingsprincipe krijgt een beveiligings-ID (SID) in het Active Directory®-systeem en vertegenwoordigt vervolgens alles dat door het systeem kan worden geverifieerd en waaraan machtigingen zijn gekoppeld. Aangezien sommige objecten duidelijk van beide typen kunnen zijn, zoals een computer op het netwerk die zowel een bron als een principe is, kunnen ze in bepaalde gevallen in elkaar worden genest.
Bekeken vanuit drie verschillende hiërarchische niveaus, bestaat een Active Directory® uit zogenaamde bossen, bomen en domeinen. Dit kan de feitelijke structuur van een organisatie weerspiegelen, zowel geografisch als organisatorisch. Het forest van een bedrijf kan bijvoorbeeld uit twee primaire domeinen bestaan, een voor Chicago en een voor New York. Onder elk kunnen extra domeinen worden gecreëerd voor het beheer van de bedrijfsactiviteiten in elke stad, zoals de boekhoudafdeling, een verkoopteam, onderzoek en ontwikkeling, enzovoort. Deze twee domeinstructuren brengen vervolgens een vertrouwensrelatie met elkaar tot stand, zodat gebruikers in beide domeinen indien nodig toegang hebben tot bronnen in het andere.
De kern van een Active Directory® is wat een organisatie-eenheid (OU) wordt genoemd. Elk aantal OE's kan binnen een domein worden genest. Hiermee kan de structuur van de Active Directory® overeenkomen met die van de organisatie en bieden een gecentraliseerd middel voor gedistribueerd beheer van de objecten in de map. Met een gevestigde organisatiestructuur kan aanvullend beheer worden gedelegeerd naar subdomeinen in de structuur, waardoor verschillende bevoegdheidsniveaus voor verschillende OE's in een organisatie mogelijk zijn.
Alle informatie in een Active Directory® wordt opgeslagen in een database die het directoryarchief wordt genoemd. Het systeem zorgt ervoor dat deze database zichzelf kan repliceren tussen de anderen in de domeinboom en verder het bos in. Domeinen in de boomstructuur controleren periodiek op wijzigingen in het directoryarchief in andere domeinen en halen de gegevens vervolgens naar hun recht als er wijzigingen zijn.