Active Directory

חבילת כלי שירות שפותחה על ידי מיקרוסופט

Active Directory היא חבילת כלי שירות שפותחה על ידי מיקרוסופט לניהול רשתות בארגונים. החבילה כוללת שירותים כגון:

אחד ממסכי הניהול של Active Directory, המשמש לניהול אובייקטי מחשבים, משתמשים והרשאות ("Active Directory Users and Computers MMC snap-in")

חבילת השירותים מאפשרת ניהול מרכזי של רשת המחשבים בארגונים. בעת הוספת מחשב לארגון מתבצע תהליך לצירופו לספריית הניהול. כחלק מתהליך אתחול המחשב הוא מזדהה באמצעות מזהה ייחודי (GUID) מול הספרייה, המשתמש במחשב מזדהה באמצעות שם משתמש וסיסמה (או כל שיטת אימות זהות אחרת) ונקבעות עבורם כל ההרשאות הרלוונטיות.

היסטוריה

עריכה

חבילת AD שוחררה יחד עם מערכת ההפעלה Windows 2000 Server לניהול אובייקטים המשתמשים במערכת ההפעלה המקבילה Windows 2000 שירותי ניהול בסיסיים. בגרסת 2003, שהוצגה עם מערכת ההפעלה 2003 Windows Server נתווספו מספר שיפורים, כגון היכולת לשנות שם של דומיין. דומיין שבו כלל ה־Domain Controllers הם בגרסת Windows Server 2003 ניתן להעלות לרמה הפונקציונלית "2003 Native Mode". מטבע הדברים, שדרוג הדומיין מדומיין "2000 Native" ל־"2003 Native" הוא קל יותר.

בפברואר 2008 הושקה מערכת ההפעלה החדשה לשרתים מבית מיקרוסופט, Windows Server 2008, שכללה שיפורים רבים ל־Active Directory. ביניהם ניתן למנות תפקידים נוספים לשרתי ה־Domain Controllers, כגון ניהול זהויות, ניהול תעודות דיגיטליות וניהול זכויות דיגיטלי. שירותים נוספים כוללים שירותי פדרציה (ADFS – Active Directory Federation Services) שמאפשר שיתוף פעולה מוגבר בין דומיינים, שירותי תעודות (ADCS – Active Directory Certificate Services) ו־Active Directory Lightweight Directory Services (AD LDS), שבא להחליף את ADAM ‏(Active Directory Application Mode) מגרסאות קודמות. מרבית השיפורים והחידושים בגרסת 2008 באים לתת מענה לדרישות אבטחה מוגברות.

מבנה

עריכה

מבנה פיזי

עריכה

בסיס הנתונים של Active Directory נמצא על שרתים מיוחדים שנקראים Domain Controllers - DC. ה-DC השונים יכולים להיות זהים בתפקידיהם לצורכי שרידות או שניתן לחלק ביניהם את התפקידים לצורכי חלוקת עומסים. בעת שינוי באחד מהשרתים השינוי משתכפל לשאר השרתים באמצעות מנגנון שכפול ובכך מוחל על כלל הארגון תוך זמן קבוע מראש.

מבנה לוגי

עריכה

מערכת AD בנויה בצורה היררכית. המבנה הגבוה ביותר בהיררכיה הוא יער שהוא אוסף של עצים המכילים דומיינים. יער הוא אוסף כל האובייקטים, מאפייניהם והחוקים המוגדרים ברשת המנוהלת על ידי AD. באופן דומה עץ הוא תת-קבוצה של אובייקטים מהרשת הזאת, בעוד דומיין הוא תת-חלוקה נוספת של האובייקטים.

המערכת מורכבת מאובייקטים שהם ישויות הקצה במערכת ומתחלקים לשלושה סוגים: משאבים, שירותים ומשתמשים. כל אובייקט מייצג ישות ואת המידע הנלווה אליה. האובייקט הגבוה ביותר בהיררכיה הוא Organizational unit - OU. נהוג לסדר OUs לפי חלוקה גאוגרפית או היררכית של הארגון כך שלכל סניף או מחלקה יהיה OU. לרוב, ניהול הרשת נעשה על ידי מנהלים ברמת ה-OU. אובייקטים מסוימים יכולים להכיל אובייקטים אחרים (לדוגמה, אובייקט מסוג קבוצת משתמשים יכול להכיל משתמשים. אובייקט מסוג OU יכול להכיל אובייקטים מסוג OU נוספים, משתמשים, מחשבים וכולי). לכל אובייקט קיים מזהה ייחודי (GUID) באמצעותו הוא מזדהה מול הספרייה.

שרידות וביזור

עריכה

ניתן לפרוש את Active Directory בארכיטקטורה מבוזרת, כך שכל Domain Controller ימוקם באתר פיזי נפרד. מנגנון הרפליקציה מבטיח שכלל המידע ב־Domain Controllers יהיה מסונכרן ומעודכן, כך שאם אתר מסוים קורס, האתרים האחרים יוכלו להמשיך לקבל שירותי ספרייה מה־Domain Controller שלהם שעדיין זמין (אם כי לא כל השירותים ימשיכו להינתן, אם Domain Controller שהחזיק בתפקידים מסוימים קרס).

רמות פונקציונליות

עריכה

שירות Active Directory נכנס לראשונה לשימוש במערכת ההפעלה Windows 2000 בגרסת Server. באותה תקופה היו דומיינים רבים שהתבססו על מערכת ההפעלה הקודמת, Windows NT 4. כדי לאפשר מעבר חלק ככל האפשר ל־Active Directory, ניתן היה להתקין Domain Controllers חדשים עם Windows 2000 ו־Active Directory במצב מיוחד שנקרא "Mixed Mode". במצב זה לא ניתן ליהנות משירותים הייחודיים ל־Active Directory, כגון קבוצות אוניברסליות, מכיוון ששרתי ה־Domain Controller הישנים, שהריצו את מערכת ההפעלה NT 4, לא הכירו את השירותים החדשים האלה. לאחר שכלל ה־Domain Controllers שודרגו ל־Active Directory, ולא היו DC-ים ישנים של NT, ניתן היה להעלות את הרמה הפונקציונלית של הדומיין ל־"Native Mode".

ניהול מרכזי

עריכה

AD מאפשר ניהול ושליטה מרכזיים של משאבי המחשוב בארגון. הוא מאפשר החלת מדיניות ארגונית באמצעות כלי GPO, הגדרת הרשאות עבור משתמשים באמצעות הרשאות NTFS והתקנת תוכנות מרחוק. שימוש נכון בכלים חוסך עלויות ומאפשר לייעל את ניהול המחשוב בארגון.


קישורים חיצוניים

עריכה