Cesta: Info / Tiskové centrum / Články / Active Directory

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

Co je to vlastně Active Directory?

S uvedením produktu Windows Server 2000 v lednu 2000 (v České republice v únoru 2000) se pojem Active Directory (AD) stal realitou. Nová adresářová služba společnosti Microsoft byla spolu s podporou DNS služeb a novým Internet Information serverem (IIS) nejvýraznějším rysem v operačním systému Windows Server 2000. Další verze serverového operačního systému, a tedy i Active Directory byla uvedena v dubnu 2003 jako Windows Server 2003. Active Directory je volitelnou součástí produktů Windows Server 2000/2003 v jednotlivých edicích (Standard, Advanced/Enterprise, Datacenter) a dále je například použita (v omezené míře) v produktu Small Business Server 2000/2003.

S produktem Windows Server 2003 byla uvolněna komponenta Active Directory Application Mode (ADAM), což je samostatně instalovatelná adresářová služba na bázi Active Directory pro potřeby vývojářů aplikací, internetových řešení a pro testování jiných produktů proti Active Directory.

K čemu je Active Directory určena?

Každý instalovaný Windows Server 2000/2003 se může stát součástí adresářové hiearchie Active Directory. Základní jednotkou topologie je doména (domain) a servery poskytující adresářové služby se nazývají doménové řadiče (domain controllers).

Doména Active Directory poskytuje tyto služby:

• správa uživatelských účtů, skupin, kontaktů (ve spojení s MS Exchange), účtů stanic,
• autentizace (ověřování) uživatelů, stanic, serverů a aplikací v rámci společného bezpečnostního kontextu,
• řízení skupinových politik pro objekty uživatelů a stanic,
• úložiště konfigurací aplikací a služeb (DNS, DFS, MS Exchange 200/2003, MS ISA Server),
• informace o topologii sítě (sídla - sites).

Jak vypadá Active Directory?

Jedná se objektově orientovanou databázi s množstvím tříd objektů (například objekty uživatelů, skupin, kontaktů, ...), které jsou popsány atributy (jméno, příjmení, e-mailová adresa, ulice, ...). Třídy objektů a jejich atributy popisuje tzv. schéma Active Directory. Schéma lze podle potřeby rozšiřovat, tuto možnost však doporučujeme přenechat aplikacím, jako je MS Exchange, MS ISA Server a podobně a nepouštět se do ní sami, abychom se v budoucnu nedostali do kolizí.

Active Directory můžete vidět z několika pohledů:

Uživatelé, stanice, skupiny lze spravovat konzolou "Active Directory Users and Computers", viz obrázek.

Domény Active Directory se zobrazují a konfigurují nástrojem "Active Directory Domains and Trusts", síťová topologie (sídla, spojnice sídel, nastavení replikací řadičů domény) pak nástrojem "Active Directory Sites and Services". Fyzický pohled na databázi Active Directory je možné zobrazit například nástrojem ADSI Edit, který zobrazí celou strukturu a veškeré objekty a atributy.

Není to jen přijít s CD a začít instalovat...

Před implementací Active Directory do organizace (a to bez ohledu na to, jak je velká nebo malá) je potřeba promyslet několik otázek. Jaký bude doménový model? Jak bude vypadat DNS (tato služba je pro běh Active Directory zcela zásadní, je prakticky neustále využívána pro vyhledávání řadičů domény a služeb Active Directory)? Jak bude pojmenován doménový prostor? Jaká bude konvence pro jména uživatelů, skupin, stanic, skupinových politik, sídel (sites) a dalších objektů? Jak se bude organizace (a tedy Active Directory) dále měnit (rozšiřovat, spojovat s dalšími apod.)? Mnoho těchto věcí lze měnit i později, ale většinou za cenu velkého úsilí administrátorů.

Mýty a omyly okolo Active Directory a Windows

1. Vypadá jako stanice - grafické rozhraní Windows Serveru 2000/2003 může tento dojem vzbuzovat, ale pro skutečnou správu a práci vyžaduje hluboké znalosti stejně jako u jiných systémů.
2. Windows jsou nestabilní - velký omyl, nejčastější chyba spočívá ve špatném správci, chybných ovladačích nebo závadném hardwaru.
3. Běží, není potřeba to spravovat - dobrý správce musí nejenom zakládat účty, ale sledovat celý systém, nesmí zapomenout na zálohování, antivirovou ochranu a instalaci oprav.
4. MS DNS je špatné, protože je to MS - DNS je zcela zásadní pro chod Active Directory a jeho špatná konfigurace může ohrozit chod celého systému. Nejjednodušší cesta je použít MS DNS (které je přímo Active Directory přizpůsobeno).
5. Nainstalovali jsme to a ono to běží, nemusíme už nic dělat - a co otázky bezpečnosti, správného nastavení logování, aplikace bezpečnostních záplat, atd.?
6. Bezpečnostní politiky lze definovat pro každou organizační jednotka zvlášť - základní bezpečnostní politiky týkající se hesel apod. se nastavují pouze na úrovni domény. Domény v rámci lesa jsou také vzájemně hodně provázány, bezpečnostní hranicí je až samostatný les.
7. Active Directory se musí spravovat jen "v oknech" a klikacími nástroji - existuje mnoho administrátorů Active Directory, kteří používají příkazovou řádku. Přečtete si další odstavec.

