Active Directory

Active Directory je v informatice název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows NT. Active Directory byla představena ve Windows 2000 jako nástupce Domény Windows, který umožňoval pro centrální uchování informací využít stromovou strukturu databáze. Databáze Active Directory je uložena na řadiči domény, který v počítačové síti zajišťuje autentizaci a autorizaci uživatelů, počítačů i další služby. Od Windows Server 2008 došlo k integraci dalších služeb.

Charakteristika

Adresářová služba Active Directory je rozšiřitelná a škálovatelná adresářová služba, která umožňuje efektivně uspořádat síťové prostředky. Kromě informací o objektech v počítačové síti (uživatelské účty, počítače, tiskárny) umožňuje používat stromovou strukturu objektů, nastavovat globálně systémové politiky, instalovat programy na počítače nebo aplikovat kritické aktualizace v celé organizační struktuře.

vyžaduje instalaci služby DNS
je založena na standardních internetových protokolech
jednoznačně definuje strukturu sítě
organizuje skupiny počítačů a domén

Vnější struktura Active Directory

Služba Active Directory obsahuje logické i fyzické struktury součástí sítě.
a) Logické

Organizační jednotky … podskupiny domén, které často odpovídají obchodní nebo řídicí struktuře organizace
Domény … skupiny počítačů sdílejících společnou adresářovou databázi
Stromy domén … jedna nebo více domén sdílejících souvislý obor názvů
Lesy domén … jeden nebo více stromů domén sdílejících společné adresářové informace

b) Fyzické

Podsítě … síťová skupina se specifickým rozsahem adres IP a masky podsítě
Sítě … jedna nebo více podsítí, slouží ke konfiguraci přístupu k adresářové službě a replikací

Logické struktury pomáhají při organizaci objektů adresářové služby a při správě účtů a sdílených prostředků sítě. Fyzické struktury usnadňují komunikaci v síti a fyzicky ohraničují prostředky sítí.

Instalace služby Active Directory: Start → Spustit → Otevřít: dcpromo (OK)

Doména

Doména Active Directory je v podstatě skupinou počítačů sdílejících společnou adresářovou databázi.

Základní jednotka AD, tvoří ji min. 1 DC
Je bezpečnostní hranice ve struktuře Active Directory
Reprezentuje replikační hranici
Má jednoznačné označení
Má vlastní zásady zabezpečení
Vytváří vztahy důvěry s ostatními doménami

Funkce domény jsou omezeny a určeny úrovní funkčnosti domény. K dispozici jsou:

Smíšený režim Windows 2000 – podporuje řadiče domény se systémy Windows NT 4.0,Windows 2000,2003, nepodp. Windows Server 2008
Nativní režim Windows 2000 - podporuje řadiče domény se systémy Windows Server 2000, 2003 a Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny.

Provizorní režim Windows Server 2003 – podporuje řadiče domény se systémy Windows NT 4.0 a Windows Server 2003.

Windows Server 2003 – podporuje řadiče domény se systémem Windows Server 2003, Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny, migrace objektů zabezpečení, snadné přejmenování řadiče domény, aktualizace časového razítka přihlášení, čísla verzí klíčů, omezené delegování, přesměrování kontejnerů Users a Computers, uložené zásady autorizace, selektivní ověřování mezi doménovými strukturami.

Windows Server 2008 - podporuje řadiče domény se systémem Windows Server 2008.

Funkce: podporuje vnořování skupin, převod typů skupin, univerzální skupiny, migrace objektů zabezpečení, snadné přejmenování řadiče domény, aktualizace časového razítka přihlášení, čísla verzí klíčů, omezené delegování, přesměrování kontejnerů Users a Computers, uložené zásady autorizace, selektivní ověřování mezi doménovými strukturami, replikace DFS pro složku SYSVOL, podpora standardu AES, informace o posledním interaktivním přihlášení a podrobné zásady pro hesla.

Windows Server 2008 R2 - podporuje řadiče domény se systémem Windows Server 2008, navíc nové funkce: obnova smazaných objektů, spravované účty služeb, připojení k doméně v režimu offline.

Úroveň funkčnosti lze pouze zvýšit, nelze ji snížit. Pokud zvýšíme úroveň funkčnosti doménové struktury na Windows Server 2008, úroveň všech domén, používajících úroveň funkčnosti nativní Windows 2000 a vyšší, se automaticky zvýší na úroveň domény Windows Server 2008.

