Главная Windows, Новое Active Directory – трудности перевода. Часть 1.
  • Active Directory – трудности перевода. Часть 1.

    hls_active_directory

    Прежде чем работать и детально изучать какую-то технологию мне необходимо понимать ее суть, выучить и опять же понять все основные термины, а самое главное разложить в голове по полочкам концепцию. Сегодня я предлагаю рассмотреть идеологию такой технологии как Active Directory, а как показывает опыт даже системные администраторы, имеющие за плечами годы администрирования AD зачастую «тонут» в терминах, встречающихся в документации. Посудите сами «Лес Active Directory, Дерево Active Directory , Схема Active Directory, Сайт Active Directory и.т.д» даже здоровая голова с непривычки закипит. На самом деле все очень просто, сейчас вы сами в этом убедитесь.

    Исторически сложилось так, что у вас существует два способа объединения компьютеров в сеть, первый называется «Рабочая Группа», второй «Домен Active Directory». Эти термины описывают логическое объединение ваших компьютеров сеть. Т.е раскиданы компьютеры могут быть по десяти городам или более, это физическая структура вашей сети, но логически они будут объединены в один домен Active Directory или в одну рабочую группу (что тоже встречается).

    Для начала рассмотрим принцип рабочей группы.

    Такую сеть часто называют «одноранговой». Почему? Вспоминаем документ «Табель о Рангах», который описывал соотношение чинов по старшинству и приходим к выводу, что в рабочей группе все наши компьютеры равны. И не важно работает компьютер под управлением Windows Server 2003 или Windows XP. Это первая особенность рабочей группы.

    Чтобы вывести вторую особенность ответьте на вопрос, зачем мы объединяем компьютеры в сеть? Возьму смелость на себя и предположу, что основная цель это предоставления доступа к ресурсам. Ресурсам, расположенным на одном участнике сети для других. Какие это ресурсы дело пятое, корпоративное приложения или сервер Counter Strike. Сразу еще один вопрос «Что главное при открытии доступа к ресурсах? (особенно в корпоративной среде)». Ответ лежит на поверхности – главное это безопасность. Вы явно не хотите, чтобы ваш домашний фотоальбом стал доступен всему дому, подключенному через беспроводную сеть, но в тоже время ваш друг, сосед с пятого этажа должен увидеть фотографии со вчерашней вечеринки. Как же быть?

    Необходимо аутентифицировать и авторизовывать подключающихся к вашему компьютеру клиентов сети. Чтобы вы четко понимали термины «аутентификация» и «авторизация» приведу простой пример, позаимствованный у сотрудника Microsoft.

    Вы идете по улицам столицы и вас останавливает сотрудник ППС. Естественно просит ваши документы. Вы достаете свой паспорт и отдаете сотруднику Милиции. Он открывает паспорт и видит, что вы гражданин РФ и фотография в паспорте на вас чем то похожа. Это говорит о том, что аутентификацию вы проходите. После чего сотрудник милиции открывает страницу паспорта с пропиской, видит, что прописка в Магаданской области и сообщает вам, что авторизацию вы провалили.

    Если серьезно, то аутентификация это проверка того что в сети существует учетная запись пользователя, который хочет получить доступ к ресурсам, а авторизация это проверка даны ли ему эти права.

    Вернемся к вашему домашнему компьютеру с архивом фотографий. На основе чего он, находящийся в рабочей группе должен аутентифицировать вашего соседа?  На основе собственной базы учетных записей созданной на компьютере. В разных версиях Windows она называется по-разному PWD-файлы, SAM-ульи.

    Суть в другом, для того чтобы сосед получил доступ вы должны либо:

    – Создать учетную запись для соседа на своем компьютере, дать ей доступ и сообщить соседу имя записи и пароль. Но если нужно открыть доступ 10 соседям неужели создавать учетки для всех? Можно пойти другими путями.

    – Работать с соседом (или соседями) с одинаковыми учетными записями, т.е у все User с паролем «123». Сами понимаете вариант не безопасный и глупый.

    – Или открыть доступ к ресурсам группе «Все», что полностью перечеркивает безопасность и не дает вам возможности выбирать, кто должен получить доступ, а кто нет.

    А если еще при этом соседи должны заходить на компьютер друг к другу, то вам придется создать на каждом компьютере учетную запись для каждого соседа. И при этом следить, чтобы пароли совпадали. Если Василий Петрович решит сменить у себя на компьютере пароль для учетной записи придется обходить оставшиеся девять и сбрасывать пароль на новый. Итак, вторая особенность рабочей группы: компьютер участник аутентифицирует подключающихся пользователей к его ресурсам на основе локальной базы с учетными записями. И у каждого участника группы она своя.

    workgroup

     

    Рис. 1 Классическая схема рабочей группы, где каждый компьютер содержит учетные записи для всех пользователей сети.

