Co to jest Active Directory®?
Active Directory® jest zarówno integralnym komponentem koncepcyjnym, jak i nazwą technologii oprogramowania stworzonej przez Microsoft®. Można go oglądać podobnie jak katalog, zapewniając niezbędną listę referencyjną dla praktycznie wszystkiego, czym można zarządzać w infrastrukturze sieci komputerowej. Katalog ma strukturę hierarchiczną i może obejmować komputery, osoby, a nawet całe sieci. System zapewnia środki do centralnego zarządzania siecią komputerową i jej bezpieczeństwem, które jest skalowalne, synchronizowane i standaryzowane w całej sieci.
Sercem usługi Active Directory® jest protokół usługi katalogowej znany jako lekki protokół dostępu do katalogu (LDAP). Protokół ten określa środki, według których struktura katalogów jest zorganizowana i odczytywana lub zapisywana. Ze względów bezpieczeństwa usługa Active Directory® używa protokołu uwierzytelniania sieciowego Kerberos. Usługa zapewnia także system nazw domen (DNS) do tłumaczenia adresów protokołu internetowego (IP) na rozpoznawalne nazwy.
Wszystko, co trafia do Active Directory®, jest uważane za obiekt. Istnieją dwa typy obiektów: zasób i zasada bezpieczeństwa. Tam, gdzie zasoby są zwykle konstrukcjami fizycznymi, takimi jak drukarki, obiekty zasady bezpieczeństwa są nieco bardziej abstrakcyjne. Każda zasada bezpieczeństwa ma identyfikator bezpieczeństwa (SID) w systemie Active Directory®, a następnie reprezentuje wszystko, co może być uwierzytelnione przez system i mieć z nim związane uprawnienia. Ponieważ niektóre obiekty mogą oczywiście należeć do obu typów, na przykład komputer w sieci, który jest zarówno zasobem, jak i zasadą, w niektórych przypadkach mogą być one zagnieżdżone.
Patrząc z trzech różnych poziomów hierarchicznych, Active Directory® składa się z tak zwanych lasów, drzew i domen. Może to odzwierciedlać faktyczną strukturę organizacji, zarówno pod względem geograficznym, jak i organizacyjnym. Na przykład las firmy może składać się z dwóch głównych domen, jednej dla Chicago, a drugiej dla Nowego Jorku. Pod każdym z nich można utworzyć dodatkowe domeny do zarządzania działalnością biznesową w każdym mieście, takie jak dział księgowości, zespół sprzedaży, badania i rozwój i tak dalej. Te dwa drzewa domen ustanawiają następnie wzajemne relacje zaufania, aby użytkownicy w obu domenach mieli dostęp do zasobów w drugiej, jeśli to konieczne.
Podstawą usługi Active Directory® jest tak zwana jednostka organizacyjna (OU). Dowolna liczba jednostek organizacyjnych może być zagnieżdżona w domenie. Pozwalają one na dopasowanie struktury Active Directory® do struktury organizacji i zapewniają scentralizowane środki rozproszonego zarządzania obiektami w katalogu. Dzięki ustalonej strukturze organizacyjnej dodatkowe zarządzanie można następnie przekazać do subdomen w drzewie, co pozwala na różne poziomy uprawnień do różnych jednostek organizacyjnych w organizacji.
Wszystkie informacje w Active Directory® są przechowywane w bazie danych zwanej magazynem katalogów. System umożliwia replikację tej bazy danych między innymi w drzewie domen i dalej w lesie. Domeny w drzewie okresowo sprawdzają zmiany w magazynie katalogów w innych domenach, a następnie pobierają dane do swoich, jeśli są jakieś zmiany.