Active Directory

En organisations nätverk konfigurerat som domän behöver en katalogtjänst som hjälper att hantera organisationens affärsutmaningar. I en Microsoft domänmiljö är Active Directory den centrala komponenten. En komponent som är en katalogtjänst i form av en databas i vilken finns många objekt som behöver hanteras. Active Directory tillhandahåller varierande administrationsverktyg för att identifiera och lokalisera objekt, för att justerat objektglas funktioner och egenskaper.

Bild 1: AD är en central databas

AD kan användas till att förenkla åtkomst till domänens resurser grundad i rollbaserad accesskontroll. Grundtanken i accesskontrollen är att nya medlemmar/resurser görs till medlemmar i fördefinierade roller. Dessa roller kan styras med hjälp av automatiserade tillämpningar av regler eller principer. Detta kan i slutändan innebära t.ex. för en ny användare att den blir medlem i en organisationsroll som ger åtkomst till användarens arbetsområde, datorinställningar, installation av applikationer, skrivare samt säkerhetsinställningar.

Bild 2: AD mål

Det primära målet med Active Directory är:

  • Möjliggöra administration av en organisation
  • Förse användare inloggning och verifiering av inloggningsuppgifter
  • Förse användare åtkomst till alla gemensamma resurser

 Active Directory databasstruktur

Active Directory databasen och dess komponenter definieras i X.500 standard. Databasens namn är NTDS.DIT och den är flerpartitionerad. Här nedan illustreras AD databasens struktur:

Bild 3: AD struktur

Active Directory databasen lagras i en domänkontrollant på c:\Windows\NTDS\ med namnet ntds.dit. Ikonen som ser ut som mappar eller kataloger heter i Active Directory ”behållare” eller container på engelska. I olika behållare lagras objekt exempelvis i behållaren Users lagras alla användarkonto och i Domain Controllers alla domänkontrollanters datorkonto. Just behållare Domain Controllers skiljer sig från de andra behållare eftersom den är egentligen en organisationsenhet som skapades under AD-installationen.

 LDAP protokoll

Alla objekt i en domän måste autentiseras vilket innebär att objektens identifikationen bekräftas i kontroller som använder information lagrade i Active Directory databasen. Domänkontrollanter och domänklienter kan kommunicera med varandra via specifika protokoll som LDAP eller Lightweight Directory Access Protocol.

LDAP protokollet baseras på standarden X.500 och OSI-modellen som referens. LDAP används för att utföra snabba och effektiva sökningar på katalogservrar.

Bild 4: LDAP protokoll

På bilden ovan illustreras ett exempel:

  • användaren Erik Svensson har ett användarkonto som i LDAP språk är ”CN=Erik Svenson,OU=Design,DC=Digiskola,DC=local”
  • Ett sådant namn kallas för Distinguished Name eller helt enkelt ett fullständigt namn.
  • Klientdatorer kommunicerar med domänkontrollanter med hjälp av LDAP protokollet.
  • Domänkontrollanter använder LDAP protokoll för att få åtkomst till NTDS.DITT databasen.
  • Vid inloggningsprocessen används LDAP och andra protokoll som tillsammans säkerställer användarens identitet och därmed användarens behörigheter.