กลับไปหน้าบทความ

อ่าน 15 นาที

แอคทีฟไดเร็กทอรี

Active Directory ( AD ) เป็นบริการไดเร็กทอรีที่พัฒนาโดยMicrosoftสำหรับเครือข่ายโดเมน Windows ระบบปฏิบัติการWindows Server รวม AD ไว้เป็นชุดของกระบวนการและบริการ เดิมที Active...

แอคทีฟไดเร็กทอรี

Active Directory ( AD ) เป็นบริการไดเร็กทอรีที่พัฒนาโดยMicrosoftสำหรับเครือข่ายโดเมน Windows ระบบปฏิบัติการWindows Server รวม AD ไว้เป็นชุดของกระบวนการและบริการ[ 1 ] [ 2 ] เดิมที Active Directory ใช้เฉพาะในการจัดการโดเมนแบบรวมศูนย์เท่านั้น แต่ในที่สุด ก็กลายเป็นชื่อที่ครอบคลุมบริการที่เกี่ยวข้องกับข้อมูลประจำตัวแบบไดเร็กทอรีต่างๆ[ 3 ]

ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่ทำงานในบทบาทของActive Directory Domain Services ( AD DS ) ทำหน้าที่ตรวจสอบสิทธิ์และอนุญาตผู้ใช้และคอมพิวเตอร์ทั้งหมดใน เครือข่ายประเภทโดเมน ของ Windowsกำหนดและบังคับใช้นโยบายความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมด และติดตั้งหรืออัปเดตซอฟต์แวร์ ตัวอย่างเช่น เมื่อผู้ใช้ล็อกอินเข้าสู่คอมพิวเตอร์ที่เป็นส่วนหนึ่งของโดเมน Windows Active Directory จะตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ส่งมา และพิจารณาว่าผู้ใช้เป็นผู้ดูแลระบบหรือผู้ใช้ทั่วไป[ 4 ]นอกจากนี้ยังช่วยให้สามารถจัดการและจัดเก็บข้อมูล จัดเตรียมกลไกการตรวจสอบสิทธิ์และการอนุญาต และสร้างกรอบการทำงานเพื่อใช้งานบริการอื่นๆ ที่เกี่ยวข้อง ได้แก่ บริการใบรับรองบริการ Active Directory Federationบริการ Lightweight Directory และบริการจัดการสิทธิ์ [ 5 ]

Active Directory ใช้Lightweight Directory Access Protocol ( LDAP) เวอร์ชัน 2 และ 3, Kerberosเวอร์ชันของ Microsoft [ 6 ]และDNS [ 7 ]

โรเบิร์ต อาร์. คิง นิยามไว้ดังนี้: [ 8 ]

"โดเมนเปรียบเสมือนฐานข้อมูล ฐานข้อมูลนั้นเก็บเรคอร์ดเกี่ยวกับบริการเครือข่าย เช่น คอมพิวเตอร์ ผู้ใช้ กลุ่ม และสิ่งอื่นๆ ที่ใช้งาน สนับสนุน หรือมีอยู่บนเครือข่าย ฐานข้อมูลโดเมนก็คือ Active Directory นั่นเอง"

ประวัติศาสตร์

เช่นเดียวกับความพยายามด้านเทคโนโลยีสารสนเทศหลายอย่าง Active Directory เกิดขึ้นจากกระบวนการออกแบบที่เป็นประชาธิปไตยโดยใช้Requests for Comments (RFCs) Internet Engineering Task Force (IETF) ดูแลกระบวนการ RFC และยอมรับ RFC จำนวนมากที่ริเริ่มโดยผู้เข้าร่วมจากหลายภาคส่วน ตัวอย่างเช่น LDAP เป็นพื้นฐานของ Active Directory นอกจากนี้ ไดเร็กทอรี X.500และOrganizational Unitก็มีมาก่อนแนวคิด Active Directory ที่ใช้วิธีการเหล่านั้น แนวคิด LDAP เริ่มปรากฏขึ้นก่อนการก่อตั้ง Microsoft ในเดือนเมษายน 1975 โดยมี RFC ตั้งแต่ปี 1971 RFC ที่มีส่วนช่วยใน LDAP ได้แก่RFC 1823 (เกี่ยวกับ LDAP API เดือนสิงหาคม 1995) [ 9 ] RFC 2307 , RFC 3062และRFC 4533 [ 10 ] [ 11 ] [ 12 ]

