GNU/Linux >> Znalost Linux >  >> Linux

Základy zásad skupiny v Active Directory

Tento článek pojednává o funkci zásad skupiny Microsoft® Active Directory® (AD).

Zásady reklamní skupiny

Zásady skupiny poskytují centralizovanou správu nastavení počítače a sítí, takže nemusíte vybírat a konfigurovat každý počítač samostatně. Jako zásady skupiny můžete nakonfigurovat následující služby ADservice:

  • Doménové služby: Domain Services vám umožní spravovat vaše AD domény. Poskytují autentizační funkce a rámec pro další takové služby. AD používá databázi LightweightDirectory Access Protocol (LDAP) obsahující síťové objekty.

  • Certifikační služby: Certificate Services je nástroj společnosti Microsoft pro správu digitálních certifikací a podporuje infrastrukturu veřejných klíčů (PKI). Certifikační služby mohou ukládat, ověřovat, vytvářet a odvolávat pověření veřejného klíče namísto generování klíčů externě nebo lokálně.

  • Služby federace: Federation Services poskytuje webovou autentizaci s jediným přihlášením pro použití ve více organizacích. Umožňuje dodavatelům přihlásit se do své vlastní sítě a získat oprávnění k přístupu ke zdrojům v síti klienta v centralizovaném systému.

  • Lightweight Directory Services: Služba Lightweight Directory Services odstraňuje určitou složitost a pokročilé funkce a nabízí pouze základní funkce adresářové služby. Lightweight Directory Services nemusí používat řadiče domény, doménové struktury nebo domény pro zmenšená prostředí.

  • Služby správy práv: Služby správy práv rozdělují autorizaci nad rámec oprávnění uživatele. Práva a omezení jsou připojena spíše k dokumentu než k uživateli. AD běžně používá tato práva, aby zabránila tisku, kopírování nebo pořizování snímku obrazovky dokumentu.

Struktura reklamy

AD obsahuje následující součásti:

  • Les: Les je nejvyšší úrovní organizační hierarchie. Lesní struktura vám umožňuje oddělit oprávnění k delegování v rámci jednoho prostředí. Tato segregace poskytuje správci úplný přístup a oprávnění pouze k určité sadě zdrojů. Služba AD ukládá informace o doménové struktuře na všech řadičích domény ve všech doménách v rámci doménové struktury.

  • Strom: Strom je skupina domén. Domény ve stromu sdílejí stejný kořenový jmenný prostor. Zatímco strom sdílí jmenný prostor, stromy neomezují zabezpečení ani replikaci.

  • Domény: Každá doménová struktura obsahuje kořenovou doménu. K vytvoření dalších oddílů v rámci doménové struktury můžete použít další domény. Domény rozdělují adresář na menší části, aby řídily replikaci. Doména omezuje replikaci AD pouze na ostatní řadiče domény ve stejné doméně.

    Každý řadič domény v doméně má identickou kopii databáze AD této domény. Replikace udržuje kopie aktuální.

  • Organizační jednotky (OU): Organizační jednotka zajišťuje seskupení pravomocí nad podmnožinou zdrojů v rámci domény. Organizační jednotka poskytuje hranici zabezpečení na zvýšených oprávněních a autorizaci a neomezuje replikaci objektů AD.

    Použijte organizační jednotky k implementaci a omezení zabezpečení a rolí mezi skupinami a k ​​řízení replikace použijte domény.

  • Řadiče domény: Řadiče domény jsou servery Windows®, které obsahují databázi AD a provádějí funkce související s AD, včetně ověřování a autorizace.

    Každý řadič domény ukládá kopii databáze AD obsahující informace o objektech v rámci stejné domény. Každý řadič domény navíc ukládá schéma pro celou doménovou strukturu a také všechny informace o doménové struktuře.

    Řadič domény neukládá kopii žádného schématu nebo informací o doménové struktuře z jiné doménové struktury, i když jsou ve stejné síti.

  • Role specializovaných řadičů domény: Použijte specializované role řadiče domény k provádění specifických funkcí, které nejsou běžně dostupné na standardních řadičích domény. Služba AD přiřadí tyto hlavní role řadiči první domény vytvořenému v každé doménové struktuře nebo doméně, ale role můžete změnit ručně.

  • Schema master: V každé doménové struktuře existuje pouze jeden hlavní server schémat. Obsahuje hlavní kopii schématu používaného všemi ostatními řadiči domény. Hlavní kopie zajišťuje, že všechny objekty jsou definovány stejně.

  • Hlavní název domény: V každé doménové struktuře existuje pouze jeden hlavní server názvů domén. Hlavní doména zajišťuje, že názvy všech objektů jsou jedinečné a mohou křížově odkazovat na objekty uložené v jiných adresářích.

