900 likes | 1.21k Vues
Hoofdstuk 3: Active Directory. Active Directory - Directoryservices. Active Directory (AD) is de implementatie door Microsoft van de directoryservice LDAP in combinatie met DNS en Kerberos voor het gebruik in Windows-omgevingen . . Active Directory - Directoryservices.
E N D
Active Directory - Directoryservices • Active Directory (AD) is de implementatie door Microsoft van de directoryservice LDAP in combinatie met DNS en Kerberos voor het gebruik in Windows-omgevingen. Active Directory
Active Directory - Directoryservices • LDAP is een netwerkprotocol dat beschrijft hoe gegevens uit de directoryservices benaderd moeten worden over bijvoorbeeld TCP/IP. Active Directory
Active Directory - Directoryservices • Kerberos is een standaard authenticatieprotocol dat zorgt dat gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Active Directory
Active Directory - Directoryservices • Een directoryservice is te vergelijken met een grote catalogus voor alle gebruikers van een netwerk. Zo kan een gebruiker met behulp van de directoryservice opzoeken welke printers er voor hem beschikbaar zijn binnen het netwerk. Active Directory
Active Directory - Kerberos • Kerberos is een standaard authenticatieprotocol dat zorgt dat gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Active Directory
Active Directory - Directoryservices • De directoryservice verricht daarmee twee belangrijke netwerkfuncties: (1) • Zorg voor de authenticatie van de netwerkgebruikers. Netwerkgebruikers hoeven zich slechts éénmaal aan te melden via single sign-on en worden daarna op alle fronten in het netwerk herkend. • Als een gebruiker dus toegang wil hebben tot een tweede server, hoeft hij zich niet nogmaals aan te melden. De directoryservice geeft de beschikbare resources vrij aan de gerechtigde netwerkgebruikers. Active Directory
Active Directory - Directoryservices • De directoryservice verricht daarmee twee belangrijke netwerkfuncties: (2) • Daarnaast is het mogelijk om in een directoryservice de netwerkresources te groeperen zodat ze gemakkelijker door de netwerkgebruikers gevonden kunnen worden. Active Directory
Active Directory - Sites • Een site is een fysieke geografische eenheid: een locatie. • Een domein is een logische eenheid van objecten. Een bedrijf kan één domein hebben waarbij de kantoren op meer locaties staan. In dat geval is een domein verspreid over meer sites. Het is ook mogelijk dat er meer domeinen zijn op één locatie. Active Directory
Active Directory - Netwerkobjecten • Binnen de hiërarchie wordt alle informatie over de netwerkonderdelen opgeslagen. • Met netwerkobjecten worden onder andere bedoeld: • Netwerkgebruikers. • Gebruikersgroepen. • Domeinen. • Organisatie-eenheden. • Beveiligingsopties. Active Directory
Active Directory - Netwerkobjecten • Netwerkonderdelen heten in een AD-omgeving objecten. Active Directory
Active Directory - Netwerkobjecten • Active Directory is dan ook een objectgeoriënteerde directoryservice. Dat houdt in dat alle objecten binnen de AD gedefinieerd moeten worden. Active Directory
Active Directory – Global Unique IDentifiers • Elk object in de AD krijgt zijn eigen GUID (Global Unique IDentifier) toegewezen. • Een GUID is een nummer van 128 bits en is daarmee uniek over de hele wereld. Het object krijgt deze GUID maar één keer. • Wanneer een gebruiker in de AD zoekt naar een object, dan zoekt hij in feite met behulp van deze GUID. Active Directory
Active Directory – AD schema • Uiteraard heeft een object behalve deze GUID nog meer eigenschappen. • Voor het definiëren daarvan zijn er de zogenaamde AD-schema’s. Active Directory
Active Directory – AD schema • Een AD-schema is een verzameling van twee soorten definities: • Attributen; • Objectklasse. Active Directory
Active Directory – AD schema • Attributen. Dit zijn de kenmerken van een object. Deze worden eenmalig gedefinieerd, waarbij tevens het type informatie wordt vastgelegd. Zo kan worden vastgelegd of de informatie wel of niet verplicht moet worden ingevuld. Voor een beschrijving van een printer of computer is dit vaak niet nodig, maar voor een ander attribuut (bijvoorbeeld NAME) wel. Immers, elk object heeft een naam, en deze NAME moet uniek zijn binnen het netwerk. Active Directory
Active Directory – AD schema • Objectklasse. Een objectklasse bestaat uit een aantal attributen en is te vergelijken met een sjabloon. Maakt men met behulp van een sjabloon een object aan, dan erft dit object alle attributen uit de objectklasse. Active Directory
Standaard objectklassen - Gebruikers • Voor iedere gebruiker (user) van de AD moet een userobject worden aangemaakt. Daarin liggen onder meer de gebruikersnaam en het wachtwoord van de gebruiker vast. Active Directory
Standaard objectklassen – Computers en servers • Voor elke client van een willekeurige versie van Windows moet binnen de AD een computeraccount (objectklasse) worden aangemaakt. • Elke computer of server dient een unieke naam te krijgen. Active Directory
Standaard objectklassen – Groepen • Binnen de AD behoren groepen tot de objectklasse Group. In een groepsobject brengt u gebruiker- of computeraccounts onder in een logische eenheid. • Vaak worden zulke groepen ook weer bij andere groepen ondergebracht. Active Directory
Groepen – Universal Groups (UG) • Tot een UG kunnen verschillende soorten leden behoren, zoals contactpersonen, gebruikers, computers, Global Groups en andere Universal Groups uit een domein. • Microsoft raadt het gebruik van Universal Groups af omdat ze veel dataverkeer op het netwerk genereren. De informatie over UG’s is zo universeel, dat deze over het gehele domein uitgestrekt is. Active Directory
Groepen – Global Groups (GG) • Deze groep bevat alleen leden uit het eigen domein. Dit kunnen contactpersonen, gebruikers en computers zijn. • Ook deze groepen worden via de globale catalogus verspreid over het domein. Active Directory
Groepen – Domain LocalGroups • Deze groepen worden gebruikt om de toegang tot netwerkbronnen te regelen. Active Directory
Groepen – Organization Units (OU) • Dit zijn zogenaamde containerobjecten. Een containerobject kan zelf weer andere objecten uit het eigen domein bevatten (users, computers, shares, applicaties, andere OU’s). Active Directory
Organization Units • Op een Organizational Unit kan de systeembeheerder een zogenaamd groepsbeleid (Group Policy) toepassen. • Dat zijn regels die bepalen wat objecten zoals gebruikers, groepen in de OU wel en niet mag. Zo krijgt de ene gebruiker wel toegang om de achtergrond van de desktop te wijzigen en een andere gebruiker niet. Active Directory
Organization Units • Met behulp van OU’s kunt u binnen het domein een structuur opzetten die lijkt op die van uw organisatie. Active Directory
Organization Units • U kunt zelf een structuur aanmaken gebaseerd op de werk- of schoolstructuur. Active Directory
Domain controller • De AD kan informatie over het netwerk verspreiden waardoor deze informatie beschikbaar komt voor iedere gebruiker in het netwerk. Deze informatie wordt op zogenaamde Domain Controllers (DC) opgeslagen. Active Directory
Domain controller • Wanneer een domein meerdere DC’s bevat, wordt deze informatie automatisch over alle DC’s verspreid. Active Directory
Domain controller • Om een Active Directory zinvol in te zetten, moeten er tenminste twee domeincontrollers aanwezig zijn. Valt er een DC uit, dan neemt de andere DC het automatisch over zonder dat de netwerkgebruikers er iets van merken. Active Directory
Domain controller – Data in een domein uitwisselen – Domeinspecifieke data • Alle informatie die typisch toebehoort aan een directoryservice zoals e-mailaccounts, gebruiker- en computerattributen (resources die in het netwerk beschikbaar zijn). Active Directory
Domain controller – Data in een domein uitwisselen - Configuratiedata • Alle informatie rondom de topologie van de directory’s. Hiertoe behoren bijvoorbeeld de lijsten met informatie over gekoppelde domeinen. Active Directory
Domain controller – Data in een domein uitwisselen - Schemadata • Windows Server 2008 bevat kant-en-klare schema’s met definities voor objecten en attributen zoals eerder genoemde gebruikers, computers en beveiligingsinstellingen. • Uiteraard kan de beheerder deze schema’s aanpassen en zelf schema’s toevoegen. Active Directory
Domain controller – Trusts • Een vertrouwensrelatie tussen domeinen wordt een trust genoemd. • Via een trust wordt het mogelijk dat gebruikers uit het ene domein kunnen beschikken over bronnen uit het andere domein. Active Directory
Domain controller – Trusts • Er bestaan Oneway Trusts en Twoway Trusts. • Bij een Oneway Trust vertrouwt domein A domein B maar niet omgekeerd. • Bij Twoway Trust vertrouwt domein A, domein B en omgekeerd. Active Directory
