Základní pojmy Active Directory
Z MiS
Obsah |
Co je Active Directory (AD)
- Active Directory (AD) je nástroj Microsoftu, určený pro centrální správu uživatelských účtů a počítačů v počítačové síti.
Co například umožňuje AD?
- Přihlašování uživatele jedním účtem k mnoha počítačům (tak, jak to znáte ze školy).
- Centrální správu když správce chce vytvořit účet, vytvoří ho na serveru jednou a účet půjde použít na všech počítačích.
- Přenášení nastavení mezi počítači (roaming profile, cestující profil)
Pozor ale při přenášení mezi různými verzemi operačního systému!
- Centrální nastavení pravidel (group policy — viz dále).
- Centrální instalace aplikací a aktualizací operačního systému.
Co vyžaduje Active Directory?
- Windows Server či několik serverů, na kterých systém AD poběží.
- Odpovídající licence.
- Pokud mají počítače spadat pod centrální správu, musí být připojeny do domény.
Připojení počítače do domény provedeme ve Vlastnostech počítače:
Ovládací panely → Systém a zabezpečení → Systém
. Počítač je připojen buď do pracovní skupiny (workgroup) nebo do domény (domain).
Pojmy Active Directory
Doména (domain)
- Skupina počítačů, které jsou spravovány společně.
Les domén (forest)
- Několik domén, které jsou navzájem provázány. Každá funguje samostatně, ale některá pravidla a nastavení mohou sdílet.
- Domény v lese jsou provázány vztahy důvěrnosti — pravidly, která domény sdílí.
- Ke správě lesů domén slouží v AD nástroj Domény a vztahy důvěrnosti.
Organizační jednotky (OU)
- Jsou to kontejnery na objekty AD.
- Seskupují objekty Active Directory s podobnými vlastnostmi.
- Skupiny × organizační jednotky
- Uživatelské skupiny slouží k přidělování oprávnění k souborům a složkám.
- Organizační jednotky seskupují objekty pouze v rámci systému Active Directory — zpřehledňují správu.
- Skupiny × organizační jednotky
Ve školní síti by mohly být organizační jednotky:
-
ZaciOA
-
ZaciOA2020
,ZaciOA2021
,ZaciOA2022
,...
Je totiž vhodné mít pohromadě žáky, kteří budou končit studium v daném roce.
Ve školní síti ale nejspíš budou skupiny uživatelů:
-
ZaciOA
-
OA4B
,OA3B
,OA2B
,...
Pokud totiž přidělujeme oprávnění pro přístup k souborům a složkám, je mnohem typičtější, že přidělujeme oprávnění jedné třídě, než přidělení oprávnění pro celý ročník.
- Zároveň by bylo zbytečné vytvářet uživatelské skupiny i pro ročníky — zbytečně by to komplikovalo vyhodnocování oprávnění při přístupu k souborům.
Systémová politika (group policy)
- Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám.
- Pokud politiku přiřadíme k organizační jednotce, pak se uplatný na všechny počítače v této jednotce.
Návaznost na další služby
- Autentifikace uživatelů
- Pro centrální přihlašování a ověřování identity uživatelů se využívají služby:
- Kerberos
- LDAP
- Uspořádání počítačů a převod jmen
- Pro hledání IP adres využívá Active Directory službu DNS.
- Nemusí být navázáno na doménová jména v Internetu.
- Název domény by se neměl shodovat s doménovým jménem webového serveru.
- Doporučený postup je použít doménu 1. řádu s názvem
.local
. - Například:
webový servernazevfirmy.cz
,
doména Active Directory:nazevfirmy.local
- Doporučený postup je použít doménu 1. řádu s názvem