    Представьте теперь себе корпоративную сеть хотя бы из 50 компьютеров и сразу становится понятно, что рабочая группа имеет место быть либо в крошечных «домашних» сетях состоящих из 5-8 компьютеров либо у системных администраторов фанатично изображающих преданность делу путем ежедневной беготни по местам пользователей.

    Организация сети на основе домена Active Directory.

    При переходе на доменную сеть схема несколько меняется. В нашей сети появляется еще один игрок – контроллер домена Active Directory. Это сервер под управлением одной из серверных операционных систем начиная от Windows 2000 и заканчивая Windows 2008R2 за исключен Web-редакций. Для чего же он нужен? При аутентификация в домене использует протокол Kerberos, который по приданию “древних Скифов” был  назван в честь Цербера, трехголового  огнедышащего пса, охраняющим ворота Царства Аида.

    Три головы протокола аутентификации Kerberos это:

    – Клиент – компьютер/пользователь, который хочет обратиться к какому-то ресурсу.

    – Сервер – компьютер, предоставляющий доступ  к какому-то ресурсу.

    – Доверенный посредник между клиентом и сервером, который ручается за подлинность клиента.

    Как  раз этим доверенным посредником и является контроллер домена. Он хранит все учетные записи для пользователей и компьютеров входящих в его домен. Если в рабочей группе вы для аутентификации создавали учетные записи для каждого пользователя, то в домене Active Directory вместе с пользовательскими учетками создаются учетные записи для компьютеров. Это обязательно. Если на одном компьютере будет работать 3 человека, следовательно вы создадите три учетных записи пользователя и одну учетную запись компьютера. В отличии от рабочей группы создаются учетные записи на контроллере домена, там же и хранятся. Соответственно каждая учетная запись создается только один раз. Сердцем  контроллера домена является файл ntds.dit, который как раз и содержит учетные записи для вашего домена (и не только записи).

    domainРис. 2 Схема Домена Active Directory

    Теперь при загрузке компьютера человек вводит ту учетную запись и пароль которые были прописаны на контроллере домена. Эти данные пересылаются на контроллер домена и сравниваются с тем что было задано администратором сети  при создании учетной записи. Если имя и пароль были введены правильно, вас пускает на компьютер и ваша учетная запись получает, что то вроде паспорта, который дает вам право находиться в сети, но не гарантирует получения доступа к ресурсам, т.к вы прошли только первый этап аутентификацию. В дальнейшем, когда вы захотите обратиться к ресурсам файлового сервера, вы снова обратитесь к контроллеру домена и предоставите ему свой “паспорт”, контроллер, убедившись, что вы аутентифицированы, выдаст вам вам “визу” с помощью которой вы сможете установить соединение с файловым сервером. Причем  данная “виза” (более правильно Билет сеанса) даст вам право подключиться только к данному серверу и только в течении определенного времени. (Визы увы не вечны :)). Это и есть процесс авторизации.

    Внимательно прочитав это абзац, можно сделать вывод, что для нормальной работы в сети ваш контроллер домена должен быть постоянно доступен и быть готов отвечать на запросы клиентов 24 часа в сутки. И если вдруг контроллер закашляется и потухнет, то ваши клиенты не смогут аутентифицироваться и войти в домен, что повлечет за собой невозможность подключиться к ресурсам вашего домена.

    А что же стало с локальными учетными записями, которые были созданы до ввода наших компьютеров в домен? Ничего, они по-прежнему существуют и каждый раз при загрузке компьютера у пользователя есть выбор – входить с локальной учетной записью или с доменной. Если будет выбрана локальная, то никакого обращения к контроллеру домена не будет и вход будет осуществлен на основе локальной базы с учетными записями. Естественно при таком варианте вы сможете подключиться только к тем ресурсам, которые расположены на вашем компьютере, все доменные ресурсы вам будут недоступны. После ввода в домен локальные учетные записи могут использоваться во время отключения компьютера от доменной сети либо при решении проблем с компьютером, когда зайти под доменной учетной записью просто не получается (пример: не настроена сетевая карта).

    Cc875844_win2k307(en-us,TechNet_10)

    Рис. 3 Выбор на Windows Server 2003. Вход либо под доменной учетной записью в домене CONTOSO, либо под локальной записью компьютера WS03SERVER.

    На этом первая (наверно из 5, хотя пока точно не знаю) часть закончена. Продолжение следует. PDF будет после написания всей серии. Следует учитывать, что вышеописанное очень сильно упрощено и рассчитано именно на понимание концепции. Для тех кто хочет четко понимать, что происходит после того как вы нажали “CTRL+ALT+DEL” настоятельно рекомендую прочитать статью “Протокол сетевой аутентификации Kerberos 5”. Если будут по ней вопросы, я могу ответить в комментариях к данной записи.

    MCT Илья Рудь.

