CyberDoppi

Active Directory

Active Directory

Active Directory (AD) – bu Microsoft kompaniyasining katalog xizmati.
U Windows Server-da ishlaydi va administratorlarga ruxsatlarni boshqarish va tarmoq resurslariga kirish imkonini beradi.
Active Directory ma’lumotlarni ob’ektlar ko’rinishida saqlaydi. Ob’ekt – bu bitta element, masalan, foydalanuvchi, guruh, dastur yoki printer kabi qurilma.
Ob’ektlar odatda resurslar, masalan, printerlar yoki kompyuterlar yoki xavfsizlik sub’ektlari, masalan, foydalanuvchilar yoki guruhlar sifatida belgilanadi.
Active Directory katalog ob’ektlarini nom va atributlar bo’yicha tasniflaydi. Masalan, foydalanuvchi nomi ism satrini va foydalanuvchi bilan bog’liq ma’lumotlarni, masalan, parol va xavfsiz Shell kalitlarini o’z ichiga olishi mumkin.

Active Directory-dagi asosiy xizmat bu Domain Services (AD DS) hisoblanadi. U katalog ma’lumotlarini saqlaydi va foydalanuvchi bilan domen o’rtasidagi o’zaro ta’sirni boshqaradi. AD DS foydalanuvchi qurilmaga kirganda yoki tarmoq orqali serverga ulanishga urinishda kirishni tasdiqlaydi. AD DS qaysi foydalanuvchilarning qaysi resurslarga kirish huquqiga ega ekanligini, shuningdek, guruh siyosatlarini boshqaradi. Masalan, administrator odatda oxirgi foydalanuvchiga qaraganda ma’lumotlarga kirish darajasi farq qiladi.

Boshqa Microsoft va Windows operatsion tizim (OS) mahsulotlari, masalan, Exchange Server va SharePoint Server, resursga kirishni ta’minlash uchun AD DS-ga tayanadi. AD DS-ni joylashtiradigan server domen kontrolleridir.

Active Directory xizmatlari

Active Directory bir nechta turli xizmatlardan tashkil topgan. Asosiy xizmat Domain Services hisoblanadi, ammo Active Directory tarkibiga Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services yoki AD CS, Federation Services (AD FS) va Rights Management Services (AD RMS) ham kiradi. Ushbu boshqa xizmatlarning har biri mahsulotning katalogni boshqarish imkoniyatlarini kengaytiradi.

Lightweight Directory Services AD DS bilan bir xil kod bazasiga ega boʻlib, dastur interfeysi kabi oʻxshash funksiyalarni baham koʻradi. Biroq, AD LDS bitta serverda bir nechta nusxada ishlashi mumkin va katalog maʼlumotlarini Lightweight Directory Access Protocol yordamida maʼlumotlar omborida saqlaydi.

Lightweight Directory Access Protocol tarmoq orqali katalog xizmatlariga kirish va ularni saqlash uchun ishlatiladigan dastur protokolidir. LDAP foydalanuvchi nomlari va parollari kabi ob’ektlarni Active Directory kabi katalog xizmatlarida saqlaydi va ushbu ob’ekt ma’lumotlarini tarmoq bo’ylab baham ko’radi.

Certificate Services sertifikatlarni yaratadi, boshqaradi va baham ko’radi. Sertifikat foydalanuvchiga jamoat kaliti bilan internet orqali xavfsiz ma’lumot almashish imkonini beruvchi shifrlashdan foydalanadi.

Active Directory Federation Services bir nechta ilovalarga, hatto turli tarmoqlardagi ilovalarga foydalanuvchi Single-Sign-On (SSO) yordamida tasdiqlaydi. Nomidan ko’rinib turibdiki, SSO foydalanuvchidan har bir xizmat uchun bir nechta maxsus autentifikatsiya kalitlarini ishlatish o’rniga faqat bir marta kirishni talab qiladi.

Rights Management Services ma’lumot huquqlari va boshqaruvini nazorat qiladi. AD RMS elektron pochta yoki Microsoft Word hujjatlari kabi kontentni kirishni cheklash uchun serverda shifrlaydi.

Active Directory Domain Services-dagi asosiy xususiyatlar

Active Directory Domain Services tarmoq elementlarini muvofiqlashtirish uchun domenlar, daraxtlar va o’rmonlardan iborat darajali tartib tuzilmasidan foydalanadi.

Domenlar asosiy darajalarning eng kichigi, o’rmonlar esa eng kattasi hisoblanadi. Bir xil ma’lumotlar bazasini baham ko’radigan foydalanuvchilar va qurilmalar kabi turli xil ob’ektlar bir xil domen bo’ladi. Daraxt – bu bir yoki bir nechta domen bo’lib, ular ierarxik ishonch munosabatlari bilan birlashtirilgan. O’rmon bir nechta daraxtlarning guruhi hisoblanadi. O’rmonlar xavfsizlik chegaralarini ta’minlaydi, domenlar esa umumiy ma’lumotlar bazasini baham ko’radi va autentifikatsiya va shifrlash kabi sozlamalar uchun boshqarilishi mumkin.