Een server op één domein op één locatie • In een Windows Server 2008 met één domein op één locatie is de AD opgeslagen op minimaal één domeincontroller die zorgt voor verificatie en autorisatie. • Slechts één domeincontroller in uw domein opnemen is bijzonder kwetsbaar. Het netwerk is dan niet fouttolerant. Voor een fouttolerant netwerk moet u tenminste twee domeincontrollers opnemen. Active Directory
Een server op één domein op één locatie • Om het replicatieproces ongestoord te laten plaatsvinden, moeten de klokken (tijd) van de beide servers gelijk lopen. De replicatie gebeurt om de vijf minuten. Active Directory
Een server op één domein op meer locaties • Hierbij staan de domeincontrollers op verschillende locaties. • Het repliceren van de Active Directory’s kost dan veel bandbreedte, omdat de verbindingen tussen de locaties dan immers voor intensief 24/7-replicatieverkeer worden ingezet. Active Directory
Een server op één domein op meer locaties • Dit wordt opgelost door per locatie een site aan te maken. • Replicatieverkeer tussen verschillende sites kan dan onafhankelijk van de normale replicatiefrequentie plaatsvinden. Er kan ingesteld worden dat het replicatieverkeer één maal per dag wordt uitgevoerd. • De domein controllers binnen dezelfde site blijven wel om de vijf minuten via de LAN met elkaar repliceren. Active Directory
Een server op één domein op meer locaties • Bestaat een netwerk uit één domein met daarin verschillende locaties (sites), dan is het gangbaar dat er per site tenminste één domeincontroller geïnstalleerd is. • Gebruikers melden zich dan aan binnen een site en worden daar geverifieerd. Active Directory
Een server met meer domeinen • Bestaat een organisatie uit deelorganisaties met gescheiden autonoom netwerkbeheer, dan zijn meer domeinen nodig, die op verschillende manieren in een structuur kunnen worden ondergebracht. Welke manier de juiste is, hangt af van de wijze waarop het beheer is geregeld: centraal, decentraal of een combinatie daarvan. Active Directory
Hiërarchische structuren • Active Directory heeft een hiërarchische structuur, die bestaat uit verschillende componenten die een afspiegeling zijn van het netwerk van de organisatie. • De twee hiërarchische structuren zijn Tree en Forest. Active Directory
Hiërarchische structuren • De twee hiërarchische structuren zijn Tree en Forest. Active Directory
Hiërarchische structuren - Tree • Een Tree is een hiërarchische structuur van Windows Server 2008-domeinen die een aaneengesloten naamruimte delen. Voorbeeld: Belgie.microsoft.com is een onderliggend domein van microsoft.com en het bovenliggend domein van Vlaanderen.Belgie.microsoft.com. Active Directory
Hiërarchische structuren - Forest • Een Forest bestaat uit een groep van trees die geen aaneengesloten naamruimte delen. Active Directory
Active Directory installeren • In een domein bevindt de directory zich op computers die zijn geconfigureerd als domeincontrollers. • Een domeincontroller is een server die alle aan de beveiliging gerelateerde interacties tussen gebruiker en domein beheert en het beheer centraliseert. Active Directory
Active Directory installeren • Windows-domeinen bieden de volgende voordelen: • Een domein biedt centraal beheer omdat alle gebruikersinformatie centraal wordt opgeslagen. • Een domein biedt één enkel aanmeldingsproces voor gebruikers voor toegang tot netwerkbronnen. Een gebruiker kan zich bij een computer aanmelden en toegang krijgen tot bronnen op een andere computer in het netwerk, zolang die gebruiker over de juiste toestemmingen beschikt. Active Directory
Active Directory installeren • Windows-domeinen bieden de volgende voordelen: • Een domein biedt centraal beheer omdat alle gebruikersinformatie centraal wordt opgeslagen. • Een domein biedt de mogelijkheid tot schaalaanpassing, zodat zeer grote netwerken mogelijk zijn. Active Directory
Active Directory installeren • Windows-domeinen bieden de volgende voordelen: (2) • Een domein biedt één enkel aanmeldingsproces voor gebruikers voor toegang tot netwerkbronnen. Een gebruiker kan zich bij een computer aanmelden en toegang krijgen tot bronnen op een andere computer in het netwerk, zolang die gebruiker over de juiste toestemmingen beschikt. Active Directory
Active Directory installeren • Een standalone server wordt door promoveren een domeincontroller. • Uitvoering hiervan verloopt via de opdracht dcpromo of via het configuratievenster. • Dcpromo.exe start een wizard die u bij het installatieproces ondersteunt. Active Directory