Was ist Active Directory?

Was ist Active Directory?

 

„Active Directory“ steht bei den Funktionen von Windows 2000 Server an erster Stelle. Active Directory ist ein System zur Verwaltung von Netzwerkressourcen. Nach der Installation von Windows 2000 Server wird Active Directory installiert, um Benutzer, Gruppen, Computer und Ressourcen zu verwalten. Bei der Active Directory-Installation werden drei Hauptprogramme auf dem Computer installiert. Anschließend werden Active Directory-Objekte über diese Programme erstellt und verwaltet.

 

Mit Active Directory installierte Programme:

 

  • Aktive Verzeichnisse Benutzer und Computer

 

  • Active Directory-Standorte und -Dienste

 

  • Active Directory-Domäne und Vertrauensstellungen

 

Verzeichnis (Verzeichnis, Verzeichnis) ist eine Informationsquelle, die Informationen zu Objekten enthält. Auf dieser Grundlage wird im Dateisystem ein Verzeichnis (Verzeichnis oder Verzeichnis) erstellt und Informationen zu Dateien und Ordnern gespeichert. Es gibt Drucker, Faxgeräte, Anwendungen, Datenquellen und viele verwandte Objekte wie Benutzer und Gruppen in verteilten Computersystemen und gängigen Computernetzwerken wie dem Internet. Benutzer möchten diese Objekte finden und verwenden. Systemadministratoren möchten diese Objekte jedoch verwalten. Active Directory ist ein System, das für beide Anforderungen entwickelt wurde.

Tabelle: Von Active Directory unterstützte Technologien

 

Technologie

Tor

Referenz

 

DHCP (Dynamic Host Configuration Protocol)

IP-Adressverteilung

RFC 2131

 

Dynamisches DNS-Aktualisierungsprotokoll

Host-Namespace-Verwaltung

FRC 2052 und 2163

 

SNTP (Simple Network Time Protocol)

Verteilter Zeitdienst

RFC 1769

 

LDAP (Lightweight Directory Access Protocol)

Zugriff auf Verzeichnisse

RFC 2251

 

Kerberos v5

Authentifizierung

RFC 1510

 

TCP / IP (Übertragungssteuerungsprotokoll / Internetprotokoll)

Netzwerkprotokoll

RFC 791 und 793

 

Abbildung: Active Directory

 

Active Directory ist ein Dienst im Windows 2000 Server-Netzwerk. Dieser Dienst speichert Informationen zu Netzwerkressourcen (Benutzer, Geräte, Berechtigungen usw.). Der Windows 2000 Active Directory-Dienst speichert Informationen zur Systemkonfiguration, Benutzer- und Gruppeninformationen sowie Anwendungen. Darüber hinaus verwaltet Windows 2000 die Desktops der Benutzer (Distribution Desktop Management), Netzwerkdienste und Anwendungen zentral gemäß den Richtlinien für Gruppenrichtlinien.

 

Warum benötigen Sie einen Verzeichnisdienst?

Der Verzeichnisdienst ist eine der wichtigsten Komponenten fortschrittlicher Computersysteme. Benutzer und Systemadministratoren kennen nicht den vollständigen Namen des Objekts, an dem sie interessiert sind. Sie können jedoch eine oder mehrere Eigenschaften von Objekten kennen und eine Abfrage erstellen, um eine Liste anderer Objekte aus dem Verzeichnis abzurufen, deren Eigenschaften denen des Objekts ähnlich sind.

 

Der Verzeichnisdienst kann: • dem Systemadministrator die Möglichkeit geben, Zugriffsberechtigungen für Objekte zu definieren, um Informationen vor dem Eindringen zu schützen.

 

  • Verteilt die Verzeichnisdatenbank an Computer im Netzwerk.

 

  • Ermöglicht mehr Benutzern den Zugriff auf Verzeichnisinformationen. Es wird jedoch eine Kopie (Replikation) erstellt, um Abstürze zu vermeiden.

 

  • Das Verzeichnis ist in viele Teile unterteilt, sodass eine große Anzahl von Objekten gespeichert werden kann.

 

Der Verzeichnisdienst ist besonders nützlich für die Verwaltung einer großen Anzahl von Unternehmensbenutzern, -gruppen und -ressourcen. Weil es hierarchisch ist. Es kann zentral verwaltet werden. Es wurde für Hardware und Organisationen aller Größen entwickelt. (Von einem Server mit mehreren hundert Objekten zu Tausenden von Servern mit Millionen von Objekten.) Es hat auch neue Konzepte wie die Delegation von Management-Einheiten. Die Delegierung in Active Directory bietet viele neue Funktionen, z. B. die Verwaltung großer Informationsmengen und die Zeitersparnis für Administratoren und Benutzer.

Funktionen von Active Directory

Active Directory hat die Funktionalität grundlegender Verzeichnisdienste mit den folgenden Funktionen verbessert:

 

Skalierbarkeit.

 

Erweiterbarkeit.

 

Benennung in Internet-Standards.

 

Zugriff von einem einzigen Punkt aus.

 

Fehlertoleranz.

 

Sicherheitskontrolle.

 

Zusammen arbeiten

 

Mit seiner Skalierbarkeitsfunktion kann Active Directory nur wenige Objekte oder Millionen von Objekten enthalten. Durch die Erweiterungsfunktion können Änderungen am Schema von Active Directory vorgenommen werden. Namen, Namensauflösung und Abfrageprotokolle in Internetstandards stellen eine Verbindung zum Internet her.

