*
Microsoft Windows Server 2008 R2

Active Directory

Služba Active Directory ponúka prostriedky pre správu identít a vzťahov v rámci siete organizácie. Nová generácia služby Active Directory je integrovaná v systéme Windows Server 2008 a ponúka funkcie nutné na centrálnu konfiguráciu a správu nastavení systému, používateľov a aplikácií. Pomocou služby Active Directory je možné zjednodušiť správu používateľov a počítačov, povoliť prístup k sieťovým prostriedkom pomocou jednotného prihlasovania (SSO) a vylepšiť ochranu a zabezpečenie uložených informácií a komunikácie.

Služba Active Directory sa v systéme Windows Server 2003 R2 osvedčila ako robustná adresárová služba. Windows Server 2008 stavia na predchádzajúcom úspechu služby Active Directory a ponúka niekoľko nových a vylepšených funkcií:

Active Directory Domain Services

Služba Active Directory Domain Services (AD DS), predtým označovaná ako Active Directory Directory Services, je centrálnym umiestnením pre konfiguračné informácie, požiadavky na overovanie a informácie o všetkých objektoch uložených v doménovej štruktúre. Pomocou služby Active Directory je možné efektívne spravovať používateľov, počítače, skupiny, tlačiarne, aplikácie a ďalšie objekty využívajúce adresárovú službu z jedného zabezpečeného, centralizovaného umiestnenia. Medzi vylepšenia služby AD DS v systéme Windows Server 2008 patria:

  • Auditovanie Zmeny vykonané v objektoch služby Active Directory je možné zaznamenávať, aby bolo zrejmé, k akej zmene u daného objektu došlo, a zaznamenávajú sa taktiež predchádzajúce a aktuálne hodnoty zmenených atribútov.
  • Možnosť podrobného nastavenia hesiel Pre konkrétne skupiny v doméne je možné nakonfigurovať zásady hesiel. Už nie je nutné, aby každý účet používal v rámci domény rovnaké zásady hesiel.
  • Radič domény len pre čítanie (RODC) V prostrediach, kde nie je možné zaručiť zabezpečenie radiča domény, je možné nasadiť radič domény s databázou služby Active Directory len pre čítanie. To zahŕňa pobočky, kde nie je isté fyzické zabezpečenie radiča domény, alebo radiče domény, ktoré sú hostiteľmi ďalších rolí vyžadujúcich, aby sa k serveru prihlasovali a udržiavali ho ďalší používatelia. Používanie radičov domény len pre čítanie umožňuje zaistiť, aby kvôli zmenám vykonávaným v pobočkách nemohlo prostredníctvom replikácie dôjsť ku zneprehľadneniu alebo poškodeniu doménovej štruktúry služby Active Directory. Radiče domény len pre čítanie odstraňujú potrebu použitia prípravnej lokality pre radiče domény firemných pobočiek či vyslanie správcu domény s inštalačnými médiami do firemnej pobočky.
  • Reštartovateľná služba Active Directory Domain Services Službu Active Directory Domain Services je možné zastaviť a vykonávať jej správu. Radič domény nie je pre väčšinu funkcií správy nutné reštartovať do režimu Directory Services Restore Mode. Ostatné služby na radiči domény môžu byť ďalej v prevádzke, aj keď je adresárová služba offline.
  • Nástroj pre pripojenie databázy Pomocou tohto nástroja je možné pripojiť snímku databázy Active Directory. To umožňuje správcovi domény zobraziť objekty v rámci snímky a v prípade potreby určiť požiadavky na obnovenie.

Active Directory Lightweight Directory Services

Službu Active Directory Lightweight Directory Service (AD LDS), predtým známu pod názvom Active Directory Application Mode, je možné používať na poskytovanie adresárových služieb pre aplikácie podporujúce adresárové služby. Namiesto používania databázy služby AD DS organizácie je možné na ukladanie dát aplikácií využívajúcich adresárovú službu používať službu AD LDS. Službu AD LDS je možné používať v spojení so službou AD DS, takže bude k dispozícii centrálne umiestnenie pre účty zabezpečenia (AD DS) a ďalšie umiestnenie pre podporu konfigurácie aplikácií a adresárových dát (AD LDS). Pomocou služby AD LDS je možné znížiť réžiu spojenú s replikáciou služby Active Directory, nie je nutné rozširovať schému služby Active Directory pre podporu aplikácií a je možné rozdeliť adresárovú štruktúru na oblasti, aby bola služba AD LDS nasadená iba na servery, ktoré musia podporovať aplikácie využívajúce adresárovú službu. Medzi vylepšenia služby AD LDS v systéme Windows Server 2008 patria:

