Active Directory alapok
2004/04/17 18:39
11214 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mit "tud" az AD? Milyen részei vannak? Milyen kiszolgálói szerepköröket különböztetünk meg egy Windows tartományban? Ezekre a kérdésekre kaphatunk választ most.

Rövid áttekintés

Ha definiálni szeretnénk a címtár fogalmát, akkor frappánsan mondhatnánk így: a címtár a hálózat minden erőforrását azonosítja, és hierarchikus rendszerben tárolja. Kiegészíthetjük a definiciót továbbá azzal, hogy az azonosítás és tárolás mellett a hálózat fizikai felépítését és protokolljait átláthatóvá teszi, így a hálózat bármely erre feljogosított felhasználója elérheti a hálózat bármely erőforrását anélkül, hogy tudná hol találhatóak azok valójában, vagy hogyan is kapcsolódnak egymáshoz fizikailag. Ezek a fogalmak bármilyen címtárra, így a Windows Server 2003 címtárszolgáltatására az Active Directory-ra is igazak.

Windows Server 2003 címtára egy teljes egészében bővíthető és méretezhető szolgáltatás. Az Active Directory a hálózat minden egyes publikált erőforrásának egy helyben történő adminisztrálási lehetőségét nyújtja, amibe beleértendők a fájlok és megosztások, perifériák, gép kapcsolatok, adatbázisok, felhasználók, csoportok és egyéb tetszőleges objektumok és szolgáltatások.

Az Active Directory előnye a hálózati rendszergazdák, fejlesztők és felhasználók számára a különböző szolgáltatásokban áll, amelyek:

  • Lehetőséget adnak a hálózatba való bejelentkezés és a hálózati felügyelet egyetlen helyről történő megvalósítására.
  • Integrálják mind az internetes, mind az intranetes környezetet.
  • Méretezhetőek a kisebb cégektől a nagyobb vállalatokon keresztül a nemzetközi, több kontinensen is átivelő hálózatokig is.

Az Active Directory beépített biztonsági szolgáltatása kétrétegű: megoldja a bejelentkezési azonosítást, illetve szabályozza az objektumokhoz való hozzáférést. Az üzemeltetők egyetlen bejelentkezéssel kezelhetik a címtár adatait a teljes hálózaton, a megfelelően hitelesített felhasználók pedig a hálózaton bárhol hozzáférhetnek az erőforrásokhoz. A felügyeleti rendszer alapját képező, rendkívül összetett lehetőségekkel rendelkező Csoportos házirend megoldás megkönnyítheti a legbonyolultabb hálózat felügyeletét is.

Az Active Directory részei

A séma (Schema)

Olyan objektum tulajdonságokat leíró gyűjtemény, amely meghatározza a címtárban lévő összes objektum (pl. felhasználói fiókok, szervezeti egységek, nyomtatók stb.) és attribútumok osztályát, az ezekre vonatkozó szabályokat és korlátokat, valamint az elnevezés formátumát. Minden olyan esetben, amikor uj objektumtípusok kerülnek a címtárba, a sémát bővíítenünk kell a rájuk vonatkozó leírással és szabályokkal (pl. Exchange Server telepítése, Windows 2000 Server frissítése Windows Server 2003-ra, stb.). A sémabővítés lehetősége minden alkalmazás számára nyitott (természetesen megfelelő jogosultságok birtokában).

A globális katalógus (Global Catalog, GC)

Olyan tartományvezérlői szerep, amely hordozója a címtár összes objektumának alapadataival, elérhetőségeiknek információjával rendelkezik. A saját tartományából teljes, a további szorosan kapcsolódó tartományokból részleges méretű objekumokmásolatokat tartalmaz, így a globális katalógus segítségével kereshetőek a címtáradatok függetlenül attól, hogy valójában a címtár melyik tartománya tartalmazza azokat. Alapértelmezés szerint a frissítés előtti PDC, illetve az elsőnek telepített tartományvezérlő hordozza ezt a szerepet. Telephelyek esetén kötelező (bár ebben is van immár változás, lásd W2K3 AD I. cikk), de egyébként sem árthat, ha több globális katalógus kiszolgálónk van. Ezt az Active Directory Helyek és Szolgáltatások (Active Directory Sites and Services) MMC-ben, Helyek (Sites) faszerkezetet kibontva, az NTDS Settings tulajdonságait kibontva pipálhatjuk be.

Lekérdezési és indexelési rendszer

Ennek segítségével a felhasználók és alkalmazások objektumokat és azok tulajdonságait publikálhatják, illetve kereshetik meg.

A replikációs szolgáltatás

Nagyon fontos összetevő a replikációs szolgáltatás, amely a címtár adatait terjeszti a hálózaton. Mivel tartomány összes tartományvezérlőjén módosíthatóak a címtár adatai, ezért az összes tartományvezérlő automatikusan részt is vesz a replikációban, tehát a címtáradatok bármilyen módosítását a rendszer a tartomány összes tartományvezérlőjére replikálja. Ennek megfelelelően az összes tartományvezérlő tartalmazza a tartományra vonatkozó összes aktuális címtáradatot.

Kiszolgálói szerepkörök egy Windows tartományban

Milyen szerverszerepeket szánhatunk a kiszolgáló(k)nak? Amennyiben nem Windows 2000 tartományvezérlőt frissítünk, ezzel a dilemmával is ráérünk elvileg a telepítés után, hiszen a Windows 2000 Server óta a tartomány létrehozása és a szerver tartományvezérlővé való előléptetése az operációs rendszer telepítése után, ettől függetlenül következhet.

Háromféle szerepkört tölthet be egy Windows Server 2003 (vagy Windows 2000, mert ebben gyakorlatilag semmilyen változás nem történt) operációs rendszer, ebből az első kettő tartományi szerep:

  • Tartományvezérlő (Domain Controller): a funkcionalitás csúcsa, egy tartomány fő avagy tartalék vezérlője, a címtár esetleges létrehozója (az első tartományvezérlő) és tárolója (az összes tartományvezérlő), más kiszolgáló szoftverek háttérkörnyezete, néhány esetben célszerű a tartományvezérlőre telepíteni a szerverszolgáltatást, pl. a belső tartományt kiszolgáló DNS szerver.
  • Tagkiszolgáló (Member Server): a tartomány tagja, de nem tárolója a címtárnak, nem dolgoz fel a fiókbejelentkezéseket, nem vesz részt az Active Directory replikációjában. A tagkiszolgálók lehetnek fájlkiszolgálók, alkalmazás-kiszolgálók, adatbázis-kiszolgálók, webkiszolgálók, tanúsítvány-kiszolgálók (csak a stand-alone típus), tűzfal vagy távelérés-kiszolgálók. Néhány esetben kifejezetten célszerű a tagkiszolgálóra telepíteni a szerver szolgáltatást (pl. ISA Server Standard).
  • Különálló (Stand-alone Server): nem tagja a tartománynak, csak munkacsoportba beléptetett kiszolgáló, néhány speciális feladatra kihegyezve. Az ilyen típusú kiszolgáló csak a saját felhasználói adatbázisát tudja használni, ennek megfelelően saját maga is dolgozza fel a bejelentkezési kérelmeket. A fiókok adatait nem képes megosztani más gépekkel és nincs hozzáférése a tartományi fiókokhoz.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek