Základní pojmy Active Directory
Z MiS
(Rozdíly mezi verzemi)
(Vytvoření stránky.) |
(→Pojmy Active Directory: Přidán pojem řadič domény.) |
||
| (Není zobrazena 1 mezilehlá verze od 1 uživatele.) | |||
| Řádka 25: | Řádka 25: | ||
=== Doména (domain) === | === Doména (domain) === | ||
* Skupina počítačů, které jsou spravovány společně. | * Skupina počítačů, které jsou spravovány společně. | ||
| + | |||
| + | === Řadič domény (domain controller) === | ||
| + | * Server, na kterém běží systém AD a databáze objektů (uživatelských účtů, počítačů,...). | ||
=== Les domén (forest) === | === Les domén (forest) === | ||
| Řádka 34: | Řádka 37: | ||
* Jsou to kontejnery na objekty AD. | * Jsou to kontejnery na objekty AD. | ||
* Seskupují objekty Active Directory s podobnými vlastnostmi. | * Seskupují objekty Active Directory s podobnými vlastnostmi. | ||
| − | * | + | |
| + | ; Skupiny × organizační jednotky | ||
| + | * Uživatelské skupiny slouží k přidělování oprávnění k souborům a složkám. | ||
| + | * Organizační jednotky seskupují objekty pouze v rámci systému Active Directory — zpřehledňují správu. | ||
| + | |||
<div class="Priklad"> | <div class="Priklad"> | ||
| + | ; Skupiny × organizační jednotky | ||
Ve školní síti by mohly být organizační jednotky: | Ve školní síti by mohly být organizační jednotky: | ||
* <code>ZaciOA</code> | * <code>ZaciOA</code> | ||
| Řádka 51: | Řádka 59: | ||
* Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám. | * Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám. | ||
* Pokud politiku přiřadíme k ''organizační jednotce'', pak se uplatný na všechny počítače v této jednotce. | * Pokud politiku přiřadíme k ''organizační jednotce'', pak se uplatný na všechny počítače v této jednotce. | ||
| − | |||
| − | |||
== Návaznost na další služby == | == Návaznost na další služby == | ||
Aktuální verze z 13. 3. 2023, 09:11
Obsah |
Co je Active Directory (AD)
- Active Directory (AD) je nástroj Microsoftu, určený pro centrální správu uživatelských účtů a počítačů v počítačové síti.
Co například umožňuje AD?
- Přihlašování uživatele jedním účtem k mnoha počítačům (tak, jak to znáte ze školy).
- Centrální správu když správce chce vytvořit účet, vytvoří ho na serveru jednou a účet půjde použít na všech počítačích.
- Přenášení nastavení mezi počítači (roaming profile, cestující profil)
Pozor ale při přenášení mezi různými verzemi operačního systému!
- Centrální nastavení pravidel (group policy — viz dále).
- Centrální instalace aplikací a aktualizací operačního systému.
Co vyžaduje Active Directory?
- Windows Server či několik serverů, na kterých systém AD poběží.
- Odpovídající licence.
- Pokud mají počítače spadat pod centrální správu, musí být připojeny do domény.
Připojení počítače do domény provedeme ve Vlastnostech počítače:
Ovládací panely → Systém a zabezpečení → Systém. Počítač je připojen buď do pracovní skupiny (workgroup) nebo do domény (domain).
Pojmy Active Directory
Doména (domain)
- Skupina počítačů, které jsou spravovány společně.
Řadič domény (domain controller)
- Server, na kterém běží systém AD a databáze objektů (uživatelských účtů, počítačů,...).
Les domén (forest)
- Několik domén, které jsou navzájem provázány. Každá funguje samostatně, ale některá pravidla a nastavení mohou sdílet.
- Domény v lese jsou provázány vztahy důvěrnosti — pravidly, která domény sdílí.
- Ke správě lesů domén slouží v AD nástroj Domény a vztahy důvěrnosti.
Organizační jednotky (OU)
- Jsou to kontejnery na objekty AD.
- Seskupují objekty Active Directory s podobnými vlastnostmi.
- Skupiny × organizační jednotky
- Uživatelské skupiny slouží k přidělování oprávnění k souborům a složkám.
- Organizační jednotky seskupují objekty pouze v rámci systému Active Directory — zpřehledňují správu.
- Skupiny × organizační jednotky
Ve školní síti by mohly být organizační jednotky:
-
ZaciOA -
ZaciOA2020,ZaciOA2021,ZaciOA2022,...
Je totiž vhodné mít pohromadě žáky, kteří budou končit studium v daném roce.
Ve školní síti ale nejspíš budou skupiny uživatelů:
-
ZaciOA -
OA4B,OA3B,OA2B,...
Pokud totiž přidělujeme oprávnění pro přístup k souborům a složkám, je mnohem typičtější, že přidělujeme oprávnění jedné třídě, než přidělení oprávnění pro celý ročník.
- Zároveň by bylo zbytečné vytvářet uživatelské skupiny i pro ročníky — zbytečně by to komplikovalo vyhodnocování oprávnění při přístupu k souborům.
Systémová politika (group policy)
- Pravidla, která můžeme přidělovat uživatelským účtům, počítačům či organizačním jednotkám.
- Pokud politiku přiřadíme k organizační jednotce, pak se uplatný na všechny počítače v této jednotce.
Návaznost na další služby
- Autentifikace uživatelů
- Pro centrální přihlašování a ověřování identity uživatelů se využívají služby:
- Kerberos
- LDAP
- Uspořádání počítačů a převod jmen
- Pro hledání IP adres využívá Active Directory službu DNS.
- Nemusí být navázáno na doménová jména v Internetu.
- Název domény by se neměl shodovat s doménovým jménem webového serveru.
- Doporučený postup je použít doménu 1. řádu s názvem
.local. - Například:
webový servernazevfirmy.cz,
doména Active Directory:nazevfirmy.local
- Doporučený postup je použít doménu 1. řádu s názvem
