¿Cuál es la función de WINDOWS Active Directory?
Hablando de directorio activo, es fácil pensar en directorios, rutas y carpetas en DOS y Windows9X/ME. En ese momento, el directorio o carpeta solo representaba la ubicación y la relación jerárquica de un archivo en el disco. El directorio donde se encuentra el archivo es relativamente fijo después de su generación (por supuesto, también se puede eliminar y transferir, por lo que estos son). no considerado ahora), es decir, su propiedad. Este directorio solo puede representar la ubicación de almacenamiento y el tamaño total de todos los archivos en este directorio, y no se puede obtener otra información relevante, lo que afecta la eficiencia general del uso del directorio, es decir, la eficiencia general del sistema, y complica el funcionamiento general. gestión del sistema. Como no existe correlación, el mismo objeto debe configurarse varias veces en diferentes aplicaciones, lo que es bastante complicado de administrar y afecta la eficiencia de los recursos del sistema. Para cambiar esta relación ineficiente y fortalecer la conexión con protocolos relacionados en Internet, Microsoft decidió realizar una reforma integral en WIN2K, es decir, introducir el concepto de directorio activo. La clave para entender Active Directory reside en la palabra "actividad". Nunca elimine la palabra "actividad" y entiéndala únicamente de la palabra "directorio". Entonces usted y yo no podemos prescindir del directorio original en DOS o de la carpeta en Windows9x. Debido a que este directorio está activo, es dinámico. Es un directorio con funciones de servicio que puede realizar la asociación y asociación de "esto y aquello". Si encuentra un nombre de usuario, puede asociarlo con toda la información básica, como número de cuenta, información de nacimiento, dirección de correo electrónico, número de teléfono, etc. , aunque los archivos que componen esta información pueden no estar juntos. Al mismo tiempo, diferentes aplicaciones también pueden disfrutar de esta información, lo que reduce el desperdicio de recursos de desarrollo del sistema y mejora la eficiencia de utilización de los recursos del sistema.
Active Directory incluye dos aspectos: directorio y servicios relacionados con directorio. Los directorios son contenedores físicos que almacenan varios objetos. Desde una perspectiva estática, este directorio activo no es esencialmente diferente de los "directorios" y "carpetas" que conocemos antes. Es sólo un objeto, una entidad. Los servicios de directorio son los servicios que hacen que toda la información y los recursos del directorio funcionen. Active Directory es un servicio de directorio distribuido. La información se puede distribuir en muchas computadoras diferentes, lo que garantiza que los usuarios puedan acceder a ella rápidamente. Debido a que la información en muchas computadoras es la misma, tienen un fuerte control sobre el contenido de la información. Gracias a esto, los usuarios obtienen una vista unificada de su información sin importar dónde accedan a ella.
2. Términos relacionados
Aunque muchas tecnologías utilizadas en Active Directory también han aparecido en otros productos de software, esta es la primera vez que aparece como una solución de red integral. de estos términos o términos pueden ser desconocidos y requerir una comprensión detallada.
Ver sustantivos o términos relacionados en Active Directory.
1. Espacio de nombres: Básicamente, Active Directory es un espacio de nombres. Podemos pensar en un espacio de nombres como el límite de análisis de cualquier nombre dado, que se refiere al rango de toda la información que ese nombre puede proporcionar, relacionarse y asignarse. En términos generales, es la suma de toda la información relevante que podemos encontrar al buscar un objeto (como un usuario) en el servidor. Si tenemos definido nombre de usuario, contraseña de usuario, unidad de trabajo, número de contacto, domicilio, etc. En el servidor, la suma mencionada anteriormente se entiende ampliamente como el espacio de nombres del nombre "usuario", porque solo necesitamos ingresar un nombre de usuario para encontrar toda la información enumerada anteriormente. La resolución de nombres es el proceso de traducir un nombre al objeto o información que representa. Por ejemplo, en el espacio de nombres formado por un directorio telefónico, podemos analizar el nombre de cada cuenta telefónica en el número de teléfono correspondiente, en lugar de que el nombre actual sea el nombre y el número sea el número, no hay ninguna conexión horizontal. El sistema de archivos de Windows* también forma un espacio de nombres, y cada nombre de archivo se puede resolver en el archivo mismo (incluida toda la información que debería tener).
