GNU/Linux >> Linux Esercitazione >  >> Linux

Nozioni di base sui criteri di gruppo in Active Directory

Questo articolo illustra la funzionalità Criteri di gruppo di Microsoft® Active Directory® (AD).

Criterio di gruppo AD

Criteri di gruppo fornisce la gestione centralizzata delle impostazioni e delle reti del computer in modo che non sia necessario selezionare e configurare ogni computer individualmente. Puoi configurare i seguenti servizi AD come criteri di gruppo:

  • Servizi di dominio: Domain Services ti consente di gestire i tuoi domini AD. Forniscono funzioni di autenticazione e una struttura per altri servizi simili. AD utilizza un database LDAP (LightweightDirectory Access Protocol) contenente oggetti di rete.

  • Servizi certificati: Servizi certificati è uno strumento Microsoft per la gestione delle certificazioni digitali e supporta l'infrastruttura a chiave pubblica (PKI). Servizi certificati possono archiviare, convalidare, creare e revocare le credenziali della chiave pubblica, anziché generare chiavi esternamente o localmente.

  • Servizi della Federazione: Federation Services fornisce un'autenticazione Single Sign-On basata sul Web da utilizzare in più organizzazioni. Consente agli appaltatori sia di accedere alla propria rete che di essere autorizzati ad accedere alle risorse sulla rete del cliente in un sistema centralizzato.

  • Servizi di directory leggeri: Lightweight Directory Services rimuove alcune complessità e funzionalità avanzate per offrire solo la funzionalità di base del servizio directory. Lightweight Directory Services non ha bisogno di utilizzare controller di dominio, foreste o domini per ambienti ridotti.

  • Servizi di gestione dei diritti: Rights Management Services interrompe l'autorizzazione al di là delle autorizzazioni di un utente. I diritti e le restrizioni sono allegati al documento anziché all'utente. AD usa comunemente questi diritti per impedire la stampa, la copia o l'acquisizione di uno screenshot di un documento.

Struttura AD

AD contiene i seguenti componenti:

  • Foresta: La foresta è il livello più alto della gerarchia dell'organizzazione. La foresta consente di separare l'autorità di delega all'interno di un unico ambiente. Questa segregazione offre a un amministratore l'accesso completo e le autorizzazioni solo a un insieme specifico di risorse. AD archivia le informazioni sulla foresta su tutti i controller di dominio, in tutti i domini, all'interno della foresta.

  • Albero: Un albero è un gruppo di domini. I domini all'interno di un albero condividono lo stesso spazio dei nomi radice. Mentre un albero condivide uno spazio dei nomi, gli alberi non sono limiti alla sicurezza o alla replica.

  • Domini: Ogni foresta contiene un dominio radice. È possibile utilizzare domini aggiuntivi per creare ulteriori partizioni all'interno di una foresta. I domini suddividono la directory in parti più piccole per controllare la replica. Un dominio limita la replica AD solo agli altri controller di dominio all'interno dello stesso dominio.

    Ciascun controller di dominio in un dominio dispone di una copia identica del database AD di quel dominio. La replica mantiene le copie aggiornate.

  • Unità organizzative (UO): Un'unità organizzativa prevede il raggruppamento dell'autorità su un sottoinsieme di risorse all'interno di un dominio. Un'unità organizzativa fornisce un limite di sicurezza su privilegi e autorizzazioni elevati e non limita la replica degli oggetti AD.

    Utilizza le unità organizzative per implementare e limitare la sicurezza e i ruoli tra i gruppi e utilizza i domini per controllare la replica.

  • Controller di dominio: I controller di dominio sono server Windows® che contengono il database AD ed eseguono funzioni relative ad AD, incluse l'autenticazione e l'autorizzazione.

    Ciascun controller di dominio archivia una copia del database AD contenente informazioni per gli oggetti all'interno dello stesso dominio. Inoltre, ogni controller di dominio archivia lo schema per l'intera foresta, nonché tutte le informazioni sulla foresta.

    Un controller di dominio non archivia una copia delle informazioni sullo schema o sulla foresta da una foresta diversa, anche se si trovano sulla stessa rete.

  • Ruoli di controller di dominio specializzati: Utilizzare ruoli di controller di dominio specializzati per eseguire funzioni specifiche che normalmente non sono disponibili nei controller di dominio standard. AD assegna questi ruoli master al primo controller di dominio creato in ogni foresta o dominio, ma puoi riassegnare i ruoli manualmente.

  • Maestro schema: Esiste un solo schema master per foresta. Contiene la copia master dello schema utilizzato da tutti gli altri controller di dominio. Una copia master garantisce che tutti gli oggetti siano definiti allo stesso modo.

  • Master nome di dominio: Esiste un solo master del nome di dominio per foresta. Il master di dominio garantisce che i nomi di tutti gli oggetti siano univoci e potrebbero fare riferimento a oggetti archiviati in altre directory.

