Перейти к содержанию

Active Directory

Microsoft Active Directory - реализация службы каталогов от Microsoft. Наравне в пакетом Office, является флагманским продуктом Microsoft. Поставляется в составе серверных версий ОС Windows (также существует облачная версия - Azure AD).

Далее кратко об AD и о службе каталогов в целом:

Службы каталогов используют в своей работе протокол LDAP и представляют собой единый центр управления пользователями и ресурсами корпоративной сети. Основными задачами являются:

  1. Централизованное управление доступом (identity managment)
  2. Централизованное управление групповыми политиками, в том числе политиками безопасности.

Домен - основная административная единица в AD, представляет из себя совокупность ресурсов объединенных под конкретными политиками.

Лес - полностью самостоятельная, самая большая административная единица AD. Представляет из себя совокупность доменов. Всегда есть, как минимум, один лес, с, как минимум, одним доменом.

Схема AD - совокупность атрибутов в лесу. На основании имеющихся атрибутов схема описывает все объекты которые можно создать в лесу. Схема AD одна на весь лес. Схема AD имеет первостепенное значение для корректной работы AD.

Дерево доменов - совокупность различных доменов в одном лесу.

domain.org -> ru.domain.org -> bkn.ru.domain.org

Все домены в лесу равноправны и автономны вне зависимости от их положения в дереве доменов. Как правило, в небольших организациях достаточно одного дерева доменов.Однако ничто не мешает создать несколько деревьев в лесу, разделив их к примеру по деятельности компании или по её дочерним/смежным предприятиям.

Контроллер домена - сервер на котором хранятся объекты конкретного домена. Как правило, для обеспечения отказоустойчивости, в каждом домене нужно иметь не менее двух контроллеров.
Контроллер домена также выступает в качестве хранилища всех аутентификационных данных пользователей, а учитывая, что аутентификация проводится с использованием протокола Kerberos, является еще и AS/TGS сервером.

Репликация - синхронизация объктов между контроллерами домена. Репликация выполняется в пределах одного домена.

Сайт AD - представляет из себя физически обособленную административную единицу структуры AD. Задача сайтов заключается в уменьшении трафика передаваемого в процессе репликации.

Глобальный каталог - роль контроллера домена заключающаяся в предоставлении сведений об универсальных ресурсах или ресурсах соседних доменов.В глобальном каталоге хранится полная копия всех объектов своего домена, частичная копия объектов соседних доменов, сведения об универсальных группах. Перечень атрибутов включаемых в глобальный каталог определяется схемой AD.

Глобальный каталог позволяет совершать поиск сведений по всему лесу, а также проверяет подлинность пользователей при их аутентификации в домене. Рекомендуется иметь как минимум один глобальный каталог в каждом домене, сайте, но не менее двух глобальных каталогов в лесу.Первый контроллер домена в схеме автоматически становится глобальным каталогом.

RODC - контроллер домена доступный только для чтения. Содержит копию всех объектов домена, может являтся глобальным каталогом, но при этом не позволяет вносить изменений.

Group policy - Совокупность определенных параметров ОС, приложений, которые могут быть назначены некоторым объектам. Политики хранятся в директории контроллера домена C:\Windows\SYSVOL\sysvol\ которая доступна всем пользователям домена.

Security principals - Объекты которые могут аутентифицироваться в домене. Объекты к которым могут быть применены group policy

Users - Security principal объект. Содержит в себе как реальных пользователей, так и сервисные учётки.

Computers - Security principal объект. Это специальная учётка (вида DC1$ для компьютера DC1) которая создается для каждого подключаемого к домену компьютеру. Имеют автоматически ротируемый пароль в 120 символов, зная который теоретически можно пройти аутентификацию (сам не пробовал). Сами по себе являются локальными администраторами своих компьютеров.

Security groups - Security principal объект. Представляет из себя группу в том понятии в котором определены группы в различных ОС.

Distributions groups - Специальный объект используемый для организации почтовых рассылок.

OU (Organizational unit) - организационная единица представляющая из себя контейнер для помешения в него объектов (в том числе новые OU).
OU используются для определения некоторого множества объектов для последующего применения к нему политик.

Containers - Определенные схемой AD объекты которые содержат в себе другие объекты (кроме OU и контейнеров)

FSMO роли

Несмотря на то, что все контроллеры домена в лесу - равнозначны, есть 5 ролей (операций) которые не могут быть назначены нескольким контроллерам одновременно. Такие роли называются Flexible single-master operations (операции с одним исполнителем). Далее с wikipedia:

FSMO - типы выполняемых контроллерами домена операций, требующие обязательной уникальности сервера, выполняющего данные операции. Всего существует 5 FSMO ролей:

  • Schema Master (Владелец схемы). Отвечает за внесение изменений в схему Active Directory.

  • Domain Naming Master (Владелец доменных имён). Отвечает за состав леса, принимает и удаляет домены.

  • Infrastructure Master (Владелец инфраструктуры домена) Поддерживает идентификаторы удаляемых или перемещаемых объектов на время репликации изменений (с удалением или перемещением) между контроллерами домена.

  • RID Master (Владелец относительных идентификаторов). Выдает пулы RID контроллерам домена. В случае, когда контроллер домена исчерпывает свой пул RID при очередном создании объекта, он запрашивает новый пул у RID-мастера.

  • PDC Emulator (Эмулятор основного контроллера домена). Является эталоном времени. Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT.

Роли Shema Master и Domain Naming Master уникальны в пределах леса.
Остальные роли уникальны в пределах домена.
Первый контроллер домена в схеме наделяется одновременно всеми FSMO ролями.

Отказ ролей FSMO не приводит к неработоспособности домена, однако делает невозможным многие операции, фактически переводя домен в режим "только чтение".

Для получения сведений о том кому какая роль принадлежит, можно использовать команду netdom query fsmo

Подробнее о FSMO ролях можно почитать на сайте Р.Карманова