Słowniczek Active Directory – terminy i podstawowe pojęcia

Active Directory Web Services (ADWS)

Resource Records

Rekord zasobu to wpis w systemie DNS, który pomaga zlokalizować zasoby na podstawie IP lub nazwy domeny. Istnieje wiele typów rekordów zasobów, poniżej znajduje się lista popularnych typów rekordów:

• A – mapuje nazwę hosta na adres IPv4
• AAAA – mapuje nazwę hosta na adres IPv6
• CNAME – mapuje alias na nazwę hosta
• MX – służy do lokalizowania serwera pocztowego
• NS – określa serwer nazw dla domeny
• PTR – mapuje adres IPv4 na nazwę hosta. Jest to odwrotność rekordu A.
• SOA – Zawiera informacje administracyjne
• SRV – Służy do lokalizowania serwerów, które hostują określone usługi
• TXT – Może zawierać różne dane. Często używany do weryfikacji domen i ze względów bezpieczeństwa.

Dynamiczny DNS (DDNS)

Dynamiczny DNS jest metodą umożliwiającą klientom rejestrację i dynamiczną aktualizację ich rekordów zasobów na serwerze DNS. Pozwala to klientom, którzy używają DHCP na automatyczną aktualizację ich rekordów DNS, gdy ich adres IP się zmienia.

Strefy

DNS Aging and Scavenging

To jest funkcja, która może być włączona aby pomóc zautomatyzować czyszczenie nieświeżych rekordów DNS. Stworzyłem osobny post, który wyjaśnia więcej i dostarcza instrukcji krok po kroku jak skonfigurować DNS Aging i Scavenging.

Rekordy SRV używane przez Active Directory

W domenie Windows, rekordy SRV są używane przez klientów do zlokalizowania kontrolerów domeny dla Active Directory. Po zainstalowaniu usługi AD DS proces ten automatycznie utworzy rekordy SRV dla usługi Active Directory.

• Active Directory tworzy swoje rekordy SRV w następujących folderach, gdzie Domain_Name jest nazwą domeny:
  • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Tutaj jest zrzut ekranu z mojego DNS:

Forwardery

Forwardery DNS to serwery, które rozwiązują nazwy hostów, których Twój wewnętrzny serwer DNS nie może rozwiązać, przede wszystkim domeny zewnętrzne, takie jak przeglądanie Internetu. Możesz ustawić przekazywanie żądań DNS do dowolnego serwera, często jest to dostawca usług internetowych.

Serwer podpowiedzi root

Serwer podpowiedzi root jest inną metodą rozwiązywania nazw hostów, których twój wewnętrzny serwer nie może rozwiązać. Różnica polega na tym, że serwery te służą jako główna strefa DNS dla internetu. Są one zarządzane przez kilka dużych zorganizowanych dla bezpieczeństwa i redundancji. Możesz użyć albo podpowiedzi root lub forward do rozwiązywania nazw zewnętrznych.

Zasoby:

Kompletna lista typów rekordów zasobów DNS

Jak sprawdzić, czy rekordy SRV DNS zostały utworzone dla kontrolera domeny

Root Hints vs Forwarders

DNS Best Practices

Replikacja Active Directory

Replikacja jest procesem, który zapewnia, że zmiany dokonane na jednym kontrolerze domeny są replikowane do innych kontrolerów domeny w domenie.

Obiekty połączeń

Obiekty połączeń określają, które kontrolery domeny replikują się między sobą, jak często i w jakim kontekście nazewniczym.

KCC

Sprawdzanie spójności wiedzy (KCC) jest procesem, który działa na wszystkich kontrolerach domeny i generuje topologię replikacji na podstawie obiektów sites, subnets i site link.

Podsieci

Podsieć jest logiczną częścią sieci IP. Podsieci są używane do grupowania urządzeń w określonej sieci, często według lokalizacji, budynku lub piętra. Jeśli masz środowisko wielodostępne, Active Directory musi wiedzieć o Twoich podsieciach, aby móc prawidłowo zidentyfikować najbardziej wydajne zasoby. Jeśli ta informacja nie jest dostarczona, klienci mogą uwierzytelnić się i użyć niewłaściwego kontrolera domeny.

Site

Site to zbiór podsieci. Witryny Active Directory pomagają zdefiniować przepływ replikacji i lokalizację zasobów dla klientów, takich jak kontroler domeny.

Łącze witryny

Łącze witryny pozwala skonfigurować, które witryny są ze sobą połączone.

Most łącza witryny

Most łącza witryny to logiczne połączenie między witrynami. Jest to metoda logicznego przedstawiania połączeń przechodnich między witrynami.

Topologia witryny

Topologia witryny to mapa określająca łączność sieciową dla replikacji i lokalizację dla zasobów w lesie Active Directory. Topologia witryny składa się z kilku komponentów, w tym witryn, podsieci, łączy witryn, mostów łączy witryn i obiektów połączeń.

Replikacja wewnątrz witryny

Jest to replikacja, która zachodzi pomiędzy kontrolerami domeny w tej samej witrynie.

Inter-Site Replication

W środowisku z wieloma witrynami, zmiana w jednej witrynie musi być replikowana do drugiej. Nazywa się to replikacją między lokalizacjami.

Zasoby:

Jak działa replikacja Active Directory

Koncepcje replikacji Active Directory

Bezpieczeństwo Active Directory (Uwierzytelnianie, Protokoły bezpieczeństwa, Uprawnienia)

Kerberos

Kerberos jest protokołem bezpieczeństwa, który w bezpieczny sposób pozwala użytkownikom potwierdzić swoją tożsamość, aby uzyskać dostęp do zasobów domeny.

Key Distribution Center (KDC)

KDC to usługa, która działa na kontrolerach domeny i dostarcza bilety sesyjne używane w protokole uwierzytelniania Kerberos.

Service Principal Names (SPN)

SPN to unikalny identyfikator instancji usługi.

NTLM

NTLM to zbiór protokołów bezpieczeństwa używanych do uwierzytelniania, zapewniania integralności i poufności użytkownikom. Kerberos jest preferowanym protokołem uwierzytelniania i jest używany w nowoczesnych wersjach systemu Windows, NTLM jest nadal dostępny dla starszych klientów i systemów w grupie roboczej.

Uprawnienia NTFS

Uprawnienia NTFS pozwalają zdefiniować, kto jest uprawniony do dostępu do pliku lub folderu. Poniżej znajduje się lista podstawowych uprawnień, które możesz ustawić:

• Pełna kontrola – Daje użytkownikom prawa do dodawania, modyfikowania, przenoszenia i usuwania plików i folderów.
• Modyfikuj – Daje użytkownikom widok i prawa do modyfikacji
• Czytaj & Wykonaj – Daje użytkownikom widok i prawa do wykonywania
• Odczyt – tylko gotowe prawa
• Write – prawo do pliku i dodawania nowych folderów

Uprawnienia współdzielone

Uprawnienia współdzielone definiują poziom dostępu do zasobów współdzielonych takich jak folder. Istnieją trzy podstawowe uprawnienia współdzielone:

• Read – Daje użytkownikom prawa widoku do folderu i podfolderów
• Change – Daje użytkownikom prawa odczytu i modyfikacji
• Full Control – Daje użytkownikom prawa modyfikacji, zmiany i odczytu.

Dyskrecjonalna lista kontroli dostępu (DACL)

DACL określa, które konto ma dostęp do obiektu, takiego jak plik lub folder.

Access Control Entries (ACE)

DACL zawiera ACE, ACE określa jakie konto i jaki poziom dostępu ma być przyznany do zasobu. W przypadku braku ACE system odmawia wszelkiego dostępu do obiektu.

Systemowa lista kontroli dostępu (SACL)

SACL umożliwia administratorom rejestrowanie prób dostępu do obiektu zabezpieczeń.

Drobnoziarnista polityka haseł

Zasoby:

Kerberos for the Busy Admin

Windows Authentication Technical Overview

Differences Between Share and NTFS Permissions

Access Control Lists

Active Directory Management Consoles

Ta sekcja zawiera konsole zarządzające, których będziesz potrzebował do zarządzania różnymi technologiami Active Directory. Aby uzyskać dostęp do tych konsol zarządzania, należy zainstalować narzędzia Remote Server Administration Tools (RSAT).

Active Directory Users and Computers (ADUC)

Jest to najczęściej używana konsola do zarządzania użytkownikami, komputerami, grupami i kontaktami.

Skrót: dsa.msc

Active Directory Administrative Center (ADAC)

Active Directory Domains and Trusts

Ta konsola jest używana do podniesienia trybu domeny lub poziomu funkcjonalnego domeny lub lasu. Służy również do zarządzania relacjami zaufania.

Active Directory Sites and Services

Jest to główna konsola do zarządzania replikacją. Konsola ta służy do zarządzania obiektami topologii witryn, obiektami połączeń, harmonogramem replikacji, ręcznym wymuszaniem replikacji, włączaniem katalogu globalnego oraz włączaniem uniwersalnego buforowania grupowego.