ไมโครซอฟต์ได้เปิดตัว Active Directory เวอร์ชันพรีวิวในปี 1999 และวางจำหน่ายครั้งแรกพร้อมกับWindows 2000 Server เวอร์ชันก่อนหน้า จากนั้นจึงปรับปรุงเพื่อขยายฟังก์ชันการทำงานและปรับปรุงการบริหารจัดการในWindows Server 2003นอกจากนี้ยังมีการเพิ่มการสนับสนุน Active Directory ใน Windows 95, Windows 98 และ Windows NT 4.0 ผ่านแพทช์ โดยมีคุณสมบัติบางอย่างที่ไม่รองรับ[ 13 ] [ 14 ]มีการปรับปรุงเพิ่มเติมในWindows Server เวอร์ชันต่อๆ มา ในWindows Server 2008ไมโครซอฟต์ได้เพิ่มบริการเพิ่มเติมให้กับ Active Directory เช่นActive Directory Federation Services [ 15 ] ส่วน ของไดเร็กทอรีที่รับผิดชอบในการจัดการโดเมน ซึ่งเป็นส่วนหลักของระบบปฏิบัติการ[ 15 ]ได้รับการเปลี่ยนชื่อเป็น Active Directory Domain Services (ADDS) และกลายเป็นบทบาทเซิร์ฟเวอร์เช่นเดียวกับบทบาทอื่นๆ[ 3 ] "Active Directory" กลายเป็นชื่อรวมของบริการที่ใช้ไดเร็กทอรีในวงกว้างขึ้น[ 16 ]ตามที่ไบรอน ไฮนส์ กล่าวไว้ ทุกสิ่งที่เกี่ยวข้องกับข้อมูลประจำตัวถูกนำมาอยู่ภายใต้การดูแลของ Active Directory [ 3 ]

บริการ Active Directory

บริการ Active Directory ประกอบด้วยบริการไดเร็กทอรีหลายประเภท บริการที่รู้จักกันดีที่สุดคือ Active Directory Domain Services ซึ่งมักย่อว่า AD DS หรือเรียกสั้น ๆ ว่า AD

บริการโดเมน

Active Directory Domain Services (AD DS) เป็นรากฐานของ เครือข่าย โดเมน Windows ทุกเครือข่าย มันจัดเก็บข้อมูลเกี่ยวกับสมาชิกโดเมน รวมถึงอุปกรณ์และผู้ใช้ตรวจสอบข้อมูลประจำตัวและกำหนดสิทธิ์การเข้าถึงเซิร์ฟเวอร์ที่รันบริการนี้เรียกว่าตัวควบคุมโดเมนตัวควบคุมโดเมนจะถูกติดต่อเมื่อผู้ใช้ล็อกอินเข้าสู่อุปกรณ์ เข้าถึงอุปกรณ์อื่นผ่านเครือข่าย หรือเรียกใช้แอปพลิเคชันแบบ Metro ที่ติดตั้งเพิ่มเติมลงในเครื่อง

บริการ Active Directory อื่นๆ (ยกเว้นLDSตามที่อธิบายไว้ด้านล่าง) และเทคโนโลยีเซิร์ฟเวอร์ของ Microsoft ส่วนใหญ่พึ่งพาหรือใช้บริการโดเมน ตัวอย่างเช่นGroup Policy , Encrypting File System , BitLocker , Domain Name Services , Remote Desktop Services , Exchange ServerและSharePoint Server

Active Directory DS ที่จัดการด้วยตนเองจะต้องแตกต่างจากAzure AD DS ที่จัดการโดย ระบบคลาวด์[ 17 ]