  • Inštalácia z generovaných médií Možnosť vytvoriť inštalačné médium pre službu AD LDS pomocou nástroja Ntdsutil.exe alebo Dsdbutil.exe.
  • Auditovanie Auditovanie zmenených hodnôt v rámci adresárovej služby.
  • Nástroj pre pripojenie databázy Umožňuje zobraziť dáta zo snímok databázových súborov.
  • Podpora lokalít a služieb adresárovej služby Active Directory Umožňuje využívať lokality a služby adresárovej služby Active Directory pre správu replikácie zmien dát služby AD LDS.
  • Dynamický zoznam súborov LDIF Pomocou tejto funkcie je možné pridružiť vlastné súbory LDIF k existujúcim východiskovým súborom LDIF používaným pre nastavenie služby AD LDS na serveri.
  • Otázky s rekurzívnymi prepojeniami na atribúty Dopyty LDAP môžu používať vnorené prepojenia na atribúty za účelom zistenia ďalších vlastností atribútov, napríklad členstva v skupine.

Active Directory Certificate Services

Väčšina organizácií využíva certifikáty na overenie identity používateľov alebo počítačov a taktiež na šifrovanie dát počas prenosu cez nezabezpečené sieťové pripojenia. Služba Active Directory Certificate Services (AD CS) umožňuje zvýšiť zabezpečenie vytvorením väzby identity používateľa, zariadenia alebo služby na ich vlastný privátny kľúč. Ukladaním certifikátov a súkromných kľúčov v adresári služby Active Directory je možné bezpečne ochrániť identitu a adresár služby Active Directory sa stáva centralizovaným miestom pre načítanie zodpovedajúcich informácií, keď aplikácia zašle svoju žiadosť. Medzi vylepšenia služby AD CS v systéme Windows Server 2008 patria:

  • Šablóny agentov pre zápis Delegovaných agentov pre zápis je možné priradzovať na základe šablón.
  • Integrovaný protokol SCEP (Simple Certificate Enrollment Protocol) Certifikáty je možné vystavovať pre sieťové zariadenia, napríklad smerovače.
  • Online respondér Položky zoznamu odvolaní certifikátov je možné vrátiť žiadateľovi v podobe jedinej certifikátovej odpovede namiesto celého zoznamu. To znižuje celkový objem prenosu v sieti, ku ktorému dochádza, keď klienti overujú certifikáty.
  • Infraštruktúra PKI organizácie (PKIView) Ide o nový nástroj pre správu služby AD CS, ktorý umožňuje správcovi služby AD CS spravovať hierarchie certifikačných autorít, a určiť tak celkový stav certifikačných autorít a veľmi jednoducho riešiť prípadné ťažkosti.

Active Directory Federation Services

Služba Active Directory Federation Services je riešenie prístupu na základe identít s vysokou úrovňou zabezpečenia, rozšíriteľnosťou a škálovateľnosťou v rámci Internetu, ktoré umožňuje organizáciám overovať používateľov z partnerských organizácií. Pomocou služby AD FS v systéme Windows Server 2008 je možné zjednodušiť a veľmi bezpečne udeľovať externým používateľom prístup k prostriedkom domény organizácie. Služba AD FS môže taktiež zjednodušiť integráciu medzi nedôveryhodnými prostriedkami a prostriedkami domény v rámci vlastnej organizácie. Medzi vylepšenia služby AD FS v systéme Windows Server 2008 patria:

  • K dispozícii ako integrovaná rola servera AD FS je rola servera v rámci systému Windows Server 2008, ktorú je možné jednoducho nasadiť a spravovať pomocou Správcu servera namiesto používania a správy ako pridanej funkcie v systéme Windows Server 2003 R2.
  • Integrácia so systémom Microsoft Office SharePoint Server 2007 Služba AD FS umožňuje uľahčiť riešenie jednotného prihlasovania pre Office SharePoint Server 2007.
  • Integrácia so službou AD RMS (Active Directory Rights Management Services) Službu AD FS je možné integrovať so službou AD RMS pre podporu zdieľania chráneného obsahu medzi organizáciami bez toho, aby bolo nutné službu AD RMS nasadzovať v oboch organizáciách.
  • Vylepšená správa Import a export informácií o dôveryhodnosti bol vylepšený, aby mohla každá organizácia rýchlo exportovať alebo importovať súbory XML pre uľahčenie konfigurácie informácií o dôveryhodnosti.

