התחברחיפושהרשםרשימת חבריםFAQקבוצות משתמשיםאינדקס

Share | 
 

 מבוא ל AD ועוד...

צפה בנושא הקודם צפה בנושא הבא Go down 
מחברהודעה
Admin
Admin
avatar

מספר הודעות : 137
Join date : 05.06.09

הודעהנושא: מבוא ל AD ועוד...   Wed 24 Nov 2010, 17:34

1.מהו Active Directory?

v AD הוא "שרות ספריה" היררכית (directory service) – זהו שרות רישתי אשר שומר מידע על תכונות ומאפייני האובייקטים שבו.
אובייקטים יכולים להיות:
o משתמשים (שם, טלפון וכו')
o קבוצות משתמשים
o מדפסות
o מחשבים
o OUs

ההיררכיה שב AD מאפשרת יתרונות שונים:
§ ריכוז מידע
§ אבטחת מידע
§ האצלת שליטה - delegation of control

v שאילתות (queries) ל AD מתבצעות דרך פרוטוקול LDAP (Lightweight Directory Access Protocol).
v כל המידע ב"יער" forest מפורסם לכל ה DC's וכך הופך לנגיש הצורה קלה לכולם.

2.
דומיין – Domain
הגדרה: הדומיין הוא יחידת הבסיס ממנה בנוי המבנה הלוגי של AD.
דומיין הוא אוסף של מחשבים בהם משתמשים יכולים לשתף משאבים.

שם הדומיין מבוסס על שמות DNS לדוגמא hi-tech.co.il ולא שמות NetBIOS רגילים שמו ב Server 2008 (HI-TECH).
DataBase אחד מרכזי עבור כל הדומיין.
מנגנון אבטחה מרכזי המשפר את פגיעות המערכת ומספר רמות אבטחה עבור מנהלי הדומיין.
הדומיין הראשון שנוצר ב forest יהיה ה root domain ולו יהיו יותר תפקידים מן ה root domains האחרים ביער.


Domain Controller – DC
DC הוא מה שיוצר את הדומיין ועליו מותקן AD. יכול להיות יותר מ DC אחד בדומיין.

תפקידי ה DC:

אימות משתמשים
מעקב אחר אוביקטים ב AD
רפליקציה בתוך או בין DC בין אתרים (sites).
Domain Trust

Trust relationship – מערכת יחסים לוגית המושתתת בין דומיינים.

Trust relationshipמאפשרת למשתמשים מדומיין אחד להשתמש במשאבים בדומיין אחר.

סוגי trust:
(Transitive – ארעי)

Nontransitive trust – trust אשר אינו חל על דומיינים אחרים ב forest.
One way trust – דומיין אשר נסמך ע"י דומיין אחר אך אינו סומך על אותו הדומיין.
Two way Transitive trust - שני הדומיינים סומכים אחד על השני



עץ דומיין – Domain Tree

עץ הינו אוסף של מספר דומיינים אשר חולקים מרחב שמות (namespace) משותף.

הדומיין הראשון שנוצר בעץ הוא 'דומיין האב' – parent domain והוא גם ה root domain.
דומיין אשר נוסף לעץ נקרא child domain. שמו חייב להיות המשכי לדומיין האב.
לכל דומיין ב-'עץ' יהיהtwo way transitive trust עם הדומיינים האחרים בעץ.

יער – Domain forest

Forest הוא אוסף של עצים.
לעצים אין שמות דומים אחד לשני בתוך ה forest. לכל עץ שם ייחודי לו.
לכל העצים יהיה two way transitive trust בתוך ה forest.
שני forests לא יהיו מודעים האחד לשני עד שנגדיר בינם trust.

Global catalog – GC

GC הוא שרות אשר שומר את תכונות האובייקטים אשר ב-AD. למשל: שמות משתמשים, אמייל, מדפסות וכו'.

כל השאילתות עוברות דרך ה GC.
כאשר משתמש מבצע LogOn הוא משתמש ב-GC.
ה- GC מכיל עותק מלא של כל האובייקטים בדומיין שלו ועותק חלקי של אובייקטים אחרים באותו ה forest.
ה-GC מכיל את ההרשאות עבור כל אובייקט.