2. Objeto: El objeto es una entidad de información en el directorio activo, que es lo que normalmente vemos como "atributos", pero es un conjunto de atributos que a menudo representan entidades tangibles, como cuentas de usuario y documentos. nombres espera. Los objetos describen sus características básicas a través de atributos. Por ejemplo, los atributos de una cuenta de usuario pueden incluir el nombre del usuario, el número de teléfono, la dirección de correo electrónico y la dirección particular.
3. Contenedor: El contenedor es parte del espacio de nombres de Active Directory. Al igual que un objeto de directorio, tiene propiedades, pero a diferencia de un objeto de directorio, no representa una entidad tangible, sino más bien un espacio donde se almacenan los objetos. Debido a que solo representa el espacio donde se almacenan los objetos, es más pequeño que un espacio de nombres. Por ejemplo, un usuario es un objeto, pero el contenedor de este objeto está limitado al espacio de información que puede proporcionar el propio objeto, como solo el nombre de usuario y la contraseña de usuario. Otros como unidad de trabajo, número de contacto, domicilio, etc. no pertenecen al alcance contenedor de este objeto.
4. Árbol de directorios: en cualquier espacio de nombres, el árbol de directorios se refiere a la estructura jerárquica compuesta por contenedores y objetos. Las hojas y los nodos de un árbol suelen ser objetos, y los nodos que no son hojas del árbol son contenedores. Un árbol de directorios expresa cómo se conectan los objetos y también muestra la ruta de un objeto a otro. En Active Directory, el árbol de directorios es la estructura básica. A partir de cada contenedor, se puede formar un subárbol. Un directorio simple puede formar un árbol, al igual que una red informática o un dominio. También es fácil de entender. Cuando aprendimos informática por primera vez, ¿no empezamos con una comprensión integral del concepto de ruta en DOS? De hecho, este "árbol de directorios" es una "relación de ruta". Si comprende la "ruta" en DOS, creo que no será un problema comprender este "árbol de directorios".
5. Dominio: El dominio es el límite de seguridad del sistema de red WIN2K. Sabemos que la unidad más básica de una red informática es un "dominio". Esto no es exclusivo de WIN2K, pero el directorio activo puede ejecutarse a través de uno o más dominios. En una computadora independiente, el dominio se refiere a la computadora misma. Un dominio se puede distribuir en varias ubicaciones físicas y una ubicación física puede dividir diferentes segmentos de red en diferentes dominios. Cada dominio tiene su propia política de seguridad y relaciones de confianza con otros dominios. Cuando se conectan varios dominios a través de una relación de confianza, el directorio activo puede ser compartido por varios dominios de confianza.
6. Unidad organizativa: un tipo particularmente útil de objeto de directorio contenido en un dominio es la unidad organizativa. Las unidades organizativas son contenedores en los que se pueden colocar usuarios, grupos, computadoras y otras unidades en Active Directory. Las unidades organizativas no pueden contener objetos de otros dominios. Una unidad organizativa es la unidad funcional más pequeña a la que se pueden asignar configuraciones de política de grupo o se pueden delegar derechos administrativos. Al utilizar unidades organizativas, puede crear contenedores en su dominio que representan jerarquías lógicas dentro de las unidades organizativas para que pueda gestionar la configuración y el uso de cuentas y recursos según su modelo organizativo, y puede utilizar unidades organizativas para crear un modelo de gestión escalable para cualquier tamaño. A los usuarios se les pueden otorgar derechos administrativos para todas las unidades organizativas del dominio o para unidades organizativas individuales. Los administradores de una unidad organizativa no necesitan tener permisos administrativos en ninguna otra unidad organizativa del dominio. Las unidades organizativas son un poco como grupos de trabajo en nuestra era NT y pueden entenderse desde la perspectiva de los permisos de gestión.