  • Master dell'infrastruttura: Esiste un master dell'infrastruttura per dominio. Il master dell'infrastruttura conserva l'elenco degli oggetti eliminati e tiene traccia dei riferimenti per gli oggetti su altri domini.

  • Principale identificatore relativo: C'è un identificatore relativo master per dominio. Tiene traccia della creazione e dell'assegnazione di identificatori di sicurezza (SID) univoci nell'intero dominio.

  • Emulatore di controller di dominio primario: Esiste un solo emulatore di controller di dominio primario (PDC) per dominio. Fornisce la compatibilità con le versioni precedenti dei precedenti sistemi di dominio basati su Windows NT.

  • Archivio dati: L'archivio dati gestisce l'archiviazione e il recupero dei dati su qualsiasi controller di dominio. Il datastore ha tre livelli:- i componenti del database e del servizio (il Directory System Agent (DSA) e l'Extensible Storage Engine (ESE))- i servizi di directory store (LDAP)- l'interfaccia di replica, l'API di messaggistica (MAPI) e il Security Account Manager (SAM)

Sistema dei nomi di dominio

AD contiene informazioni sulla posizione degli oggetti archiviati nel database. Tuttavia, AD utilizza il Domain Name System (DNS) per individuare i controller di dominio.

All'interno di AD, ogni dominio ha un nome di dominio DNS e ogni computer aggiunto ha un nome DNS all'interno dello stesso dominio.

Oggetti

AD archivia tutto come un oggetto e contiene informazioni sulla posizione degli oggetti archiviati nel database. Tuttavia, AD utilizza Domain Name System (DNS) per individuare i controller di dominio. La classe di un oggetto definisce gli attributi dell'oggetto.

Lo schema deve contenere la definizione dell'oggetto prima di poter archiviare i dati nella directory. Una volta definiti, AD archivia i dati come singoli oggetti. Ogni oggetto deve essere unico e rappresentare una singola cosa, come un utente, un computer o un gruppo univoco di elementi (ad esempio un gruppo di utenti).

Gli oggetti hanno i seguenti tipi principali di oggetti:

  • Entità di sicurezza, che hanno SID

  • Risorse che non hanno SID

Replica

AD utilizza più controller di dominio per molte ragioni, tra cui il bilanciamento del carico e la tolleranza agli errori. Affinché ciò funzioni, ogni controller di dominio deve disporre di una copia completa del database AD del proprio dominio. La replica garantisce che ogni controller disponga di una copia corrente del database.

Il dominio limita la replica. I controller di dominio su domini diversi non si replicano tra loro, anche all'interno della stessa foresta. Ogni controller di dominio è uguale. Sebbene le versioni precedenti di Windows avessero controller di dominio primari e secondari, AD non ha nulla del genere. La confusione deriva dalla continuazione del nome controller di dominio dal vecchio sistema basato sulla fiducia ad AD.

La replica funziona su un sistema pull. Ciò significa che un controller di dominio richiede o estrae le informazioni da un altro controller di dominio anziché da ciascun controller di dominio che invia o invia dati ad altri. Per impostazione predefinita, i controller di dominio richiedono i dati di replica ogni 15 secondi. Alcuni eventi ad alta sicurezza attivano un evento di replica immediata, come il blocco dell'account.

Vengono replicate solo le modifiche. Per garantire la fedeltà in un sistema multimaster, ogni controller di dominio tiene traccia delle modifiche e richiede solo gli aggiornamenti dall'ultima replica. Le modifiche vengono replicate in tutto il dominio utilizzando un meccanismo di archiviazione e inoltro in modo che qualsiasi modifica venga replicata quando richiesto, anche se la modifica non ha avuto origine sul controller di dominio che ha risposto alla richiesta di replica.

Questo processo impedisce il traffico in eccesso ed è possibile configurare AD per garantire che ogni controller di dominio richieda i propri dati di replica dal server più desiderabile. Ad esempio, una posizione remota con una connessione veloce e una connessione lenta ad altri siti con controller di dominio può impostare un costo per ciascuna connessione. In tal modo, AD effettua la richiesta di replica attraverso la connessione più veloce.

Autorizzazione delegata e replica efficiente sono le chiavi della struttura AD.


Linux

  1. Rendere tutti i nuovi file in una directory accessibili a un gruppo?

  2. Reimposta una password utente di Active Directory

  3. Impossibile unire il server Samba Linux al dominio Active Directory di Windows

  4. Come usare realmd in Ubuntu 14.04 LTS per entrare in un dominio di Active Directory?

  5. Unisciti al dominio Active Directory non creerà record DNS

Come unire un sistema Linux a un dominio Active Directory

Procedura:configurazione di Active Directory in Windows Server 2012

Installare Servizi di dominio Active Directory su Windows Server 2008 R2 Enterprise a 64 bit

Installa Active Directory su Windows Server 2012

Come eseguire un'installazione di Samba Active Directory su Linux

Come connettersi con Samba a Linux Active Directory