Microsoft Active Directory

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Autor: Paula Kokić

Sadržaj

Uvod

Active Directory (AD) je Microsoftov centralizirani sustav za jednostavnije upravljanje Windows mrežom računala. U osnovi, taj sustav možemo najlakše predočiti kao običnu bazu podataka, temeljenu na X.500 standardu, koja sadrži sve informacije o računalima, korisnicima i ostalim objektima te njihovim pravima unutar neke mreže. AD omogućuje puno lakše pronalaženje i korištenje određenih resursa unutar mreže, lakše je za održavanje i upravljanje od klasičnog pristupa dijeljenja mrežnih resursa, pogotovo kad se radi o velikoj količini korisnika i računala unutar mreže. Osim toga, pruža veću sigurnost, budući da sadrži autenikacijske i autorizacijske protokole (Microsoftova verzija Kerberos protokola) te mogućnosti dodjeljivanja prava i ograničenja pojedinim objektima. Koristi se LDAP protokolom te Microsoftovim DNS-om.

Active Directory se zapravo sastoji od nekoliko skupina servisa:

  1. Active Directory Domain Services (AD DS) - najpoznatija skupina, njom ću se baviti u ovom projektu. Predstavlja osnovu svake mreže bazirane na Windows domenama. Služi za pohranu informacija o članovima domena (korisnici i uređaji), provjeru njihovih pristupnih podataka i provjeru njihovih prava pristupa.
  2. Lightweight Directory Services (AD LDS) - pokreće se kao servis na Windows Serveru i pruža gotovo iste funkcionalnosti kao AD DS, samo što nije potrebno kreirati domene ili upravitelje domena.
  3. Certificate Services (AD CS) - služi za upravljanje infrastrukturom javnih ključeva. Omogućuje kreiranje, provjeru i oduzimanje certifikata javnih ključeva za potrebe pojedine organizacije. Certifikati se mogu koristiti za kriptiranje datoteka, e-mailova ili mrežnog prometa (u VPN-u, TLS ili IPSec protokolu). Preduvjet za korištenje je AD DS infrastruktura.
  4. Federation Services (AD FS) - servis za jedinstvenu prijavu. Omogućuje korisnicima da koriste nekoliko različitih web-baziranih servisa (npr. forum, blog, webmail, itd.) ili mrežnih resursa, s istim podacima za prijavu koji se pohranjuju na jednoj centralnoj lokaciji. Zamišljen je kao proširenje AD DS, tako da korisnici s istim podacima mogu pristupiti uređajima u različitim mrežama. Preduvjet za korištenje je AD DS infrastruktura.
  5. Right Management Services (AD RMS) - program za upravljanje pravima informacija. Omogućava ograničavanje prava pristupa dokumentima kao što su e-mailovi, Microsoft Word dokumenti i web stranice, te operacija koje korisnici mogu izvšiti nad njima.

Active Directory instalira se i konfigurira na Windows Server operativnim sustavima, od verzije Windows 2000 Server na dalje. U ovom projektu, opisivat ću funkcionalnosti te korištenje Active Directory sustava na Windows Server 2012 operativnom sustavu.

Struktura i funkcionalnosti

Active Directory Domain Services (AD DS) zapravo je distribuirana baza podataka koja pohranjuje i upravlja informacijama o mrežnim resursima i njihovim pravima. Server koji pokreće Active Directory, odnosno ima tu ulogu (eng. role) zove se upravitelj domene (eng. domain controller), a postupak dodjeljivanja uloge serveru zove se unaprjeđivanje (eng. promotion). Administratori servera mogu koristiti AD DS kako bi bolje organizirali elemente domene unutar mreže, tj. korisnike, računala i ostale uređaje (resurse), u hijerarhijsku strukturu. Kurzivni tekst Sve što Active Directory prati (sprema/vidi) jest objekt (eng. object). Objekt može biti korisnik, računalo, bilo kakav uređaj ili servis. Svi objekti se opisuju nekim atributima (eng. attribute). Više objekata može imati neke atribute s istim nazivom, ali i neke specifične atribute koji ih dodatno opisuju.

Set atributa koji je moguć za određen tip objekta naziva se schema. Ona definira klase (tipove) objekata, njihove atribute i organičenja. Također omogućava administratorima da dodaju atribute klasama objekata preko cijele mreže, bez da moraju ponovno pokrenuti ijedan upravitelj domene.

Kontejner (eng. container) je posebna vrsta objekta, koja ne predstavlja ništa fizičko. Umjesto toga, kontejner se ponaša kao nekakva grupa, kako bi se drugi objekti mogli lakše organizirati. Jedan kontejner može sadržavati jedan ili više drugih kontejnera unutar sebe i na taj način kreirati hijerarhiju unutar AD DS-a.