7. Árbol de dominios: un árbol de dominios consta de múltiples dominios que comparten la misma estructura de tabla y configuración para formar un espacio de nombres continuo. Los dominios del árbol están conectados a través de relaciones de confianza y el directorio activo contiene uno o más árboles de dominio. Cuanto más profundo sea el nivel de dominio en el árbol de dominios, más bajo será el nivel. Un "." representa un nivel. Por ejemplo, child.Microsoft.com tiene un nivel de dominio más bajo que Microsoft.com porque tiene dos relaciones jerárquicas, mientras que Microsoft.com solo tiene una. Grandchild.Child.Microsoft.com tiene un territorio más bajo que Child.Microsoft.com por la misma razón. Los dominios en el árbol de dominios están conectados mediante relaciones de confianza transitivas bidireccionales. Debido a que estas relaciones de confianza son bidireccionales y transitivas, los dominios recién creados en un árbol o bosque de dominios pueden establecer inmediatamente relaciones de confianza con todos los demás dominios en el árbol o bosque de dominios. Estas relaciones de confianza permiten que un proceso de inicio de sesión único autentique a los usuarios en todos los dominios de un árbol o bosque de dominios, pero esto no significa necesariamente que el usuario autenticado tenga los mismos derechos y permisos en todos los dominios del árbol de dominios. Debido a que los dominios son límites de seguridad, a los usuarios se les deben asignar los derechos y permisos adecuados por dominio.
8. Bosque de dominio: un bosque de dominio consta de uno o más árboles de dominio sin espacios de nombres continuos. La diferencia más obvia entre este árbol de dominios y el árbol de dominios mencionado anteriormente es que no existe un espacio de nombres continuo entre estos árboles de dominios, y el árbol de dominios se compone de algunos dominios con espacios de nombres continuos. Pero todos los árboles de dominio en el bosque de dominios siguen * * * compartiendo la misma estructura de tablas, configuración y catálogo global.
Todos los árboles de dominio en un bosque de dominio se establecen a través de relaciones de confianza de Kerberos, por lo que cada árbol de dominio conoce la relación de confianza de Kerberos y diferentes árboles de dominio pueden hacer referencias cruzadas a objetos en otros árboles de dominio. Todos los bosques tienen un dominio raíz y el dominio raíz de un bosque es el primer dominio creado en el bosque. Los dominios raíz de todos los árboles de dominios en el bosque de dominios establecen una relación de confianza transitiva con el dominio raíz del bosque de dominios.
9. Sitio: Un sitio se refiere a una ubicación de red que incluye un servidor de dominio Active Directory, generalmente una o más subredes conectadas a través de TCP/IP. Las subredes dentro del sitio están conectadas a través de una red rápida y confiable. La división de sitios facilita a los administradores configurar la compleja estructura del directorio activo, hacer un mejor uso de las características físicas de la red y mantener las comunicaciones de la red en óptimas condiciones. Cuando un usuario inicia sesión en la red, el cliente de Active Directory encuentra el servidor de dominio de Active Directory en el mismo sitio. Dado que la comunicación de red en el mismo sitio es confiable, rápida y eficiente, los usuarios pueden iniciar sesión en el sistema de red en el menor tiempo posible. Dado que el sitio está delimitado por subredes, Active Directory puede encontrar fácilmente el sitio donde se encuentra el usuario al iniciar sesión y luego encontrar el servidor de dominio de Active Directory para completar el trabajo de inicio de sesión.
10. Controlador de dominio: El controlador de dominio es la computadora en la que se configura el servidor WIN2K mediante el Asistente de instalación de Active Directory. El asistente de instalación de Active Directory instala y configura los componentes que brindan servicios de Active Directory a los usuarios de la red y las computadoras para la selección de usuarios. Los controladores de dominio almacenan datos de directorio y administran las interacciones del dominio del usuario, incluidos los procesos de inicio de sesión del usuario, la autenticación y las búsquedas en el directorio. Un dominio puede tener uno o más controladores de dominio. Para lograr alta disponibilidad y tolerancia a fallas, es posible que una organización pequeña que utilice una única red de área local (LAN) solo necesite un dominio con dos controladores de dominio. Las grandes empresas con múltiples ubicaciones de red necesitan instalar uno o más controladores de dominio en cada ubicación para brindar alta disponibilidad y tolerancia a fallas.
El controlador de dominio del servidor WIN2K amplía las funciones y características proporcionadas por el controlador de dominio WINNT Server 4.0. La replicación multitarjeta de WIN2K Server sincroniza los datos del directorio en cada controlador de dominio para garantizar que la información permanezca consistente durante un período de tiempo, es decir, que sea dinámica, esto es lo que hace el directorio activo. La replicación multihomed es un desarrollo del modelo de controlador de dominio principal y de controlador de dominio de respaldo utilizados en WINNT Server 4.0. En WINNT Server 4.0, sólo un servidor (el controlador de dominio principal) tiene una copia de lectura y escritura del directorio.
