Active Directory

Az Active Directory biztosítja a szükséges eszközöket a szervezet hálózatát alkotó identitások és kapcsolatok kezeléséhez. Az Active Directory következő generációja a Windows Server 2008 rendszerrel integrált, így a telepítés után azonnal rendelkezésre állnak a rendszer, a felhasználók és az alkalmazások beállításainak központi konfigurálásához és kezeléséhez szükséges funkciók. Az Active Directory használatával egyszerűbbé tehető a felhasználók és a számítógépek kezelése, megvalósítható a hálózati erőforrások egyszeri bejelentkezés útján történő elérése, valamint fokozható a tárolt információk és a kommunikáció védelme és biztonsága.

Az Active Directory már a Windows Server 2003 R2 kiadásban is megbízható címtárszolgáltatásnak bizonyult. A Windows Server 2008 az Active Directory korábbi sikerére építve számos új és továbbfejlesztett szolgáltatást nyújt:

Active Directory tartományi szolgáltatások

Az Active Directory tartományi szolgáltatások (AD DS), korábbi nevén Active Directory címtárszolgáltatások (Active Directory - Directory Services) a konfigurációs adatok, a hitelesítési kérelmek, illetve az erdőn belül tárolt összes objektumra vonatkozó információk központi helyét jelentik. Az Active Directory használatával egyetlen biztonságos, központi helyről, hatékonyan kezelheti a felhasználókat, a számítógépeket, a csoportokat, a nyomtatókat, az alkalmazásokat és más, a címtárral együttműködő objektumokat. A Windows Server 2008 verzióban az AD DS szolgáltatás fejlesztései többek között a következők:

  • Naplózás (Auditing). Az Active Directory objektumain végrehajtott változtatásokat rögzíteni lehet, így tudni lehet, hogy az objektumon milyen változás történt, továbbá a megváltozott attribútumok előző és aktuális értéke is ismert.
  • Strukturált jelszavak (Fine-Grained Passwords). A tartományon belül a különböző csoportokra vonatkozóan immár külön jelszóházirendek konfigurálhatók, így nem kell többé a tartomány minden egyes fiókja esetén ugyanazt a jelszóházirendet használni.
  • Írásvédett tartományvezérlő (Read-Only Domain Controller). Az Active Directory adatbázisának írásvédett változatát tartalmazó tartományvezérlő üzembe helyezhető olyan környezetekben, ahol a tartományvezérlő biztonsága nem garantálható; például fiókirodákban, ahol a tartományvezérlő fizikai védettsége nem biztosított, vagy olyan tartományvezérlők esetében, amelyeken további szerepkörök is futnak, s ezért más felhasználóknak is be kell jelentkezniük a kiszolgáló karbantartása céljából. Az írásvédett tartományvezérlők (RODC) alkalmazásával a fiókirodában végrehajtott módosítások nem károsíthatják vagy tehetik tönkre az Active Directory-erdőt a replikáción keresztül. Az írásvédett tartományvezérlők alkalmazása esetén nincs szükség többé előkészítő helyre a fiókirodák tartományvezérlőinek üzembe helyezésekor, sem arra, hogy a fiókirodába telepítési adathordozókat és tartományi rendszergazdát kelljen kiküldeni.
  • Újraindítható Active Directory tartományi szolgáltatások. Az Active Directory tartományi szolgáltatások karbantartás céljából leállíthatók. A legtöbb karbantartási funkcióhoz nem szükséges a tartományvezérlőt újraindítani a címtárszolgáltatások helyreállító üzemmódjában. A tartományvezérlő egyéb szolgáltatásai tovább működhetnek, mialatt a címtárszolgáltatás offline állapotban van.
  • Adatbázis-csatlakoztatási eszköz. Az eszköz segítségével az Active Directory-adatbázis egy pillanatfelvétele csatlakoztatható, így a tartománygazda szükség esetén a pillanatfelvétel objektumainak megtekintésével meghatározhatja a visszaállításra vonatkozó követelményeket.

