რა არის AD და რატომ არის ის ჩვენთვის მნიშვნელოვანი?
2000 წელს გამოსვლიდან AD გახდა ნებისმიერი კორპორატიული Windows ქსელის უმნიშვნელოვანესი ნაწილი. ამავე დროს მას აქვს Linux და macOS სისტემების გარკვეული (შეზღუდული მოცულობის) მხარდაჭერა. Microsoft-ის მრავალი on-premise და Azure ღრუბლოვანი სერვისი აგებულია AD ინფრასტრუქტურის ბაზაზე.
Microsoft Active Directory (AD) არის დირექტორია სერვისი, რომელიც გთავაზობს მომხმარებელთა ცენტრალიზებულ ავთენტიფიკაციას და ავტორიზაციას (წვდომის კონტროლს). მიუხედავად იმისა, რომ უმეტესად აქცენტი კეთდება უსაფრთხოების პროცედურებზე: ავთენტიფიკაციასა და ავტორიზაციაზე, ჩვენ პირველ რიგში ყურადღებას მაინც AD-ის ცენტრალიზაციის იდეაზე გავამხვილებთ.
ცენტრალიზაცია Active Directory-ის კრიტიკული კონცეფციაა. AD საშუალებას აძლევს ადმინისტრატორებს ცენტრალიზებულად მართონ მომხმარებლის ანგარიშები, ჯგუფები, კომპიუტერები და სხვა რესურსები. ეს მიდგომა მნიშვნელოვნად ამარტივებს ადმინისტრატორების მუშაობას. ისეთი მოქმედებები, როგორიცაა მომხმარებლის პაროლის განულება, სახელის შეცვლა ან ცვლილებები წვდომის უფლებებში სრულდება ცენტრალიზებულად ერთ ბაზაში მუშაობით.
მომხმარებლებს კი სხვადასხხვა რესურსზე წვდომისთვის მხოლოდ ერთი იუზერის და ერთი პაროლის დამახსოვრება უწევთ (single sign-on). ასეთი იდენტიფიკაცია მოქმედებს როგორც მათი რწმუნებათა სიგელები იმ რესურსებისთვის, რომელსაც AD მართავს. Azure AD-ის ინტეგრაციით (ახლახანს ეწოდა Entra) ასეთი რესურსები უკვე ღრუბლოვან სერვისებსაც მოიცავს.
იუზერის და პაროლის გამოყენება გულისხმობს ავთენტიფიკაციის და ავტორიზაციის პროცესს:
- ავთენტიფიკაცია: თქვენი ვინაობის დადასტურება ქსელში
- ავტორიზაცია: ამ იდენტურობის გამოყენება რესურსებზე წვდომის მოსაპოვებლად (ან წვდომაზე უარის მიღება).
Active Directory-ის ძირითადი ადმინისტრაციული ერთეული არის დომენი. AD დომენი გარკვეულწილად გავს შემოსაზღვრულ ტერიტორიას:
- ადმინისტრაციული საზღვრები: დომენები საშუალებას აძლევს AD გარემოს დაყოფას სხვადასხვა ადმინისტრატორების პასუხისმგებლობის სფეროებად.
- უსაფრთხოების საზღვრები: უსაფრთხოების პოლიტიკა, როგორიცაა პაროლის მოთხოვნები, არ გადის “საზღვრებს” გარეთ.
როგორ მუშაობს Active Directory?
თავისი არსით, Active Directory არის მონაცემთა ბაზა. ის შედგება გარკვეული ატრიბუტების მქონე ობიექტებისაგან (მაგალითად ადმინისტრატორების მიერ შექმნილ მომხმარებლის და კომპიუტერის ანგარიშებისგან).
შესვლის პროცესში, თქვენი მომხმარებლის სახელი და პაროლი დარდება AD-ს ბაზასთან. თუ მონაცემები ემთხვევა, თქვენ იღებთ წვდომას შესაბამის რესურსებზე, თუ არა, შესვლა ვერ მოხერხდება.
კორპორატიულ გარემოში თქვენ სამუშაოWindows კომპიუტერს ასევე აქვს ანგარიში. მოწმდება არა მხოლოდ თქვენი, როგორც მომხმარებლის ვინაობა, არამედ Active Directory ასევე ამოწმებს კომპიუტერის იდენტურობას. ავტორიზაციის პროცესის დროს, თქვენი კომპიუტერი იყენებს DNS-ს უახლოეს დომენის კონტროლერის (DC) მოსაძებნად.
ჩვეულებრივ, Active Directory-ზე საუბრობენ, როგორც რაიმე ერთ ობიექტზე, მაგრამ თითქმის ყოველთვის არის მონაცემთა ბაზის მინიმუმ ორი ასლი. დომენის კონტროლერები მოიცავენ AD მონაცემთა ბაზის ასლს და მოქმედებენ როგორც ავთენტიფიკაციის სერვერები. ყველა დომენს უნდა ჰქონდეს მინიმუმ ორი დომეინ კონტროლერი შეცდომების გადასაზღვევად, მაგრამ მსხვილ კომპანიებს როგორც წესი ორზე მეტი კონტროლერი აქვს. მაგალითად, თქვენ ხშირად ნახავთ მინიმუმ ერთ DC-ს თითოეულ ფილიალში.
