Служба Active Directory представляет собой масштабируемую службу каталогов Active Directory, которая позволяет управлять сетевыми ресурсами.

Active Directory - это хранилище данных об объектах сети, занимающихся поиском средств для использования этих данных. Контроллером домена является компьютер, на котором работает Active Directory.

Данная технология базируется на стандартных интернет-протоколах и определяет структуру сети.

Определение Active Directory и DNS

В Active Directory применяется доменная система имен. Domen Name System — преобразующая группы компьютеров в домены служба Интернета. Домены DNS обладают иерархической структурой, разные уровни которой идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNS преобразовывает имена узлов в численные IP-адреса.

Доступ к ресурсам в домене обеспечивает полное имя узла. Домены верхнего уровня относятся к основе иерархии DNS и называются корневыми доменами. Обладают географической организацией, с названиями из двухбуквенных кодов стран (для России ru), по типу организации и по назначению (для военных организаций mil). Обычные домены называются родительскими. Они создают основу организационной структуры. Родительские домены делятся на поддомены отделений и удаленных филиалов.

Active Directory: облачная и наземная

На дворе 2022 год и уже никто не удивляется выражению "облачный сервис". Классическая установка Active Directory — "on-premise" или локальная AD, подразумевает расположение контроллеров домена, либо это локальные сервера или мощности арендованные в цоде. Облачная Active Directory представляет Azure AD.

Azure AD обеспечивает аутентификацию входа в облачные приложения, с гарантией доступа единого входа к используемым приложениям SaaS и др. Но Azure AD не является контроллером домена и не имеет возможностей оригинальной Active Directory. Серверы не могут быть добавлены В Azure AD, также отсутствует функция групповой политики и недоступна поддержка Kerberos, NTLM и др.

Azure AD взаимодействует с Microsoft AD, что обеспечивает доступ к SaaS и другим приложениям, но не способствует обработке локальных операций. Исключение составляет ситуация, когда бизнесом используются облачные приложения, без реальных локальных операций. В этом случае используется Azure AD.

Azure Active Directory поддерживает единый вход, что означает требование входа в систему, для начала использования разных служб Microsoft 365.

Подходит ли Azure AD для замены локальной версии?

В настоящий момент нет. Azure AD не является облачной копией оригинала. Что касается замены — при отсутствии устаревших приложений с требованием локального контроллера домена, можно заменить локальную AD на Azure AD. По некоторым сценариям желательно отказаться от локальной инфраструктуры.

До полного перехода на облако, рекомендуется использовать два решения для управления доступом облачных и локальных приложений.

Разница между локальным Active Directory и Azure AD в различии их структурирования. Известно, что Active Directory применяет организационные единицы и объекты групповой политики, а также позволяет администраторам визуализировать предприятие, тогда как Azure Active Directory не поддерживает объекты групповой политики, что может привести к ряду проблем:

• Из-за отсутствия организационных единиц в Azure AD нельзя создать домены, деревья и леса, как в обычной AD.
• Большая административная рабочая нагрузка как вывод из отсутствия организационных подразделений.
• Меньший контроль, так как Azure AD не поддерживает групповые политики и не позволяет контролировать функции и настройки устройства.

Составляющие Active Directory on-premise

Active Directory выполняет объединение физической и логической структур для компонентов сети, тогда как логические структуры организовывают объекты каталога и управляют сетевыми записями и ресурсами. К ним относятся следующие элементы:

• Организационное подразделение — подгруппа компьютеров, отражающая структуру компании;
• Контейнер — отличается от организационного подразделения, по сути являясь папкой, на которую не создается групповая политика в отличие от OU. Созданные по умолчанию Active Directory контейнеры невозможно удалить.
• Домен — группа использующих общую БД каталога компьютеров;
• Дерево доменов — один или несколько доменов, с непрерывным пространством имен;
• Лес доменов — одно или несколько деревьев, использующих информацию каталога.

Active Directory: организационные подразделения

Организационные подразделения — подгруппы в доменах, отражающие функциональную структуру организации. Представляют собой логические контейнеры для размещения учетных записей, общих ресурсов и др.

В ОП размещаются объекты из родительского домена, они удобны при формировании функциональной или бизнес-структуры организации.

ОП определяют групповую политику для ресурсов в домене, без применения ко всему домену. ОП позволяет создать управляемые представления объектов каталога для эффективного управления ресурсами.

С помощью организационных подразделений можно контролировать административный доступ к ресурсам домена и задавать рамки для администраторов в домене.

Внешне OU отличается от контейнера и имеет значок папка с папкой, что представлено на скриншоте.

Домен

Домен Active Directory — группа компьютеров, принтеров, пользователей, которые совместно используют общую БД каталога. Уникальные имена доменов Active Directory являются частью закрытой сети, имя нового домена не должно противоречить уже существующим доменам сети. Уникальность гарантируется регистрацией имени родительского домена через любую полномочную регистрационную организацию. Домены распределяются по нескольким физическим расположениям или состоят из нескольких сайтов, а сами сайты объединяют несколько подсетей.

Леса и деревья

Доменам Active Directory присваиваются DNS-имена типа microsoft.com. Совместно использующие данные каталога домены образуют лес.

Домены со смежной структурой имен называются деревом доменов. Не смежные DNS-имена позволяют образовывать отдельные деревья доменов в лесу.

