Что такое Active Directory и как работает
Active Directory (AD) — это проприетарная реализация службы каталогов, которая используется в операционных системах компании Microsoft. Решение представляет собой централизованную базу данных, которая хранит информацию о пользователях, группах, компьютерах и других ресурсах в сети.
Устройство AD
Компоненты Active Directory
Итак, Active Directory (AD) позволяет централизованно управлять пользователями, группами и компьютерами в сети. Ключевыми структурными элементами AD являются:
- Домен — это логическая группа объектов (пользователи, группы и компьютеры), которые объединены на основе определенных критериев, таких как географическое расположение или функциональная принадлежность. Домен — основная административная единица AD.
- Контроллер домена — это сервер, которые управляет доменом в AD. Он хранят информацию об объектах в домене, авторизует пользователей и контролирует доступ к ресурсам в сети.
- Дерево доменов в Active Directory — это группа связанных доменов, которые объединены в иерархическую структуру. Дерево доменов состоит из корневого домена и одного или нескольких дочерних доменов, которые связаны между собой иерархически.
- Лес доменов в Active Directory — это группа связанных деревьев доменов, которые объединены в единую структуру. Лес доменов состоит из одного или нескольких деревьев доменов, которые связаны между собой доверительными отношениями.
Службы Active Directory
В качестве базовых служб Active Directory, как правило, выделяют следующие:
- доменные (AD DS) — хранят и проверяют учетные данные пользователей;
- облегченные службы каталогов (AD LDS) — службы каталогов, работающие по протоколу LDAP и обеспечивающие гибкую поддержку приложений, ориентированных на работу с каталогами, которые избавляют от требований, предъявляемых к традиционной службе каталогов Active Directory (AD DS);
- службы сертификации (AD CS) — сертификаты с открытым ключом, поддерживающие шифрование;
- службы федерации (AD FS) — для организации единого входа;
- службы управления правами (AD RMS) — управление правами доступа.
Зачем в компании нужна AD
- Единая точка входа
Active Directory обеспечивает единую точку аутентификации, позволяя пользователям использовать одинаковые учетные данные для доступа к различным корпоративным ресурсам в сети. При входе в систему пользователь вводит свои учетные данные, и, если эти данные верны, он получает доступ к ресурсам, к которым ему выдан доступ. - Централизованное управление политиками
Active Directory позволяет централизованно управлять политиками безопасности для всех пользователей и ресурсов в сети. Администраторы могут определять права доступа к ресурсам, настраивать параметры безопасности, устанавливать ограничения на использование учетных данных и многое другое. - Высокий уровень информационной безопасности
Использование Active Directory обеспечивает хранение учетных записей в едином защищенном хранилище, которое располагается на выделенных серверах домена и защищено от внешнего доступа. К тому же, для аутентификации в доменной среде применяется протокол Kerberos, который считается более безопасным, нежели NTLM в рабочих группах. - Возможности интеграции
Протокол LDAP (Lightweight Directory Access Protocol — «легковесный протокол доступа к каталогам») позволяет пользователям получить доступ к ресурсам в зависимости от прав, настроенных администратором службы каталогов. LDAP поддерживают и другие системы, например, почтовые серверы, прокси-серверы и решения за пределами экосистемы Microsoft. К преимуществам такой интеграции относятся единые логин и пароль для всех приложений, с которыми взаимодействует пользователь. Это дает ему возможность подключаться и аутентифицироваться по корпоративным точкам доступа, используя Wi-Fi или внешний VPN.