[es] - Active Directory FAQ

Mihailo
Mihailo Đorić

Član broj: 1016
Poruke: 2875
*.verat.net

Profil

Re: FAQ - Windows Administration & Security

^{11.03.2002. u 18:38}

Q: Sta je Active directory (AD)?
A: Servis Active directory je directory serivce (DS; servis direktorijuma) implementiran u Windows 2000. Koncept directory service-a je preuzet sa Novell i UNIX operativnih sistema, a rešenje koje je primenjeno u Windows-u 2000 je dosta unapređena verzija prisutna kod Windows NT. AD možemo opisati kao integrisan skup rešenja za distribuciju podataka, organizaciju resursa, sigurnost i administraciju mreže. Oslanja se na Domain name system (DNS) za lociranje resursa i određivanje prostora imena domena (namespace). AD koristi LDAP (Lightweight directory access protocol) koji omogućuje i povezivanje sa drugim tipovima mreža. AD servis omogućava centralizovanu administraciju - sa jednog računara moguće je kontrolisati sve resurse mreže (korisničke naloge, mrežne konekcije, računare, štampače itd.) gde god se oni nalazili. Servis AD podržava sledeće protokole: LDAP, MAPI-RPC i delimično X.500.

Šema servisa AD drži definiciju sadržaja i strukture AD baze (nalazi se u fajlu ntds.dit). To podrazumeva atribute, klase i osobine klasa. Za svaku klasu objekta u šemi određeno je koje atribute objekat mora da ima, koje može (a ne mora) da ima i koja klasa može da bude nadređena toj klasi. Kada se AD instalira na prvom računaru u mreži (taj računar je root DC ili Global catalogue server, GC) formira se default ('podrazumevana') šema koja sadrži definicije objekata i svojstva koja se najčešće koriste (users, groups, computer, printers, itd.). Default šema takođe sadrži definicije objekata i osobina koje AD koristi interno. Šema (koja se čuva u GC) je proširiva, tako da je moguće dodatvati nove vrste objekata i atributa. Svaki objekat u AD ima jedinstveno ime (DN; distinguished name) koje sadrži putanju do objekta. Primer user-a:

DC=ORG/DC=Elitesecurity/CN=Users/CN=Mihailo
-DC=Domain component; CN=Common name
-domen:elitesecurity.org; objekat:User_Mihailo

Osim DN, svaki objekat u AD ima jedinstven identifikator - GUID (globally unique identifier; atribut: objectGUID) 128bit broj koji se dodeljuje objektu prilikom pravljenja i ne može da se menja. Dok je SID (security ID) kod Windows NT4 važio u jednom domenu, GUID važi u svim domenima. Svi objekti u AD su zaštićeni listama za kontrolu pristupa (ACL; access control list) koje određuju ko ima pravo da pristupa i menja podatke.

DSA (Directory system agent) - izgrađuje hijerahiju na osnovu odnosa parent-child koji postoje u AD i obezbeđuje API-je (application programming interface) za pozive pristupa AD. Komuikacija sa AD se obavlja preko LDAP-a, RPC (remote procedure call), SAM (security accounts manager, prisutan zbog kompatibilnosti sa Windows NT 4.0) i MAPI (messaging API). Database layer (sloj baze podataka) -
povezuje (odvaja) aplikacije od baze podataka. ESE (Extensible storage engine) - direktno pristupa zaspisima u bazi podataka.

LDAP ----- RPC ----- SAM [NT4] ---- MAPI
--|------------|------------|---------------|------------
DSA
---------------------------------------------------------
database layer
---------------------------------------------------------
extensible storage engine [ntds.dit]
---------------------------------------------------------

Za konzolnu ( "command prompt" ) administraciju AD baze (ntds.dit) se koristi ntdsutil.exe alat. Ako se izovde direktne operacije nad samom bazom (ne nad objektima) npr. premeštanje na drugi disk, računar mora da se startuje u "Directory services restore mode".

abogda ti devojka bila tražena

^{11.03.2002. u 18:38}

Mihailo
Mihailo Đorić

Član broj: 1016
Poruke: 2875
*.verat.net

Profil

Re: FAQ - Windows Administration & Security

^{13.03.2002. u 14:12}

Q: Šta je Active directory šema?
A: Active directory (AD) šema je skup definicija koje određuju vrste objekata i atribute objekata koji mogu da se nalaze u AD bazi. Definicije se takođe nalaze u obliku AD objekata tako da je moguće koristiti iste operacije za rad sa definicijama kao i svim ostalim AD objektima. Postoje dve vrste definicija: atributi i klase. Atributi i klase se zovu i šema objekti ili metadata ("podaci o podacima"). Atributi se definišu jednom i mogu se koristiti u više klasa. Klase (ili klase objekata) opisuju moguće AD objekte koji mogu biti napravljeni. Svaka klasa je skup atributa. Kada napravimo objekat, atributi čuvaju informacije koje opisuju taj objekat. Npr. user klasa ima sledeće atribute: full name, e-mail, home directory.

