Active Directory

1. Active Directory

2.

1. Идентификация – это процедура распознавания субъекта по его идентификатору.
Идентификация (от латинского identifico — отождествлять) — это процедура
распознавания субъекта по его идентификатору (проще говоря, это определение
имени, логина или номера). Идентификатором может быть логин, номер телефона,
номер паспорта, e-mail, номер страницы в социальной сети и т.д.

3.

2. Аутентификация – это процедура проверки подлинности.
Аутентификация (от греческого: αυθεντικός ; реальный или подлинный) – это
процедура проверки подлинности (пользователя проверяют с помощью
пароля, письмо проверяют по электронной подписи и т. д.)
Как можно проходить аутентификацию:
- Пароль – то, что мы знаем (слово, PIN-код, код для замка, графический ключ)
- Устройство – то, что мы имеем (пластиковая карта, ключ от замка, USB-ключ)
- Биометрика – то, что является частью нас (отпечаток пальца, портрет, сетчатка
глаза)

4.

3. Авторизация – это предоставление доступа к какому-либо ресурсу.
Авторизация является функцией определения прав доступа к ресурсам и управления
этим доступом. Авторизация — это не то же самое что идентификация и
аутентификация: идентификация — это называние лицом себя системе;
аутентификация
—
это
установление
соответствия
лица
названному
им
идентификатору; а авторизация — предоставление этому лицу возможностей в
соответствие с положенными ему правами или проверка наличия прав при попытке
выполнить какое-либо действие.
Примеры авторизации:
- Открытие двери после проворачивания ключа в замке
- Доступ к электронной почте после ввода пароля
- Разблокировка смартфона после сканирования отпечатка пальца
- Выдача средств в банке после проверки паспорта и данных о вашем счете

5.

Все три процедуры взаимосвязаны:
- Сначала определяют имя (логин или номер) – идентификация
- Затем проверяют пароль (ключ или отпечаток пальца) – аутентификация
- И в конце предоставляют доступ – авторизация

6.

Active Directory (AD) — это служебные программы, разработанные для
операционной системы Microsoft Server. Первоначально создавалась в
качестве облегченного алгоритма доступа к каталогам пользователей. С
версии Windows Server 2008 появилось интеграция с сервисами авторизации.
Дает возможность соблюдать групповую политику, применяющую
однотипность параметров и ПО на всех подконтрольных ПК с помощью System
Center Configuration Manager. Если простыми словами для начинающих – это
роль сервера, которая позволяет из одного места управлять всеми доступами
и разрешениями в локальной сети.

7. Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств,
позволяющий проводить манипуляции с пользователями и данными сети.
Основная цель создания – облегчение работы системных администраторов в
обширных сетях.
Каталоги содержат в себе разную информацию, относящуюся к юзерам,
группам, устройствам сети, файловым ресурсам — одним словом,
объектам. Например, атрибуты пользователя, которые хранятся в каталоге
должны быть следующими: адрес, логин, пароль, номер мобильного
телефона и т.д. Каталог используется в качестве точки аутентификации, с
помощью которой можно узнать нужную информацию о пользователе.

8. Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые
применяются при работе с AD:
1.
Сервер – компьютер, содержащий все данные.
2.
Контроллер – сервер с ролью AD, который обрабатывает
запросы от людей, использующих домен.
3.
Домен AD — совокупность устройств, объединенных под
одним уникальным именем, одновременно использующих
общую базу данных каталога.
4.
Хранилище данных — часть каталога, отвечающая за хранение
и извлечение данных из любого контроллера домена.

9. Как работает Active Directory

Основными принципами работы являются:
1.
Авторизация, с помощью которой появляется возможность воспользоваться ПК в сети
просто введя личный пароль. При этом, вся информация из учетной записи
переносится.
2.
Защищенность. Active Directory содержит функции распознавания пользователя. Для
любого объекта сети можно удаленно, с одного устройства, выставить нужные права,
которые будут зависеть от категорий и конкретных юзеров.
3.
Администрирование сети из одной точки. Во время работы с Active Directory
сисадмину не требуется заново настраивать все ПК, если нужно изменить права на
доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
4.
Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства
обозначаются точно так же, как и во всемирной паутине.
5.
Крупные масштабы. Совокупность серверов способна контролироваться одной Active
Directory.
6.
Поиск производится по различным параметрам, например, имя компьютера, логин.

10. Объекты и атрибуты

Объект — совокупность атрибутов,
объединенных под собственным
названием, представляющих собой
ресурс сети.
Пример:
Атрибут — характеристики объекта в
каталоге. Например, к таким
относятся ФИО пользователя, его
логин. А вот атрибутами учетной
записи ПК могут быть имя этого
компьютера и его описание.
“Сотрудник” – объект, который обладает
атрибутами “ФИО”, “Должность” и “ТабN”

11. Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих
общие схему и конфигурацию, которые образуют общее
пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт — совокупность устройств в IP-подсетях, представляющая
физическую модель сети, планирование которой совершается
вне зависимости от логического представления его построения.
Active Directory имеет возможность создания n-ного количества
сайтов или объединения n-ного количества доменов под одним
сайтом.

12.

13.

Совокупность доменов, использующих единую схему каталога,
называется лесом доменов. Входящие в лес домены могут не образовывать
"непрерывного" пространства смежных имен. Совокупность доменов,
образующих непрерывное пространство смежных имен,
называют деревом доменов.
Первое созданное в лесу доменов дерево является корневым деревом.
Первый домен, созданный в лесу доменов, называется корневым доменом
леса. Корневой домен леса играет очень важную роль, связывая деревья,
образующие лес доменов, воедино и поэтому не может быть удален. В
частности, он хранит информацию о конфигурации леса и деревьях
доменов, его образующих.
Чаще всего в организациях используют самую простую структуру. Один лес
и в нем корневой домен, который содержит различные объекты, такие как
пользователи и компьютеры. Развитая структура встречается в основном в
крупных компаниях, с большим штатом ИТ-специалистов и разными
уровнями ответственности.