Domen – bu bir xil AD ma’lumotlar bazasini baham ko’radigan foydalanuvchilar yoki qurilmalar kabi ob’ektlarning guruhi. Domenlarda domen nom tizimi mavjud. Daraxt bir yoki bir nechta domenning birlashmasidir. Daraxt tuzilmasi domenlar to’plamini mantiqiy ierarxiyada yig’ish uchun uzluksiz nom maydonidan foydalanadi. Daraxtlarni ikkita domen o’rtasida xavfsiz ulanish yoki tayansa bo’lgan ishonch munosabatlari sifatida ko’rish mumkin. Bir domen ikkinchi domenga ishonishi va ikkinchi domen uchinchi domenga ishonishi mumkin bo’lgan ko’p domenlar ishonchli bo’lishi mumkin. Ushbu sozlamaning ierarxik tabiati tufayli birinchi domen aniq ishonchga muhtoj bo’lmasdan uchinchi domenga ishonishi mumkin.

O’rmon bir nechta daraxtlarning guruhi hisoblanadi. O’rmon umumiy kataloglar, katalog sxemalari, dastur ma’lumotlari va domen konfiguratsiyalaridan iborat. Sxema o’rmondagi ob’ektning sinfini va atributlarini belgilaydi. Bundan tashqari, global katalog serverlari o’rmondagi barcha ob’ektlarning ro’yxatini taqdim etadi. Microsoftning ta’kidlashicha, o’rmon Active Directoryning xavfsizlik chegarasidir. Tashkiliy bo’linmalar (OU) foydalanuvchilarni, guruhlarni va qurilmalarni tashkil qiladi. Har bir domen o’z OU-siga ega bo’lishi mumkin. Biroq, OU-larda alohida nom maydonlari bo’lishi mumkin emas, chunki bir domen ichidagi har bir foydalanuvchi yoki ob’ekt noyob bo’lishi kerak. Masalan, bir xil foydalanuvchi nomi bilan foydalanuvchi hisob qaydnomasi yaratilmaydi. Konteynerlar OU-larga o’xshash, ammo Guruh Siyosati Ob’ektlari konteyner ob’ektlariga qo’llanilmaydi yoki ulanmaydi.

Active Directory domenlar o’rtasida kirish huquqlarini boshqarish uchun ishonchga tayanadi. Ishonchning bir necha turlari mavjud:

  • One-way trust: Bitta domen boshqasiga kirish huquqi beradi, lekin aksincha emas.
  • Two-way trust: Ikkala domen bir-biriga kirish huquqi beradi.
  • Trusted domain: Boshqa domenga (ishonuvchi domen) kirish huquqi beradi.
  • Transitive trust: Ishonchni o’rmon ichidagi bir nechta domenga kengaytiradi.
  • Intransitive trust: Ikkita domen bilan cheklangan, bir tomonlama.
  • Explicit trust: Administrator tomonidan yaratilgan bir tomonlama, o’tkazmaydigan ishonch.
  • Cross-link trust: Bir xil daraxtdagi yoki turli daraxtdagi domenlar o’rtasidagi aniq ishonch turi.
  • Forest trust: Butun o’rmon ichidagi domenlarga taalluqli bo’lishi mumkin, bir tomonlama, ikki tomonlama yoki o’tkazuvchi bo’lishi mumkin.
  • Shortcut trust: Alohida daraxtlardagi domenlarni birlashtiradi, bir tomonlama, ikki tomonlama yoki o’tkazuvchi bo’lishi mumkin.
  • Realm trust: O’tkazuvchi, o’tkazmaydigan, bir tomonlama yoki ikki tomonlama bo’lishi mumkin.
  • External trust: Turli o’rmonlar yoki AD bo’lmagan domenlar bo’ylab domenlarni bog’laydi, o’tkazmaydigan, bir tomonlama yoki ikki tomonlama bo’lishi mumkin.
  • PAM trust: Microsoft Identity Manager tomonidan ishlab chiqarish o’rmoni va bastion o’rmoni o’rtasida yaratilgan bir tomonlama ishonch.

Active Directory tarixi va rivojlanishi

Microsoft 1999 yilda Active Directory-ning oldindan ko’rish versiyasini taklif qildi va bir yil o’tgach Windows 2000 Server bilan chiqardi. Microsoft har bir keyingi Windows Server chiqarilishi bilan yangi xususiyatlarni ishlab chiqishni davom ettirdi.

Windows Server 2003 o’rmonlarni qo’shish va o’rmon ichidagi domenlarning pozitsiyasini tahrirlash va o’zgartirish imkoniyatini qo’shish uchun sezilarli yangilanishni o’z ichiga oldi. Windows Server 2000-dagi domenlar Server 2003-da ishlaydigan yangi AD yangilanishlaridan foydalana olmadi.

