Základní pojmy Active Directory
Z MiS
(Rozdíly mezi verzemi)
(→Organizační jednotky (OU): Zvýrazněno rozlišení mezi OU a skupinami.) |
(→Pojmy Active Directory: Přidán pojem řadič domény.) |
||
Řádka 25: | Řádka 25: | ||
=== Doména (domain) === | === Doména (domain) === | ||
* Skupina počítačů, které jsou spravovány společně. | * Skupina počítačů, které jsou spravovány společně. | ||
+ | |||
+ | === Řadič domény (domain controller) === | ||
+ | * Server, na kterém běží systém AD a databáze objektů (uživatelských účtů, počítačů,...). | ||
=== Les domén (forest) === | === Les domén (forest) === | ||
Řádka 56: | Řádka 59: | ||
* Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám. | * Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám. | ||
* Pokud politiku přiřadíme k ''organizační jednotce'', pak se uplatný na všechny počítače v této jednotce. | * Pokud politiku přiřadíme k ''organizační jednotce'', pak se uplatný na všechny počítače v této jednotce. | ||
− | |||
− | |||
== Návaznost na další služby == | == Návaznost na další služby == |
Aktuální verze z 13. 3. 2023, 09:11
Obsah |
Co je Active Directory (AD)
- Active Directory (AD) je nástroj Microsoftu, určený pro centrální správu uživatelských účtů a počítačů v počítačové síti.
Co například umožňuje AD?
- Přihlašování uživatele jedním účtem k mnoha počítačům (tak, jak to znáte ze školy).
- Centrální správu když správce chce vytvořit účet, vytvoří ho na serveru jednou a účet půjde použít na všech počítačích.
- Přenášení nastavení mezi počítači (roaming profile, cestující profil)
Pozor ale při přenášení mezi různými verzemi operačního systému!
- Centrální nastavení pravidel (group policy — viz dále).
- Centrální instalace aplikací a aktualizací operačního systému.
Co vyžaduje Active Directory?
- Windows Server či několik serverů, na kterých systém AD poběží.
- Odpovídající licence.
- Pokud mají počítače spadat pod centrální správu, musí být připojeny do domény.
Připojení počítače do domény provedeme ve Vlastnostech počítače:
Ovládací panely → Systém a zabezpečení → Systém
. Počítač je připojen buď do pracovní skupiny (workgroup) nebo do domény (domain).
Pojmy Active Directory
Doména (domain)
- Skupina počítačů, které jsou spravovány společně.
Řadič domény (domain controller)
- Server, na kterém běží systém AD a databáze objektů (uživatelských účtů, počítačů,...).
Les domén (forest)
- Několik domén, které jsou navzájem provázány. Každá funguje samostatně, ale některá pravidla a nastavení mohou sdílet.
- Domény v lese jsou provázány vztahy důvěrnosti — pravidly, která domény sdílí.
- Ke správě lesů domén slouží v AD nástroj Domény a vztahy důvěrnosti.
Organizační jednotky (OU)
- Jsou to kontejnery na objekty AD.
- Seskupují objekty Active Directory s podobnými vlastnostmi.
- Skupiny × organizační jednotky
- Uživatelské skupiny slouží k přidělování oprávnění k souborům a složkám.
- Organizační jednotky seskupují objekty pouze v rámci systému Active Directory — zpřehledňují správu.
- Skupiny × organizační jednotky
Ve školní síti by mohly být organizační jednotky:
-
ZaciOA
-
ZaciOA2020
,ZaciOA2021
,ZaciOA2022
,...
Je totiž vhodné mít pohromadě žáky, kteří budou končit studium v daném roce.
Ve školní síti ale nejspíš budou skupiny uživatelů:
-
ZaciOA
-
OA4B
,OA3B
,OA2B
,...
Pokud totiž přidělujeme oprávnění pro přístup k souborům a složkám, je mnohem typičtější, že přidělujeme oprávnění jedné třídě, než přidělení oprávnění pro celý ročník.
- Zároveň by bylo zbytečné vytvářet uživatelské skupiny i pro ročníky — zbytečně by to komplikovalo vyhodnocování oprávnění při přístupu k souborům.
Systémová politika (group policy)
- Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám.
- Pokud politiku přiřadíme k organizační jednotce, pak se uplatný na všechny počítače v této jednotce.
Návaznost na další služby
- Autentifikace uživatelů
- Pro centrální přihlašování a ověřování identity uživatelů se využívají služby:
- Kerberos
- LDAP
- Uspořádání počítačů a převod jmen
- Pro hledání IP adres využívá Active Directory službu DNS.
- Nemusí být navázáno na doménová jména v Internetu.
- Název domény by se neměl shodovat s doménovým jménem webového serveru.
- Doporučený postup je použít doménu 1. řádu s názvem
.local
. - Například:
webový servernazevfirmy.cz
,
doména Active Directory:nazevfirmy.local
- Doporučený postup je použít doménu 1. řádu s názvem