3. La importancia de instalar Active Directory
Decimos que uno de los éxitos y la creatividad de WIN2K es la introducción exitosa del servicio de Active Directory, entonces, ¿cuál es la importancia de instalar Active Directory? ¿directorio? Esta es la primera pregunta para todos nuestros principiantes en WIN2K. Debido a que el directorio activo no es un servicio esencial para el sistema WIN2K, es muy difícil entenderlo completamente. Entonces, ¿cuál es el significado de instalar el directorio activo? Reflejado principalmente en los siguientes aspectos:
1. La seguridad de la información se mejora enormemente.
Después de instalar Active Directory, la seguridad de la información está completamente integrada con Active Directory. La administración de autorización de usuario y el control de acceso al directorio se han integrado en Active Directory (incluido el acceso de usuario y los permisos de inicio de sesión, etc.), y todos están integrados. WIN2K* Medidas de seguridad clave para sistemas operativos. Active Directory controla de forma centralizada la autorización de los usuarios. El control de acceso al directorio se puede definir no solo en los objetos de cada directorio, sino también en cada atributo de cada objeto. Esto no era posible en ningún sistema anterior, incluido WINNT. Además, Active Directory puede proporcionar políticas de seguridad para toda la aplicación y almacenamiento y políticas de seguridad para toda la aplicación y almacenamiento. Las políticas de seguridad pueden contener información de la cuenta, como restricciones de contraseña dentro de un dominio o derechos de acceso a recursos dentro de un dominio específico.
Por tanto, de cierto programa se puede decir que la seguridad de WIN2K es la seguridad reflejada en el directorio activo. Explicar cómo configurar la seguridad de los objetos y atributos en el directorio activo es la clave para que un administrador de red configure el sistema WIN2K. .
2. Introducir la gestión basada en políticas para hacer más clara la gestión del sistema.
El servicio de directorio activo incluye almacenamiento de datos de objetos de directorio y jerarquía lógica (refiriéndose a la jerarquía compuesta por directorios, árboles de directorios, dominios, árboles de dominios, bosques de dominios, etc.). Como directorio, almacena la información. asignados a políticas específicas para el entorno se denominan objetos de política de grupo. Como estructura lógica, proporciona un entorno en capas para aplicaciones de políticas. Un objeto de Política de grupo representa un conjunto de reglas comerciales, incluidas configuraciones relacionadas con el entorno al que se aplican. La política de grupo son los ajustes de configuración utilizados al inicializar un usuario o computadora. Todas las configuraciones de política de grupo están contenidas en objetos de política de grupo (GPO) que se aplican al directorio activo, dominio o unidad organizativa. La configuración de los GPO determina los permisos de acceso a los objetos del directorio y los recursos del dominio, qué recursos del dominio pueden usar los usuarios y cómo usan estos recursos del dominio. Por ejemplo, los objetos de Política de grupo pueden determinar qué aplicaciones ve un usuario en su computadora cuando inicia sesión, cuántos usuarios pueden conectarse al servidor cuando se inicia en el servidor y a qué archivos o servicios puede acceder un usuario cuando se mueve. un departamento o grupo diferente. Los objetos de política de grupo le permiten administrar una pequeña cantidad de políticas en lugar de una gran cantidad de usuarios y computadoras. Active Directory le permite aplicar la configuración de directiva de grupo al entorno adecuado, ya sea toda la organización o un departamento específico dentro de la organización.
3. Es altamente escalable.
El directorio activo de WIN2K es altamente escalable. Los administradores pueden agregar nuevas clases de objetos al plan o agregar nuevos atributos a clases de objetos existentes. El plan incluye la definición de cada clase de objeto y las propiedades de la clase de objeto que se pueden almacenar en el directorio. Por ejemplo, en el comercio electrónico, podría agregar un atributo de autorización de compra a cada objeto de usuario y luego almacenar los permisos de compra de cada usuario como parte de la cuenta de usuario.