บริการไดเร็กทอรีน้ำหนักเบา

Active Directory Lightweight Directory Services (AD LDS) ซึ่งก่อนหน้านี้เรียกว่าActive Directory Application Mode (ADAM) [ 18 ]ใช้ โปรโตคอล LDAPสำหรับ AD DS [ 19 ]โดยทำงานเป็นบริการบนWindows Serverและมีฟังก์ชันการทำงานเหมือนกับ AD DS รวมถึงAPI ที่เท่าเทียมกัน อย่างไรก็ตาม AD LDS ไม่จำเป็นต้องสร้างโดเมนหรือตัวควบคุมโดเมน โดยมี Data Store สำหรับจัดเก็บข้อมูลไดเร็กทอรีและDirectory Serviceพร้อมอินเทอร์เฟซ LDAP Directory Service ซึ่งแตกต่างจาก AD DS ตรงที่สามารถใช้งาน AD LDS หลายอินสแตนซ์บนเซิร์ฟเวอร์เดียวกันได้

บริการออกใบรับรอง

บริการใบรับรอง Active Directory (AD CS) สร้างโครงสร้างพื้นฐานกุญแจสาธารณะภายในองค์กร สามารถสร้าง ตรวจสอบ เพิกถอน และดำเนินการอื่น ๆ ที่คล้ายคลึงกันกับใบรับรองกุญแจสาธารณะสำหรับการใช้งานภายในองค์กร ใบรับรองเหล่านี้สามารถใช้ในการเข้ารหัสไฟล์ (เมื่อใช้ร่วมกับระบบเข้ารหัสไฟล์ ) อีเมล (ตาม มาตรฐาน S/MIME ) และการรับส่งข้อมูลเครือข่าย (เมื่อใช้โดยเครือข่ายส่วนตัวเสมือนโปรโตคอลTransport Layer Securityหรือ โปรโตคอล IPSec )

AD CS มีมาก่อน Windows Server 2008 แต่ชื่อเดิมคือ Certificate Services [ 20 ]

AD CS ต้องการโครงสร้างพื้นฐาน AD DS [ 21 ]

บริการสหพันธ์

Active Directory Federation Services (AD FS) เป็น บริการ ลงชื่อเข้าใช้ครั้งเดียวด้วยโครงสร้างพื้นฐาน AD FS ผู้ใช้สามารถใช้บริการบนเว็บหลายอย่าง (เช่นอรัมอินเทอร์เน็ตบล็อกการช้อปปิ้งออนไลน์เว็บเมล)หรือทรัพยากรเครือข่ายโดยใช้ข้อมูลประจำตัวเพียงชุดเดียวที่จัดเก็บไว้ในตำแหน่งส่วนกลาง แทนที่จะต้องได้รับข้อมูลประจำตัวเฉพาะสำหรับแต่ละบริการ AD FS ใช้มาตรฐานเปิดที่เป็นที่นิยมหลายอย่างในการส่งผ่านข้อมูลประจำตัวโทเค็น เช่นSAML , OAuthหรือOpenID Connect [ 22 ] AD FS รองรับการเข้ารหัสและการลงนามของการยืนยันSAML [ 23 ]วัตถุประสงค์ของ AD FS เป็นส่วนขยายของ AD DS: AD DS ช่วยให้ผู้ใช้สามารถตรวจสอบสิทธิ์และใช้งานอุปกรณ์ที่เป็นส่วนหนึ่งของเครือข่ายเดียวกันโดยใช้ข้อมูลประจำตัวชุดเดียว ในขณะที่ AD FS ช่วยให้ผู้ใช้สามารถใช้ข้อมูลประจำตัวชุดเดียวกันในเครือข่ายที่แตกต่างกันได้

ตามชื่อที่บ่งบอก AD FS ทำงานบนพื้นฐานของแนวคิดเรื่องเอกลักษณ์แบบรวมศูนย์ (federated identity )

AD FS ต้องการโครงสร้างพื้นฐาน AD DS แม้ว่าพันธมิตรสหพันธ์อาจไม่ต้องการก็ตาม[ 24 ]

