organizace všech velikostí po celém světě používají službu Active Directory ke správě oprávnění a řízení přístupu ke kritickým síťovým prostředkům. Ale co přesně to je a jak to může potenciálně pomoci vašemu podnikání?

co je Active Directory?

Active Directory (AD) je adresářová služba, která běží na serveru Microsoft Windows. Hlavní funkcí služby Active Directory je umožnit správcům spravovat oprávnění a řídit přístup k síťovým prostředkům. Ve službě Active Directory jsou data uložena jako objekty, které zahrnují uživatele, skupiny, aplikace a zařízení, a tyto objekty jsou roztříděny podle jejich názvu a atributů.

Co Jsou Služby Domény Služby Active Directory?

služby domény služby Active Directory (AD DS) jsou základní součástí služby Active Directory a poskytují primární mechanismus pro ověřování uživatelů a určení, ke kterým síťovým prostředkům mají přístup. AD DS také poskytuje další funkce, jako je jednotné přihlášení (SSO), bezpečnostní certifikáty, LDAP a správa přístupových práv.

Hierarchická struktura doménových služeb služby Active Directory

AD DS organizuje data v hierarchické struktuře sestávající z domén, stromů a lesů, jak je podrobně uvedeno níže.

domény: Doména představuje skupinu objektů, jako jsou uživatelé, skupiny a zařízení, které sdílejí stejnou databázi reklam. Doménu si můžete představit jako větev ve stromu. Doména má stejnou strukturu jako standardní domény a subdomény, např. yourdomain.com a sales.yourdomain.com.

stromy: strom je jedna nebo více domén seskupených do logické hierarchie. Vzhledem k tomu, že domény ve stromu jsou příbuzné, říká se, že si navzájem „důvěřují“.

les: les je nejvyšší úroveň organizace v rámci AD a obsahuje skupinu stromů. Stromy v lese si také mohou navzájem důvěřovat a budou také sdílet schémata adresářů, katalogy, informace o aplikacích a konfigurace domén.

organizační jednotky: OU se používá k organizaci uživatelů, skupin, počítačů a dalších organizačních jednotek.

kontejnery: kontejner je podobný OU, ale na rozdíl od OU není možné propojit objekt zásad skupiny (GPO) s generickým kontejnerem služby Active Directory.

další služby služby Active Directory

kromě služeb domény služby Active Directory existuje několik dalších kritických služeb, které AD poskytuje. Některé z těchto služeb jsou uvedeny níže:

Lightweight Directory Services: AD LDS je adresářová služba LDAP (Lightweight Directory Access Protocol). Poskytuje pouze podmnožinu funkcí AD DS, díky čemuž je univerzálnější, pokud jde o to, kde lze spustit. Například může být spuštěn jako samostatná adresářová služba, aniž by bylo nutné integrovat s plnou implementací služby Active Directory.

certifikační služby: můžete vytvářet, spravovat a sdílet šifrovací certifikáty, které uživatelům umožňují bezpečnou výměnu informací přes internet.

služby Active Directory Federation Services: ADFS je řešení SSO (Single Sign-On) pro AD, které umožňuje zaměstnancům přístup k více aplikacím s jednou sadou pověření, čímž zjednodušuje uživatelský komfort.

služby správy práv: AD RMS je sada nástrojů, které pomáhají se správou bezpečnostních technologií, které organizacím pomohou udržet jejich data v bezpečí. Takové technologie zahrnují šifrování, certifikáty a ověřování a pokrývají řadu aplikací a typů obsahu, jako jsou e-maily a dokumenty aplikace Word.

server, který je hostitelem AD DS, se nazývá řadič domény (DC). Řadič domény lze také použít k ověření s jinými produkty MS, jako je Exchange Server, SharePoint Server, SQL Server, souborový Server a další.

Začínáme s Windows Active Directory

komplexní podrobný průvodce nastavením služby Active Directory na serveru Windows je nad rámec tohoto článku. Místo toho poskytnu základní shrnutí kroků potřebných k instalaci AD, které by vás měly alespoň nasměrovat správným směrem. Za předpokladu, že již máte nainstalován systém Windows Server (2016), budete muset…

• změňte nastavení DNS tak, aby IP adresa vašeho serveru byla primárním serverem DNS.
• otevřete Správce Serveru, ke kterému máte přístup přes PowerShell přihlášením jako správce a zadáním ServerManager.exe.
• v okně Správce Serveru klikněte na Přidat role a funkce a klepnutím na tlačítko Další spusťte proces nastavení.
• v okně vyberte role serveru zaškrtněte políčko služby domény služby Active Directory. Objeví se vyskakovací okno. Klikněte na Přidat funkce a pokračujte kliknutím na tlačítko Další.
• pokračujte kliknutím na tlačítko Další, dokud se nedostanete na konečnou obrazovku. Pokud nevíte, co děláte, je lepší nechat výchozí nastavení tak, jak jsou.
• jakmile se dostanete na konec průvodce, klikněte na Instalovat a počkejte na dokončení procesu instalace.

jakmile máte nainstalované služby domény služby Active Directory, budete muset nakonfigurovat instalaci, která zahrnuje změnu výchozích hesel, nastavení ou, domén, stromů a lesů. Jak již bylo zmíněno, podrobné vysvětlení nastavení a konfigurace služby Active Directory je nad rámec tohoto článku. Podrobné aktuální pokyny naleznete v oficiální dokumentaci.

co je Azure Active Directory

vzhledem k tomu, že stále více organizací přesouvá své obchodní operace do cloudu, společnost Microsoft představila Azure Active Directory (Azure AD), což je jejich cloudová verze Windows AD, která může také synchronizovat s implementacemi reklamy na místě. Azure AD je považována za páteř Office 365 a dalších produktů Azure; lze ji však také integrovat s dalšími cloudovými službami a platformami. Některé rozdíly mezi Windows a Azure AD jsou následující.

komunikace: Azure AD používá REST API, zatímco Windows AD používá LDAP, jak již bylo zmíněno.

autentizace: Windows AD používá pro autentizaci Kerberos a NTLM, zatímco Azure AD používá vlastní vestavěné webové autentizační protokoly.

struktura: na rozdíl od Windows AD, který je organizován ou, stromy, lesy a doménami, Azure AD používá plochou strukturu uživatelů a skupin.

Správa zařízení: na rozdíl od Windows AD lze Azure AD spravovat prostřednictvím mobilních zařízení. Azure AD nespoléhá na objekty zásad skupiny (GPO), aby určila, která zařízení a servery se mohou připojit k síti.

pokud čtete článek o službě Active Directory, je více než pravděpodobné, že jej již nepoužíváte. V takovém případě byste mohli být lepší začít s Azure AD na rozdíl od Windows AD. Jedním z hlavních důvodů, proč byste mohli chtít používat Windows AD, je, pokud ukládáte velké množství cenných dat a máte tým zkušených IT profesionálů spravujících váš program kybernetické bezpečnosti.

pokud byste chtěli vidět, jak Lepide Active Directory Auditor vám pomůže audit služby Active Directory a zajistit bezpečnost reklam, naplánovat demo s jedním z našich inženýrů dnes nebo stáhnout bezplatnou zkušební verzi ještě dnes.