From 398f2f581b854188abc14b4a7aab9da2a8162ee5 Mon Sep 17 00:00:00 2001 From: Jan Potocki Date: Thu, 16 Jul 2020 20:38:25 +0200 Subject: [PATCH] ISK: Active Directory --- W4-INF-ISK-mgr.md | 16 ++++++++++++++++ 1 file changed, 16 insertions(+) diff --git a/W4-INF-ISK-mgr.md b/W4-INF-ISK-mgr.md index ebde3e7..3c90945 100644 --- a/W4-INF-ISK-mgr.md +++ b/W4-INF-ISK-mgr.md @@ -16,3 +16,19 @@ Dodatkowo, oprócz opisanych wcześniej plików, system może korzystać z innej W systemie zawsze istnieje użytkownik `root` – administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. _root or god, no difference at all_). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-) Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu `sudo` – na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń). + +# Usługi katalogowe systemu Windows Server 20xx + +System Windows posiada własną implementację usług katalogowych pod nazwą Active Directory. Umożliwa ona grupowanie komputerów w _domeny Windows_ i scentralizowaną administrację połączonymi w ten sposób maszynami. Bazuje na 3 protokołach: LDAP, Kerberos i DNS. + +Na wszystkich komputerach włączonych w domenę można logować się za pomocą tych samych kont, przechowywanych na serwerze pełniącym rolę _kontrolera domeny_ (w celu zapewnienia redundancji, takich serwerów może być kilka). Tych samych danych można też używać, aby zapewnić dostęp do zasobów udostępnionych w domenie, np. katalogów sieciowych lub drukarek, a dzięki wykorzystaniu pojedynczego uwierzytelnienia (ang. _SSO_), hasło wystarczy podać tylko raz przy logowaniu do systemu. Z kolei dzięki zintegrowaniu z kontrolerem domeny serwera DNS, do komputerów wchodzących w skład domeny można odwoływać się za pomocą adresów domenowych zamiast adresów IP. Centralne logowanie można również rozszerzyć o przechowywany na serwerze profil użytkownika (_profil mobilny_). + +Jednym z podstawowych celów tworzenia domen Active Directory jest kontrola uprawnień użytkowników – i ona w AD jest mocno rozbudowana. Możliwe jest między innymi: +* przydzielanie lub odmawianie dostępu użytkownikom do konkretnych komputerów i zasobów wchodzących w skład domeny, +* kontrolowanie uprawnień użytkowników w systemie oraz centralna konfiguracja wielu ustawień systemu operacyjnego na komputerach w domenie (za pomocą _zasad grupowych_), +* logiczne grupowanie zasobów według dowolnych kryteriów w hierarchię _jednostek organizacyjnych_, +* delegowanie kontroli administracyjnej nad domeną lub poszczególnymi jednostkami organizacyjnymi określonym użytkownikom. + +Pomiędzy różnymi domenami Active Directory można definiować jednostronne lub dwustronne relacje zaufania, aby umożliwić użytkownikom jednej domeny dostęp do zasobów innej. Domeny można też hierarchicznie łączyć w drzewo, wtedy relacje zaufania są tworzone automatycznie. + +Do domeny mogą należeć komputery z systemem operacyjnym Windows od wersji 2000, w edycji przeznaczonej do użytku w firmach (wersje z licencją przeznaczoną do użytku domowego są pozbawione tej funkcjonalności), a po odpowiednim skonfigurowaniu usługi Active Directory – także komputery z systemami Linux lub Unix. Kontrolerem domeny może być komputer z systemem Windows Server również od wersji 2000, albo komputer z systemem Linux i zainstalowanym serwerem Samba 4 (wariant alternatywny, w całości bazujący na oprogramowaniu otwartoźródłowym).