Administratori mogu grupirati objekte u organizacijske jedinice (eng. organizational units), OU. Tu počinje prava hijerarhija i definiranje strukture mreže. Organizacijske jedinice olakšavaju upravljanje svojim skupom objekata, a stvaraju se najčešće prema funkcijskim ili geografskim zajedničim obilježjima objekata. Osim toga, organizacijska jedinica je razina na kojoj administrator može delegirati svoja prava na određene individualne objekte unutar te jedinice. Na taj način se olakšava podjela upravljanja nad velikim skupom objekata, ljudima kojima se mogu povjeriti takvi zadaci. Isto tako, treba napomenuti da i neka organizacijska jedinica može biti dio druge organizacijske jedinice, itd.

Organizacijske jedinice dio su svoje domene (eng. domain). Svaka domena ima vlastiti imenski prostor (eng. namespace) po kojem je definirana. Domena predstavlja logičku grupu mrežnih objekata koji dijele istu Active Directory bazu podataka. Domena može imati poddomene, koje se tada nazivaju djecom (eng. child domains), a glavna domena se naziva korijenska domena (eng. root domain). Domene u ovakvim odnosima dijele isti imenski prostor.

Stablo (eng. tree) predstavlja skup od jedne ili više domena, koje dijele isti imenski prostor, odnosno su u odnosu dijete-roditelj. Šuma (eng. forest) predstavlja skup stabala koji dijele zajedničku shemu, postavke i globalni katalog. Globalni katalog (eng. global catalog) sadržava indeks svakog objekta unutar šume, kako bi korisnici mogli lakše pretraživati objekte unutar šume. Svaka domena ima barem jedan global catalog server, koji upravlja globalnim katalogom. Između domene "roditelja" i "djeteta", automatski je postavljena veza povjerenja (eng. trust), kao i između stabala unutar šume, što znači da korisnici npr. domene roditelja mogu imati pristup resursima iz domene djeteta. U nastavku prikazana je slika koja opisuje strukturu Active Directory-ja.


AD DS Hijerarhija.png


Kako bi se svakom objektu u šumi moglo pristupiti, Active Directory koristi LDAP (Lightweight Directory Access Protocol) protokol. LDAP protokol definira način pristupa objektima u mreži i ima specifičnu sintaksu, a svi objekti imaju karakteristični LDAP naziv. Sintaksa LDAP protokola je sljedeća: najprije se navodi CN (canonical name), zatim OU (organizational unit), zatim DC (domena). Primjer: CN=Paula,OU=Users,DC=security,DC=foi,DC=hr

Active Directory baza se automatski replicira (eng. replication) na sve upravitelje domena u šumi. Svi upravitelji domena uvijek imaju ažuriranu bazu Active Directory-ja, što omogućuje normalno korištenje resursa i ostalih servisa čak i ako jedan upravitelj domene "padne". Osim toga, Active Directory koristi raspodjelu (eng. partitioning), tako da svaki upravitelj domene upravlja i nadzire drugim dijelom (particijom) baze podataka. Na taj način smanjuje se opterećenje samih servera, što dolazi do izražaja kod jako velikog broja domena i stabala u šumi.

Instalacija

Kod pokretanja Windows Server 2012 operativnog sustava, automatski se pali i program Server Manager, koji predstavlja centar za konfiguraciju i upravljanje serverom.

Prije same instalacije Active Directory-ja, potrebno je provjeriti postake imena računala. Windows automatski svim računalima dodjeljuje neko ime u formatu WIN-<slučajni znakovi>. Kako bi promijenili ime računala (te ga kasnije lakše mogli pronaći u mreži), potrebno unutar Server Managera kliknuti na Local Server, pa na Computer name. Tada se otvara System Properties prozor, koji je vrlo sličan onima na običnim Windows operativnim sustavima. Unutar tog prozora, potrebno je kliknuti na Change..., unijeti ime koje želimo te potvrditi s OK. Da bi se promjene primjenile, potrebno je ponovno pokrenuti računalo. Nakon toga možemo krenuti s instalacijom AD-a.

Dodavanje uloge serveru

Najprije je potrebno dodati samu ulogu serveru, odnosno instalirati paket AD DS.

1. Klik na Dashboard -> Add roles and features -> Next. Kod Select installation type prozora, treba odabrati "Role-based or feature-based installation". Next.

Install-01.png


2. Kod Select destination server potrebno je odabrati "Select a server from the server pool", te ispod pronaći naš server (kojeg smo upravo preimenovali radi lakšeg snalažanja ukoliko imamo više servera). Next.