Lesy a stromy domén

Každá doména služby Active Directory má název DNS (vsps.cz). V případě, kdy jedna nebo více domén sdílejí stejná adresářová data, nazývají se LES.

Doménový strom

Hierarchické spojení domén vytvořené vztahem rodič-potomek
Všechny domény v doménovém stromu sdílejí stejný jmenný prostor (root namespace)
Uživatelé mohou prohledávat informace v rámci doménového stromu
Schéma je stejné v rámci doménového stromu

Názvy domén v lese z pohledu hierarchie názvů DNS:

Souvislá struktura názvů - Všechny domény jsou součástí stejného STROMU domén, protože mají společnou kořenovou doménu.
Nesouvislá struktura - Pokud mají domény v lese nesouvislé názvy DNS, Vytvářejí samostatné stromy domén v rámci lesa. Les pak může mít jeden nebo více stromů domén. V našem příkladě vytváří domény vsps.cz a firma.cz kořeny samostatných doménových stromů ve stejném lese.

Les

Spojená skupina doménových stromů, která:
Používá stejné schéma
Sdílí stejný Globální Katalog
Je spojená důvěrou Kerberosu
Velmi užitečné pro pobočky firem, které vyžadují autonomii v administrativních úlohách
Poskytuje prostor pro více internetových jmen (microsoft.com, msnbc.com, atd.)
Dovoluje jednoduché spojování a prodej firem
Umožňuje jednoduše společnostem spolupracovat bez nutnosti změny jmen

Funkce lesa jsou omezeny úrovní funkčnosti lesa. K dispozici jsou tři úrovně:

Windows 2000 - podporuje řadiče domény se systémy Windows NT 4.0, Windows 2000 a Windows Server 2003
Windows Server 2003 provizorní (Windows Server 2003 interim) - podporuje řadiče domény se systémy Windows NT 4.0 a Windows Server 2003
Windows Server 2003 - podporuje řadiče domény se systémem Windows Server 2003.

Třetí úroveň Windows Server 2003 umožňuje využívat všechny funkce domény Active Directory a je optimálním stavem, jestliže v tomto režimu pracují všechny domény stejného lesa.

Pro práci s doménami, stromy a lesy používejme nástroj: Domény a vztahy důvěry služby Active Directory, která je součástí Nástroje pro správu

Organizační jednotky

Jsou to podskupiny v rámci domén, které často odráží řídicí nebo obchodní strukturu organizace. OU si také můžeme představit jako logické kontejnery, do kterých si můžeme umístit:

uživatelské účty
sdílené prostředky
další OU

V doméně firma.cz můžeme vytvořit OU podle jednotlivých oddělení této firmy tato oddělení pak dále členit na další podřízené OU. Objekty umístěné v jedné OU musí vycházet pouze z nadřazené domény. Např. OU domény dm.vsps.cz mohou obsahovat objekty pouze z této domény. Není možné do nich přidávat objekty z domény např. brno.firma.cz.

Organizační jednotka (OU)

Nejnižší forma seskupování objektů v Active Directory
Skupinová politika může být uplatňována na úrovni organizační jednotky
Může být vnořena až do hloubky 12 úrovní
OU jsou definovány uvnitř domén
Odrážejí organizační oddělení
Vlastnosti OU se dědí pouze v rámci domény (ne mezi doménami)
OU se typicky liší doména od domény

Důvody vytvoření OU:

OU umožňují přiřadit zásady skupiny pro malý počet objektů domény, aniž by ovlivňovaly zbytek domény. To umožňuje spravovat odděleně jednotlivé části organizace podle její hierarchie.
OU vytvářejí menší pohledy na adresářové objekty domény a je tak možné s nimi lépe pracovat. To umožňuje efektivní správu prostředků.
OU umožňují delegovat řízení a jednoduše řídit přístup ke správě doménových prostředků. Lze tak stanovit rozsah práv jednotlivých správců v doméně. Pro jednotlivou OU lze stanovit samostatného správce. Na druhou stranu lze jednomu správci delegovat oprávnění na správu všech OU v doméně
OU dovoluje seskupovat různé typy objektů, na něž pak mohou být aplikována pravidla nastavená pro OU
OU mohou být i samostatnými sítěmi

OU nalezneme v nástroji: Uživatelé a počítače služby Active Directory, reprezentované jednotlivými složkami

Vytvoření OU: Organizační jednotku nelze vytvářet v jakémkoli kontejneru Active Directory. Platí zde jistá omezení. Lze ji vytvořit pouze v již existujícím útvaru Domain Controlers a v kořeni domény.