    • Рубрика: Windows,Новое
    • Автор: Илья Рудь
    • Дата: Tuesday 23 Jun 2009

Комментарии

  1. Можно ещё написать что билет действителен в течении 9 часов, и что без DNS вся прелесть работы с контроллером домена = 0 -)

    “заканчивая Windows 2008R2 за исключен” – окончание пропустили.

    А ссылки лучше всего давать на первоисточник так http://technet.microsoft.com/ru-ru/library/cc783708(WS.10).aspx или так http://social.technet.microsoft.com/Search/ru-RU/?Refinement=85&Query=kerberos

    Всё сказанное конечно же имхо -)

  2. Спасибо. Окончание подправлю. До DNS еще дойдем не все сразу. По поводу течнета, я обычно туда посылаю людей, если хочу их запутать))) Там тяжелый язык, сам иногда от чтения течнета закипаю.

  3. Спасибо, всё очень подробно! жду продолжения!

  4. Хорошая статья, все доступно и просто, понравилось описание аутентификации. Прописка в магаданской области самое то 🙂
    Ждем второй части.

  5. Блестяще. Отлично подан материал.

  6. “Исторически сложилось так, что у вас существует два способа объединения компьютеров в сеть, первый называется «Рабочая Группа», второй «Домен Active Directory».”
    Илья, на мой взгляд конец предложения немного не корректен =). Технологии аналогичные Active Directory предлагают несколько производителей, и все имеют право на существование =)

  7. Станислав, как вы могли заметить, сайт itband.ru пишется специалистами по продукции компании Microsoft для тех кто эти технологии использует. А у MS домен именно на базе службы каталогов Active Directory. Вы предлагаете добавить строчку типа “для тех у кого много времени и нет денег можно использовать простите за громкое слово “домен” на SAMBA, те же кто хотят смеяться каждый раз приходя на работу пусть сразу купят чудо систему мандрива директори сервер. Ну и наконец истинные мажоры должны юзать eDirectory, что бы со всей смелостью на тусовках говорить – “такой только у меня и у CNN”” ??????

  8. Серия статьей -класс!!
    Очень нехватает кнопочки – версия для печати.
    Или это тоже запрещено сертифицированным тренерам? 🙂

  9. Нет. Если вам нужно, я могу все три части объединить в PDF.

  10. Эта серия статей была для меня находкой.
    Вам удалось сделать рассказ действительно интересным.
    Я давно кручусь вокруг AD но книги купленные не сильно вдохновляли на
    это. Ваши статьи показали, что это легче чем кажется…
    Кнопка – версия для печати, лучше чем PDF.

  11. Ilya, spasibo za article, o4en’ poznavatel’nyi! Recommended!

  12. Искал ответ на вопрос: почему при смене домена на рабочую группу после перезагрузки невозможно зайти в систему – требуется пароль (а паролей никаких не было), а попал на эту “лобуду” – общее описание и ничего конкретно.

  13. Потому что он начал требовать пароль от локальной учетной записи, которой вы до этого не пользовались. Скачайте загрузочный диск для сброса пароля и решите эту проблему.

  14. тут говориться о том что актив директори это некая встроенная опция в серверную ос , следовательно в XP SP 3 ее нету ? но как же так (я пока только с XP работаю по принципу вся сеть всем и там есть именно группы, а вот домен там есть ? или я на него не обращал внимания и его нету)?

    вопрос можно ли пропатчить XP таким образом чтобы эти опции включая AD появилось и в экспи .. теоретически считалось что УРМ (удаленное рабочее место) недоступно в XP и необходимо ставить как минимум приобретать 2000 виндоус после покупать лицензию на ное подключаемое количество пк, а в ХР при подключение пользователь хозяин к которому подключается всего 1 дистанционный пользователь, блокируется на момент работы гостя, после пропатчивания хозяин может работать а гость паралельно работает причем гостей ное количество лишь бы сеть тянула .. очень удобно например когда надо поработать с базой данных хранящихся на 1пк а изночально ключ был куплен к проге только дляодного пользователя, появляються несколько помощников на других пк то они вот так автаризуються и одновременно все не мешая др др.а работают…. это был неофициальный патч. дающий ХР некоторые функции серверной ОС.. спрашиваеться зачем это надо да для того чтобы не переучивать пользователя к другой ос, немучаться с настройкой другой ос при установки (переустановки) ПО и дров, и не менее главное покупка нового уиндоуса и лицензий на право пользования.

    вот интересно есть ли патч для ХР наделяющий данными свойствами AD или альтернативный софт которому без разницы что часть пользователей работают на XP 200x Vista 7 .. сеть вообще капризна когда с разных Ос пытаются войти

    буду благодарен за коментарий

  15. >>>следовательно в XP SP 3 ее нету ?

    Нет ни в XP SP 3, ни в Windows 7. Есть поддержка клиентская, а не серверная часть.

    Дальше не осилил 🙁