Dziś nieco więcej o Active Directory - usłudze katalogowej ze stajni Microsoft będącej częścią systemu Windows Server, tak powszechnego w wielu firmach.
W Active Directory mamy dwa podstawowe komponenty - logiczne jak i fizyczne.
Komponent fizyczny i logiczny
Jak sama nazwa wskazuje, komponentem fizycznym jest coś co istnieje w "naszej podstawowej rzeczywistości" - coś namacalnego, jakiś konkretny byt. Przykładem takiego bytu, może być serwer, na którym zainstalowana jest rola Active Directory Domain Services. Serwer taki pełni rolę kontrolera domeny, natomiast sama domena jest niematerialnym komponentem logicznym (nie jest to coś namacalnego).
Komponenty logiczne AD DS
Usługa katalogowa, zawiera różne elementy logiczne, są to:
- Domena - logiczna jednostka administracyjna przechowująca obiekty. Wiele domen może wchodzić w skład jednego lub kilku lasów, w zależności od potrzeb i struktury organizacji. Dla większości organizacji pojedyncza domena, w pojedynczym lesie jest w pełni wystarczająca.
- Drzewo domen - kolekcja domen, współdzielących ze sobą przestrzeń nazw, w relacji nadrzędna - podrzędna (rodzic - dziecko).
- Las - zbiór, czy też kolekcja domen, o wspólnym schemacie. Pomiędzy wszystkimi domenami w lesie, tworzone są automatycznie relacje zaufania, tzn. konta w jednej domenie w lesie, mogą mieć przyznane prawa do zasobów w innych domenach. Las nie musi mieć ciągłej przestrzeni nazw, w zdecydowanej większości przypadków spotkać się można z pojedynczym lasem.
- Schemat - kolokacja typów obiektów i ich właściwości, nazywanych też atrybutami, kolekcja ta definiuje jakie obiekty można tworzyć, przechowywać i zarządzać w bazie danych lasu Active Directory. Na przykład użytkownik jest typem elementu logicznego, który ma kilka właściwości (atrybutów) - takich jak imię, nazwisko, czy hasło. Relacja między obiektami i ich atrybutami, jest przechowywana w schemacie, którego kopia, znajduje się we wszystkich kontrolerach domeny w danym lesie.
- Kontener / Jednostka organizacyjna - aby zapanować nad strukturą domeny i zaprowadzić porządek, obiekty pogrupowane są w kontenerach i jednostkach organizacyjnych (ang. Organization Unit - OU). Podstawowa różnica między opisywanymi bytami, polega na tym, iż kontener jest domyślnie wbudowany w strukturę domeny, co znaczy, ze po instalacji roli, mamy dostępne kilka kontenerów, z którymi (teoretycznie) już możemy rozpocząć pracę. Dodatkowo kontener nie łączy się z obiektami Zasad Grupy (GPO). W przypadku jednostek organizacyjnych, sprawa wygląda inaczej - możemy tworzyć je samodzielnie, co upraszcza administrację, szczególnie w dużej organizacji. Dzięki OU można także z łatwością oddelegować prawa administracyjne do kolekcji obiektów, można również skorzystać z Zasad Grupy. Należy też pamiętać, że jedna Jednostka Organizacyjna - Domain Controllers - jest tworzona domyślnie podczas instalacji usługi Active Directory Domain Services i tworzenia domeny, w jednostce tej znajduje się kontroler domeny.
- Lokacja - logiczna reprezentacja fizycznej lokalizacji w organizacji. W zależności od złożoności oraz struktury systemu, może reprezentować duży obszar fizyczny (np. miasto) lub mniejszy (np. dana podsieć w budynku). Dzięki lokacją, urządzenia podłączone do sieci mogą łatwiej określić swoją lokalizację względem danej usługi, z której chcą się aktualnie połączyć. Dodatkowo lokacje umożliwiają też kontrolę replikacji w domenie. Podczas pierwszej instalacji usługi AD i tworzenia nowego lasu, powstaje domyślna lokacja Default First Site Name - należą do niej wszystkie kontrolery domeny, dopóki nie utworzymy i nie przeniesiemy ich do innej lokacji.
- Podsieć - logiczna reprezentacja fizycznej podsieci w infrastrukturze naszej organizacji. Definiując podsieci umożliwiasz komputerom w domenie AD określenie fizycznej lokalizacji względem usług dostarczonych przez las. Domyślnie nie istnieją żadne podsieci. Po utworzeniu podsieci należy je powiązać z danymi lokacjami - każda lokacja może zawierać kilka podsieci.
- Partycja - jest fizycznie przechowywana w bazie danych, we wszystkich kontrolerach domeny. W związku z tym, że niektóre części struktury domeny zmieniają się częściej niż inne, sama baza została podzielona na kilka odrębnych partycji - schematu, konfiguracji, domeny oraz, opcjonalnie, aplikacji. Dzieląc bazę danych na kilka elementów, udało się zredukować obciążenie związane z procesem replikacji.
Komponenty fizyczne w AD DS
- Kontroler Domeny - serwer, na którym została zainstalowana rola Active Directory Domain Services i który został wypromowany do roli kontrolera domeny. W pewnym sensie, jest to host serwera Active Directory - czyli maszyną odpowiedzialną za prawidłowe funkcjonowanie całej domeny. Zapewnia szereg usług, w tym np. uwierzytelnianie, komputerom w organizacji i innym urządzeniom sieciowym. Kontroler przechowuje plik bazy danych wszystkich obiektów Active Directory. Bardzo ważne jest, aby w każdej domenie istniały przynajmniej dwa kontrolery, gdyż w przypadku awarii jednego, pozostanie drugi, który będzie świadczył wszystkie usługi. Między kontrolerami dochodzi do replikacji - to znaczy, że w przypadku dokonania zmiany na jednym kontrolerze domeny, zmiany te zostają rozpropagowane do pozostałych, tak aby każdy kontroler w domenie posiadał aktualne dane.
- Magazyn danych - fizyczny plik bazy danych Active Directory, przechowywany na dysku serwera kontrolera domeny, zawierającego informacje o obiektach usługi katalogowej.
- Wykaz globalny - jest istotny tylko w przypadku posiadania lasu z wieloma domenami, gdyż w lesie z pojedynczą domeną Active Directory, każdy kontroler w domenie zawiera kopię wszystkich obiektów w lesie. Czyli każdy kontroler w domenie, posiada pełną wiedzę na temat wszystkich obiektów domenie. W przypadku lasu z wieloma domenami sytuacja taka nie występuje - dlatego zaistniała potrzeba wprowadzenia Wykazu globalnego.
- Kontroler domeny tylko do odczytu - specjalny rodzaj kontrolera domeny, przechowujące bazę danych Active Directory w formie tylko do odczytu. Znaczy to, że w danej lokalizacji, gdzie znajduje się taki kontroler, możemy normalnie dokonywać odczytu bazy danych (czyli pracować w domenie), jednakże nie możemy dokonywać żodnych zmian - dodatkowo, zamiast przechowywać hasła wszystkich użytkowników w domenie, kontrolery tylko do odczytu przechowują hasła jedynie dla wybranych, kilku kont użytkowników. Pozostałe hasła pobierane są z kontrolerów w innych lokalizacjach. Pierwszy kontroler instalowany w nowej domenie lub lesie, nie może być kontrolerem tylko do odczytu.