Active Directory Lightweight Directory-szolgáltatások

Az Active Directory Lightweight Directory-szolgáltatások (AD LDS) – korábbi nevén Active Directory Application Mode – használatával a címtárhasználatra felkészített alkalmazások számára nyújtható címtárszolgáltatás. A címtárral működő alkalmazások adatainak tárolásához nem kell a szervezet AD DS-adatbázisát használni, ehelyett az AD LDS segítségével tárolhatók az adatok. Az AD LDS használható az AD DS szolgáltatással együttesen, így egy központi helyen találhatók meg a biztonsági fiókok (AD DS), és egy másik hely szolgálja ki az alkalmazáskonfigurációs és a címtári adatokat (AD LDS). Az AD LDS használatával csökkenthető az Active Directory replikálásához kapcsolódó járulékos feladatok mennyisége, és nem szükséges az Active Directory-séma kiterjesztése az alkalmazás támogatásához, miközben a címtárstruktúra felosztható olyan módon, hogy az AD LDS szolgáltatás csak azokon a kiszolgálókon működjön, amelyeknek támogatniuk kell a címtárszolgáltatást használó alkalmazást. A Windows Server 2008 verzióban az AD LDS szolgáltatás fejlesztései többek között a következők:

  • Telepítési adathordozó létrehozása. Lehetőség az AD LDS telepítési adathordozójának elkészítésére az Ntdsutil.exe vagy a Dsdbutil.exe program segítségével.
  • Naplózás. A címtárszolgáltatáson belül megváltozott értékek naplózása.
  • Adatbázis-csatlakoztatási eszköz. Lehetővé teszi az adatok megtekintését az adatbázisfájlok pillanatfelvételeiben.
  • Az Active Directory – helyek és szolgáltatások modul támogatása. Az Active Directory helyek és szolgáltatások támogatásával az AD LDS szolgáltatás adatváltozásainak replikálását lehet kezelni.
  • LDIF-fájlok dinamikus listája. Ezzel a funkcióval a kiszolgálón az AD LDS szolgáltatás beállításához használt, meglévő alapértelmezett LDIF-fájlokhoz egyéni LDIF-fájlok társíthatók.
  • Rekurzív csatolású attribútumok lekérdezése. Az LDAP-lekérdezések segítségével a beágyazott attribútumhivatkozások követésével megállapíthatók a további attribútum- tulajdonságok, például a csoporttagság is.

Active Directory tanúsítványszolgáltatások

A legtöbb szervezetnél tanúsítványokat alkalmaznak a felhasználók és a számítógépek identitásának igazolására, valamint az adatok titkosítására a nem biztonságos hálózati kapcsolatokon át történő adatátvitel során. Az Active Directory tanúsítványszolgáltatások (AD CS) a fokozott biztonság érdekében az egyes személyek, eszközök és szolgáltatások identitását azok saját titkos kulcsához kapcsolják. A tanúsítvány és a titkos kulcs Active Directory rendszerben való tárolása elősegíti az identitás védelmét, és így az Active Directory lesz az a központi hely, ahonnan a megfelelő adatokat be lehet olvasni, amikor azt egy alkalmazás kéri. A Windows Server 2008 verzióban az AD CS szolgáltatás fejlesztései többek között a következők:

  • Tanúsítványigénylő megbízotti sablonok. A delegált tanúsítványigénylő megbízottakat sablonok szerint lehet kijelölni.
  • Egyszerű tanúsítványigénylési protokoll (SCEP). Tanúsítványok hálózati eszközökhöz, például útválasztók számára is kiállíthatók.
  • Online válaszadó. A visszavont tanúsítványok listáját (CRL) a kérelmezőnek vissza lehet küldeni külön tanúsítványválasz formájában is a teljes lista küldése helyett, így csökken az ügyfelek tanúsítvány-ellenőrzési kérelmeinek továbbításakor generált hálózati forgalom.
  • Vállalati nyilvános kulcsú infrastruktúra (PKIView). Az AD CS szolgáltatás új felügyeleti eszköze lehetővé teszi a tanúsítványszolgáltatások rendszergazdája számára, hogy a hitelesítésszolgáltatói (CA) hierarchia kezelésével megállapítsa a hitelesítésszolgáltatók általános állapotát, és egyszerűen elhárítsa az esetleges hibákat.