Active Directory Rights Management Services

Duševné vlastníctvo organizácie musí byť dobre zabezpečené. Active Directory Rights Management Services, súčasť systému Windows Server 2008, umožňuje zaistiť, aby konkrétny súbor mohli zobraziť iba tí používatelia, ktorí ho zobraziť potrebujú. Služba AD RMS umožňuje chrániť súbor identifikovaním práv, ktoré používateľ k súboru má. Práva je možné nakonfigurovať tak, aby mohol používateľ súbor otvárať, upravovať, tlačiť, posielať ďalej alebo s ním vykonávať ďalšie akcie, a to na základe príslušných práv. Pomocou služby AD RMS je možné teraz zabezpečiť dáta distribuované mimo vašej siete. Medzi vylepšenia služby AD RMS v systéme Windows Server 2008 patria:

  • Podpora aplikácií Podpora služby AD RMS je už zahrnutá v systéme Windows Vista. Aplikácia Internet Explorer 7 a systém Microsoft Office 2007 už majú podporu služby AD RMS. Klienta AD RMS je možné taktiež nainštalovať v iných operačných systémoch Windows.
  • Trvalá ochrana Obsah môže byť chránený aj v prípade, že cestujete. Môžete zadať, kto môže otvárať, upravovať, tlačiť alebo spravovať obsah. K obsahu sú navyše trvale priradené práva — a to aj v čase, kedy sa obsah nachádza mimo organizácie.
  • Šablóny zásad použitia Ak máte všeobecný súbor práv, ktorý používate na riadenie prístupu k informáciám, je možné vytvoriť šablónu zásad použitia a použiť ju pre obsah. Nie je tak nutné znovu vytvárať nastavenia používateľských práv pre každý súbor, ktorý chcete zabezpečiť.
  • Balík SDK (Software Development Kit) služby AD RMS Pomocou balíka SDK (Software Development Kit) služby AD RMS môžu nezávislí výrobcovia softvéru (ISV) povoliť pre aplikácie používanie práv, čo znamená, že by mohlo byť možné využiť existujúce investície do aplikácií pre službu AD RMS.

Ďalšie vylepšenia služby Active Directory

Sprievodca inštaláciou služby Active Directory bol v porovnaní s predchádzajúcimi verziami v niekoľkých oblastiach vylepšený. Vďaka týmto vylepšeniam môže správca jednoduchšie riadiť inštaláciu radičov domény v rámci domény. Medzi vylepšenia patria:

  • Lepšia správa pomocou Správcu servera. Správca servera, nový nástroj pre správu servera Windows Server 2008, umožňuje správcovi pripraviť radiče domény. Keď je z konzoly Správcu servera pridaná rola radiča domény, sú na server skopírované súbory nutné pre inštaláciu adresárovej služby. Keď správca spustí Sprievodcu inštaláciou, dcpromo.exe, sú už súbory uložené v medzipamäti a ihneď k dispozícii.
    • Nainštalujte server DNS.
    • Vytvorte server globálneho katalógu.
    • Vytvorte radič domény len pre čítanie.
    • Vyberte doménu pre radič domény (vrátane výberu domény zo zoznamu stromovej štruktúry).
    • Vyberte lokalitu služby Active Directory radiča domény.
    • Nastavte úroveň funkčnosti domény.
    • Delegujte používateľov pre správu a inštaláciu radiča domény len pre čítanie.
    • Nakonfigurujte zásady replikácie hesiel pre radič domény len pre čítanie.
    • Nakonfigurujte zásady replikácie hesiel pre radič domény len pre čítanie.
  • Vytvorenie súboru odpovedí Ak niekoľko inštalovaných radičov domény používa rovnaké nastavenia, je možné pomocou stránky súhrnu vyexportovať nastavenia z aktuálnej inštalácie do súboru odpovedí. Heslo použité pre účet správcu Directory Services Restore Mode sa do súboru odpovedí neexportuje a je možné zadať, že sa bude používateľovi inštalujúcemu radič domény vždy zobrazovať dopyt na heslo pre správu. Používatelia, ktorí majú prístup k umiestneniu, v ktorom sa ukladajú súbory odpovedí, tak nemajú k heslám prístup.
  • Inštalácia radiča domény len pre čítanie Novú rolu Radič domény len pre čítanie je možné nainštalovať pomocou Sprievodcu inštaláciou. Pri inštalácii radiča domény len pre čítanie môžete definovať, kto smie radič domény inštalovať a spravovať. V prvej fáze inštalácie môže správca domény definovať účet, ktorý bude môcť radič domény len pre čítanie inštalovať. Ihneď ako je účet definovaný, bude mať používateľ, ktorý je pridružený k radiču domény len pre čítanie, práva na inštaláciu adresárovej služby.