Active directory

Active Directory Christian M rd och Sebastian Ahlman Inledning 3 Allm nt 3 M l med Active Directory 4 Struktur 4 Organisationsenhet OU 4 Dom n 5 Tr d 5 Skog 5 Schema 5 Serverroller 6 Globala katalogen GC 6 Dom nkontroller DC 6 FSMO Flexible Single Master Operations 7 Medlemsserver 7 S kerhet 7 Grupp policy 7 F rtroendef rh llanden Trusts 8 LDAP 9 Sammanfattning 9 K llf rteckning 10 Inledning Katalogtj nster anv nds i alla n tverk d r flera anv ndare arbetar tillsammans och delar p resurser och tj nster Begreppet katalogtj nst ber ttar i sig sj lv inte vad en s dan tj nst g r I korthet r det fr gan om ett system som h ller reda p anv ndare datorer grupper tj nster kort och gott alla objekt i n tet hj lper till att skilja mellan dessa och beskriver relationerna mellan dem Katalogtj nster inneh ller ofta en centraliserad databas med information om alla objekt i n tverket samt verktyg med vilka anv ndare kan g ra f rfr gningar i denna databas Active Directory h refter AD r Microsofts katalogtj nst som utvecklats huvudsakligen f r n tverk best ende av Windows baserade datorer AD r en implementation av LDAP protokollet eng Lightweight Directory Access Protocol som utvecklats f r katalogtj nster Den version av LDAP som ing r i AD f ljer dock inte LDAP standarden helt och h llet LDAP fungerar som ett l gniv gr nssnitt till AD F rutom katalogtj nster erbjuder AD f renklad installation och uppdatering av programvara p flera datorer samtidigt Tack vare detta kan en administrator enkelt t ex installera en kritiskt uppdatering hos ett program som anv nds p alla datorer i n tverket AD presenterades f r f rsta g ngen r 1996 och den f rsta funktionsdugliga versionen ing r i Windows 2000 Systemet har uppdaterats f r Windows Server 2003 Windows Server 2003 R2 och Windows Server 2008 I tidiga dokument kallades systemet f r NTDS NT Directory Service f re det d ptes om till Active Directory Denna rapport presenterar AD i korthet beskriver m len med systemet anv ndningsomr den och uppgifter strukturen hos n tverket fr n katalogtj nstens synvinkel de mest centrala objekten i systemet samt f r och nackdelar Allm nt AD ser n tverket som en samling objekt Allt som ing r i n tverket r ett objekt Anv ndare anv ndargrupper datorer tj nster t ex e post resurser t ex h rdskivor p datorer i n tverket och skrivare samt beskrivande objekt som policies och f rtroendef rh llanden alla r exempel p objekt inom AD Hurdana objekt som kan ing i systemet beskrivs i n tverkets schema Ett n tverk inneh ller alltid ett schema som kan j mf ras med schemat i en databas Schemat inneh ller definitionen f r alla objekttyper i systemet och nya typer kan l ggas till schemat vid behov N tverket inneh ller objekten enligt en viss hierarki M nga objekt fungerar som container objekt f r andra objekt dvs de inneh ller andra objekt F rutom med hj lp av logiska objekt kan n tverkets olika fysiska delar delas in i sk sites Denna fysiska indelning beh ver inte n dv ndigtvis vara den samma som den logiska indelningen AD anv nder DNS tj nsten eng Domain Name System f r att lokalisera datorer i n tverket P grund av detta fungerar AD inte ifall DNS tj nsten inte r r tt konfigurerad M l med Active Directory Microsoft har st llt fast ett antal klara m l med AD och utvecklingen av systemet styrs av dessa m l Det f rsta och mest centrala m let med AD r att f renkla administrationen av n tverk med m nga olika sorts objekt Detta inneb r att egenskaper hos alla objekt i n tverkets objekthierarki enkelt kan tilldelas och modifieras b de direkt och som en del av en st rre grupp Hierarkierna r s flexibla som m jligt och det r enkelt att flytta objekt fr n en plats till en annan Just flexibilitet r ett av huvudm len med AD Systemet har dessutom god skalbarhet Ett AD n tverk fungerar lika bra med n gra hundra objekt som med miljontals objekt Ett annat m l med AD r att systemet skall basera sig p ppna standarder som r v lk nda och pr vade Exempel p ppna standarder i AD r LDAP protokollet f r grundl ggande katalogtj nster X 500 standarden som beskriver strukturen i systemet DNS som anv nds f r att lokalisera datorer samt Kerberos f r autentisering Flera av dessa standarder r vidareutvecklade av Microsoft f r att b ttre passa in i systemet Detta inneb r att de inte f ljer de allm nna standarderna till punkt och pricka Under den senaste tiden har Microsoft b rjat anv nda AD i flera av sina produkter