Install-02.png


3. Kod Select server roles potrebno je odabrati "Active Directory Domain Services" i "DNS Server" ukoliko već nije dodan. (DNS Server je preduvjet za AD!)

Install-03.png


4. Otvara se prozor s upitom za dodavanje funkcionalnosti. Klik na Add Features -> Next. Otvara se prozor za dodavanje funkcionalnosti, ako želimo možemo dodati još neke funkcionalnosti koje nisu već označene.

5. Prikazuje se prozor s određenim informacijama o AD DS i njegovim zahtjevima. Next.

6. Prikazuje se sažetak postavki te nakon toga počinje instalacija.

7. Nakon završetka instalacije možemo vidjeti da je AD DS dodan s lijeve strane unutar navigacije Server Managera. Kada kliknemo na AD DS, vidimo da je potrebno napraviti još određene postavke - još uvijek nismo "službeno" unaprijedili server u upravitelj domene (domain controller)

Install-complete.png


Unaprjeđenje servera u domain controller

1. Klik na More... Otvara se All Servers Task Details and Notifications prozor, gdje piše da je potrebno unaprijediti server (kao Post-Deployment Configuration). Klikom na "Promote this server to a domain controller" otvara se Deployment Configuration prozor. Ako je ovo prvi domain controller u mreži, potrebno je kliknuti na "Add new forest". Vidimo da postoje još dvije opcije, tako da možemo dodavati nove domain controllere u postojeće domene ili šume. Nakon unosa naziva za root domenu, kliknemo na Next.

Promotion-01.png


2. Otvara se prozor Domain Controller Options. Forest functional level predstavlja razinu na kojoj se mogu dodavati novi upravitelji domene. Bitno je da se uvijek mogu dodavati upravitelji više razine, ali obrnuto nije moguće. Što je postavljena viša razina, to su mogućnosti veće, ali raspon različitosti verzija servera manje. Također, bitno je napomenuti da se kasnije ova razina uvijek može povećati, ali ne i smanjiti, tako da ako nismo sigurni, uvijek je bolje odabrati nižu razinu. Isti princip vrijesi i za postavku Domain functional level. Postavku za DNS Server treba ostaviti uključenom, te unijeti DSRM lozinku. Ta lozinka će služiti isključivo za određene zadatke u vezi oporavka baze (recovery). Next.

Promotion-02.png


3. Otvara se prozor DNS Options. S obzirom da je ovo prvi DNS server, nije moguće postavljati opcije delegiranja i sl. Next.

4. Otvara se prozor Additional Options. Tu možemo promijeniti NetBIOS ime domene. Windows će automatski predložiti ime koje nije u upotrebi, tako da ga možemo ostaviti. Next.

Promotion-03.png


5. Otvara se prozor Paths. Tu možemo promijeniti direktorij gdje se spremaju glavne datoteke Active Directory-ja. NTDS.DIT je glavna datoteka i predstavlja samu bazu podataka Active Directory. Next.

Promotion-04.png


6. Otvara se prozor Review Options gdje možemo pregledati sve postavke. Nudi se opcija "View script" preko koje možemo izvesti (eng. export) postavke kako bi brže konfigurirali drugi server s istim postavkama. Next.

7. Otvara se prozor Prerequisites Check. Windows provjerava zadovoljava li server traženim uvjetima, prikazuje određene napomene te možemo konačno završiti instalaciju klikom na Install. Nakon instalacije, server će se automatski ponovno pokrenuti kako bi spremio postavke.

Promotion-05.png


Nakon instalacije, treba primjetiti sljedeću stvar: već prilikom prijave u sustav kao administrator, više ne stoji samo "Administrator", već "NazivDomene\Administrator", tj. u mom slučaju "FOI\Administrator". To je normalna pojava, jer nakon instalacije AD DS-a na server, više nije moguće koristiti Windowsov ugrađeni sustav kreiranja i konfiguriranja lokalnih korisnika. To se eksplicitno vidi i ako preko Upravljačke ploče (eng. Control panel) otvorimo sučelje za upravljanje lokalnim računima, gdje stoji da je naš server konfiguriran kao domain controller te se od sad nadalje koristi AD DS za konfiguraciju svih računa.

Local-users.png


Nakon prijave s istom lozinkom kao i prije, otvara se Server Manager i možemo vidjeti kako se s lijeve strane nalaze uloge AD DS i DNS. Isto tako, ako odemo provjeriti C:\Windows, vidimo da su kreirane mape SYSVOL i NTDS, u kojoj se nalazi i ona glavna datoteka ntds.dit.