Windows Server 2008 AD FS-ni taqdim etdi. Bundan tashqari, Microsoft domenni boshqarish uchun katalogni AD DS deb qayta nomladi va AD uning qo’llab-quvvatlaydigan katalogga asoslangan xizmatlar uchun umumiy atamaga aylandi.

Windows Server 2016 AD DS-ni AD xavfsizligini yaxshilash va AD muhitlarini bulutga yoki hybrid bulut muhitlariga ko’chirish uchun yangiladi. Xavfsizlik yangilanishlari PAM qo’shilishini o’z ichiga oldi.

PAM ob’ektga kirishni, berilgan kirish turini va foydalanuvchi amalga oshirgan harakatlarni kuzatdi. PAM qo’shimcha xavfsiz va izolyatsiya qilingan o’rmon muhitini ta’minlash uchun bastion AD o’rmonlarini qo’shdi. Windows Server 2016 Windows Server 2003-dagi qurilmalar uchun qo’llab-quvvatlashni tugatdi.

2016 yil dekabr oyida Microsoft Azure AD Connect-ni mahalliy Active Directory tizimini Azure Active Directory (Azure AD) bilan birlashtirish uchun chiqardi va bu Microsoftning Office 365 kabi bulut xizmatlari uchun SSO-ni yoqishga imkon berdi. Azure AD Connect Windows Server 2008, Windows Server 2012, Windows Server 2016 va Windows Server 2019 ishlaydigan tizimlar bilan ishlaydi.

Domenlar va ish guruhlari

Ishchi guruh Microsoftning tengma-teng tarmoq orqali ulangan Windows kompyuterlari uchun atamasi. Ishchi guruhlar tarmoqlardagi Windows kompyuterlari uchun tashkilotning yana bir bo’lagi hisoblanadi. Ishchi guruhlar ushbu mashinalarga tarmoq orqali fayllar, Internetga kirish, printerlar va boshqa resurslarni baham ko’rish imkonini beradi. Tengma-teng tarmoqlash autentifikatsiya uchun serverga bo’lgan ehtiyojni yo’q qiladi. Domenlar va ish guruhlari o’rtasida bir qancha farqlar mavjud:

Domenlar, ishchi guruhlardan farqli o’laroq, turli mahalliy tarmoqlardagi kompyuterlarni joylashtirishi mumkin. Domenlar ishchi guruhlarga qaraganda ko’proq kompyuterlarni joylashtirish uchun ishlatilishi mumkin. Domenlar minglab kompyuterlarni o’z ichiga olishi mumkin, ishchi guruhlardan farqli o’laroq, odatda 20 ga yaqin yuqori chegaraga ega. Domenlarda kamida bitta server kompyuter bo’lib, u domen ichidagi har bir kompyuter uchun ruxsatlar va xavfsizlik xususiyatlarini boshqarish uchun ishlatiladi. Ishchi guruhlarda server yo’q va kompyuterlarning barchasi tengdoshdir. Domen foydalanuvchilari odatda ishchi guruhlardan farqli o’laroq, kirish va parol kabi xavfsizlik identifikatorlarini talab qiladi.

Active Directory-ning asosiy raqobatchilari

Bozorda AD bilan o’xshash funksiyalarni taqdim etadigan boshqa katalog xizmatlari Red Hat Directory Server, Apache Directory va OpenLDAPni o’z ichiga oladi.

Red Hat Directory Server Unix muhitidagi ko’p tizimlarga foydalanuvchi kirishini boshqaradi. ADga o’xshash tarzda, Red Hat Directory Server katalogdagi ma’lumotlarga kirishni cheklash uchun foydalanuvchi identifikatori va sertifikatga asoslangan autentifikatsiyani o’z ichiga oladi.

Apache Directory Java-da ishlaydigan va Windows, macOS va Linux tizimlaridagi tizimlarni o’z ichiga olgan har qanday LDAP serverida ishlaydigan ochiq manba loyihasidir. Apache Directory sxema brauzeri va LDAP muharriri va brauzerini o’z ichiga oladi. Apache Directory Eclipse plaginlarini qo’llab-quvvatlaydi.

OpenLDAP Windows-ga asoslangan ochiq manba LDAP katalogidir. OpenLDAP foydalanuvchilarga LDAP serveridagi ob’ektlarni ko’rib chiqish, qidirish va tahrirlash imkonini beradi. OpenLDAP xususiyatlari katalogdagi daraxtlarni nusxalash, ko’chirish va o’chirish, shuningdek, sxema ko’rish, parol boshqarish va LDAP SSL (Secure Sockets Layer) qo’llab-quvvatlashni yoqishni o’z ichiga oladi.

Categories:

Tags:

,

You May Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *

Search

Olivia

Carter

is a writer covering health, tech, lifestyle, and economic trends. She loves crafting engaging stories that inform and inspire readers.

Popular Posts

Explore Topics