Hva er en Active Directory®?

En Active Directory® er både den integrerte konseptkomponenten og også navnet på en programvareteknologi laget av Microsoft®. Den kan sees på samme måte som en katalog, og gir en viktig referanseliste for praktisk talt alt som kan administreres i et datanettverk. Katalogen er strukturert hierarkisk og kan omfatte datamaskiner, personer og til og med hele nettverk. Systemet gir et middel for sentralt å styre et datanettverk og dets sikkerhet som er skalerbar, synkronisert og standardisert gjennom hele nettverket.

I hjertet av Active Directory® er en katalogtjenesteprotokoll kjent som den lette katalogtilgangsprotokollen (LDAP). Denne protokollen etablerer hvordan katalogstrukturen organiseres og leses fra eller skrives til. For sikkerhets skyld bruker Active Directory® Kerberos nettverksgodkjenningsprotokoll. Tjenesten gir også et domenenavnsystem (DNS) for å oversette IP-adresser (Internet Protocol) til gjenkjennelige navn.

Alt som går inn i en Active Directory® regnes som et objekt. Det er i utgangspunktet to typer objekter, en ressurs og et sikkerhetsprinsipp. Der ressurser vanligvis er fysiske konstruksjoner, for eksempel skrivere, er sikkerhetsprinsippobjektene litt mer abstrakte. Hvert sikkerhetsprinsipp gis en sikkerhetsidentifikator (SID) i Active Directory®-systemet og representerer deretter alt som kan autentiseres av systemet og har tillatelser tilknyttet det. Siden noen objekter åpenbart kan være av begge typer, for eksempel en datamaskin i nettverket som både er en ressurs så vel som et prinsipp, kan de nestes i hverandre i visse tilfeller.

Sett fra tre forskjellige hierarkiske nivåer, består en Active Directory® av det som er kjent som skog, trær og domener. Dette kan speile en organisasjons faktiske struktur, både geografisk og organisatorisk. For eksempel kan et firmas skog bestå av to primære domener, ett for Chicago og et annet for New York. Under hver kan det opprettes ytterligere domener for å styre forretningsvirksomheten i hver by, for eksempel regnskapsavdelingen, et salgsteam, forskning og utvikling, og så videre. Disse to domenetrærene oppretter da et tillitsforhold til hverandre slik at brukere i begge domenene kan ha tilgangsressurser i det andre om nødvendig.

Kjernen i en Active Directory® er det som kalles en organisasjonsenhet (OU). Et hvilket som helst antall OUer kan nestes i et domene. Disse gjør det mulig for strukturen til Active Directory® å samsvare med organisasjonens og gir et sentralisert middel for distribuert styring av objektene i katalogen. Med en etablert organisasjonsstruktur kan ytterligere ledelse delegeres ned til underdomener i treet, noe som gir forskjellige privilegier til forskjellige OUer i en organisasjon.

All informasjonen i en Active Directory® lagres i en database kalt kataloglager. Systemet gjør det mulig for denne databasen å gjenskape seg blant de andre i domenetreet og videre opp i skogen. Domener i treet sjekker med jevne mellomrom for endringer i kataloglageret i andre domener, og trekk deretter dataene til sine egne dersom det skulle være endringer.