Dobrý administrátor musí být také programátor

Active Directory lze spravovat pomocí administrátorských nástrojů, dodávaných již "v základní výbavě" (tj. na instalačním CD) a používajících prostředí Microsoft Managenet Console (MMC). MMC je dalším významným nástrojem, který přišel s Windows Serverem 2000. Jde o základní prostředí, ve kterém si administrátor může sestavit konzolu podle vlastních představ, ať už z hotových modulů (snap-inů) nebo z modulů, které si sám naprogramoval. Pro operátora, jehož úkolem je sledovat stav sítě, může administrátor sestavit konzolu, ve které bude:

• sledování logů z různých počítačů (serverů, ale i pracovních stanic),
• sledování stavu kritických služeb,
• přístup na webovské konzole antivirových programů.

Jiná konzole pak může obsahovat například správu:

• uživatelů a sídel Active Directory,
• DNS a DHCP služeb, běžících na různých počítačích,
• Exchange Serveru 2000/2003.

Administrátorské nástroje dodávané s Windows 2000/2003 jsou sice dobré, ale mají jednu nevýhodu, kterou si uvědomují všichni administrátoři spravující "mnoho" uživatelských účtů a provádějící s každým z nich stejnou operaci (například změnu domovského adresáře) - nástroje jsou "klikací". Pro provedení operace administrátor postupně: otevře dialogové okno - nastaví parametry - zavře okno. Tato metoda je vhodná pro rychlé a snadné nastavení jednotlivých parametrů, ne však pro opakované, vždy stejné operace, v nichž dochází k chybovosti. Administrátor pak nemá mnoho možností zpětné kontroly.

V takových případech přichází ke slovu skripty, jejichž činnost můžeme logovat a které pracují se všemi objekty pokaždé stejně - a to buď stejně dobře nebo stejně špatně a většinou daleko rychleji, než pracuje administrátor. Ve Windows Serveru 2000/2003 je podporována řada skriptovacích jazyků, například Visual Basic Scripting Edition nebo Visual Jscript a jiné. V těchto jazycích existuje velké množství již hotových (a fungujících) příkladů, ze kterých lze snadno sestavit požadovanou funkčnost. Tak lze spravovat uživatele, plánovat spouštění úloh, sledovat běžící služby, vzdáleně aktualizovat registry a upravovat konfigurace systému, sbírat a vyhodnocovat logy, inventarizovat počítače, sbírat konfigurace do jednoho souboru atd.

Na obrázku ukazujeme příklad formuláře pro založení nového uživatele. Stačí zadat pouze základní údaje (jméno, příjmení, organizační jednotka) a údaje v dalších polích jsou vyplněny dle jmenných konvencí. Navíc jsou zde na jedné obrazovce prakticky všechny údaje, které administrátor vyplňuje (Exchange, skupiny atd.).

Výhody pro uživatele

Celý systém by postrádal smysl, kdyby neměl žádný užitek pro uživatele. Uživatelé oceňují zejména možnost jednotného přihlašování (single sign-on), a to do všech systémů, které s AD spolupracují (MS Exchange, MS ISA, ...), dále přístup k adresářové službě (ve spojení s Exchange adresářové pohledy v MS Outlook), přihlašování pomocí čipových karet a možnost šifrování dokumentů a pošty.

A za kolik to je?

Z pohledu licencování je Active Directory součástí Windows Serveru 2000 nebo 2003 v příslušné edici. Uvedené servery jsou licencovány v režimu server+CAL (Client Access License), to znamená jedna licence pro serverový operační systém a dále klientské přístupové licence pro přistupující uživatele (CAL). S produktovou řadou 2003 přišla možnost licencovat přístupové licence podle počtu přistupujících zařízení - Device CAL nebo podle počtu přistupujících uživatelů - User CAL. Pro využití Windows Serveru pro vytvoření např. extranetu externích spolupracovníků slouží licence Windows 2003 External Connector pro licencovaný přístup libovolného množství uživatelů.

Přístupová licence Windows (CAL) je potřeba vždy, když dojde k využití jedné z následujících 4 služeb, a to uživateli, stanicemi nebo i aplikacemi:

• authentication services - autentizační služby,
• file services - souborové služby,
• printing services - tiskové služby,
• remote access service - služba vzdáleného přístupu.

Z toho je patrné, že využití Active Directory vždy podléhá licencování.

V úvodu uvedený produkt Active Directory Application Mode (ADAM) je však zdarma, licencování se týká pouze hostitelského operačního systému.