Mihailo Mihailo Đorić
Član broj: 1016 Poruke: 2875 *.verat.net
|
Q: Sta je Active directory (AD)?
A: Servis Active directory je directory serivce (DS; servis direktorijuma) implementiran u Windows 2000. Koncept directory service-a je preuzet sa Novell i UNIX operativnih sistema, a rešenje koje je primenjeno u Windows-u 2000 je dosta unapređena verzija prisutna kod Windows NT. AD možemo opisati kao integrisan skup rešenja za distribuciju podataka, organizaciju resursa, sigurnost i administraciju mreže. Oslanja se na Domain name system (DNS) za lociranje resursa i određivanje prostora imena domena (namespace). AD koristi LDAP (Lightweight directory access protocol) koji omogućuje i povezivanje sa drugim tipovima mreža. AD servis omogućava centralizovanu administraciju - sa jednog računara moguće je kontrolisati sve resurse mreže (korisničke naloge, mrežne konekcije, računare, štampače itd.) gde god se oni nalazili. Servis AD podržava sledeće protokole: LDAP, MAPI-RPC i delimično X.500.
Šema servisa AD drži definiciju sadržaja i strukture AD baze (nalazi se u fajlu ntds.dit). To podrazumeva atribute, klase i osobine klasa. Za svaku klasu objekta u šemi određeno je koje atribute objekat mora da ima, koje može (a ne mora) da ima i koja klasa može da bude nadređena toj klasi. Kada se AD instalira na prvom računaru u mreži (taj računar je root DC ili Global catalogue server, GC) formira se default ('podrazumevana') šema koja sadrži definicije objekata i svojstva koja se najčešće koriste (users, groups, computer, printers, itd.). Default šema takođe sadrži definicije objekata i osobina koje AD koristi interno. Šema (koja se čuva u GC) je proširiva, tako da je moguće dodatvati nove vrste objekata i atributa. Svaki objekat u AD ima jedinstveno ime (DN; distinguished name) koje sadrži putanju do objekta. Primer user-a:
DC=ORG/DC=Elitesecurity/CN=Users/CN=Mihailo
-DC=Domain component; CN=Common name
-domen:elitesecurity.org; objekat:User_Mihailo
Osim DN, svaki objekat u AD ima jedinstven identifikator - GUID (globally unique identifier; atribut: objectGUID) 128bit broj koji se dodeljuje objektu prilikom pravljenja i ne može da se menja. Dok je SID (security ID) kod Windows NT4 važio u jednom domenu, GUID važi u svim domenima. Svi objekti u AD su zaštićeni listama za kontrolu pristupa (ACL; access control list) koje određuju ko ima pravo da pristupa i menja podatke.
DSA (Directory system agent) - izgrađuje hijerahiju na osnovu odnosa parent-child koji postoje u AD i obezbeđuje API-je (application programming interface) za pozive pristupa AD. Komuikacija sa AD se obavlja preko LDAP-a, RPC (remote procedure call), SAM (security accounts manager, prisutan zbog kompatibilnosti sa Windows NT 4.0) i MAPI (messaging API). Database layer (sloj baze podataka) -
povezuje (odvaja) aplikacije od baze podataka. ESE (Extensible storage engine) - direktno pristupa zaspisima u bazi podataka.
LDAP ----- RPC ----- SAM [NT4] ---- MAPI
--|------------|------------|---------------|------------
DSA
---------------------------------------------------------
database layer
---------------------------------------------------------
extensible storage engine [ntds.dit]
---------------------------------------------------------
Za konzolnu ( "command prompt" ) administraciju AD baze (ntds.dit) se koristi ntdsutil.exe alat. Ako se izovde direktne operacije nad samom bazom (ne nad objektima) npr. premeštanje na drugi disk, računar mora da se startuje u "Directory services restore mode".
abogda ti devojka bila tražena
|