Detta inneb r att dessa produkter inte verhuvudtaget fungerar utan AD P detta s tt kan AD r knas som en applikationsplattform Ett exempel p en s dan produkt r Microsofts e post serverprogram Exchange Struktur Organisationsenhet OU Organisationsenheter eller OU n r en kritisk design faktor i AD som inverkar p s kerhet policyn effektivitet och administrations kostnader En OU r en sorts LDAP beh llare Man kan s ga den vara en subdom n med liknande egenskaper som en dom n Med andra ord r OU n komponenter inuti en dom n Ist llet f r att en OU skulle vara del av en DNS namnrymd r den en del av en LDAP namnrymd OU n kan organiseras i en hierarkisk struktur Till skillnad fr n dom nernas hierarkiska struktur rvs anv ndar r ttigheter och grupp policyn genom OU hierarkin En av de huvudsakliga f rdelarna med OU n r att de klarar av dom nfunktioner och d rf r minskar antalet dom ner som kr vs OU n anv nds oftast f r att inneh lla anv ndarkonton gruppkonton samt datorkonton Effektiva konfigurationer kan erh llas n r OU ns design ligger i st mmer verrens med grupp policyn och s kerhetsgrupper En annan f rdel med OU n r att de m jligg r delegering av auktoritet Administrat rer i dom ner kan delegera vissa administrativa r ttigheter genom OU n R ttigheterna kan delegeras v ldigt noggrant Ett exempel r r ttigheterna hos en person som jobbar i en helpdesk Dom n administratorn kan delegera denna person r tten att ndra l senordet f r anv ndare Detta minskar dom n administrat rens uppgifter Dom n Huvuddelen av den logiska strukturen i Active Directory r dom nen som kan spara miljontals objekt Objekt som sparas i dom nen anses vara intressanta f r n tverket Dessa objekt r delar som medlemmarna i n tverket beh ver f r att utf ra sina arbeten Exempel p objekt r skrivare servrar e postadresser databaser och anv ndare Alla n tverksobjekt existerar inuti en dom n och varje dom n sparar information endast om de objekt de inneh ller En AD byggs upp av en eller fler dom ner Genom att gruppera objekt i dom ner kan man effektivt terspegla organisationens struktur i AD Med dom ner kan olika avdelningar inom en organisation skilja t sin information fr n de vriga avdelningarnas information Tr d Ett tr d representerar en hierarki av dom ner i Active Directory F r att skapa ett tr d m ste sub dom ner till ggas under rot dom nen F rst d skapas ett tr d Ett exempel p en rot dom n r arcada fi En sub dom n till denna rot dom n kan i detta fall vara people arcada fi Tr d r de strukturella elementen som f rs krar skalbarheten med Active Directory D varje dom n r en del av hela AD skapar tr det den hierarkiska strukturen som beh vs hos organisationer mycket likadant s som DNS dom nstrukturen i internet D rf r namnges dom nerna i AD enligt DNS standarden Deras namn r samtidigt deras namn i DNS namnrymden Skog Det finns tillf llen d tv eller flera dom ntr d som b da representeras av skilda DNS namnrymder m ste sammanbindas Detta kallas f r en skog Skogen har ett rot tr d det f rsta tr det som l ggs till skogen Varje tr d inom en skog har f ljande egenskaper Gemensamt schema beskrivs nedan Gemensam konfiguration AD infrastrukturens information Global katalog beskrivs i kapitlet Serverroller Varje dom n inom en skog kan utnyttja Kerberos transitiva f rtroende mekanismen Schema Ett schema inneh ller definitionerna f r de datatyper som kan ing i ett AD n tverk Ifall ett objekt eller attribut inte finns i schemat kommer det inte att sparas i AD AD schemat kan j mf ras med schemat f r en databas AD inneh ller information i formen av objekt och deras attribut AD inneh ller en sorts databas som r optimerad f r s kningar Data som r mer eller mindre statisk och som ofta s ks kan f rdelsaktigt sparas i katalogen Exempel p s dan data som kan uppr tth llas effektivt r anv ndarattribut s som telefonnummer och konfigurationsdata f r applikationer Datatyper som dessa s ks oftare n de ndras Systemloggar och filsystem r d remot d liga kandidater f r katalogtj nsten eftersom denna typs data r extremt dynamisk Det administrativa verktyget schemahanteraren definierar vilka attribut som publiceras i den Globala Katalogen eng Global Catalog GC En v ldigt viktig aspekt vid planering av katalogens design r att v lja ut information som skall publiceras i GC Detta g rs med hj lp av schemahanteraren Serverroller Globala katalogen GC Den globala katalogen anv nds f r att f rb ttra responstiden av LDAP s kningar