Active Directory

Angol

Főnév

Active Directory (tsz. Active Directories)

1. (informatika) Az Active Directory (AD) a Microsoft által kifejlesztett szolgáltatás, amely központi hitelesítést, felhasználókezelést, hálózati erőforrások (például fájlmegosztások és nyomtatók) kezelését és a hozzáférési szabályok érvényesítését biztosítja egy Windows-alapú hálózatban. Az Active Directory a címtárszolgáltatások kategóriájába tartozik, és lehetővé teszi a rendszergazdák számára, hogy központilag kezeljék a felhasználói fiókokat, csoportokat, jogosultságokat és egyéb hálózati erőforrásokat.

Active Directory főbb jellemzői

1. Központi felhasználó- és jogosultságkezelés:
   • Az Active Directory lehetővé teszi a felhasználók, csoportok és számítógépek központi kezelését egy hálózaton belül. A felhasználói fiókok és csoportok egyszerűen kezelhetők, és a hozzáférési jogosultságokat egyetlen helyen szabályozhatod.
2. Hitelesítés és engedélyezés:
   • Az AD a felhasználók hitelesítésére és a hálózati erőforrásokhoz való hozzáférés engedélyezésére szolgál. Egy felhasználó egyetlen bejelentkezéssel (Single Sign-On, SSO) hozzáférhet a különböző hálózati erőforrásokhoz.
3. Csoportházirend (Group Policy):
   • A csoportházirendek segítségével a rendszergazdák központilag beállíthatják a felhasználói számítógépek konfigurációit, szabályozhatják a biztonsági beállításokat, és szabályozhatják a felhasználói munkakörnyezetet. A csoportházirendek használatával egyszerűsíthetők a rendszeradminisztrációs feladatok.
4. Hierarchikus struktúra:
   • Az AD egy hierarchikus struktúrát alkalmaz, amelyben tartományok, erdők, szervezeti egységek (Organizational Units, OU) és csoportok használhatók a hálózati elemek (felhasználók, számítógépek, nyomtatók stb.) logikus csoportosítására és kezelésére.
5. Replikáció:
   • Az AD automatikusan replikálja a címtár adatbázisát a tartományvezérlők között, hogy a felhasználói hitelesítés és erőforrás-hozzáférés több helyről is elérhető legyen. Ez biztosítja a magas rendelkezésre állást és a hibamentes működést.
6. LDAP és Kerberos támogatás:
   • Az Active Directory a Lightweight Directory Access Protocol (LDAP) protokollt használja az adatok eléréséhez és kezeléséhez, valamint a Kerberos protokollt a hitelesítéshez.
7. DNS integráció:
   • Az AD szorosan integrálódik a DNS-szolgáltatásokkal, mivel a DNS-t használja a hálózati erőforrások és szolgáltatások címzéséhez, illetve az AD tartományok és erdők közötti kommunikációhoz.

Active Directory felépítése

1. Tartomány (Domain):
   • A tartomány az AD legfontosabb logikai egysége, amely egy felhasználói adatbázist, hitelesítést, és erőforrás-kezelést biztosít. Minden tartomány egyedi névvel rendelkezik (például example.com), és a felhasználók, számítógépek és erőforrások ebben a tartományban vannak regisztrálva.
2. Tartományvezérlő (Domain Controller, DC):
   • A tartományvezérlő egy olyan szerver, amely az Active Directory adatbázisát futtatja, és felelős a felhasználók hitelesítéséért, valamint a tartományi erőforrások kezeléséért. Minden AD tartománynak legalább egy tartományvezérlője van.
3. Erdő (Forest):
   • Az erdő az AD legnagyobb logikai struktúrája, amely egy vagy több tartományt foglalhat magában. Az erdő tartományai közös séma- és konfigurációs információkat használnak, és lehetőség van a tartományok közötti erőforrás-hozzáférés engedélyezésére.
4. Szervezeti egység (Organizational Unit, OU):
   • Az OU-k a tartományon belüli elemek logikai csoportosítására szolgálnak. Segítségükkel a felhasználók, számítógépek és csoportok hierarchikusan rendszerezhetők, és lehetőséget biztosítanak a különböző jogosultságok és házirendek alkalmazására.
5. Csoportok (Groups):
   • A csoportokat a felhasználók és egyéb hálózati elemek logikai csoportosítására használják, hogy könnyebben lehessen jogosultságokat hozzárendelni. Két fő csoporttípus létezik: biztonsági csoportok, amelyek hozzáférést biztosítanak az erőforrásokhoz, és terjesztési csoportok, amelyek kommunikációra szolgálnak (pl. e-mail csoportok).

Active Directory hitelesítési mechanizmusok

Az Active Directory különböző hitelesítési protokollokat használ a felhasználók és rendszerek hitelesítésére, és ezek segítségével szabályozza, hogy ki és milyen erőforrásokhoz férhet hozzá a hálózatban.