Site - אתר

אתר (site) הוא איזור המורכב מ IP subnet אחת או יותר המחוברות אחת לשנייה בצורה פיזית.

v אנו מגדיריםsite כדי להפחית רפליקציה בין DCs בתוך אותו site, זאת כדי ליצור אופטימיזציה.

Site מוגדר כאשר אנו יוצרים subnet ב 'AD sites and services' ומקשרים אותה לאתר שיצרנו.


כאשר אנו מגדירים site אנו אומרים ל-AD שלמחשבים באותו site יש חיבור מהיר בינם.




Operation Masters

v מערכת AD מגדירה 5 תפקידים ל Operation Masters נקראים גם FSMO roles
v שרת ה DC הראשון יכיל את חמשת התפקידים הנ"ל אך ניתן להזיזם לשרתים אחרים.

Schema master(אחד בכל forest)

§ שולט בכל העדכונים הנעשים לסכימה.
§ רק חברים בקבוצת schema admins יכולים לבצע שינויים בסכימה.
§ מבצע רפליקציה של השינויים ל forest.

Domain naming master (אחד בכל forest)

· שולט בהוספה והורדה של דומיינים בארגון
· מכיל רשימה של כל שמות הדומיין ב- forests.
· מונע כפילות שמות דומיין ב forest.
· בזמן התקנת AD האשף יצור קשר עם DNM כדי לבקש הוספת או הסרת הדומיין.

Primary Domain Controller - PDC emulator (אחד בדומיין)

· פועל כ PDC לצורך תאימות עם BDC (Backup Domain Controller) ותחנות ישנות (pre W2k) בסביבת Mixed mode.
· אחראי על עדכון החלפת סיסמאות. מעדכן את שאר ה DC בארגון תוך 5 דקות על החלפת סיסמאות.
· מונע כתיבת יתר של GPO. עדכון GPO מתבצעים עליו ואח"כ מופצים בדומיין.

RID - Rlative ID Master (אחד בדומיין)

לכל אובייקט בדומיין יש SID (security ID). התחלת כל SID דומה חוץ מארבעת הספרות האחרונות הנקראות RID.
ה RID master נותן לכל DC בלוק שונה של RID כך שה-SID אף פעם לא זהים. לכן אם בשני DC שונים ייווצרו בו זמנית שני משתמשים, יהיו להם SIDs שונים.
אם DC סיים את בלוק ה RIDs שהוקצה לו וה- RID master אינו פעיל, ה DC הזה לא יוכל להוסיף אובייקטים עד שה RID masterיפעל שוב.

Infrastructure Master (אחד בדומיין)

מאחר ו DCs מעדכנים אחד את השני בתוך הדומיין שלהם, דומיינים אחרים לא יודעים על שינויים שנעשו מחוץ להם.

אחראי על שיוך אובייקטים וקבוצות מדומיינים אחרים.
שינויים בין דומיינים מתעדכנים ב GC.
ה infrastructure master אחראי לוודא את השינויים ב GC. ה GC יתן ל master את כל ה GUID (Globally Unique IDentifier) של האובייקטים.

לדוגמא: משתמש בדומיין1 עבר לדומיין2 לכן ה SID שלו השתנה ל SID של הדומיין אליו הוא עבר. כעת המשתמש רוצה להשתמש במשאבים מדומיין3 אשר לא מודע לשינויים שקרו. לכן דומיין3 יפנה ל Infrastructure master ויבדוק את ההרשאות עבור אותו משתמש.
חזרה למעלה Go down
צפה בפרופיל המשתמש http://mcitp.co.nr
 
מבוא ל AD ועוד...
צפה בנושא הקודם צפה בנושא הבא חזרה למעלה 
עמוד 1 מתוך 1

Permissions in this forum:אתה לא יכול להגיב לנושאים בפורום זה
MCITP Forum :: פורום ומדריכים ניהול רשתות :: Windows Server 2008 and 2012-
קפוץ אל: