Active Directory Slovníček – Pojmy a Základní Pojmy

V tomto příspěvku, budu na seznamu a vysvětlit nejčastěji používané terminologie v Active Directory a souvisejících technologií.

Pokud jste ve službě Active Directory nováčkem, bude to skvělý zdroj pro seznámení se základy služby Active Directory a základními pojmy.

seskupil jsem pojmy do různých sekcí, abych usnadnil pochopení a odkaz. Některá témata mohou být velmi technická, poskytl jsem krátkou a snadno srozumitelnou terminologii. Na konci každé sekce pak poskytnu další zdroje, pokud se chcete dozvědět více.

obsah:

• Active Directory, Základy – Start
• Active Directory Services
• Active Directory, DNS
• Replikace služby Active Directory
• Active Directory, Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)
• Active Directory Konzoly pro Správu
• DHCP
• zásady Skupiny

služby Active Directory Základy

Tyto jsou základní pojmy, měli byste být obeznámeni s při jednání s Active Directory.

Active Directory

Active Directory je adresářová služba, která centralizuje správu uživatelů, počítačů a dalších objektů v rámci sítě. Jeho primární funkcí je ověřování a autorizace uživatelů a počítačů v doméně windows. Například, když se uživatel přihlásí do počítače v doméně kontroluje uživatelské jméno a heslo, které byly předloženy k ověření účtu. Pokud se jedná o platné uživatelské jméno a heslo, uživatel je ověřen a přihlášen do počítače.

nenechte se zmást s následujícími třemi termíny, které všechny odkazují na Active Directory.

• REKLAMA – To je jen zkratka pro Active Directory
• AD DS – To je server, který je spuštěna služba Active Directory Domain Services Role
• Řadič Domény – To je také server se službou Active Directory Domain Service Roli. Z důvodů převzetí služeb při selhání se doporučuje mít více řadičů domény.

Doména

doména je logická struktura kontejnerů a objektů v rámci služby Active Directory. Doména obsahuje následující součásti:

• hierarchická struktura pro uživatele, skupiny, počítače a další objekty
• Bezpečnostní služby, které poskytují ověřování a oprávnění k prostředkům v doméně a jiných doménách
• Politik, které jsou použity pro uživatele a počítače
• název DNS k určení domény. Když se přihlásíte do počítače, který je součástí domény, přihlašujete se do názvu domény DNS. Moje doména DNS je ad.activedirectorypro.com, takto je identifikována moje doména.

doménový strom

Když přidáte podřízenou doménu do nadřazené domény, vytvoříte to, čemu se říká doménový strom. Doménový strom je jen řada domén propojených hierarchicky, všechny používají stejný jmenný prostor DNS. Pokud activedirectorypro.com bylo přidat doménu nazvanou školení, nebo videa, která by byla pojmenována training.activedirectorypro.com a videos.activedirectorypro.com. Tyto domény jsou součástí stejného doménového stromu a mezi rodičovskou a podřízenou doménou se automaticky vytvoří důvěra.

funkční úrovně

FSMO

řadič domény má několik funkcí, které jsou označovány jako role FSMO. Všechny tyto role jsou nainstalovány na prvním řadiči domény v Novém lese, můžete přesouvat role napříč více dc, abyste pomohli s výkonem a selháním při selhání.

• Schema Master-hlavní schéma je role pro celý les, která zpracovává všechny změny schématu služby Active Directory.
• Domain Naming Master – Jedná se o roli v celém lese, která je mistrem doménových jmen. Zpracovává jmenný prostor a přidávání odebrání doménových jmen.
• PDC Emulator-tato role zpracovává změny hesla, blokování uživatelů, Zásady skupiny a je časovým serverem pro klienty.
• rid Master-tato role je zodpovědná za zpracování požadavků rid pool ze všech DC v doméně. Když jsou vytvořeny objekty, jako jsou uživatelé a počítače, dostanou přiřazen jedinečný SID a relativní ID (RID). Hlavní role RID zajišťuje, že objektům nejsou přiřazeny stejné SID a RIDs.
• hlavní server Infrastruktury – To je doména široký úloha použita pro referenční objekty v jiných doménách. Pokud jsou uživatelé z domény a členy skupiny zabezpečení v doméně B, použije se hlavní role infrastruktury pro odkaz na účty ve správné doméně.