 

Die Ein-Punkt-Zugriffsfunktion bedeutet, dass der Systemadministrator (Administrator) das gesamte Netzwerk mit einem Anmeldevorgang von einem Ort aus verwaltet. Bei der Fehlertoleranz werden Active Directory-Informationen gegen unerwartete Ereignisse repliziert.

 

Sicherheitskontrollfunktion bedeutet, dass die Zugriffskontrollen der Benutzer verteilt werden können. Zusammenarbeit bedeutet die Integration von Active Directory in andere Betriebssysteme. Wie LDAP X.500-Standards.

Von Active Directory unterstützte Technologien

Der Zweck von Active Directory besteht darin, eine standardmäßige oder einheitliche Systemverwaltung (Netzwerkverwaltung) bereitzustellen. Auf diese Weise können Systemadministratoren das System einfacher verwalten und Benutzer können leichter vom System profitieren. Eines der Ziele von Active Directory ist die Kommunikation mit anderen Verzeichnissystemen. Sie können die von Active Directory unterstützten Technologien in der folgenden Tabelle sehen.

 

Protokollunterstützung

Unterstützte Protokolle sind:

 

  • LDAP: Active Directory-Kernprotokoll „Lightweight Directory Access Protocol (LDAP)“. LDAP-Versionen 2 und 3 werden unterstützt.

 

  • MAPI-RPC: Active Directory unterstützt Call-RPC-Schnittstellen für Remoteprozeduren, die MAPI-Schnittstellen unterstützen.

 

  • X.500: Das Active Directory-Informationsmodell wird vom x.500-Informationsmodell abgeleitet. X.500 identifiziert viele Protokolle, die Active Directory nicht definieren kann.

 

Diese Protokolle:

 

  • DAP-Directory Access Protocol

 

  • DSP-Directory System Protocol

 

DISP-Directory Information Shadowing Protocol

 

  • DOP-Directory Operational Binding Management Protocol

 

Anwendungsprogrammierschnittstellen (Anwendungsprogrammierschnittstellen)

Unterstützte APIs:

 

  • ADSI: Active Directory-Dienstschnittstellen (ADSI):

 

Es bietet eine einfache, leistungsstarke und objektorientierte Schnittstelle für Active Directory. Entwickler können Active Directory mit Programmiersystemen wie Java und Visual Basic verwalten.

 

  • LDAP-API: Die LDAP-C-API ist in RFC 1823 definiert und kann von C-Programmierern niedrigerer Ebene verwendet werden.

 

  • MAPI: Active Directory unterstützt MAPI aus Gründen der Hintergrundkompatibilität. Neue Anwendungen sollten die ADSI- oder LDAP C-API verwenden.

Benennen in Active Directory

Es gibt verschiedene Standards zum Benennen und Auflösen von Active Directory-Objekten. Diese Standards umfassen:

 

DNS (Domain Name System)

 

  • LDAP (Lightweight Directory Access Protocol)

 

DNS ist eine branchenübliche Namens- und Entschlüsselungstechnologie. Dank DNS können Clientcomputer problemlos auf Active Directory-Dienste zugreifen. Ebenso ist DNS in LDAP ein branchenübliches Verzeichniszugriffsprotokoll. Bietet Zugriff auf Active Directory-Informationen. Es gibt Standardregeln für die Verwendung des Namens eines Benutzers oder einer Ressource in Active Directory. Die Grundlagen dieses Benennungssystems als X.500- und LDAP-Standard sind:

 

Distinguished Name

Jedes Objekt in Active Directory hat einen Namen, um es zu unterscheiden. Dieser Name wird als „Distinguished Name“ bezeichnet. Distinguished Names definieren die Domäne, in der sich das Objekt befindet. Ein typischer Distinguished Name besteht aus:

 

DC = com, DC = Firma, CN = Benutzer, CN = Ahmet Ahmet

 

Ein eindeutiger Name für Ahmet wird hier in der Domain sirket.com definiert. DC ist eine Abkürzung für Domain Component und CN für Common Name.

 

Relativer Distinguished Name

Relativer Distinguished Name ist Teil eines Distinguished Name. In unserem Beispiel lautet der „relativ unterscheidbare“ Name des Benutzerobjekts Ahmet Ahmet. Der relative definierte Name eines übergeordneten Elements lautet Benutzer

 

Hauptname

Der Benutzerprinzipalname besteht aus dem Benutzerlogonamen und dem Domänennamen. Der Name von Ahmet Ahmet in der Domain sirket.com könnte beispielsweise Ahmet@sirket.com sein. Der Benutzerprinzipalname wird verwendet, um sich im Netzwerk anzumelden.

 

Global eindeutige Kennung

Windows 2000 weist jedem erstellten Objekt eine 128-Bit-GUID (Global Unique Identifier) ​​zu. Die GUID ist die 128-Bit-Nummer, die garantiert eine einzelne ist. Objekte haben beim Erstellen eine zugewiesene GUlD. Die GUID kann niemals geändert werden, selbst wenn das Objekt verschoben oder sein Name geändert wurde. Anwendungen können die GUlD des Objekts speichern, und der Zugriff auf das Objekt ist unabhängig von den aktuellen Domäneninformationen sicher.