MKjanek32/PWrEgzaminMgr
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

ISK: Active Directory

Browse Source
This commit is contained in:
Jan Potocki
2020-07-16 20:38:25 +02:00
parent 249e8de20f
commit 398f2f581b
1 changed files with 16 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
W4-INF-ISK-mgr.md
+16
View File
@@ -16,3 +16,19 @@ Dodatkowo, oprócz opisanych wcześniej plików, system może korzystać z innej
W systemie zawsze istnieje użytkownik `root` administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. _root or god, no difference at all_). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-) W systemie zawsze istnieje użytkownik `root` administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. _root or god, no difference at all_). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-)
Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu `sudo` na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń). Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu `sudo` na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń).
# Usługi katalogowe systemu Windows Server 20xx
System Windows posiada własną implementację usług katalogowych pod nazwą Active Directory. Umożliwa ona grupowanie komputerów w _domeny Windows_ i scentralizowaną administrację połączonymi w ten sposób maszynami. Bazuje na 3 protokołach: LDAP, Kerberos i DNS.
Na wszystkich komputerach włączonych w domenę można logować się za pomocą tych samych kont, przechowywanych na serwerze pełniącym rolę _kontrolera domeny_ (w celu zapewnienia redundancji, takich serwerów może być kilka). Tych samych danych można też używać, aby zapewnić dostęp do zasobów udostępnionych w domenie, np. katalogów sieciowych lub drukarek, a dzięki wykorzystaniu pojedynczego uwierzytelnienia (ang. _SSO_), hasło wystarczy podać tylko raz przy logowaniu do systemu. Z kolei dzięki zintegrowaniu z kontrolerem domeny serwera DNS, do komputerów wchodzących w skład domeny można odwoływać się za pomocą adresów domenowych zamiast adresów IP. Centralne logowanie można również rozszerzyć o przechowywany na serwerze profil użytkownika (_profil mobilny_).
Jednym z podstawowych celów tworzenia domen Active Directory jest kontrola uprawnień użytkowników i ona w AD jest mocno rozbudowana. Możliwe jest między innymi:
* przydzielanie lub odmawianie dostępu użytkownikom do konkretnych komputerów i zasobów wchodzących w skład domeny,
* kontrolowanie uprawnień użytkowników w systemie oraz centralna konfiguracja wielu ustawień systemu operacyjnego na komputerach w domenie (za pomocą _zasad grupowych_),
* logiczne grupowanie zasobów według dowolnych kryteriów w hierarchię _jednostek organizacyjnych_,
* delegowanie kontroli administracyjnej nad domeną lub poszczególnymi jednostkami organizacyjnymi określonym użytkownikom.
Pomiędzy różnymi domenami Active Directory można definiować jednostronne lub dwustronne relacje zaufania, aby umożliwić użytkownikom jednej domeny dostęp do zasobów innej. Domeny można też hierarchicznie łączyć w drzewo, wtedy relacje zaufania są tworzone automatycznie.
Do domeny mogą należeć komputery z systemem operacyjnym Windows od wersji 2000, w edycji przeznaczonej do użytku w firmach (wersje z licencją przeznaczoną do użytku domowego są pozbawione tej funkcjonalności), a po odpowiednim skonfigurowaniu usługi Active Directory także komputery z systemami Linux lub Unix. Kontrolerem domeny może być komputer z systemem Windows Server również od wersji 2000, albo komputer z systemem Linux i zainstalowanym serwerem Samba 4 (wariant alternatywny, w całości bazujący na oprogramowaniu otwartoźródłowym).