objekty

při práci s Active Directory budete primárně pracovat s objekty. Objekty jsou definovány jako skupina atributů, které představují prostředek v doméně. Těmto objektům je přiřazen jedinečný identifikátor zabezpečení (Sid), který slouží k udělení nebo odepření přístupu objektu ke zdrojům v doméně. Výchozí typy objektů vytvořené v nové doméně ve službě Active Directory jsou:

• Organizační jednotka (OU) – OU je objekt kontejneru, který může obsahovat různé objekty ze stejné domény. Budete používat ou k ukládání a organizaci, uživatelských účtů, kontaktů, počítačů a skupin. Objekty zásad skupiny také propojíte s OU.
• uživatelé-uživatelské účty jsou přiřazeny primárně uživatelům, aby získali přístup k prostředkům domény. Mohou být také použity ke spouštění programů nebo systémových služeb.
• počítač-jedná se jednoduše o počítač, který je připojen k doméně.
• skupiny-existují dva typy objektů, skupina zabezpečení a distribuční skupina. Skupina zabezpečení je seskupení uživatelských účtů, které lze použít k zajištění přístupu ke zdrojům. Distribuční skupiny se používají pro seznamy distribuce e-mailů.
• kontakty-Kontakt se používá pro e-mailové účely. Nemůžete se přihlásit k doméně jako kontakt a nelze ji použít k Zabezpečení Oprávnění.
• Sdílená složka – když publikujete sdílenou složku ve službě Active Directory, vytvoří objekt. Publikování sdílených složek do reklamy usnadňuje uživatelům najít sdílené soubory a složky v doméně.
• sdílet tiskárnu – stejně jako sdílené složky můžete publikovat tiskárny do služby Active Directory. To také usnadňuje uživatelům najít a používat tiskárny v doméně.

LDAP (Lightweight Directory Access Protocol)

služby Active Directory Služby

Active Directory zahrnuje několik dalších služeb, které spadají pod Služby Active Directory Domain services, tyto služby zahrnují:

Active Directory Certificate Services (AD CS)

Toto je role serveru, která umožňuje vybudování infrastruktury veřejných klíčů (PKI) a poskytnout digitální certifikáty pro vaši organizaci. Certifikáty lze použít k šifrování síťového provozu, provozu aplikací a slouží k ověření uživatelů a počítačů. Když vidíte https v adrese prohlížeče, znamená to, že používá certifikát k šifrování komunikace z klienta na server.

Služby Active Directory Domain services (AD DS)

Viz Active Directory popis

Active Directory Federation Services (AD FS)

Active Directory Lightweight Directory Services (AD LDS)

zóny

DNS Aging and Scavenging

Toto je funkce, kterou lze povolit, aby pomohla automatizovat vyčištění zastaralých záznamů DNS. Vytvořil jsem samostatný příspěvek, který vysvětluje více a poskytuje pokyny krok za krokem pro konfiguraci stárnutí DNS a úklidu.

záznamy SRV používané službou Active Directory

v doméně Windows jsou záznamy SRV používány klienty k vyhledání řadičů domény pro službu Active Directory. Při instalaci služby AD DS proces automaticky vytvoří záznamy SRV pro službu Active Directory.