GC n best r av utvalda attribut fr n varje objekt i skogen Attributen som inkluderas i GC n r generellt sett anv ndbara f r s kningar som anses vara statiska Alltid d en LDAP s kning g rs i en katalog r GC n den f rsta f rvaringsplatsen som s ks igenom Det r d rf r GC n endast inneh ller attribut som r anv ndbara f r s kningar Ifall inte GC n inneh ller attributet av objektet som s ks kommer s kningen automatiskt att vidarebefodras till AD katalogen D rf r s ks AD katalogen igenom endast f r attribut som beh vs mera s llan En av de viktigaste punkterna att komma ih g med GC n r att s kning f r ett attribut g rs p skog niv eftersom GC n r en katalog p skogniv Ifall man andra sidan s ker efter ett attribut som inte hittas i den globala katalogen kommer s kningen att k ras enbart i den aktiva dom nen Dom nkontroller DC Datorn som sparar en kopia av dom nens konto och s kerhetsinformationen samt definierar dom nen kallas dom nkontrollern En dom nkontroller r en Windows Server med en NTFS partition som k r en Active Directory tj nst Tillg ng till dom nobjekten kontrolleras med s kallade Access Control Lists eller ACL Dessa listor inneh ller objekt som beskriver vilka r ttigheter anv ndare har till objekten i dom nen Dom nkontrollern kontrollerar ocks anv ndar dom n interaktionen bl a inloggningsprocessen autentiseringen och katalogs kningar En dom nkontroller sparar skrivbara kopior av katalogen N r ndringar sker hos en dom nkontroller r det dess uppgift att replikera dessa ndringar till andra dom nkontrollers inom samma dom n inom en kort tid Det r rekommenderat att varje dom n har mera n en dom nkontroller Ifall en dom nkontroller av n gon orsak st ngs av skulle inte anv ndarna kunna utnyttja n tverksresurserna eftersom det d inte finns n gon server som autentiserar dem och ger dem r ttigheter att anv nda resurserna En annan f rdel med flera dom nkontrollers r att arbetsb rdan f r autentiseringen kan delas mellan dem vilket resulterar i snabbare respsonstid inom n tverket FSMO Flexible Single Master Operations Vanligtvis har flera servrar delat ansvar f r att informationen i AD katalogen uppdateras I vissa fall kan detta leda till konflikter d flera servrar f rs ker uppdatera informationen samtidigt Detta kan l sas genom att ge endast en server till telse att uppdatera informationen Man s ger att servern f r en FSMO roll Detta kallas i nyare versioner av AD f r Operations Masters Det finns i en skog fem FSMO roller som delas ut t en eller flera dom nkontrollers Dessa roller r Schema Master Hanterar uppdateringar av informationen i schemat Domain Naming Master Har r ttighet att l gga till eller radera dom ner fr n AD katalogen Infrastructure Master Ansvarar f r att objektens namn och SID Security ID uppdateras korrekt d information verf rs fr n en dom n till en annan Relative ID Master Hanterar uppdatering av objektens RID Relative ID PDC Emulator Anv nds f r att synkronisera tiden i AD katalogen Medlemsserver En medlemsserver r en serverdator som h r till en dom n men inte r en dom nkontroller Datorn skall k ra Windows Server operativsystemet S kerhet Grupp policy En grupp policy r en samling anv ndar och datorinst llningar som kan l nkas till klienter dom ner och OU n Organizational Units F r att skapa en s rkild skrivbordskonfiguration f r en specifik grupp av anv ndare skapas ett grupp policy objekt GPO GPO n r en samling av grupp policy inst llningar Grupp policyn t cker m nga olika sidor av n tverks skrivbords och mjukvarukonfiguration i en milj bl a Policyn f r ibruktagande av applikationer Anv nds f r att synkronisera tiden i AD katalogen Policyn f r ibruktagande av filer Dessa policyn till ter en administrat r att l gga ut filer i speciella mappar p en anv ndares dator s som till exempel Mina dokument mappen Policyn f r skript Genom att anv nda skript policyn kan en administrat r specifiera skript som skall k ras p best mda tidpunkter s som vid inlogging och utloggning eller vid systemets uppstart avst ngning Policyn f r mjukvara Administrat rer kan anv nda mjukvarupolicyn f r att globalt konfigurera de flesta inst llningarna i anv ndarprofilerna s som skrivbordsinst llningar Start Menyval och applikationer Policyn f r s kerhet Dessa policyn till ter en administrat r att begr nsa anv ndarens tillg ng till olika filer och mappar konfigurera hur m nga misslyckade inloggningar leder till l sning av konto och kontrollera anv ndares