Przegląd Active Directory

Windows Active Directory to hierarchiczna struktura obiektów. Zapewnia informacje o różnych obiektach Active Directory, takich jak zasoby, usługi, konta użytkowników, grupy itd., oraz ustala pozwolenia dostępu i bezpieczeństwo dla tych obiektów. Struktura komponentów sieci Active Directory jest następująca:

• Domeny: Grupa komputerów, które dzielą wspólną bazę danych katalogu.
• Drzewa domen: Jedna lub więcej domen, które dzielą kontynuowane przestrzenie nazw.
• Las domen: Jedno lub więcej drzew domen, które dzielą wspólne informacje katalogowe.
• Jednostki organizacyjne: Kontener lub podgrupa domen, która jest używana do organizowania obiektów w obrębie domeny w logiczną grupę administracyjną.
• Obiekty : Obiekty reprezentują pojedyncze encje, takie jak komputery, zasoby, użytkownicy, aplikacje itd., z ich atrybutami.

Grupy Active Directory

Grupy to obiekty Active Directory, które mogą zawierać użytkowników, komputery i inne grupy (grupy zagnieżdżone). Istnieją dwa typy grup, mianowicie: Grupy zabezpieczeń i Grupy dystrybucji. Podczas gdy grupa zabezpieczeń jest używana do grupowania użytkowników, komputerów i innych grup w celu przypisania uprawnień do zasobów, grupa dystrybucji jest używana tylko do tworzenia list dystrybucyjnych e-mail.  Zakres grupy może być lokalny, lokalny dla domeny, globalny lub uniwersalny.

• Grupy lokalne: Jej zakres jest ograniczony tylko do maszyny, na której istnieje. Może być używana do przyznawania uprawnień do dostępu do zasobów maszyny.
• Grupy lokalne dla domeny: Ma zasięg w całej domenie, co oznacza, że może przyznawać uprawnienia do zasobów na dowolnych maszynach Windows w tej domenie.
• Grupy globalne: Ona także ma zasięg w całej domenie, ale może otrzymywać uprawnienia w dowolnej domenie.
• Grupy uniwersalne: Ta grupa może otrzymywać uprawnienia w dowolnej domenie, w tym w domenach w innych lasach (na podstawie relacji zaufania).

Użytkownicy Active Directory

Aby zalogować się do komputera lub domeny, użytkownik wymaga konta użytkownika w Active Directory, które ustanawia jego tożsamość. Na podstawie tej tożsamości system operacyjny uwierzytelnia użytkownika i przyznaje dostęp do zasobów w domenie. Istnieją dwa zdefiniowane konta użytkownika: administrator i gość, które są używane do początkowego logowania się w celu dokonania niezbędnych konfiguracji.

Komputery Active Directory

Podobnie jak konta użytkowników, konta komputerów są używane do zapewnienia niezbędnej autoryzacji komputerom do korzystania z zasobów sieci i domeny.

Zarządzanie uprawnieniami zabezpieczeń

Podstawowe uprawnienia zabezpieczeń obsługiwane przez system Windows, takie jak Odczyt, Zapis i Pełna kontrola, są dostępne dla każdego obiektu w Active Directory. Oprócz tych standardowych uprawnień, AD zapewnia również pewne specjalne uprawnienia w zależności od klasy obiektu, takie jak Lista zawartości, Usuń drzewo, Lista obiektu, Zapisz siebie, Kontrola dostępu, Utwórz dziecko, Usuń dziecko, Odczytaj właściwość, Zapisz właściwość itd.

Te uprawnienia muszą być przypisane użytkownikom lub grupom, aby ograniczyć lub przyznać dostęp do obiektów Active Directory. Każde przypisanie uprawnień do użytkowników lub grup jest określane jako Wpis kontroli dostępu (ACE).

Uprawnienia dziedziczone

Uprawnienia ustawione na kontenerze (lub obiekcie nadrzędnym) mogą być również stosowane do jego obiektów podrzędnych. Jest to określane jako uprawnienia dziedziczone. Model zabezpieczeń Active Directory pozwala na definiowanie uprawnień explicite lub propagowanie uprawnień do obiektów podrzędnych. Na przykład, możesz określić następujące warunki dla propagacji:

• Tylko ten obiekt
• Ten obiekt i wszystkie obiekty podrzędne
• Obiekty komputerowe
• Obiekty grupowe
• Obiekty jednostek organizacyjnych
• Obiekty użytkowników

Kontenery mogą być dowolnymi komponentami Active Directory, takimi jak domena, jednostki organizacyjne i tylko obiekty znajdujące się w tych kontenerach mogą dziedziczyć uprawnienia od rodzica.

Niektóre powszechnie używane terminologie Active Directory są omawiane w kolejnym temacie.