บริการจัดการสิทธิ์

Active Directory Rights Management Services ( AD RMS ) ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Rights Management Services หรือ RMS ก่อนWindows Server 2008เป็นซอฟต์แวร์เซิร์ฟเวอร์ที่อนุญาตให้มีการจัดการสิทธิ์ข้อมูลซึ่งรวมอยู่ในWindows Serverโดยใช้การเข้ารหัสและการปฏิเสธแบบเลือกเพื่อจำกัดการเข้าถึงเอกสารต่างๆ เช่นอีเมลของ องค์กร เอกสาร Microsoft Wordและเว็บเพจนอกจากนี้ยังจำกัดการดำเนินการที่ผู้ใช้ที่ได้รับอนุญาตสามารถทำได้ เช่น การดู การแก้ไข การคัดลอก การบันทึก หรือการพิมพ์ ผู้ดูแลระบบไอทีสามารถสร้างเทมเพลตที่กำหนดไว้ล่วงหน้าสำหรับผู้ใช้ปลายทางเพื่อความสะดวก แต่ผู้ใช้ปลายทางยังคงสามารถกำหนดได้ว่าใครสามารถเข้าถึงเนื้อหาและสามารถดำเนินการใดได้บ้าง[ 25 ]

โครงสร้างเชิงตรรกะ

Active Directory เป็นบริการที่ประกอบด้วยฐานข้อมูลและโค้ดที่สามารถเรียกใช้งานได้มีหน้าที่จัดการคำขอและบำรุงรักษาฐานข้อมูล Directory System Agent เป็นส่วนที่สามารถเรียกใช้งานได้ ซึ่งเป็นชุดของบริการและกระบวนการ ของ Windows ที่ทำงานบน Windows 2000 และเวอร์ชันที่ใหม่กว่า[ 1 ]การเข้าถึงวัตถุในฐานข้อมูล Active Directory สามารถทำได้ผ่านอินเทอร์เฟซต่างๆ เช่น LDAP, ADSI, Messaging APIและบริการSecurity Accounts Manager [ 2 ]

วัตถุที่ใช้

ตัวอย่างแบบง่ายๆ ของเครือข่ายภายในของบริษัทสำนักพิมพ์แห่งหนึ่ง บริษัทนี้มีกลุ่มผู้ใช้งานสี่กลุ่ม โดยแต่ละกลุ่มมีสิทธิ์การเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันสามโฟลเดอร์บนเครือข่ายแตกต่างกัน

โครงสร้างของ Active Directory ประกอบด้วยข้อมูลเกี่ยวกับวัตถุที่จัดประเภทออกเป็นสองประเภท ได้แก่ ทรัพยากร (เช่น เครื่องพิมพ์) และหลักการรักษาความปลอดภัย (ซึ่งรวมถึงบัญชีผู้ใช้หรือคอมพิวเตอร์และกลุ่มต่างๆ) หลักการรักษาความปลอดภัยแต่ละรายการจะได้รับตัวระบุความปลอดภัย (SID) ที่ไม่ซ้ำกัน วัตถุหนึ่งๆ แทนเอนทิตีเดียว เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ หรือกลุ่ม พร้อมด้วยคุณลักษณะต่างๆ วัตถุบางอย่างอาจมีวัตถุอื่นๆ อยู่ภายในด้วย วัตถุแต่ละรายการมีชื่อที่ไม่ซ้ำกัน และคำจำกัดความของมันคือชุดของลักษณะและข้อมูลโดยสคีมาซึ่งเป็นตัวกำหนดการจัดเก็บใน Active Directory

ผู้ดูแลระบบสามารถขยายหรือแก้ไขสคีมาโดยใช้วัตถุสคีมาเมื่อจำเป็น อย่างไรก็ตาม เนื่องจากวัตถุสคีมาแต่ละชิ้นเป็นส่วนสำคัญในการกำหนดวัตถุ Active Directory การปิดใช้งานหรือการเปลี่ยนแปลงวัตถุเหล่านั้นอาจเปลี่ยนแปลงหรือขัดขวางการใช้งานระบบได้ การแก้ไขสคีมาจะส่งผลกระทบต่อทั้งระบบโดยอัตโนมัติ และวัตถุใหม่ไม่สามารถลบได้ แต่สามารถปิดใช้งานได้เท่านั้น การเปลี่ยนแปลงสคีมามักต้องมีการวางแผน[ 26 ]