1. Kerberos:
   • Az Active Directory elsődlegesen a Kerberos protokollt használja a hitelesítésre. A Kerberos egy biztonságos hitelesítési rendszer, amely titkosított jegyeket (tickets) használ a felhasználók és szolgáltatások hitelesítésére, így növeli a biztonságot és a teljesítményt.
2. NTLM (NT LAN Manager):
   • Bár az Active Directoryban a Kerberos a preferált protokoll, az NTLM még mindig elérhető bizonyos régebbi rendszerek vagy alkalmazások támogatására. Az NTLM jelszó hash-eket használ a hitelesítéshez, de kevésbé biztonságos, mint a Kerberos.
3. LDAP (Lightweight Directory Access Protocol):
   • Az LDAP a címtárakhoz való hozzáférés és azok kezelésének protokollja, amelyet az Active Directory is használ. Az LDAP lehetővé teszi a felhasználói információk és erőforrások lekérdezését és kezelését a hálózaton belül.

Active Directory szerepkörök

1. Domain Controller (DC):
   • A Domain Controller tárolja az Active Directory adatbázisát és felelős a felhasználók hitelesítéséért, valamint a hálózati erőforrások kezeléséért. Minden AD tartománynak legalább egy DC-je van, de egy nagyobb hálózat esetén több DC is használható a rendelkezésre állás és a terheléselosztás javítására.
2. Global Catalog (GC):
   • A Global Catalog olyan AD adatbázis, amely az erdő összes tartományának részleges másolatát tartalmazza, így lehetővé teszi a keresést az összes tartományban. A GC-k segítenek a tartományok közötti gyors keresésekben és a felhasználói fiókok hitelesítésében, ha több tartomány van jelen az erdőben.
3. Flexible Single Master Operations (FSMO) szerepkörök:
   • Az Active Directory számos FSMO szerepkört (más néven Operations Master szerepkörök) használ, amelyek kritikus feladatokat végeznek a hálózaton belül, mint például a séma frissítése, a tartományhoz való számítógép csatlakoztatása, vagy a jelszavak visszaállítása.

   A legfontosabb FSMO szerepkörök közé tartozik:

   • Schema Master: A séma módosításáért felelős.
   • Domain Naming Master: A tartománynevek kezeléséért és a tartományok hozzáadásáért felelős.
   • RID Master: A relatív azonosítók (RID) kezeléséért felelős, amelyek a felhasználók és csoportok egyedi azonosítására szolgálnak.
   • PDC Emulator: Szerepköre többek között az időszinkronizáció fenntartása és a jelszóváltozások kezelése.
   • Infrastructure Master: A tartományközi objektumok közötti kapcsolatokért felelős.

Samba és Active Directory integráció

A Samba szoftver, amely Linux/Unix rendszeren lehetővé teszi az SMB/CIFS protokollon keresztüli fájlmegosztást, képes Active Directory Domain Controllerként is működni. Ez lehetővé teszi, hogy Linux szerverek Active Directory tartományvezérlőként működjenek, így integrálhatóvá válnak Windows alapú hálózatokkal.

A Samba AD DC szerepkörben az alábbi funkciókat nyújtja:

1. Felhasználói és csoportkezelés: Képes Active Directory-tartományvezérlőként kezelni a felhasználói fiókokat, csoportokat és egyéb objektumokat.
2. Kerberos hitelesítés: Az AD részeként működve a Samba támogatja a Kerberos alapú hitelesítést, amely biztonságos és gyors hozzáférést biztosít a hálózati erőforrásokhoz.
3. DNS integráció: A Samba részeként egy DNS-szerver is futtatható, amely szorosan integrálódik az AD-vel, lehetővé téve a hálózati erőforrások megfelelő címzését.

Active Directory használata

Az Active Directory a nagyvállalati hálózatok központi elemét képezi, ahol egyszerűsíti a felhasználók, eszközök, erőforrások és biztonsági szabályok kezelését. A rendszergazdák használhatják például a Microsoft Management Console (MMC) felületét, az Active Directory Users and Computers (ADUC) konzolt, vagy a Group Policy Management Console (GPMC)-t a felhasználói jogosultságok, házirendek és hálózati beállítások kezelésére.

Összegzés

Az Active Directory egy robusztus és sokoldalú címtárszolgáltatás, amely lehetővé teszi a felhasználók, számítógépek, erőforrások és hálózati jogosultságok központi kezelését egy Windows-alapú hálózatban. Segítségével a rendszergazdák egyszerűen szabályozhatják a hozzáférési jogosultságokat, hitelesítést, valamint biztosíthatják a biztonságos és hatékony hálózati működést. Az Active Directory szorosan integrálódik a DNS-sel és a Kerberos hitelesítési protokollal, és támogatja a csoportházirendek alkalmazását a felhasználói és számítógépes környezetek feletti teljes ellenőrzés érdekében.

További információk

• Active Directory - Szótár.net (en-hu)
• Active Directory - Sztaki (en-hu)
• Active Directory - Merriam–Webster
• Active Directory - Cambridge
• Active Directory - WordNet
• Active Directory - Яндекс (en-ru)
• Active Directory - Google (en-hu)
• Active Directory - Wikidata
• Active Directory - Wikipédia (angol)