Výběr kořene domény: Akce → Nový → Organizační jednotka – vytvoří se prázdná organizační jednotka

Sítě a podsítě

Síť je skupinou počítačů sestávající z jedné nebo více podsítí protokolu IP. Jsou určené k reprezentaci fyzické struktury sítě. Sítě jsou nezávislé na logických doménových strukturách a nemají proto spolu žádný vztah. V jedné doméně Active Directory je možné vytvářet více sítí nebo můžeme mít jednu síť, která bude k dispozici více doménám. Neexistuje ani žádná souvislost mezi rozsahem adres IP používaných v síti a oborem názvů domén. Podsíť si můžete představit jako skupinu síťových adres. Na rozdíl od sítí, které mohou mít více rozsahů adres IP, mají podsítě specifický rozsah adres IP a masku podsítě.

Vnitřní struktura adresářové služby

Služba Active Directory má mnoho součástí a je založena na mnoha technologiích. Její data jsou zpřístupněna uživatelům a počítačům prostřednictvím úložiště dat a globálních katalogů. Přestože většina úkolů služby Active Directory ovlivňuje úložiště dat, jsou globální katalogy stejně důležité, neboť se využívají při přihlašování a při hledání informací. Pokud není globální katalog k dispozici, nemohou se běžní doménoví uživatelé přihlásit. Jediným způsobem, jak toto chování změnit, je ukládat členství v univerzálních skupinách do místní mezipaměti. Toto řešení má své výhody i nevýhody – viz dále. K datům služby Active Directory se přistupuje pomocí protokolů pro přístup k adresářové struktuře a její data se distribuují pomocí replikací. Protokoly pro přístup k adresářové službě umožňují klientským počítačům komunikovat s řadiči domény. Replikace zajišťuje distribuci aktualizovaných dat na řadiče domény. Přestože je replikace adresářových informací vždy typu multimaster, některé změny dat mohou provádět pouze individuální řadiče domény nazývané Operační servery. Na replikace typu multimaster má také vliv nová vlastnost systému Windows Server 2003 nazvaná Oddíl adresáře aplikace (application directory partition). Správci velkých sítí (členové skupiny Enterprise Admins) mohou v lese domén vytvářet oddíly adresáře aplikací. Jedná se o logické struktury, pomocí kterých se řídí replikace dat v lese. Je např. možné vytvořit oddíl, který bude přesně určovat replikaci dat služby DNS v doméně. Ostatním systémům v doméně se tak zabrání v její replikaci.

Oddíly adresáře aplikací se mohou objevit jako:

podřízený objekt domény
podřízený objekt jiného oddílu adresáře aplikací
nový strom ve stávajícím lese

Jeho replika může být zpřístupněna na jakémkoliv řadiči domény Active Directory se systémem Windows Server 2003, včetně globálních katalogů. Přestože jsou oddíly ve velkých doménách a lesích užitečné, jsou přítěží při plánování, správě a údržbě.

Úložiště dat

Úložiště dat (jinak nazývaný jako adresář) obsahuje :

informace o účtech
sdílené prostředky
organizační jednotky
zásady skupin

Řadiče domény ukládají tento adresář v souboru Ntds.dit (umístění tohoto souboru se řeší při instalaci domény Active Directory a musí být na jednotce zformátované souborovým systémem NTFS. Adresářová data je také možné uložit odděleně od hlavního úložiště dat. To platí pro zásady skupiny, skripty a další typy veřejných informací, které jsou uložené ve sdílené systémové složce SYSVOL.

Úložiště dat je kontejnerem pro objekty.

Replikují se:

doménová data - obsahují informace o objektech v rámci domény (objekty pro účty, sdílené prostředky, OU a zásady skupin)
konfigurační data – popisují topologii adresářové služby. Zahrnují seznam všech domén, stromů a lesů a také umístění řadičů domény a serverů globálního katalogu
data schématu - popisují všechny objekty a typy dat, které mohou být v adresářové službě uloženy (účty, sdílené prostředky apod.)