ป่า ต้นไม้ และอาณาเขต

ในเครือข่าย Active Directory โครงสร้างที่จัดเก็บอ็อบเจ็กต์มีหลายระดับ ได้แก่ ฟอเรสต์ ต้นไม้ และโดเมน โดเมนภายในระบบจะเก็บอ็อบเจ็กต์ไว้ในฐานข้อมูลเดียวที่สามารถจำลองได้ และ โครงสร้างชื่อ DNSจะระบุโดเมนหรือเนมสเปซ ของอ็อบเจ็กต์เหล่านั้น โดเมนคือกลุ่มเชิงตรรกะของอ็อบเจ็กต์เครือข่าย เช่น คอมพิวเตอร์ ผู้ใช้ และอุปกรณ์ ที่ใช้ฐานข้อมูล Active Directory เดียวกัน

ในทางกลับกัน ต้นไม้ (tree) คือกลุ่มของโดเมนและต้นไม้โดเมนในเนมสเปซที่ต่อเนื่องกัน ซึ่งเชื่อมโยงกันในลำดับชั้นความไว้วางใจแบบถ่ายทอดได้ ป่า (forest) อยู่ที่ด้านบนสุดของโครงสร้าง เป็นกลุ่มของต้นไม้ที่มีแคตตาล็อกส่วนกลางมาตรฐาน โครงสร้างไดเร็กทอรี โครงสร้างเชิงตรรกะ และการกำหนดค่าไดเร็กทอรี ป่าเป็นขอบเขตที่ปลอดภัยซึ่งจำกัดการเข้าถึงสำหรับผู้ใช้ คอมพิวเตอร์ กลุ่ม และวัตถุอื่นๆ

  โดเมน-บอสตัน
  โดเมน-  นิวยอร์ก
  โดเมน-ฟิลลี่
 ต้นไม้ทางใต้
  โดเมน-แอตแลนตา
  โดเมน-ดัลลัส
โดเมน-ดัลลัส
 การตลาด OU
  ฮิววิตต์
  ออน
  สตีฟ
 OU-Sales
  ใบแจ้งหนี้
  ราล์ฟ
ตัวอย่างการจัดระเบียบทางภูมิศาสตร์ของโซนที่น่าสนใจภายในต้นไม้และโดเมน

หน่วยงานองค์กร

วัตถุที่อยู่ในโดเมนสามารถจัดกลุ่มเป็นหน่วยองค์กร (OU) ได้[ 27 ] OU สามารถให้ลำดับชั้นแก่โดเมน ช่วยให้การบริหารจัดการง่ายขึ้น และสามารถคล้ายคลึงกับโครงสร้างขององค์กรในแง่ของการจัดการหรือทางภูมิศาสตร์ OU สามารถบรรจุ OU อื่นๆ ได้—โดเมนเป็นคอนเทนเนอร์ในความหมายนี้ Microsoft แนะนำให้ใช้ OU แทนโดเมนสำหรับโครงสร้างและการทำให้การนำนโยบายและการบริหารจัดการไปใช้ง่ายขึ้น OU เป็นระดับที่แนะนำสำหรับการใช้นโยบายกลุ่มซึ่งเป็นวัตถุ Active Directory ที่มีชื่ออย่างเป็นทางการว่าวัตถุนโยบายกลุ่ม (GPO) แม้ว่านโยบายจะสามารถนำไปใช้กับโดเมนหรือไซต์ได้เช่นกัน (ดูด้านล่าง) OU เป็นระดับที่มักจะมอบอำนาจการบริหารจัดการ แต่การมอบอำนาจสามารถทำได้กับวัตถุหรือคุณลักษณะแต่ละรายการเช่นกัน