4. Es altamente escalable.
Active Directory puede estar contenido en uno o más dominios, cada uno con uno o más controladores de dominio, por lo que puedes ajustar el tamaño del directorio para satisfacer las necesidades de cualquier red. Se pueden combinar varios dominios en un árbol de dominios y varios árboles de dominios se pueden combinar en un bosque. Por lo tanto, el directorio activo también escala a medida que lo hace el dominio, adaptándose mejor a los cambios en la red de la unidad. El directorio distribuye su información de esquema y configuración a todos los controladores de dominio en el directorio, información que se almacena en el primer controlador de dominio del dominio y se replica en cualquier otro controlador de dominio del dominio. Cuando el directorio está configurado como un dominio único, agregar controladores de dominio cambiará el tamaño del directorio sin afectar la sobrecarga administrativa de otros dominios. Agregar dominios a un directorio le permite particionar el directorio para diferentes entornos de políticas y cambiar el tamaño del directorio para acomodar una gran cantidad de recursos y objetos.
5. Capacidad de replicación de información inteligente
La replicación de información proporciona disponibilidad de información, tolerancia a fallas, equilibrio de carga y ventajas de rendimiento para el directorio. Active Directory utiliza replicación multimaestro, lo que le permite actualizar el directorio sincrónicamente en cualquier controlador de dominio, en lugar de en un único controlador de dominio principal. La ventaja del modo multimaestro es una mayor tolerancia a fallos porque con varios controladores de dominio, la replicación puede continuar incluso si algún controlador de dominio deja de funcionar. Debido a la replicación multimaestro, actualizarán una única copia del directorio. Después de crear o modificar la información del directorio en un controlador de dominio, la información recién creada o modificada se envía a todos los demás controladores de dominio del dominio para que la información del directorio esté actualizada. Los controladores de dominio necesitan la información de directorio más reciente, pero para ser eficientes, deben limitar sus actualizaciones solo a nuevas creaciones o cambios en la información del directorio para evitar la sincronización durante las horas pico de la red y afectar las velocidades de la red. El intercambio indiscriminado de información de directorio entre controladores de dominio puede provocar la caída de cualquier red rápidamente. Sólo la información del directorio modificada se puede replicar a través del directorio activo sin aumentar significativamente la carga en el controlador de dominio.
6. Estrechamente integrado con DNS.
Active Directory utiliza el Sistema de nombres de dominio (DNS) para nombrar los directorios del servidor.
DNS es un servicio estándar de Internet que convierte nombres de host más comprensibles (como Mike.Mycompany.com) en direcciones IP numéricas, lo que facilita la identificación mutua y la comunicación entre computadoras en redes TCP/IP. El nombre de dominio de DNS se basa en la estructura de nombres jerárquica de DNS, que es una estructura de árbol invertida, con un único dominio raíz, bajo el cual pueden haber dominios principales y subdominios (ramas y hojas). Explicaré esto en detalle en un capítulo especial más adelante, pero aquí solo daré una breve introducción.
7. Es compatible con otros servicios de directorio.
Debido a que Active Directory se basa en protocolos de acceso a directorios estándar, muchas interfaces de programas de aplicaciones (API) permiten a los desarrolladores acceder a estos protocolos, como la interfaz de servicio de Active Directory (ADSI), la versión del protocolo ligero de acceso a directorios (LDAP). 3 y la interfaz del proveedor de servicios de nombres (NSPI) para que pueda interactuar con otros servicios de directorio que utilizan estos protocolos. LDAP es un protocolo de acceso a directorios que se utiliza para consultar y recuperar información en Active Directory. Debido a que es un protocolo de servicio estándar de la industria, puede utilizar desarrolladores de LDAP para compartir información del directorio activo con otros servicios de directorio que también admitan LDAP. Active Directory admite el protocolo NSPI utilizado por los clientes de Microsoft Exchange 4.0 y 5.x para brindar compatibilidad con Exchange Directory.
8. Función de consulta flexible
Cualquier usuario puede utilizar el comando "Buscar" en el menú "Inicio", "Entorno de red" o "Usuarios y equipos de Active Directory". objetos en la red usando propiedades de objeto. Por ejemplo, puede buscar usuarios por nombre, apellido, nombre de correo electrónico, ubicación de la oficina u otros atributos de la cuenta de usuario, y viceversa.