Globální katalogy

Pokud se členství v univerzálních skupinách neukládá do místní mezipaměti, jsou globální katalogy nutné pro přihlášení k síti, neboť při zahájení přihlašovacího procesu poskytují informace o členství v univerzálních skupinách. Globální katalogy také umožňují hledání ve všech doménách lesa. Řadič domény plnící zároveň roli globálního katalogu uchovává úplnou repliku všech objektů adresářové služby z vlastní domény a částečnou repliku všech ostatních domén lesa.

Globálním katalogem je standardně 1. nainstalovaný řadič domény.

Globální katalog

Obsahuje částečné repliky informací obsažených v ostatních doménách
Umožňuje rychlé vyhledání klíčových informací v AD bez nutnosti dotazů do ostatních domén
Snižuje množství replikací
Minimálně jeden na doménu
Další GC mohou být hostovány na DC v závislosti na počtu uživatelů, počtu dotazů
Doporučeno mít 2 GC v doméně.
Je standardně na 1. nainstalovaném řadiči domény

Správa Active Directory

Mezi nástroje pro správu služby Active Directory patří:

Uživatelé a počítače služby Active Directory – je určen pro správu uživatelů, skupin, počítačů a organizačních jednotek
Domény a vztahy důvěry služby Active Directory – je určen pro práci s doménami, stromy a lesy
Sítě a služby Active Directory – je určen pro správu sítí a podsítí
Výsledná sada zásad - používá se k zobrazení aktuálních zásad pro uživatele v počítači a k plánování změn v zásadách

Literatura

BABARÍK, Martin. Windows Server 2008 – Hotová řešení. Brno: Computer Press, 2009. ISBN 978-80-251-2207-5. Kapitola 4, s. 133–253.
STANEK, William. Windows Server 2003: Kapesní rádce administrátora. 2., aktualizované vyd. Brno: Computer Press, 2007. ISBN 978-80-251-1654-8. Kapitola 7, s. 183.
STANEK, William. Windows Server 2008: Kapesní rádce administrátora. 1., autorizované vyd. Brno: Computer Press, 2009. ISBN 978-80-251-1936-5.
STANEK, William. Active Directory: Kapesní rádce administrátora. 1., autorizované vyd. Brno: Computer Press, 2009. ISBN 978-80-251-2555-7.
PRICE, Brad. Active Directory: Optimální postupy a řešení problémů. 1., autorizované vyd. Brno: Computer Press, 2005. ISBN 80-251-0602-0.

Externí odkazy

Active Directory komponenty - domain, tree, forest, site

Pahýl

Tento článek je příliš stručný nebo postrádá důležité informace.
Pomozte Wikipedii tím, že jej vhodně rozšíříte. Nevkládejte však bez oprávnění cizí texty.

Komponenty Windows

Uživatelské aplikace	Budíky a hodiny • Centrum Feedback • Cortana • Edge • Editor vlastních znaků • Filmy a TV pořady • Fotky • Hlasový záznam • Kalendář • Kalkulačka • Kamera • Klávesnice na obrazovce • Lidé • Lupa • Malování (Malování 3D) • Mapa znaků • Mapy • Nastavení • OneDrive • Počasí • Pošta • Poznámkový blok • Předčítání • Rychlé poznámky • Store • Tipy • Výstřižky • Windows Media Player (Windows 11) • WordPad • Získat pomoc

Správcovské nástroje	Defragmentace disků • Drive Verifier Manager • Instalační služba • Management Console • Ovládací panely • PowerShell • Prohlížeč událostí • Příkazový řádek • Řízení uživatelských účtů • Správce úloh • Správce zařízení • Systémové informace • Vyčištění disku • Windows Update (Windows Insider) • Zasílání zpráv o chybách

Uživatelské rozhraní	Aero • AutoPlay • AutoRun • Ballot screen • ClearType • Hlavní panel • Kontextová nabídka • Modern UI • Nabídka Start • Oznamovací oblast • Průzkumník souborů • Univerzální platforma Windows • Spotlight • Zobrazení úloh

Software s ukončenou podporou	3D Pinball • Adresář • Balíčkovač objektů • Dr. Watson • Fotogalerie • Hledání min • Hudba Groove • Internet Explorer • Kartotéka • Kontakty • Movie Maker • MS-DOS Executive • Outlook Express • Prohlížeč fotografií • Přehrávač CD • Solitaire • Správce programů • Správce souborů • Write

Ostatní	Active Desktop • Active Directory • DirectShow • Hyper-V • Microsoft Defender • Popisovač zabezpečení • Registr Windows • Služby vzdálené plochy

Kategorie:Komponenty Windows