1 / 87

Hoofdstuk 3: Active Directory

Hoofdstuk 3: Active Directory. Active Directory - Directoryservices. Active Directory (AD) is de implementatie door Microsoft van de directoryservice LDAP in combinatie met DNS en Kerberos voor het gebruik in Windows-omgevingen . . Active Directory - Directoryservices.

giles
Télécharger la présentation

Hoofdstuk 3: Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Hoofdstuk 3:Active Directory

  2. Active Directory - Directoryservices • Active Directory (AD) is de implementatie door Microsoft van de directoryservice LDAP in combinatie met DNS en Kerberos voor het gebruik in Windows-omgevingen. Active Directory

  3. Active Directory - Directoryservices • LDAP is een netwerkprotocol dat beschrijft hoe gegevens uit de directoryservices benaderd moeten worden over bijvoorbeeld TCP/IP. Active Directory

  4. Active Directory - Directoryservices • Kerberos is een standaard authenticatieprotocol dat zorgt dat gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Active Directory

  5. Active Directory - Directoryservices • Een directoryservice is te vergelijken met een grote catalogus voor alle gebruikers van een netwerk. Zo kan een gebruiker met behulp van de directoryservice opzoeken welke printers er voor hem beschikbaar zijn binnen het netwerk. Active Directory

  6. Active Directory - Kerberos • Kerberos is een standaard authenticatieprotocol dat zorgt dat gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Active Directory

  7. Active Directory - Directoryservices • De directoryservice verricht daarmee twee belangrijke netwerkfuncties: (1) • Zorg voor de authenticatie van de netwerkgebruikers. Netwerkgebruikers hoeven zich slechts éénmaal aan te melden via single sign-on en worden daarna op alle fronten in het netwerk herkend. • Als een gebruiker dus toegang wil hebben tot een tweede server, hoeft hij zich niet nogmaals aan te melden. De directoryservice geeft de beschikbare resources vrij aan de gerechtigde netwerkgebruikers. Active Directory

  8. Active Directory - Directoryservices • De directoryservice verricht daarmee twee belangrijke netwerkfuncties: (2) • Daarnaast is het mogelijk om in een directoryservice de netwerkresources te groeperen zodat ze gemakkelijker door de netwerkgebruikers gevonden kunnen worden. Active Directory

  9. Active Directory - Sites • Een site is een fysieke geografische eenheid: een locatie. • Een domein is een logische eenheid van objecten. Een bedrijf kan één domein hebben waarbij de kantoren op meer locaties staan. In dat geval is een domein verspreid over meer sites. Het is ook mogelijk dat er meer domeinen zijn op één locatie. Active Directory

  10. Active Directory - Netwerkobjecten • Binnen de hiërarchie wordt alle informatie over de netwerkonderdelen opgeslagen. • Met netwerkobjecten worden onder andere bedoeld: • Netwerkgebruikers. • Gebruikersgroepen. • Domeinen. • Organisatie-eenheden. • Beveiligingsopties. Active Directory

  11. Active Directory - Netwerkobjecten • Netwerkonderdelen heten in een AD-omgeving objecten. Active Directory

  12. Active Directory - Netwerkobjecten • Active Directory is dan ook een objectgeoriënteerde directoryservice. Dat houdt in dat alle objecten binnen de AD gedefinieerd moeten worden. Active Directory

  13. Active Directory – Global Unique IDentifiers • Elk object in de AD krijgt zijn eigen GUID (Global Unique IDentifier) toegewezen. • Een GUID is een nummer van 128 bits en is daarmee uniek over de hele wereld. Het object krijgt deze GUID maar één keer. • Wanneer een gebruiker in de AD zoekt naar een object, dan zoekt hij in feite met behulp van deze GUID. Active Directory

  14. Active Directory – AD schema • Uiteraard heeft een object behalve deze GUID nog meer eigenschappen. • Voor het definiëren daarvan zijn er de zogenaamde AD-schema’s. Active Directory

  15. Active Directory – AD schema • Een AD-schema is een verzameling van twee soorten definities: • Attributen; • Objectklasse. Active Directory

  16. Active Directory – AD schema • Attributen. Dit zijn de kenmerken van een object. Deze worden eenmalig gedefinieerd, waarbij tevens het type informatie wordt vastgelegd. Zo kan worden vastgelegd of de informatie wel of niet verplicht moet worden ingevuld. Voor een beschrijving van een printer of computer is dit vaak niet nodig, maar voor een ander attribuut (bijvoorbeeld NAME) wel. Immers, elk object heeft een naam, en deze NAME moet uniek zijn binnen het netwerk. Active Directory

