Hva er en Active Directory®?

En Active Directory® er både den integrerte konseptuelle komponenten og også navnet på en programvareteknologi laget av Microsoft®. Det kan sees på omtrent som en katalog, og gir en viktig referanseliste for praktisk talt alt som kan administreres i en datanettverksinfrastruktur. Katalogen er strukturert hierarkisk og kan omfatte datamaskiner, mennesker og til og med hele nettverk. Systemet gir et middel for sentralt å administrere et datanettverk og dets sikkerhet som er skalerbar, synkronisert og standardisert i hele nettverket.

Hjertet av Active Directory® er en katalogtjenesteprotokoll kjent som Lightweight Directory Access Protocol (LDAP). Denne protokollen fastsetter middelene som katalogstrukturen er organisert og lest fra eller skrevet til. For sikkerhet bruker Active Directory® Kerberos Network Authentication Protocol. Tjenesten gir også et domenenavnssystem (DNS) for å oversette Internet Protocol (IP)adresser til gjenkjennelige navn.

Alt som går inn i en Active Directory® regnes som et objekt. Det er i utgangspunktet to typer objekter, en ressurs og et sikkerhetsprinsipp. Der ressursene vanligvis er fysiske konstruksjoner, for eksempel skrivere, er sikkerhetsprinsippobjektene litt mer abstrakte. Hvert sikkerhetsprinsipp får en sikkerhetsidentifikator (SID) i Active Directory® -systemet og representerer deretter alt som kan autentiseres av systemet og har tillatelser knyttet til det. Siden noen objekter åpenbart kan være av begge typer, for eksempel en datamaskin i nettverket som både er en ressurs og et prinsipp, kan de bli nestet i hverandre i visse tilfeller.

Sett fra tre forskjellige hierarkiske nivåer, består en Active Directory® av det som er kjent om som skog, trær og domener. Dette kan speile en organisasjons faktiskeStruktur, både geografisk så vel som organisatorisk. For eksempel kan et selskaps skog bestå av to primære domener, ett for Chicago og en annen for New York. Under hvert kan det opprettes ytterligere domener for å styre forretningsaktivitetene i hver by som regnskapsavdelingen, et salgsteam, forskning og utvikling, og så videre. Disse to domenetrærne etablerer deretter et tillitsforhold til hverandre slik at brukere i begge domener kan ha tilgangsressurser i det andre om nødvendig.

Kjernen i en Active Directory® er det som kalles en organisasjonsenhet (OU). Ethvert antall OUS kan hekkes inne i et domene. Disse tillater strukturen til Active Directory® å samsvare med organisasjonen og gi et sentralisert middel for distribuert styring av objektene i katalogen. Med en etablert organisasjonsstruktur kan tilleggsstyring deretter delegeres ned til underdomener i treet, noe som gir forskjellige LEVELS av privilegium for forskjellige OUS i en organisasjon.

All informasjonen i en Active Directory® lagres i en database referert til som katalogbutikken. Systemet gjør at denne databasen kan gjenskape seg blant de andre i domenetreet og lenger opp i skogen. Domener i treet sjekker med jevne mellomrom for endringer i katalogbutikken i andre domener, og trekk deretter dataene inn i sine egne dersom det skulle være noen endringer.