Active Directory összevonási szolgáltatások

Az Active Directory összevonási szolgáltatások (AD FS) rendkívül biztonságos, nagyon jól bővíthető, az internetes igényeknek megfelelően méretezhető identitás- és hozzáférés-kezelési megoldás, amely lehetővé teszi a szervezetek számára a partnerszervezetek felhasználóinak hitelesítését. A Windows Server 2008 AD FS szolgáltatásának segítségével egyszerűen és nagyon biztonságosan lehet külső felhasználók számára hozzáférést adni a szervezet tartományi erőforrásaihoz. Az AD FS szolgáltatás emellett egyszerűbbé teszi a nem megbízható erőforrások és a tartományi erőforrások közötti integrációt a szervezetnél. A Windows Server 2008 verzióban az AD FS szolgáltatás fejlesztései többek között a következők:

  • Integrált kiszolgálói szerepkörként való használhatóság. Az AD FS szolgáltatás a Windows Server 2008 rendszerben kiszolgálói szerepkör, ennek megfelelően a Kiszolgálókezelő (Server Manager) segítségével könnyen üzembe helyezhető és felügyelhető, azaz nem kiegészítő szolgáltatásként kell kezelni, mint a Windows Server 2003 R2 esetében.
  • Együttműködés a Microsoft Office SharePoint Server 2007 technológiával. Az AD FS szolgáltatás felhasználásával könnyebben megvalósítható az Office SharePoint Server 2007 rendszerhez az egyszeri bejelentkezési megoldás.
  • Együttműködés az Active Directory tartalomvédelmi szolgáltatásokkal (AD RMS). Az AD FS szolgáltatás az AD RMS szolgáltatással együttesen képes úgy támogatni a védett tartalom megosztását a szervezetek között, hogy nem szükséges az AD RMS szolgáltatás telepítése mindkét szervezetnél.
  • Hatékonyabb felügyelet. A továbbfejlesztett importálási és exportálási funkciók segítségével a szervezetek gyorsan exportálhatják és importálhatják XML-fájlok formájában a megbízhatósági adatokat az egyszerűbb konfigurálás érdekében.

Active Directory tartalomvédelmi szolgáltatások

A szervezet szellemi tulajdonát állandó biztonságban kell tartani. Az Active Directory tartalomvédelmi szolgáltatások (AD RMS) – amely része a Windows Server 2008 rendszernek – felhasználható annak biztosítására, hogy csak azok a személyek tekinthessenek meg egy adott fájlt, akik számára ez szükséges. Az AD RMS szolgáltatás a fájlok védelme érdekében képes azonosítani, hogy a felhasználók milyen jogokkal rendelkeznek az adott fájlra vonatkozóan. A jogokat konfigurálva lehet engedélyezni egy-egy felhasználó számára a megnyitást, a módosítást, a nyomtatást, a továbbítást vagy egyéb műveletek végrehajtását a védett adatokkal. Az AD RMS szolgáltatással immár akkor is gondoskodni lehet az adatok védelméről, amikor azok a saját hálózaton kívülre jutnak. A Windows Server 2008 verzióban az AD RMS szolgáltatás fejlesztései többek között a következők:

  • Alkalmazások támogatása. Az AD RMS szolgáltatás támogatása már szerepel a Windows Vista rendszerben, valamint az Internet Explorer 7 böngészőben és a 2007-es Microsoft Office rendszerben is. Az AD RMS-ügyfélprogram más Windows operációs rendszereken is telepíthető.
  • Tartós jellegű adatvédelem. A tartalom védelme menet közben is biztosítható. Meghatározható a tartalom megnyitására, módosítására, kinyomtatására és kezelésére jogosult személyek köre, a jogok pedig a szervezeten kívülre is elkísérik a tartalmat.
  • Használati házirendsablonok. Ha a szervezet az adatok elérésének szabályozásához általános jogosultságkészletet használ, használati házirendsablont lehet létrehozni és a tartalomra alkalmazni, így nem szükséges a használati jogokra vonatkozó beállításokat minden egyes védeni kívánt fájlnál ismételten létrehozni.
  • AD RMS szoftverfejlesztői készlet (SDK). Az AD RMS szoftverfejlesztői készlet (SDK) használatával a független szoftvergyártók (ISV-k) beépíthetik a tartalomvédelmet alkalmazásaikba, tehát a szervezet által megvásárolt alkalmazások akár már most is kompatibilisek lehetnek az AD RMS szolgáltatással (vagy pedig a kompatibilitás a jövőben lesz elérhető).

Az Active Directory további fejlesztései

Az Active Directory telepítővarázslója is számos előrelépést tartalmaz a korábbi verziókhoz képest. A fejlesztések révén a rendszergazda egyszerűbben tudja irányítani a tartományvezérlők telepítését a tartományban. Néhány új fejlesztés a következő:

  • Jobb felügyelhetőség a Kiszolgálókezelő (Server Manager) segítségével. A Kiszolgálókezelő, a Windows Server 2008 új kiszolgálófelügyeleti eszköze lehetővé teszi a rendszergazda számára a tartományvezérlők előkészítését. Amikor a Kiszolgálókezelő konzolján elveszi a tartományvezérlői szerepkört, a rendszer a címtárszolgáltatás telepítéséhez szükséges fájlokat a kiszolgálóra másolja. Amikor a rendszergazda elindítja a telepítővarázslót (dcpromo.exe), a fájlok már készen állnak a gyorsítótárban.
    • DNS telepítése.
    • Globáliskatalógus-kiszolgáló létrehozása.
    • Írásvédett tartományvezérlő létrehozása.
    • A tartomány beállítása a tartományvezérlőn (ennek részeként a tartomány kijelölése fastruktúrából).
    • A tartományvezérlő Active Directory-helyének kijelölése.
    • A tartomány működési szintjének beállítása.
    • Az írásvédett tartományvezérlő telepítési és rendszergazda felhasználójának delegálása.
    • Az írásvédett tartományvezérlő jelszó-replikálási házirendjének konfigurálása.
  • Válaszfájl létrehozása. Ha telepítéskor több tartományvezérlő is ugyanazokat a beállításokat használja, az újrafelhasználás érdekében az összefoglaló oldalon az aktuális telepítés beállításai válaszfájlba exportálhatók. A címtárszolgáltatások helyreállító üzemmódjának rendszergazdai fiókjához tartozó jelszót a rendszer nem exportálja a válaszfájlba, és meg lehet adni, hogy a rendszer mindig kérje a tartományvezérlőt telepítő felhasználótól a rendszergazdai jelszót. Ezzel a megoldással a jelszavakhoz nem férhetnek hozzá azok a felhasználók, akik jogosultak a válaszfájlok tárolásához használt hely elérésére.
  • Írásvédett tartományvezérlő telepítése. Az új írásvédett tartományvezérlői szerepkör a telepítővarázsló segítségével telepíthető. Írásvédett tartományvezérlő telepítése esetén meg lehet adni, hogy ki jogosult a tartományvezérlő telepítésére és kezelésére. A telepítés első szakaszában a tartományi rendszergazda határozhatja meg a fiókot, amelyik telepítheti az írásvédett tartományvezérlőt. Ezt követően az írásvédett tartományvezérlőhöz társított felhasználó lesz jogosult a címtárszolgáltatás telepítésére.