r ttigheter I Active Directory rvs grupp policy inst llningar Grupp policyn processeras i f ljande ordning 1 GPO n f r platsen d r datorn eller anv ndarkontot finns 2 GPO n f r dom nen till vilken anv ndaren eller datorn h r 3 GPO n som anv nds i OU n b rjande fr n det OU som befinner sig l ngst borta fr n anv ndaren eller datorn Den slutliga m ngden policyn som en anv ndare eller dator tilldelas r summan av alla grupp policyn i AD hierarkin F rtroendef rh llanden Trusts En av f rdelarna med Active Directory dess effektiva hantering av f rtroendef rh llanden i en omgivning med flera dom ner I Active Directory finns det speciella f rtroendef rh llanden som r skapade och aktiverade automatiskt n mligen dubbelriktade transitiva f rtroendef rh llanden Ett annat namn f r detta f rtroende r Kerberos f rtroenden Detta betyder att anv ndare i dom n A kan komma t resurser i dom n B genom samma f rh llande som till ter anv ndare i dom n B att komma t resurser i dom n A Att f rh llandet r transitivt betyder att ifall dom n A har f rtroende f r dom n B och dom n A har f rtroende f r dom n C finns ett implicit f rtroendef rh llande mellan dom nerna B och C Det finns allts inget behov att manuellt skapa ett tredje f rh llande mellan B och C Figur 1 illustrerar detta f rh llande Dom n A Dom n BDom n C F rtroendef rh llande 1F rtroendef rh llande 2 Figur 1 Kerberos f rtroendef rh llanden mellan tre dom ner Ifall en katalogs dom n har flera sub dom ner kommer alla sub dom ner att ha implicita f rtroendef rh llanden med varandra tack vare att var och en av dem har ett f rtroendef rh llande med f r lder dom nen F ljande lista beskriver kort alla f rtroende f rh llanden som kan existera i en AD katalog Enklelriktat f rtroendef rh llande N r en dom n ger tillg ng till anv ndare i en annan dom n men den andra dom nen ger inte tillg ng till anv ndare i den f rsta dom nen Dubbelriktat f rtroendef rh llande N r tv dom ner ger tillg ng till anv ndare p den andra dom nen Transitivt f rtroendef rh llande Ett f rtroendef rh llande som kan breda ut sig ver tv dom ner till andra f rtrodda dom ner i tr det Intransitivt f rtroendef rh llande Ett enkelriktat f rtroendef rh llande som inte kan breda ut sig ver tv dom ner Cross Link f rtroendef rh llande Ett explicit f rh llande mellan dom ner i skilda tr d eller i samma tr d n r ett f r lder barn f rh llande inte existerar mellan de tv dom nerna LDAP LDAP r i dagens l ge en v lanv nd internetstandard f r katalogtj nster Protokollet anv nds s kmotorer och nyhetsgrupper I AD anv nds LDAP f r s kningar L t oss s ga att en anv ndare g r en s kning f r att hitta alla laserskrivare LDAP anv nder s kordet f r att g ra en s kning av objekt och attribut f r att lokalisera alla laserskrivare All tillg ng till AD objekt g rs via LDAP och det anv nds ocks n r administrat rer modifierar AD objekt F r att m jligg ra effektiv s kning ger LDAP AD objekt flera olika namn Dessa olika namn inneh ller information om objektet som anv nds vid s kresultat F rst och fr mst ger LDAP objekten ett s kallat distinguished name eller DN och ett relative distinguished name eller RDN DN visar hela v gen till objektet dvs d r objektet befinner sig i AD katalogen RDN ger det allm nna namnet f r objektet F ljande exmpel visar DN och RDN av ett anv ndarkonto Cn mardc ou people dc arcada dc fi RDN r mardc allts det allm nna namnet f r anv ndarkontot DN ger hela v gen till anv ndarkontot som existerar i en organisationsenhet som kallas people vilken i sin tur befinner sig i dom nen arcada fi Vid sidan av DN och RDN anv nder LDAP ocks user principal name eller UPN f r att lokalisera objekt UPN r ett friendly name dvs ett enkelt och kort namn som lagts till ett objekt och som visas enligt objektnamn dom nnamn Ett konto med namnet mardc i dom nen arcada fi kan allts visas som mardc arcada fi Dessa UPN anv nds av b de LDAP och av Windows f r att g ra inloggningen enklare Administrat rer kan generera UPN suffix f r att g ra inloggningen enklare Det r ocks v rt att n mna att varje AD objekt har ett Globally unique identifier eller GUID GUID r ett 128 bitar l ngt unikt nummer som ges till varje objekt n r det skapas Objektets GUID ndras aldrig till skillnad fr n DN eller RDN och kan d rmed anv ndas till att identifiera objektet Sammanfattning Active Directory str var efter att l sa m nga av problemen med katalogtj nster i s v l sm som stora organisationer Systemet