• Active Directory vytvoří jeho záznamy SRV v následujících složkách, kde Název_domény je název vaší domény:
  • Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_tcp

Zde je screenshot z mé DNS:

Předávání

DNS servery pro předávání jsou servery, které vyřešit názvy hostitelů, že vaše vnitřní DNS server nemůže vyřešit, a to především externí domény, např. procházení internetu. Můžete nastavit předávání požadavků DNS na libovolný server podle vašeho výběru, často se používá ISP.

kořenové rady

kořenový tip server je další metoda k vyřešení názvů hostitelů, které váš interní server nemůže vyřešit. Rozdíl je v tom, že tyto servery slouží jako kořenová zóna DNS pro internet. Jsou spravovány několika velkými organizovanými pro bezpečnost a redundanci. K vyřešení externích jmen můžete použít buď kořenové rady, nebo dopředu.

zdroje:

Kompletní Seznam DNS záznam prostředku typy

Jak ověřit, že DNS SRV záznamy byly vytvořeny pro řadič domény

Root Hints vs Vyvážecí

DNS Nejlepší Postupy,

Replikace služby Active Directory

Replikace je proces, který zajišťuje, že změny provedené na jednom řadiči domény jsou replikovány do ostatních řadičů domény v doméně.

Připojení Objektů

připojení objektu specifika, které řadiče domény replikovat s ostatními, jak často a jejich kontextů názvů.

KCC

Kontrola Konzistence Znalostí (KCC) je proces, který běží na všech řadičích domény a generuje topologie replikace na základě lokalit, podsítí a odkazů na objekty.

podsítě

podsíť je logická část IP sítě. Podsítě se používají ke skupině zařízení do konkrétní sítě, často podle umístění, budovy nebo podlahy. Pokud máte vícemístné prostředí, služba Active Directory potřebuje vědět o vašich podsítích, aby mohla správně identifikovat nejúčinnější zdroje. Pokud tyto informace nejsou poskytovány, mohou klienti ověřit a použít nesprávný řadič domény.

Site

web je sbírka podsítí. Weby služby Active Directory pomáhají definovat tok replikace a umístění prostředků pro klienty, jako je řadič domény.

odkaz na stránky

odkazy na stránky umožňují konfigurovat, které weby jsou navzájem propojeny.

most propojení stránek

most propojení stránek je logické spojení mezi weby. Jedná se o metodu, která logicky reprezentuje přechodnou konektivitu mezi weby.

topologie webu

topologie webu je mapa, která definuje síťové připojení pro replikaci a umístění zdrojů v lese služby Active Directory. Topologie webu je konzistentní několika komponent včetně webů, podsítí, odkazů na stránky, mostů odkazů na stránky a objektů připojení.

replikace uvnitř webu

toto je replikace, která se vyskytuje mezi řadiči domény na stejném místě.

replikace mezi weby

v prostředí s více weby musí být změna jednoho webu replikována na druhý web. Tomu se říká replikace mezi weby.

Zdroje:

Jak Replikace služby Active Directory Funguje

Active Directory Replikace Koncepty,

služby Active Directory Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)

Kerberos

Kerberos je protokol zabezpečení, který bezpečně umožňuje uživatelům, aby prokázal svou totožnost, aby získali přístup k prostředkům v doméně.

Centrum Distribuce Klíčů (KDC)

KDC je služba, která běží na řadiči domény a dodávky lístky relace použité v protokolu Kerberos pro ověřování.

Service Principal Names (SPN)

SPN je jedinečný identifikátor instance služby.

NTLM

NTLM je soubor bezpečnostních protokolů používaných k ověřování, poskytování integrity a důvěrnosti uživatelům. Kerberos je preferovaný ověřovací protokol a používá se v moderních verzích Windows, NTLM je stále k dispozici pro starší klienty a systémy na workgroup.

oprávnění NTFS

oprávnění NTFS vám umožňují definovat, kdo je oprávněn přistupovat k souboru nebo složce. Níže je uveden seznam základních oprávnění, která můžete nastavit:

• plná kontrola-to dává uživatelům práva přidávat, upravovat, přesouvat a mazat soubory a složky.
• Změnit – umožňuje uživatelům prohlížet a práva upravit
• Přečtěte si & Spustit – umožňuje uživatelům prohlížet a spouštět práva
• Přečíst – připraven jen práva
• Napsat – přímo do souboru a přidat nové složky

Share Permissions

Sdílet oprávnění definovat úrovně přístupu ke sdíleným zdrojům, jako jsou složky. Existují tři základní sdílená oprávnění:

• Read-dává uživatelům zobrazit práva ke složce a podsložkám
• Change-dává uživatelům číst a upravovat práva
• plná kontrola-dává uživatelům upravovat, měnit a číst práva.

diskreční seznam řízení přístupu (DACL)

DACL identifikuje, jaký účet umožňuje nebo odepírá přístup k objektu, jako je soubor nebo složka.

