Поддержка Active Directory (AD)

Что такое Active Directory (AD)

Active Directory (AD) – это службы каталогов Microsoft® для ОС Windows Server. Сначала они были созданы для версии 2000 с целью облегчения работы системных администраторов. Службы AD поддерживают стандартные интернет-протоколы и помогают четко структурировать сеть. Основное назначение Active Directory – упростить задачи эксплуатации и управления объемных сетевых структур. Начиная с ОС Windows Server 2008 в продукт была включена возможность интеграции с другими службами авторизации. Это позволило делать общие настройки на всех подконтрольных компьютерах, в том числе через System Center Configuration Manager. На нынешнем этапе развития Active Directory ее структура может включать в себя от нескольких десятков до миллионов объектов. Следует помнить, что семейство ОС Windows Home не имеет полноценной поддержки AD, так как не предназначается для работы в корпоративных сетях.

Какие службы включает Active Directory

• Доменные, управляющие связью между доменом и пользователем, в том числе поиском и авторизацией.
• Сертификации, обеспечивающие создание сертификатов безопасности, их распределение и управление ими.
• Облегченного доступа к каталогам, использующие открытый протокол LDAP для упрощения работы с файловой системой приложений.
• Федерации, открывающие единую систему входа (SSO) с идентификацией пользователя в рамках одного сеанса.
• Управления правами, защищающие данные от несанкционированного использования и записи.

Основные понятия

• Сервер – компьютер, на котором содержатся все данные.
• Домен AD – группа устройств, которые объединены под уникальным именем и используют общую базу данных.
• Контроллер – сервер с функцией AD, обрабатывающий запросы пользователей домена.
• Хранилище данных – часть каталога, ответственная за хранение и получение информации/данных из любого контроллера домена.

Преимущества использования Active Directory

Единая точка аутентификации. Все учетные записи хранятся в общей базе данных, к которой при авторизации обращаются все ПК, включенные в сеть. Каждый пользователь домена включается в определенную группу. Последняя имеет свой уровень доступа к документам, приложениям, хранилищу данных и т. п. в зависимости от выполняемых ею обязанностей. Новый сотрудник, принятый на работу в компанию, получает учетную запись в соответствующей группе пользователей и тот же уровень доступа. При увольнении работника его исключают из списка и блокируют возможность доступа.

Единая точка управления. Каталог Active Directory позволяет распределить всех пользователей и ПК согласно имеющейся иерархии отделов и филиалов. К каждому из них применяются общие групповые политики. Они заключаются в одних и тех же настройках доступа и безопасности для каждого отдела. При добавлении нового ПК или пользователя его относят в одну из групп. При этом дополнительных настроек не требуется, они применяются автоматически. Групповые политики AD позволяют назначать сетевые принтеры, настраивать офисные приложения, устанавливать уровень безопасности браузера и т. п.

Высокий уровень защиты данных. Службы AD помогают значительно повысить безопасность хранения информации. Высокий уровень защищенности обеспечивается двумя направлениями: 

• единым хранилищем учетных записей, которые располагаются на выделенных серверах домена;
• использованием для аутентификации в доменной среде протокола Kerberos, более безопасного, чем NTLM в рабочих группах. 

Высокие возможности интеграции. Все службы Active Directory соответствуют стандарту LDAP – «легко расширяемому протоколу доступа к каталогам». Он позволяет осуществлять аутентификацию, поиск, сравнение, а также работу с учетными записями. LDAP поддерживается, например почтовыми и прокси-серверами, а также другими приложениями, не обязательно продуктами Microsoft®. К преимуществам такой интеграции относятся единые логин и пароль для всех приложений, с которыми работает пользователь. Это дает возможность подключаться и аутентифицироваться по корпоративным точкам доступа по Wi-Fi или внешнему VPN.

На что обратить внимание при внедрении AD

Службы Active Directory – это основа IT-структуры предприятия. Если она откажет, то и сеть, и работа сотрудников будут парализованы. Будет блокирован как вход в компьютер, так и доступ к документам и приложениям. Поэтому Active Directory должна быть тщательно спроектирована и развернута с учетом особенностей конкретной организации, например требуемой пропускной способности каналов между филиалами и отделами. Наилучший выход – обратиться для внедрения AD в специализированную компанию с большим опытом работы и хорошей репутацией на рынке IT-услуг.