Active Directory jest usługą katalogową dla przedsiębiorców. Mimo skomplikowanej struktury, jej zadaniem jest ułatwienie życia administratorów systemu.
Active Directory: co to jest?
Active Directory to usługa katalogowa, która usprawnia zarządzanie relacjami pomiędzy użytkownikami, sieciami, informacjami i urządzeniami sieciowymi. Prościej mówiąc to hierarchiczna baza danych dla systemów Windows będąca implementacją protokołu Lightweight Directory Access Protocol (LDAP). Active Directory jest przydatnym narzędziem dla administratorów sieci. Dzięki zebraniu w jednym miejscu informacji o użytkownikach, zakresie i rodzaju ich uprawnień, konfiguracji urządzeń, na których pracują itd. administrator może z poziomu jednego komputera zarządzać zbiorem użytkowników sieci. Active Directory jest więc usługą, która zdecydowanie ułatwia pracę administratorom w organizacjach, w których pracują dziesiątki lub setki pracowników.
Użytkownicy, grupy, komputery i jednostki organizacyjne działające w obrębie Active Directory skupione są w domenie. Domena to obszar sieci, któremu przydzielono określone zasoby i możliwości. Do utworzenia domeny wymagany jest przynajmniej jeden kontroler. W domenie może pracować każdy komputer kliencki z systemem Windows (wersja Professional, Ultimate lub Enterprise) oraz z zakupioną dla niego licencją CAL (ang. Client Access License) pozwalającą na korzystanie z zasobów serwera. Zbiór domen nazywamy lasem. Główną domeną lasu jest pierwsza, jaka została w nim utworzona. Nazwa lasu również pochodzi od nazwy pierwszej domeny. Jedna lub kilka domen pracujących pod tą samą przestrzenią nazw DNS nazywana jest drzewem. W ramach usługi Active Directory mamy też jednostki organizacyjne, tj. obiekty dające możliwość przechowywania użytkowników, grup użytkowników oraz komputerów. Dla poszczególnych obiektów można określać zasady oraz delegować uprawnienia admnistracyjne.
Jakie są zadania usługi Active Directory?
Na całość usług związanych z Active Directory składa się pięć elementów:
- Active Directory Domain Services – to usługa pozwalająca na zarządzanie tożsamością, nadawanie dostępu do zasobów sieciowych lub usług w sieci. Dzięki niej możemy zabezpieczyć infrastrukturę, zarządzać nią, a także użytkownikami i zasobami.
- Active Directory Certificate Services – zapewnia szereg korzyści związanych z administrowaniem certyfikatami. Informacje o użytkownikach i komputerach zarejestrowanych w katalogu mogą być automatycznie wstawiane do certyfikatów, dzięki czemu nie trzeba ubiegać się o nie ręcznie. Używając grup możemy decydować, którzy użytkownicy mają dostęp do określonych certyfikatów. Proces instalacji certyfikatów jest automatyczny i nie wymaga działań ani ze strony działu IT ani użytkownika końcowego. Co ważne mogą one być nadawane na krótkie okresy czasu i automatycznie odnawiane.
- Active Directory Lightweight Directory Services – działa jako samodzielny magazyn danych, niezależnie od AD, domen i lasów, co umożliwia lokalne sterowanie i autonomię usług katalogowych dla określonych aplikacji. Zapewnia dedykowane usługi katalogowe dla aplikacji oraz magazyn danych i usługi dostępu do niego. Pozwala na stosowanie niezależnych, elastycznych schematów i kontekstów nazewnictwa. AD LDS wykorzystuje interfejsy programowania aplikacji API w celu uzyskania dostępu do danych.
- Active Directory Rights Management Services – umożliwiaja osobom fizycznym i administratorom określanie uprawnień dostępu do zasobów poprzez stosowanie zasad zarządzania prawami do informacji (IRP). Pomaga to zapobiegać drukowaniu, przesyłaniu dalej lub kopiowaniu poufnych informacji przez nieupoważnione osoby. Dzięki zastosowaniu AD RMS i IRM organizacje mogą w prostszy sposób egzekwować politykę bezpieczeństwa oraz kontrolować rozpowszechnianie informacji poufnych i zastrzeżonych.
- Active Directory Federation Services – pozwala na obsługiwanie kont użytkowników z jednego miejsca i umożliwia udostępnianie informacji o tożsamości cyfrowej poza siecią firmy. Uwierzytelnia użytkowników za pomocą ich nazw użytkowników i haseł. Użytkownicy mogą uzyskiwać dostęp do niektórych aplikacji (np. aplikacji Microsoft Office, Salesforce.com itp.) bez konieczności ponownego wprowadzania danych logowania. ADFS rozszerza Active Directory do usług internetowych.
Dlaczego warto korzystać z usługi Active Directory?
Dzięki usłudze katalogowej Active Directory administrator ma wygodny dostęp do zasobów sieciowych, co pozwala mu lepiej dbać o komfort pracy użytkowników oraz szybciej reagować na ich potrzeby. Funkcjonalności AD:
- pozwalają na bieżąco aktualizować systemy operacyjne użytkowników, chroniąc ich przed wirusami i innym potencjalnie niebezpiecznym oprogramowaniem;
- umożliwiają zdalną pomoc lub wsparcie administratora;
- pozwalają konfigurować stacje robocze i profile użytkowników;
- pozwalają tworzyć konfiguracje standardowe;
- dają automatyczny dostęp do zasobów;
- umożliwiają łatwe zarządzanie dostępami użytkowników;
- przeniesienie stacji do kwarantanny, gdzie ma pobrać aktualizację dla systemu antywirusowego lub operacyjnego;
- wpływają na zmniejszenie wrażliwości przedsiębiorstwa na awarie i ich wpływ na ciągłość pracy;
- dzięki szyfrowaniu plików oraz nośników poprawiają bezpieczeństwo danych przedsiębiorstwa oraz bezpieczeństwo komunikacji przez IP Security.
Dzięki zastosowaniu AD zmniejsza się ilość czasu potrzebnego na obsługę organizacji zatrudniającej dużą liczbę pracowników oraz można zautomatyzować wiele procesów.
Źródła:
„Active Directory” B. Desmond, J. Richards, R. Allen, A G. Lowe-Norris, Wydawnictwo O’Reilly Media 2013
„Mastering Active Directory” Dishan Francis, Packt Publishing Limited, 2017
https://docs.microsoft.com/
https://www.globalsign.com/en/blog/what-is-active-directory-certificate-services
https://integritypartners.pl/rozwiazania/cloud/produkty/microsoft-active-directory-ad/
pasja-informatyki.pl