  • Hlavní server infrastruktury: Na doménu je jeden hlavní server infrastruktury. Hlavní server infrastruktury uchovává seznam odstraněných objektů a sleduje odkazy na objekty v jiných doménách.

  • Hlavní relativní identifikátor: Pro každou doménu existuje jeden hlavní server relativních identifikátorů. Sleduje vytváření a přidělování jedinečných identifikátorů zabezpečení (SID) v celé doméně.

  • Emulátor primárního řadiče domény: Existuje pouze jeden emulátor primárního řadiče domény (PDC) na doménu. Poskytuje zpětnou kompatibilitu se staršími doménovými systémy založenými na Windows NT.

  • Úložiště dat: Úložiště dat se stará o ukládání a načítání dat na libovolném řadiči domény. Datové úložiště má tři vrstvy:- komponenty databáze a služby (Discovery System Agent (DSA) a Extensible Storage Engine (ESE))- služby Directory Store Services (LDAP)- replikační rozhraní, Messaging API (MAPI) a správce bezpečnostních účtů (SAM)

Systém názvů domén

AD obsahuje informace o umístění objektů uložených v databázi. Služba AD však používá systém DNS (Domain Name System) k vyhledání řadičů domény.

V rámci AD má každá doména název domény DNS a každý připojený počítač má název DNS v rámci stejné domény.

Objekty

AD ukládá vše jako objekt a obsahuje informace o umístění objektů uložených v databázi. AD však používá Domain Name System (DNS) k nalezení doménových řadičů. Třída objektu definuje atributy objektu.

Před uložením dat do adresáře musí schéma obsahovat definici objektu. Jakmile je AD definováno, ukládá data jako jednotlivé objekty. Každý objekt musí být jedinečný a představovat jednu věc, jako je uživatel, počítač nebo jedinečná skupina prvků (například skupina uživatelů).

Objekty mají následující primární typy objektů:

  • Hlavní objekty zabezpečení, které mají SID

  • Zdroje, které nemají SID

Replikace

Služba AD používá více řadičů domény z mnoha důvodů, včetně vyrovnávání zátěže a odolnosti proti chybám. Aby to fungovalo, každý řadič domény musí mít úplnou kopii vlastní databáze AD domény své domény. Replikace zajišťuje, že každý řadič má aktuální kopii databáze.

Doména omezuje replikaci. Řadiče domén v různých doménách se mezi sebou nereplikují, a to ani v rámci stejné doménové struktury. Každý řadič domény je stejný. Přestože předchozí verze Windows měly primární a sekundární řadiče domény, AD nic takového nemá. Zmatek pramení z pokračování názvuřadič domény ze starého systému založeného na důvěře k AD.

Replikace funguje na systému pull. To znamená, že řadič domény požaduje nebo získává informace z jiného řadiče domény, nikoli každý řadič domény odesílá nebo odesílá data ostatním. Ve výchozím nastavení vyžadují řadiče domény data replikace každých 15 sekund. Některé události s vysokým zabezpečením spouštějí událost okamžité replikace, jako je uzamčení účtu.

Pouze změny jsou replikovány. Aby byla zajištěna věrnost napříč systémem s více hlavními servery, každý řadič domény sleduje změny a požaduje pouze aktualizace od poslední replikace. Změny jsou replikovány v celé doméně pomocí mechanismu store-and-forward, takže každá změna je replikována na požádání, i když změna nepochází z řadiče domény, který odpovídá na požadavek replikace.

Tento proces zabraňuje nadměrnému provozu a můžete nakonfigurovat AD tak, abyste zajistili, že každý řadič domény bude vyžadovat data replikace z nejžádanějšího serveru. Například vzdálené umístění s jedním rychlým připojením a jedním pomalým připojením k jiným webům s řadiči domény může nastavit cenu každého připojení. Přitom AD vytvoří požadavek na replikaci přes rychlejší připojení.

Delegovaná autorizace a efektivní replikace jsou klíče ke struktuře AD.


Linux

  1. Zpřístupnit všechny nové soubory v adresáři skupině?

  2. Seznam členů skupiny v Linuxu

  3. Připojením k doméně Active Directory se nevytvoří DNS záznam

  1. Konfigurace sledování výkonu služby Active Directory

  2. Nakonfigurujte Active Directory s integrovaným DNS

  3. Zásady místní skupiny Windows

  1. Upravte zásady hesel ve Správci zásad skupiny Windows Active Directory

  2. Nelze se připojit k serveru Linux Samba k doméně Windows Active Directory

  3. Jak získat datum vypršení platnosti uživatelského hesla z Active Directory?