Položky Řízení Přístupu (ACE)

DACL obsahuje Esa, ESO definuje, jaký účet a jakou úroveň přístupu má být poskytnuté zdroje. Pokud není přítomen žádný ACE systém odepře veškerý přístup k objektu.

System Access Control List (SACL)

SACL umožňuje administrátorům zaznamenávat pokusy o přístup k objektu zabezpečení.

Fine Grained Password Policy

Zdroje:

Kerberos pro Zaneprázdněné Admin

Ověřování systému Windows Technický Přehled

Rozdíly Mezi Sdílení a Oprávnění systému souborů NTFS.

Seznamy Řízení Přístupu

služby Active Directory Konzoly pro Správu

Tento oddíl zahrnuje konzoly pro správu, budete muset použít ke správě různých Active Directory technologie. Pro přístup k těmto konzolám pro správu budete muset nainstalovat nástroje pro vzdálenou správu serveru (RSAT).

Active Directory Users and Computers (ADUC)

Toto je nejčastěji používaná konzole pro správu uživatelů, počítačů, skupin a kontaktů.

zkratka: dsa.msc

Active Directory Administrative Center (ADAC)

domény a trusty služby Active Directory

tato konzola se používá ke zvýšení režimu domény nebo funkční úrovně domény nebo lesa. Používá se také ke správě vztahů důvěry.

Active Directory Sites and Services

Toto je hlavní konzola pro správu replikace. Tato konzola se používá ke správě objektů topologie webu, objektů připojení, replikace plánu, ruční vynucení replikace, povolení globálního katalogu a povolení ukládání do mezipaměti univerzální skupiny.

Správa DFS

tato konzola se používá ke správě jmenných prostorů DFS a replikace DFS.

DHCP

tato konzola se používá k vytváření rozsahů DCHP, zobrazení informací o pronájmu a všech věcí DHCP.

DNS

tato konzola se používá k vytváření DNS zón, záznamů zdrojů a správě všech věcí DNS.

Správa zásad skupiny

PowerShell

zdroje:

Dynamic Host Control Protocol (DHCP)

rozsah

• název rozsahu – toto je název rozsahu. Dejte mu popisný název, takže je snadné určit, pro která zařízení je určen.
• rozsah IP adres – toto je rozsah IP, který chcete, aby zařízení používala. Například 10.2.2.0 / 24
• vyloučení IP adresy – můžete zadat vyloučení IP adresy z rozsahu. To je užitečné, pokud máte v podsíti zařízení, která potřebují statickou IP adresu, jako je router nebo server.
• doba trvání leasingu-leasing určuje, jak dlouho má klient IP adresu, než ji vrátí do fondu.
• Možnosti DHCP – existuje řada různých možností, které můžete zahrnout, když DHCP přiřadí IP adresu. Více o tomto níže

možnosti DHCP

existuje mnoho možností DCHP, níže jsou nejčastěji používané možnosti v doméně Windows.

• 003 router-výchozí brána podsítě
• 005 DNS server-IP adresa klientů serveru DNS by měla být použita pro rozlišení názvu.
• 015 název domény DNS-přípona DNS, kterou by měl klient používat, často stejná jako název domény.

filtrování DHCP

filtrování DHCP lze použít k odepření nebo povolení zařízení na základě jejich MAC adresy. Používám jej například k blokování připojení mobilních zařízení k naší zabezpečené wifi.