Primjena i korištenje

U nastavku ću opisati neke osnovne mogućnosti i funkcionalnosti Active Directory Domain Services sustava.

Kreiranje i upravljanje organizacijskih jedinica

Najprije ćemo pokazati postupak kreiranja organizacijskih jedinica. U Server Manager-u kliknut ćemo na Tools -> Active Directory Administrative Center. Otvara se novi prozor preko kojeg možemo pristupiti svim postavkama za AD DS.

ADAC.png

Za početak kreirat ćemo novu organizacijsku jedinicu u koju ćemo staviti nove korisnike. Postoje već neke defaultne organizacijske jedinice koje se također mogu koristiti, ali zbog primjera pokazat ću kako se kreiraju nove. S lijeve strane treba odabrati kreiranu domenu (u ovom slučaju "foi (local)"), nakon toga s desne strane pod Tasks, te ispod "foi (local)" odabrati New -> Organizational Unit, kako je prikazano na slici ispod. Otvara se novi prozor u kojem možemo unijeti detalje o organizacijskoj jedinici. Kad završimo s uređivanjem, kliknemo OK.

Users-01.png Users-02.png


Sada ćemo u popisu objekata moći vidjeti i novokreiranu organizacijsku jedinicu.

Postavljanje prava za napravljenu organizaciju jedinicu možemo učiniti u opcijama koje se nalaze kad kliknemo desnim klikom miša na odabranu organizacijsku jedinicu, opcija Properties, i u dnu opcija Security. Tu vidimo tko sve ima i kakva prava pristupa svemu što se nalazi unutar te organizacijske jedinice te ih možemo uređivati po potrebi.

Još jedna vrlo korisna opcija je delegiranje prava. Delegiranjem možemo neke ovlasti s administratorskog računa prenijeti na određeni korisnički račun, koji će onda te ovlasti (prava) imati unutar te organizacijske jedinice. Ta opcija vrlo se često koristi kako bi se rasteretili administratori, te neke svoje ovlasti prenijele na druge osobe unutar organizacije. Kako bismo to učinili, potrebno je otvoriti Active Directory Users and Computers, pronaći željenu organizacijsku jedinicu, te desnim klikom na njen naziv odabrati opciju Delegate Control.... Otvara se prozor Delegation of Control Wizard, kako je prikazano na slici.

Organization-01.png


Kliknemo Next i jednostavno slijedimo čarobnjaka. U sljedećem koraku dodajemo korisnika kojem želimo delegirati ovlasti i kliknemo na Next. U idućem koraku trebamo specificirati koje ovlasti točno želimo delegirati i kliknemo na Next. Prikazuje se završni prozor, kojeg zatvaramo klikom na Finish. Ako želimo provjeriti ili mijenjati dane ovlasti, potrebno je kliknuti desnim klikom na organizacijsku jedinicu -> Properties -> Security -> Advanced.

Kreiranje i upravljanje korisničkim računima

Kako bi kreirali novog korisnika unutar neke organizacijske jedinice, poteban je dvoklik na naziv organizacijske jedinice, te iz izbornika s desne strane odabrati New -> User. Otvara se novi prozor, kao na slici ispod, u kojem možemo urediti mnogo atributa za korisnika. Obvezni atributi su puni naziv korisnika, te njegovo korisničko ime za prijavu.

Users-03.png


Nakon završetka uređivanja korisnika kliknemo OK. Kreirani korisnik sada se nalazi na popisu unutar odabrane organizacijske jedinice. Važno je napomenuti da je korisnik u početku onemogućen (eng. disabled). Kako bi mogli omogućiti korisnika, klikom na gumb Enable, potrebno mu je podesiti lozinku za prijavu. Ako se lozinka ne postavi prilikom kreiranja korisnika (budući da nije obvezna), potrebno je kliknuti na opciju Reset password i tamo podesiti novu lozinku.

Neke osnovne operacije koje se najčešće koriste kod upravljanja korisnikom jesu (dostupne unutar Active Directory Users and Computers):

- Resetiranje lozinke - opcija je dostupna kao Reset password, do koje možemo doći desnim klikom na korisnika.

- Otključavanje računa - opcija je dostupna kroz Properties prozor, do koje također dolazimo desnim klikom na korisnika.

- Onemogućavanje računa - opcija Disable, dostupna kroz desni klik na korisnika.

Kreiranje i upravljanje grupama

Grupa (eng. group) je objekt unutar AD DS-a koji se koristi za lakše upravljanje dozvolama i pravima dodijeljenima određenim korisnicima unutar mreže. Postoje dva tipa grupa:

- sigurnosne (eng. security) - U svojstvima grupe mogu se definirati određena prava i dozvole pojedinim resursima te svaki korisnik koji postane član te grupe nasljeđuje njezina prava i dozvole.