Kada instaliramo AD dobićemo set predefinisanih klasa i atributa koji dolaze uz Windows 2000 Server. Moguće je definisati nove klase i atribute za već postojeće klase. Npr. možemo gore navedenoj user klasi da dodamo web home page atribut. Šema objekti (klase i atributi) ne mogu da se brišu, ali ih je moguće "deaktivirati". Struktura i sadržaj šeme se kontroliše na DC koji ima ulogu "šema master-a" (schema operations master role; može biti samo jedan šema master u forest-u i za promenu šeme mora se logovati na taj računar). Kopija šeme se replicira svim DC-ima u forest-u. Najbolji način za proširivanje šeme je ADSI (AD service interfaces; detalje potražite u Windows 2000 SDK) kao i AD šema snap-in za MMC (Microsoft management console; mmc.exe).

Q: Sta je domain tree/forest?
A: Svaki domen je definsan DNS imenom i zahteva najmanje jedan DC. Ako više domena dele zajednički prostor imena (contignous DNS domain names, npr. corp.es.org i support.es.org), takva struktura se naziva domain tree ("stablo domena"). Ako domeni ne dele zajednički prostor imena (npr. corp.es.org, support.es.org i usa.elite.com, eu.elite.com) a imaju isti root domen, dele šemu i imaju uspostavljene trust odnose ("trust relationship"), onda oni čine odvojena domenska stabla u zajedničkoj šumi (domain forest). Prvi domen u šumi se zove "forest root domain" i na njemu se nalazi GC (global catalogue) za taj forest.
[img]http://www.elitesecurity.org/poruka.php?Action=getfile&MessageID=53814[/img]

Q: Sta je Domain cotroller / Global catalogue server?
A: Microsoft ovako definise DC: "Domen kontroler je kompjuter sa Winsows 2000 Server-om koji je konfigurisan pomocu Active directory installation wizard-a". Ova definicja je delimično tacna, jer se dotični wizard (dcpromo.exe) koristi i za uklanjanje ("demote") DC-a, tako da računar ovako opisan ne mora obavezo da bude aktivni DC. Možemo reći da je DC računar koji čuva AD bazu, određuje odnose između korisnika i domena (login, autentikacija) i omogućuje pretragu i menadžement AD podataka i baze. DC čuva podatke samo za svoj domen i svaki domen mora immati najmanje jedan DC. Domen može imati i više DC-a, po potrebi(više DC-a donosi bolji odziv klijentima i "fault tolernace"). Dok su kod Windows NT 4.0 mreža postojali PDC (primary domain controller) i BDC (backuup domain controller) u Windows 2000 mrežama su svi DC-i jednaki. U tom smislu Windows 2000 domene delimo na native mode - gde su svi DC-i pod Windows 2000 i mixed mode gde postoje Windows NT 4.0 DC-i. Administracija DC-a (& AD,GC) se obavlja uz pomoć alata: AD users & computers, AD domains & trusts, AD sites & services i AD Schema koji se nalaze u "Administrative tools" ili se mogu dodati kao snap-in u MMC (mmc.exe -> file -> add/remove snap-in).

Global catalogue (globalni katalog) je centralno skladište informacija o objektima u stablu (tree) ili šumi (forest) domena. AD servis automatski formira topologiju replikacije i replikacijom popunjava GC podacima. Globalni katalog čuva deo AD podataka (ne sve) iz svih domena za koje je root, tako da je najbrži način da se nađe neki objekat u AD pretraga baze na GC serveru. Može da postoji više GC servera (promocija se radi u AD sites & services) što daje bolji odziv / performanse mreže, ali pravi više saobraćaja zbog replikcaije. P�D*�h
6update t_me

Prikačeni fajlovi

domain_tree_forest.gif - 8.97k

^{13.03.2002. u 14:12}