Superscopes

superscope je sbírka jednotlivých rozsahů DHCP. To lze použít, když se chcete připojit k rozsahům společně. Upřímně, nikdy jsem to nepoužil.

rozdělené rozsahy

Jedná se o způsob zajištění odolnosti proti chybám pro rozsah DHCP. Použití převzetí služeb při selhání DHCP není preferovanou metodou pro odolnost proti chybám.

DHCP Failover

DCHP failover byla nová funkce začínající ve verzi serveru 2012. Umožňuje dvěma serverům DHCP sdílet informace o pronájmu a poskytovat vysokou dostupnost služeb DCHP. Pokud se jeden server stane nedostupným, převezme jej druhý server.

zdroje:

parametry DHCP

Zásady skupiny

Zásady skupiny umožňují centrálně spravovat nastavení uživatele a počítače. Zásady skupiny můžete použít k nastavení zásad hesel, zásad auditu, uzamčení obrazovky, mapových jednotek, nasazení softwaru, jedné jednotky, nastavení sady office 365 a mnoho dalšího.

objekty zásad skupiny (GPO)

GPO jsou Soubor Nastavení zásad, které používáte pro počítače nebo uživatele.

obnovovací frekvence zásad skupiny

klientské pracovní stanice a členské servery obnovují své zásady každých 90 minut. Aby se zabránilo ohromující řadiče domény jejich je náhodný offset interval přidán do každého počítače. Tím se zabrání tomu, aby všechny stroje požadovaly aktualizace zásad skupiny z DC současně a potenciálně je zhroutily.

Zpracování Zásad

zásady Skupiny použijí v následujícím pořadí

• Lokální
• Stránky
• Doména
• Organizační Jednotka (OU)

Blokovat dědičnost

ve výchozím nastavení, objekty zásad skupiny jsou dědičné. Chcete-li změnit toto chování, můžete použít možnost dědičnosti bloků na úrovni OU.

no Override

Pokud chcete zásady vynutit a zabránit jejich blokování, použijte volbu No override.

uživatelská nastavení

v GPO jsou uživatelská a počítačová nastavení. Uživatelská nastavení se vztahují pouze na uživatelské objekty. Pokud v GPO nakonfigurujete uživatelská nastavení, musí být GPO aplikován na uživatelské objekty.

nastavení počítače

nastavení počítače v GPO jsou nastavení, která lze použít na počítač. Pokud nakonfigurujete nastavení počítače, musí být GPO aplikován na objekty počítače.

výsledná sada zásad (RsoP)

výsledná sada zásad je nástroj společnosti Microsoft, který je zabudován do Windows 7 a novějších verzí. Poskytuje správcům zprávu o tom, jaká nastavení zásad skupiny se aplikují na uživatele a počítače. Lze jej také použít k simulaci nastavení pro účely plánování.

mám kompletní návod v mém článku Jak používat RSoP ke kontrole a odstraňování nastavení zásad skupiny.

Předvolby zásad skupiny

Předvolby zásad skupiny se primárně používají ke konfiguraci nastavení, která lze později změnit na úrovni klienta. Předvolby mají také možnost provádět pokročilé cílení, jako je použití na určitou OU, verzi systému Windows, uživatele ve skupině atd. Preference jsou běžně používány následující konfiguraci:

• Mapování Jednotky
• nastavení Registru
• Instalace tiskárny
• Plán úkolů
• Nastavit oprávnění souborů a složek
• Nastavit nastavení napájení

Šablony

můžete nainstalovat další šablony zásady skupiny rozšíření výchozí Gpo dodávané společností Microsoft. Některé běžné použité šablony jsou Office 365, Chrome, Firefox a ty, které dodávají aplikace třetích stran. Šablony jsou soubory založené na xml obvykle ve formátu ADM nebo ADMX příponu souboru.

zdroje:

Architektura zásad skupiny

přehled zásad skupiny

uniklo mi něco? Máte co sdílet? Dejte mi vědět v komentářích níže.