|
|
@@ -16,3 +16,19 @@ Dodatkowo, oprócz opisanych wcześniej plików, system może korzystać z innej
|
|
16
|
16
|
|
|
17
|
17
|
W systemie zawsze istnieje użytkownik `root` – administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. _root or god, no difference at all_). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-)
|
|
18
|
18
|
Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu `sudo` – na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń).
|
|
|
19
|
+
|
|
|
20
|
+# Usługi katalogowe systemu Windows Server 20xx
|
|
|
21
|
+
|
|
|
22
|
+System Windows posiada własną implementację usług katalogowych pod nazwą Active Directory. Umożliwa ona grupowanie komputerów w _domeny Windows_ i scentralizowaną administrację połączonymi w ten sposób maszynami. Bazuje na 3 protokołach: LDAP, Kerberos i DNS.
|
|
|
23
|
+
|
|
|
24
|
+Na wszystkich komputerach włączonych w domenę można logować się za pomocą tych samych kont, przechowywanych na serwerze pełniącym rolę _kontrolera domeny_ (w celu zapewnienia redundancji, takich serwerów może być kilka). Tych samych danych można też używać, aby zapewnić dostęp do zasobów udostępnionych w domenie, np. katalogów sieciowych lub drukarek, a dzięki wykorzystaniu pojedynczego uwierzytelnienia (ang. _SSO_), hasło wystarczy podać tylko raz przy logowaniu do systemu. Z kolei dzięki zintegrowaniu z kontrolerem domeny serwera DNS, do komputerów wchodzących w skład domeny można odwoływać się za pomocą adresów domenowych zamiast adresów IP. Centralne logowanie można również rozszerzyć o przechowywany na serwerze profil użytkownika (_profil mobilny_).
|
|
|
25
|
+
|
|
|
26
|
+Jednym z podstawowych celów tworzenia domen Active Directory jest kontrola uprawnień użytkowników – i ona w AD jest mocno rozbudowana. Możliwe jest między innymi:
|
|
|
27
|
+* przydzielanie lub odmawianie dostępu użytkownikom do konkretnych komputerów i zasobów wchodzących w skład domeny,
|
|
|
28
|
+* kontrolowanie uprawnień użytkowników w systemie oraz centralna konfiguracja wielu ustawień systemu operacyjnego na komputerach w domenie (za pomocą _zasad grupowych_),
|
|
|
29
|
+* logiczne grupowanie zasobów według dowolnych kryteriów w hierarchię _jednostek organizacyjnych_,
|
|
|
30
|
+* delegowanie kontroli administracyjnej nad domeną lub poszczególnymi jednostkami organizacyjnymi określonym użytkownikom.
|
|
|
31
|
+
|
|
|
32
|
+Pomiędzy różnymi domenami Active Directory można definiować jednostronne lub dwustronne relacje zaufania, aby umożliwić użytkownikom jednej domeny dostęp do zasobów innej. Domeny można też hierarchicznie łączyć w drzewo, wtedy relacje zaufania są tworzone automatycznie.
|
|
|
33
|
+
|
|
|
34
|
+Do domeny mogą należeć komputery z systemem operacyjnym Windows od wersji 2000, w edycji przeznaczonej do użytku w firmach (wersje z licencją przeznaczoną do użytku domowego są pozbawione tej funkcjonalności), a po odpowiednim skonfigurowaniu usługi Active Directory – także komputery z systemami Linux lub Unix. Kontrolerem domeny może być komputer z systemem Windows Server również od wersji 2000, albo komputer z systemem Linux i zainstalowanym serwerem Samba 4 (wariant alternatywny, w całości bazujący na oprogramowaniu otwartoźródłowym).
|
Jan Potocki
4 lat temu