Функции лесов регулируются функционалом трех режимов лес:

1. Windows 2000 — поддерживает контроллеры, под управлением Windows NT 4.0, Windows 2000 и др.;
2. промежуточный Windows Server 2003 — поддерживает контроллеры, под управлением Windows NT 4.0 и Windows Server 2003 и выше;
3. Windows Server 2003 — поддерживает контроллеры, под управлением Windows Server 2003 и выше.

Сайты Active Directory

Сайт — это группа компьютеров в IP-подсетях, сформированная для планирования физической структуры сети. Active Directory создает множество сайтов в одном домене или один сайт с охватом многих доменов.

Местоположение в подсети приписывает компьютеры к сайтам. Взаимодействующие в подсети высокоскоростные компьютеры называются хорошо связанными. Из таких подсетей и компьютеров состоят сайты. При низкой скорости обмена между подсетями и компьютерами потребуется создание нескольких сайтов.

При входе клиента в домен производится поиск локального контроллера домена в сайте клиента, т. е. в начале затрагиваются локальные контроллеры. Этот момент ограничивает сетевой трафик, а также ускоряет аутентификацию.

Информация каталога реплицируется внутри сайтов, что снижает межсетевой трафик и гарантирует быстрое получение обновленной информации локальными контроллерами доменов.

Основная часть нагрузки от репликации ложится на специализированный сервер, сайты и подсети, которые настраиваются в консоли Active Directory.

Работа с доменами Active Directory
Active Directory в сети Windows Server 2003 настраивается одновременно с DNS, но назначение у них разное. С помощью доменов Active Directory происходит управление учетными записями, защитой и ресурсами.

Функционирующие под управлением Windows XP Professional и Windows 2000 компьютеры могут воспользоваться преимуществами Active Directory. Им доступны транзитивные отношения, которые позволяют авторизованным пользователям получить доступ к ресурсам в любом домене леса.

Windows Server 2003 выполняет обязанности контроллера домена и рядового сервера. В домене бывает несколько контроллеров, которые реплицируют данные каталога по модели репликации с несколькими хозяевами. Структура с несколькими хозяевами обеспечивает по умолчанию всех контроллеров равной ответственностью.

Для выполнения определенных задач требуется выделенный сервер. Обрабатывающий специфический тип задач сервер, называется хозяином операций.

Присоединенные к домену компьютеры имеют учетные записи, которые хранятся в виде объектов Active Directory. Учетные записи компьютеров управляют доступом к сети и ее ресурсам.

Каталог
Пользователи могут ознакомиться с данными каталога через хранилище данных и глобальные каталоги. ГК не менее важны благодаря их использованию при входе в систему и для поиска информации. При недоступности ГК обычные пользователи не смогут попасть в домен.

Репликация пригодится для распространения обновленных данных на контроллеры. Важную роль играет репликация с несколькими хозяевами и др. Способ ее выполнения изменился по разделам каталога приложений. Системные администраторы создают репликации в виде логических структур, которые используются для управления репликацией в леса доменов.

Хранилище данных
В хранилище размещены сведения об объектах службы каталогов Active Directory, а именно об учетных записях, ресурсах, ОП и др. Хранилище данных можно назвать каталогом. Предоставление информации каталога называется публикацией. Допустим, открывая в сети принтер, его публикуют; также сообщается информация об общей папке и др.

Глобальный каталог
При отсутствии локального кэширования членства в универсальных группах, вход в сеть осуществляется на основе информации предложенной ГК. Обеспечивается поиск в каталоге по доменам леса. Играющий роль сервера ГК контроллер, хранит полную реплику объектов каталога своего домена и неполную реплику объектов остальных доменов.

Для входа в систему достаточно частичных реплик, для их формирования при репликации передается меньше данных, что ведет к снижению сетевого трафика.

Сервером ГК выбирается первый контроллер домена, а если в домене один контроллер, то сервер ГК и контроллер домена совпадают. При размещении ГК на другом контроллере сокращается время ожидания ответа при входе в систему и ускоряется поиск. Создается по одному ГК в каждом сайте домена.

Проблему можно решить несколькими способами. Например, путем создания сервера ГК на контроллере домена в удаленном офисе, но с одним недостатком — увеличение нагрузки на сервер ГК.

Еще один способ — кэширование членства в универсальных группах. Контроллер домена обслуживает запросы локально, без обращения к серверу ГК. Процедура входа в систему ускоряется, трафик репликации снижается.

Обновления ГК по всей сети не требуется, достаточно обновить информацию в кэше. Обновление происходит через восемь часов на каждом контроллере домена, где используется локальное кэширование членства в универсальной группе.

Active Directory: репликация
Контроллер домена реплицирует информацию схемы для леса, а также информацию о конфигурации для доменов леса и набор свойств для объектов каталога в лесу и др.

Active Directory и LDAP
Для связи с компьютером клиенты Active Directory применяют LDAP, с Active Directory. LDAP работает на упрощение переходов на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory.

Active Directory: администрирование
Служба Active Directory создает учетные записи компьютеров, подключает их к домену, управляет компьютерами, контроллерами домена и др.

Для управления используются средства администрирования и поддержки, а также перечисленные ниже инструменты:

1. Active Directory — позволяет управлять пользователями, компьютерами и организационными подразделениями;
2. Active Directory — служит для проведения действий с доменами, лесами и деревьями доменов;
3. Active Directory — позволяет управлять подсетями и сайтами;
4. Результирующая политика используется для просмотра политики пользователя и др.;
5. В Microsoft Windows 2003 Server предоставлен доступ к оснасткам напрямую из меню Администрирование.