หน่วยองค์กรแต่ละหน่วยไม่มีเนมสเปซแยกต่างหาก ผลที่ตามมาคือ เพื่อความเข้ากันได้กับการใช้งาน NetBios แบบดั้งเดิม บัญชีผู้ใช้ที่มี SamAccountName เหมือนกันจะไม่ได้รับอนุญาตภายในโดเมนเดียวกัน แม้ว่าวัตถุบัญชีจะอยู่ใน OU ที่แยกจากกันก็ตาม ทั้งนี้เนื่องจาก SamAccountName ซึ่งเป็นคุณลักษณะของวัตถุผู้ใช้ จะต้องไม่ซ้ำกันภายในโดเมน[ 28 ]อย่างไรก็ตาม ผู้ใช้สองคนใน OU ที่แตกต่างกันสามารถมีชื่อทั่วไป (CN) เดียวกันได้ ซึ่งเป็นชื่อที่พวกเขาถูกจัดเก็บไว้ในไดเร็กทอรีเอง เช่น "fred.staff-ou.domain" และ "fred.student-ou.domain" โดยที่ "staff-ou" และ "student-ou" คือ OU

โดยทั่วไป เหตุผลที่ Microsoft ไม่อนุญาตให้มีชื่อซ้ำกันในโครงสร้างไดเร็กทอรีแบบลำดับชั้นก็คือ Microsoft อาศัยหลักการของNetBIOS เป็นหลัก ซึ่งเป็นวิธีการจัดการวัตถุเครือข่ายแบบเนมสเปซแบนราบ ที่สำหรับซอฟต์แวร์ของ Microsoft นั้นมีมาตั้งแต่Windows NT 3.1และMS-DOS LAN Managerการอนุญาตให้มีชื่อวัตถุซ้ำกันในไดเร็กทอรี หรือการยกเลิกการใช้ชื่อ NetBIOS โดยสิ้นเชิง จะทำให้ไม่สามารถใช้งานร่วมกับซอฟต์แวร์และอุปกรณ์รุ่นเก่าได้ อย่างไรก็ตาม การไม่อนุญาตให้มีชื่อวัตถุซ้ำกันในลักษณะนี้เป็นการละเมิด RFC ของ LDAP ซึ่งเป็นพื้นฐานของ Active Directory

เมื่อจำนวนผู้ใช้ในโดเมนเพิ่มขึ้น รูปแบบการตั้งชื่อแบบ "อักษรตัวแรกของชื่อ อักษรตัวแรกของชื่อกลาง นามสกุล" ( แบบตะวันตก ) หรือแบบกลับกัน (แบบตะวันออก) จะใช้ไม่ได้ผลกับนามสกุล ทั่วไป เช่นหลี่ (李) สมิธหรือการ์เซียวิธีแก้ปัญหาคือการเพิ่มตัวเลขต่อท้ายชื่อผู้ใช้ หรืออีกทางเลือกหนึ่งคือการสร้างระบบรหัสประจำตัวแยกต่างหากสำหรับพนักงาน/นักเรียนเพื่อใช้เป็นชื่อบัญชีแทนชื่อผู้ใช้จริง และอนุญาตให้ผู้ใช้เลือกรูปแบบคำที่ต้องการภายใต้นโยบายการใช้งานที่ยอมรับได้

เนื่องจากชื่อผู้ใช้ซ้ำกันไม่สามารถมีอยู่ในโดเมนเดียวกันได้ การสร้างชื่อบัญชีจึงเป็นความท้าทายอย่างมากสำหรับองค์กรขนาดใหญ่ที่ไม่สามารถแบ่งออกเป็นโดเมนแยกต่างหากได้ง่าย เช่น นักเรียนในระบบโรงเรียนของรัฐหรือมหาวิทยาลัยที่ต้องสามารถใช้คอมพิวเตอร์เครื่องใดก็ได้ในเครือข่าย

กลุ่มเงา
ใน Active Directory หน่วยองค์กร (OU) ไม่สามารถกำหนดให้เป็นเจ้าของหรือผู้ดูแลได้ สามารถเลือกได้เฉพาะกลุ่มเท่านั้น และสมาชิกของ OU ไม่สามารถกำหนดสิทธิ์ในการเข้าถึงวัตถุในไดเร็กทอรีร่วมกันได้