როდესაც მომხმარებელი ცვლის პაროლს ან ადმინისტრატორი ქმნის/შლის მომხმარებლის ანგარიშს, ცვლილება ხდება ერთ DC-ზე – როგორც წესი, იმაზე რომელიც ყველაზე ახლოსაა მომხმარებელთან ან ადმინისტრატორთან. შეცვლილი ატრიბუტი (როგორიცაა პაროლი) შემდეგ კოპირდება ყველა სხვა დომენის კონტროლერზე. ძალიან მოკლე დროში, ყველა DC-ს აქვს შეცვლილი ობიექტის განახლებული ასლი. რეპლიკაციის ეს მექანიზმი ეხმარება მონაცემთა ბაზების სინქრონიზაციას მთელ დომენში.
Active Directory-ს კომპონენტები
Domain, tree, forest, OU
Active Directory შედგება მრავალი კომპონენტისგან. პირველ კომპონენტად როგორც წესი დომენი მოიაზრება. როგორც ზემოთ აღინიშნა, დომენები არის საზღვრები ადმინისტრაციული, უსაფრთხოების და რეპლიკაციის კონტროლისთვის. AD-სთან დაკავშირებული საკითხები ან უფრო დიდია ვიდრე დომენი (tree და forest) ან უფრო მცირე ვიდრე დომენი (ორგანიზაციული ერთეული OU).
ორგანიზაციული ერთეულები (OU) არის მომხმარებელთა, კომპიუტერებისა და ჯგუფების ნაკრები, რომელიც იძლევა ადმინისტრაციული კონტროლისა და ჯგუფური პოლიტიკის პარამეტრების გამოყენების საშუალებას. მაგალითად კონკრეტულ OU-ებზე უფროს ადმინისტრატორებს შეუძლიათ უმცროსი ადმინისტრატორებისთვის ამოცანების დელეგირება.
მომხმარებლის და კომპიუტერის ანგარიშები არის AD ობიექტები, რომლებიც წარმოადგენენ იუზერებს და მათ მოწყობილობებს. ეს ობიექტები საშუალებას აძლევენ ადმინისტრატორებს დაადგინონ და გააკონტროლონ ის პარამეტრები, რომლებიც გამოიყენება სისტემაში შესული მომხმარებლებისა და სისტემებისთვის. ასეთი კონტროლი შეიძლება გულისხმობდეს პაროლის სირთულის მოთხოვნებს, წვდომის შეზღუდვის საათებს და ა.შ. დომენში გაწევრიანებულ კომპიუტერებზე ამბობენ, რომ ისინი “დომენის წევრები” არიან. გაწევრიანების პროცესს ჩვენთან ხშირად დაჯოინებას ეძახიან, Join a domain-დან გამომდინარე.
უფრო ადვილი კონტროლისთვის ადმინისტრატორები აერთიანებენ მომხმარებლის და კომპიუტერებს ჯგუფებად.
AD მოიცავს სამი ტიპის ჯგუფს:
- Domain local groups
- Global groups
- Universal groups
რამოდენიმე “მონათესავე” დომენი ქმნის ხეს (tree). AD ხე უფრო დიდი ადმინისტრაციული ერთეულია, რომელიც იზიარებს დასახელების ზოგიერთ თვისებას, მაგრამ რეპლიკაციის ტრაფიკი და უსაფრთხოების კონტროლი ფარგლებშია მოქცეული. უფრო დიდმა საწარმოებმა შეიძლება გააერთიანონ რამდენიმე ხე ტყეში (forest).
Group Policy
Group Policy არის ჩაშენებული კონფიგურაციის ინსტრუმენტი. ადმინისტრატორებს აქვთ წვდომა ათასობით უსაფრთხოების, კონფიგურაციის, პროგრამული უზრუნველყოფისა და სხვა პარამეტრებთან რათა მომხმარებლები და კომპიუტერები მოაწყონ ისე როგორც ეს კონკრეტულ ბიზნესს ჭირდება. ამავე ინსტრუმენტებით ხდება შეზღუდვების დაწესება და უსაფრთხოების უზრუნველყოფა. შერჩეული პარამეტრები თავს იყრის ჯგუფის პოლიტიკის ობიექტებში (GPO), რომლებიც მერე “მაგრდება” ორგანიზაციულ ერთეულებზე ან მთლიან დომენზე. ადმინისტრატორებს შეუძლიათ დააყენონ სპეციფიკური კონფიგურაციები GPO-ის გამოყენებით OU-ზე. მაგალითად გაყიდვების პროგრამული უზრუნველყოფის დასაყენებლად SalesOU-ში ან საინჟინრო პროგრამული უზრუნველყოფის EngineeringOU-ში. GPO-ს შეიძლება მთელ დომენზეც გავრცხელდეს, ყველა მომხმარებელზე და კომპიუტერზე. მაგალითად firewall-ის კონფიგურაცია ან სტანდარტიზებული დესკტოპის wallpaper მთელი ორგანიზაციისთვის.
Leave A Comment