  17. Active Directory – AD schema • Objectklasse. Een objectklasse bestaat uit een aantal attributen en is te vergelijken met een sjabloon. Maakt men met behulp van een sjabloon een object aan, dan erft dit object alle attributen uit de objectklasse. Active Directory

  18. Standaard objectklassen - Gebruikers • Voor iedere gebruiker (user) van de AD moet een userobject worden aangemaakt. Daarin liggen onder meer de gebruikersnaam en het wachtwoord van de gebruiker vast. Active Directory

  19. Standaard objectklassen – Computers en servers • Voor elke client van een willekeurige versie van Windows moet binnen de AD een computeraccount (objectklasse) worden aangemaakt. • Elke computer of server dient een unieke naam te krijgen. Active Directory

  20. Standaard objectklassen – Groepen • Binnen de AD behoren groepen tot de objectklasse Group. In een groepsobject brengt u gebruiker- of computeraccounts onder in een logische eenheid. • Vaak worden zulke groepen ook weer bij andere groepen ondergebracht. Active Directory

  21. Groepen – Universal Groups (UG) • Tot een UG kunnen verschillende soorten leden behoren, zoals contactpersonen, gebruikers, computers, Global Groups en andere Universal Groups uit een domein. • Microsoft raadt het gebruik van Universal Groups af omdat ze veel dataverkeer op het netwerk genereren. De informatie over UG’s is zo universeel, dat deze over het gehele domein uitgestrekt is. Active Directory

  22. Groepen – Global Groups (GG) • Deze groep bevat alleen leden uit het eigen domein. Dit kunnen contactpersonen, gebruikers en computers zijn. • Ook deze groepen worden via de globale catalogus verspreid over het domein. Active Directory

  23. Groepen – Domain LocalGroups • Deze groepen worden gebruikt om de toegang tot netwerkbronnen te regelen. Active Directory

  24. Groepen – Organization Units (OU) • Dit zijn zogenaamde containerobjecten. Een containerobject kan zelf weer andere objecten uit het eigen domein bevatten (users, computers, shares, applicaties, andere OU’s). Active Directory

  25. Organization Units • Op een Organizational Unit kan de systeembeheerder een zogenaamd groepsbeleid (Group Policy) toepassen. • Dat zijn regels die bepalen wat objecten zoals gebruikers, groepen in de OU wel en niet mag. Zo krijgt de ene gebruiker wel toegang om de achtergrond van de desktop te wijzigen en een andere gebruiker niet. Active Directory

  26. Organization Units • Met behulp van OU’s kunt u binnen het domein een structuur opzetten die lijkt op die van uw organisatie. Active Directory

  27. Organization Units • U kunt zelf een structuur aanmaken gebaseerd op de werk- of schoolstructuur. Active Directory

  28. Domain controller • De AD kan informatie over het netwerk verspreiden waardoor deze informatie beschikbaar komt voor iedere gebruiker in het netwerk. Deze informatie wordt op zogenaamde Domain Controllers (DC) opgeslagen. Active Directory

  29. Domain controller • Wanneer een domein meerdere DC’s bevat, wordt deze informatie automatisch over alle DC’s verspreid. Active Directory

  30. Domain controller • Om een Active Directory zinvol in te zetten, moeten er tenminste twee domeincontrollers aanwezig zijn. Valt er een DC uit, dan neemt de andere DC het automatisch over zonder dat de netwerkgebruikers er iets van merken. Active Directory

  31. Domain controller – Data in een domein uitwisselen – Domeinspecifieke data • Alle informatie die typisch toebehoort aan een directoryservice zoals e-mailaccounts, gebruiker- en computerattributen (resources die in het netwerk beschikbaar zijn). Active Directory

  32. Domain controller – Data in een domein uitwisselen - Configuratiedata • Alle informatie rondom de topologie van de directory’s. Hiertoe behoren bijvoorbeeld de lijsten met informatie over gekoppelde domeinen. Active Directory

  33. Domain controller – Data in een domein uitwisselen - Schemadata • Windows Server 2008 bevat kant-en-klare schema’s met definities voor objecten en attributen zoals eerder genoemde gebruikers, computers en beveiligingsinstellingen. • Uiteraard kan de beheerder deze schema’s aanpassen en zelf schema’s toevoegen. Active Directory

  34. Domain controller – Trusts • Een vertrouwensrelatie tussen domeinen wordt een trust genoemd. • Via een trust wordt het mogelijk dat gebruikers uit het ene domein kunnen beschikken over bronnen uit het andere domein. Active Directory

  35. Domain controller – Trusts • Er bestaan Oneway Trusts en Twoway Trusts. • Bij een Oneway Trust vertrouwt domein A domein B maar niet omgekeerd. • Bij Twoway Trust vertrouwt domein A, domein B en omgekeerd. Active Directory

  36. Een server op één domein op één locatie • In een Windows Server 2008 met één domein op één locatie is de AD opgeslagen op minimaal één domeincontroller die zorgt voor verificatie en autorisatie. • Slechts één domeincontroller in uw domein opnemen is bijzonder kwetsbaar. Het netwerk is dan niet fouttolerant. Voor een fouttolerant netwerk moet u tenminste twee domeincontrollers opnemen. Active Directory

  37. Een server op één domein op één locatie • Om het replicatieproces ongestoord te laten plaatsvinden, moeten de klokken (tijd) van de beide servers gelijk lopen. De replicatie gebeurt om de vijf minuten. Active Directory

  38. Een server op één domein op meer locaties • Hierbij staan de domeincontrollers op verschillende locaties. • Het repliceren van de Active Directory’s kost dan veel bandbreedte, omdat de verbindingen tussen de locaties dan immers voor intensief 24/7-replicatieverkeer worden ingezet. Active Directory

  39. Een server op één domein op meer locaties • Dit wordt opgelost door per locatie een site aan te maken. • Replicatieverkeer tussen verschillende sites kan dan onafhankelijk van de normale replicatiefrequentie plaatsvinden. Er kan ingesteld worden dat het replicatieverkeer één maal per dag wordt uitgevoerd. • De domein controllers binnen dezelfde site blijven wel om de vijf minuten via de LAN met elkaar repliceren. Active Directory

  40. Een server op één domein op meer locaties • Bestaat een netwerk uit één domein met daarin verschillende locaties (sites), dan is het gangbaar dat er per site tenminste één domeincontroller geïnstalleerd is. • Gebruikers melden zich dan aan binnen een site en worden daar geverifieerd. Active Directory

  41. Een server met meer domeinen • Bestaat een organisatie uit deelorganisaties met gescheiden autonoom netwerkbeheer, dan zijn meer domeinen nodig, die op verschillende manieren in een structuur kunnen worden ondergebracht. Welke manier de juiste is, hangt af van de wijze waarop het beheer is geregeld: centraal, decentraal of een combinatie daarvan. Active Directory

  42. Hiërarchische structuren • Active Directory heeft een hiërarchische structuur, die bestaat uit verschillende componenten die een afspiegeling zijn van het netwerk van de organisatie. • De twee hiërarchische structuren zijn Tree en Forest. Active Directory

  43. Hiërarchische structuren • De twee hiërarchische structuren zijn Tree en Forest. Active Directory

  44. Hiërarchische structuren - Tree • Een Tree is een hiërarchische structuur van Windows Server 2008-domeinen die een aaneengesloten naamruimte delen. Voorbeeld: Belgie.microsoft.com is een onderliggend domein van microsoft.com en het bovenliggend domein van Vlaanderen.Belgie.microsoft.com. Active Directory

  45. Hiërarchische structuren - Forest • Een Forest bestaat uit een groep van trees die geen aaneengesloten naamruimte delen. Active Directory

  46. Active Directory installeren • In een domein bevindt de directory zich op computers die zijn geconfigureerd als domeincontrollers. • Een domeincontroller is een server die alle aan de beveiliging gerelateerde interacties tussen gebruiker en domein beheert en het beheer centraliseert. Active Directory

  47. Active Directory installeren • Windows-domeinen bieden de volgende voordelen: • Een domein biedt centraal beheer omdat alle gebruikersinformatie centraal wordt opgeslagen. • Een domein biedt één enkel aanmeldingsproces voor gebruikers voor toegang tot netwerkbronnen. Een gebruiker kan zich bij een computer aanmelden en toegang krijgen tot bronnen op een andere computer in het netwerk, zolang die gebruiker over de juiste toestemmingen beschikt. Active Directory

  48. Active Directory installeren • Windows-domeinen bieden de volgende voordelen: • Een domein biedt centraal beheer omdat alle gebruikersinformatie centraal wordt opgeslagen. • Een domein biedt de mogelijkheid tot schaalaanpassing, zodat zeer grote netwerken mogelijk zijn. Active Directory

  49. Active Directory installeren • Windows-domeinen bieden de volgende voordelen: (2) • Een domein biedt één enkel aanmeldingsproces voor gebruikers voor toegang tot netwerkbronnen. Een gebruiker kan zich bij een computer aanmelden en toegang krijgen tot bronnen op een andere computer in het netwerk, zolang die gebruiker over de juiste toestemmingen beschikt. Active Directory

  50. Active Directory installeren • Een standalone server wordt door promoveren een domeincontroller. • Uitvoering hiervan verloopt via de opdracht dcpromo of via het configuratievenster. • Dcpromo.exe start een wizard die u bij het installatieproces ondersteunt. Active Directory

More Related