- distribucijske (eng. distribution) - kreiraju se radi lakše komunikacije s određenom skupinom korisnika (npr. slanje grupnih e-mailova).

Raspon grupe može biti: lokalni (eng. local) (grupa kreirana na lokalnom računalu, ne koristi se u AD DS), lokalni na razini domene (eng. domain local), globalni (eng. global) i svjetski (eng. universal).

Novu grupu unutar AD DS-a možemo kreirati na više načina. Jedan je da otvorimo Active Directory Administrative Center, unutar njega se pozicioniramo unutar našeg domain controllera, te odaberemo opciju Users. S iz izbornika s desne strane, pod Users dijelom, odaberemo New -> Group. Otvara se prozor kao na slici. Nakon unošenja naziva grupe, te odabira tipa i raspona, kliknemo OK.

Group-01.png


Grupe nemaju previše atributa koji se mogu postavljati. Ono što je najbitnije za grupe, jest mogućnost dodavanja članova (eng. members) grupi. Postoje dva načina dodavanja članovova grupi - jedan je upravo kroz Svojstva (eng. Properties) (dostupna na desni klik) -> sekcija Members -> Add.... Otvara se prozor pomoću kojega možemo pretraživati korisnike i na taj način ih dodati u grupu.

Group-02.png


Drugi pristup jest da najprije otvorimo Properties prozor korisnika, te tamo u sekciji Member of kliknemo na gumb Add... i pronađemo grupu na isti način kako smo pretražili i korisnika. Na istim mjestima možemo i korisnika maknuti iz grupe.

Kreiranje i upravljanje računalima

Kako bismo dodali računalo unutar naše domene, potrebno je postaviti određene postavke na samom računalu kojeg želimo dodati. Najprije, tu je naziv računala, kojeg je potrebno urediti radi lakšeg pronalaženja. Na istom mjestu gdje se mijenja naziv računala (a to je u System Properites -> Change...), možemo i promijeniti mrežu kojoj pripada, pod sekcijom Member of: umjesto Workgroup, potrebno je odabrati Domain i unijeti naziv domene. Nakon klika na OK, zatražit će se prijava s administratorskim računom kako bi se postavke mogle primjeniti, te ponovno pokretanje računala. Ako smo to uspješno učinili, u Active Directory Users and Computers, pod mapom Computers, trebalo bi se nalaziti naše računalo.

Drugi način dodavanja je ručno kroz Active Directory Administrative Center. Pozicioniramo se unutar naše domene, containera Computers pa s desne strane imamo opciju New -> Computer. Dakle, otvorit će nam se prozor vrlo sličan onome kada smo kreirali grupu ili korisnika. Možemo specificirati ime računala, učlaniti ga u grupe i sl. Klikom na OK, računalo je dodano.

Na vrlo sličan način funkcionira i kreiranje i upravljanje računalima koji su upravitelji domene unutar ove šume i sl.

Zaključak

Active Directory predstavlja bazu podataka svih objekata unutar neke mreže. Njezina hijerarhijska organizacija kroz grupe, organizacijske jedinice, domene, stabla i šume omogućuju lakše snalaženje u velikim mrežama kakve imaju velike tvrtke i organizacije, te time olakšava upravljanje korisnicima i resursima.

Kroz ovaj projekt prošla sam kroz osnovne postavke instaliranje Active Directory Domain Services na Windows Serveru 2012 te neke njezine osnovne mogućnosti i funkcionalnosti. Ukratko sam opisala kreiranje organizacijskih jedinica, korisnika, grupa i računala, te objasnila neke osnovne operacije koje se mogu izvršavati s danim objektima.

Literatura

[1] Khalil, George (2012) Configuring Active Directory (AD DS) in Windows Server 2012. Dostupno 18.01.2017. na [1]

[2] Microsoft Press (n.a.) Active Directory. Dostupno 18.01.2017. na [2]

[3] Microsoft TechNet (2013) Active Directory Domain Services Overview. Dostupno 18.01.2017. na [3]

[4] itfreetraining (2014) 70-640: Windows Server 2008 Active Directory Configuration (video playlista dostupna na YouTube servisu). Dostupno 18.01.2017. na [4]

[5] Microsoft MCSA/MCSE Learning Channel (2016) 70-410 [1] - Installing and Configuring Servers for Microsoft Windows Server 2012 R2 (video playlista dostupna na YouTube servisu). Dostupno 18.01.2017. na [5]

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima