(1.8) Что такое Active Directory?
(1.8) Что такое Active Directory?
Active Directory – это новое средство управления пользователями и сетевыми ресурсами. Оно призвано сильно облегчить жизнь администраторам больших сетей на базе W2k и вокруг него строится вся система управления сетью и её безопасности. Для установки Active Directory необходимо иметь W2k Server. W2kPro может работать в среде Active Directory, но не может создавать её. Active Directory строится на следующих принципах:
1. Единая регистрация в сети. Благодаря технологии IntelliMirror, можно подойти к любому компьютеру в офисе, ввести свой пароль и перед Вами будет ваш рабочий стол, ваши документы, и ваши настройки.
2. Безопасность информации. В службу Active Directorу встроены средства идентификации пользователя. Для каждого объекта в сети можно централизировано выставлять права доступа, в зависмости от групп и конкретных пользователей. Благодаря системе безопасности Kerberos, можно осуществлять защищённую связь даже по открытым сетям, таким как Интернет. При этом данные передаваемые по сети шифруются, а пароли не передаются и не хранятся на клиентских машинах. Система безопасности Kerberos (называется по имени мифического трёхголового пса, который, согласно греческой мифологии, охранял адские врата), известна довольно давно, но в ОС от Microsoft она используется впервые. Если не вдаваться в подробности, то работает эта система так:
• Клиент посылает запрос серверу аутентификации на разрешения доступа к нужной информации.
• Сервер проверяет права клиента и отсылает ему разрешение на получение требуемой информации, зашифрованое с помощью известного клиенту ключа и заодно отсылает временый ключ шифрования. С помощью этого ключа шифруется вся передаваемая информация, причём время жизни ключа ограничено, поэтому сервер аутентификации время от времени присылает новый ключ (естественно, новый ключ зашифрован с помощью текущего ключа), который неизвестен никому, кроме сервера и клиента. Регулярная смена ключей шифрования сильно затрудняет жизнь злоумышленикам, охотящимся за Вашими данными.
Однако, как мы все помним, в греческом мифе Kerberos не смог противостоять могучему Гераклу. Так и в нашем случае, несмотря на все свои преимущества, система безопасности Kerberos не может противостоять всем видам атак. Например, можно засыпать приложение ложными запросами, так называемая атака "Deny of service", что может привести к тому, что приложение не будет использовать протокол Kerberos.
3. Централизованное управление. При использовании службы Active Directory у администратора отпадает необходимость вручную конфигурировать каждую машину, если, к примеру, необходимо поменять права доступа к какому-либо одному объекту или установить новый сетевой принтер. Такие изменения можно производить сразу для всей сети.
4. Гибкий интерфейс. Структуры каталогов меняются быстро и легко. Например, можно создать каталог своей фирмы, выделить в отдельные подкаталоги бугалтерию, отделы маркетинга, секретариат (или что там ещё), и представить всё это в виде древовидной структуры. Или, например, создать несколько деревьев, представляющих различные офисы в разных зданиях или регионах и с легкостью задать связь и права доступа между ними. Подключить сетевой принтер к директории бугалтеров одним движением мышки. (При этом драйвера поставятся на их компьютеры автоматически). Или мышью перетащить весь бугалтерский отдел с одного сервера на другой, со всеми их правами, папками и документами.
5. Интеграция с DNS. Благодаря тесной интеграции с DNS, в Active Directory в локальной сети используются те же имена ресурсов, что и в Интернет, что приводит к меньшей путанице, и способствует более тесному взаимодейсвию локальной и глобальной сети.
6. Масштабируемость. Несколько доменов Active Directory могут объеденены вместе под одним управлением.
7. Простота поиска. В домене Active Directory различные объекты можно находить по самым различным признакам, таким как имя пользователя или компьютера, адрес электронной почты пользователя и т.д.