Active Directory

Usługa katalogowa

Usługa katalogowa to usługa sieciowa identyfikująca wszystkie zasoby w sieci i udostępniająca informacje o nich użytkownikom oraz aplikacjom. Usługi katalogowe są ważne, ponieważ zapewniają zgodność informacji o nazwach, opisach, lokalizacjach, dostępie, zarządzaniu i zabezpieczeniach dotyczących zasobów. Active Directory to usługa katalogowa w systemach z rodziny Windows Server 2003. Rozszerza ona podstawową funkcjonalność usługi katalogowej, oferując następujące możliwości:

  • Integracja z usługą DNS - Usługa Active Directory korzysta z konwencji nazewnictwa DNS przy tworzeniu struktury hierarchicznej zapewniającej znany, uporządkowany i skalowalny widok połączeń sieciowych. Usługa DNS służy również do mapowania nazw hostów, takich jak microsoft.com, na numeryczne adresy TCP/IP, takie jak 192.168.19.2.
  • Skalowalność - Usługa Active Directory jest podzielona na sekcje, dzięki czemu można przechowywać bardzo dużą liczbę obiektów. W efekcie usługę Active Directory można rozbudowywać wraz ze wzrostem organizacji. Organizacja z pojedynczym serwerem i kilkuset obiektami może się rozwinąć i stać się organizacją z tysiącami serwerów i milionami obiektów.
  • Centralne zarządzanie - Usługa Active Directory umożliwia administratorom zarządzanie komputerami rozproszonymi, usługami sieciowymi oraz aplikacjami z centralnej lokalizacji, przy użyciu zgodnego interfejsu do zarządzania. Usługa Active Directory umożliwia również centralne sterowanie dostępem do zasobów sieciowych, dzięki czemu użytkownicy mogą uzyskać pełny dostęp do zasobów, logując się tylko jeden raz do usługi Acive Directory.
  • Delegowana administracja - Dzięki hierarchicznej strukturze usługi Active Directory można delegować administrację nad jej określonymi segmentami. Użytkownik uwierzytelniony przez wyższy podmiot administracyjny może wykonywać zadania administracyjne w określonej części struktury. Na przykład użytkownicy mogą mieć ograniczone uprawnienia administracyjne do ustawień stacji roboczej, a kierownik wydziału może mieć prawa administracyjne do tworzenia nowych użytkowników w jednostce organizacyjnej.

Struktura usługi Active Directory

Drzewo Active Directory

Struktura logiczna usługi jest elastyczna i umożliwia zaprojektowanie takiej hierarchii usługi Active Directory, która będzie czytelna zarówno dla użytkowników, jak i administratorów. Struktura usługi Active Directory zawiera następujące składniki logiczne:

  • Domena. Podstawową jednostką struktury logicznej w usłudze Active Directory jest domena. Domena to kolekcja komputerów określonych przez administratora, które współużytkują tę samą bazę danych zawierającą katalogi. Domena ma unikatową nazwę i umożliwia dostęp do centralnych kont użytkowników i grup obsługiwanych przez administratora domeny.
  • Jednostka organizacyjna. Jednostka organizacyjna to typ kontenera, w którym można gromadzić obiekty domeny. Jednostka organizacyjna może zawierać obiekty, takie jak konta użytkowników, grupy, komputery, drukarki i inne jednostki organizacyjne.
  • Las. Las składa się z jednej lub większej liczby domen o identycznej konfiguracji i wykazu globalnego.
  • Drzewo. Drzewo składa się z domen w lesie, które mają wspólny, ciągły obszar nazw DNS.

Konsola MMC

Konsola MMC służy do tworzenia, zapisywania i otwierania narzędzi administracyjnych nazywanych konsolami, które zarządzają sprzętem, oprogramowaniem i składnikami sieciowymi systemu operacyjnego Windows. Konsola MMC działa na wszystkich aktualnie obsługiwanych klienckich systemach operacyjnych. Przystawka to narzędzie obsługiwane w konsoli MMC. Konsola MMC oferuje typową strukturę, w której można uruchamiać różne przystawki do zarządzania wieloma usługami przy użyciu jednego interfejsu. Za pomocą programu MMC można również dostosować konsolę. Wskazując i wybierając określone przystawki, można tworzyć konsole do zarządzania tylko niezbędnymi narzędziami administracyjnymi. Na przykład można dodać narzędzia do zarządzania komputerem lokalnym i komputerami zdalnymi.

Jednostka organizacyjna

Jednostka organizacyjna to szczególnie przydatny typ obiektu usługi Active Directory znajdujący się w domenie. Przydatność jednostek organizacyjnych polega na tym, że za ich pomocą można zarządzać setkami tysięcy obiektów znajdującymi się w katalogu. Za pomocą jednostki organizacyjnej można grupować obiekty i zarządzać nimi w celu wykonania zadań administracyjnych, takich jak delegowanie praw i przypisywanie zasad do kolekcji obiektów, w taki sam sposób, jak w przypadku pojedynczej jednostki. Za pomocą jednostek organizacyjnych można:

  • Organizować obiekty w domenie. - W jednostkach organizacyjnych znajdują się obiekty domeny, takie jak konta użytkowników i komputerów oraz grupy. W jednostkach organizacyjnych można również znaleźć udziały plików i drukarek, które zostały opublikowane w usłudze Active Directory.
  • Delegować kontrolę administracyjną. - Można przypisać pełną kontrolę administracyjną, na przykład uprawnienie Pełna kontrola, nad wszystkimi obiektami w jednostce organizacyjnej lub ograniczoną kontrolę administracyjną, na przykład prawo do modyfikowania informacji poczty e-mail, nad obiektami w jednostce organizacyjnej. Delegowanie kontroli administracyjnej polega na przypisaniu określonych uprawnień dotyczących jednostki organizacyjnej i znajdujących się w niej obiektów do jednego lub więcej użytkowników oraz jednej lub więcej grup.
  • Uprościć zarządzanie często grupowanymi zasobami. - Można delegować prawa administracyjne do poszczególnych atrybutów w pojedynczych obiektach usługi Active Directory, ale w tym celu zwykle używa się jednostek organizacyjnych. Użytkownik może mieć prawa administracyjne do wszystkich jednostek organizacyjnych w domenie lub do jednej jednostki organizacyjnej. Korzystając z jednostek organizacyjnych, można tworzyć w domenie kontenery, które reprezentują hierarchiczną lub logiczną strukturę organizacji. Dzięki temu można zarządzać konfiguracją oraz używać kont i zasobów, korzystając z modelu organizacyjnego.