ใน Active Directory ของ Microsoft นั้น หน่วยองค์กร (OU) ไม่ได้ให้สิทธิ์การเข้าถึงโดยอัตโนมัติ และวัตถุที่วางอยู่ภายใน OU จะไม่ได้รับการกำหนดสิทธิ์การเข้าถึงโดยอัตโนมัติตาม OU ที่บรรจุอยู่ นี่เป็นข้อจำกัดด้านการออกแบบเฉพาะของ Active Directory และไดเร็กทอรีคู่แข่งอื่นๆ เช่น Novell NDSสามารถกำหนดสิทธิ์การเข้าถึงผ่านการวางวัตถุภายใน OU ได้

Active Directory กำหนดให้ผู้ดูแลระบบต้องดำเนินการอีกขั้นตอนหนึ่งเพื่อกำหนดวัตถุใน OU ให้เป็นสมาชิกกลุ่มภายใน OU นั้นด้วย การใช้เพียงตำแหน่งของ OU ในการกำหนดสิทธิ์การเข้าถึงนั้นไม่น่าเชื่อถือ เนื่องจากเอนทิตีอาจยังไม่ได้รับการกำหนดให้กับวัตถุกลุ่มสำหรับ OU นั้น

วิธีแก้ปัญหาทั่วไปสำหรับผู้ดูแลระบบ Active Directory คือการเขียน สคริปต์ PowerShellหรือVisual Basic แบบกำหนดเอง เพื่อสร้างและบำรุงรักษากลุ่มผู้ใช้สำหรับแต่ละ OU ใน Directory โดยอัตโนมัติ สคริปต์จะทำงานเป็นระยะเพื่ออัปเดตกลุ่มให้ตรงกับการเป็นสมาชิกบัญชีของ OU อย่างไรก็ตาม สคริปต์เหล่านี้ไม่สามารถอัปเดตกลุ่มความปลอดภัยได้ทันทีทุกครั้งที่มีการเปลี่ยนแปลง Directory ดังเช่นที่เกิดขึ้นใน Directory อื่นๆ เนื่องจากความปลอดภัยถูกนำไปใช้โดยตรงใน Directory กลุ่มดังกล่าวเรียกว่ากลุ่มเงา (shadow groups ) เมื่อสร้างแล้ว กลุ่มเงาเหล่านี้จะสามารถเลือกแทน OU ในเครื่องมือการดูแลระบบได้ เอกสารอ้างอิงของ Microsoft Server 2008 กล่าวถึงกลุ่มเงา แต่ไม่ได้ให้คำแนะนำในการสร้างกลุ่มเหล่านั้น นอกจากนี้ ยังไม่มีวิธีการเซิร์ฟเวอร์หรือ snap-in คอนโซลใดๆ ที่ใช้ได้สำหรับการจัดการกลุ่มเหล่านี้[ 29 ]

องค์กรต้องกำหนดโครงสร้างของโครงสร้างพื้นฐานข้อมูลโดยแบ่งออกเป็นโดเมนหนึ่งหรือมากกว่าและ OU ระดับบนสุด การตัดสินใจนี้มีความสำคัญและสามารถอิงตามแบบจำลองต่างๆ เช่น หน่วยธุรกิจ สถานที่ตั้งทางภูมิศาสตร์ บริการไอที ประเภทวัตถุ หรือการผสมผสานของแบบจำลองเหล่านี้ วัตถุประสงค์หลักของการจัดระเบียบ OU คือการทำให้การมอบหมายการบริหารง่ายขึ้น และวัตถุประสงค์รองคือการใช้นโยบายกลุ่ม ในขณะที่ OU ทำหน้าที่เป็นขอบเขตการบริหาร แต่ฟอเรสต์เองเป็นขอบเขตความปลอดภัยเพียงอย่างเดียว โดเมนอื่นๆ ทั้งหมดต้องไว้วางใจผู้ดูแลระบบในฟอเรสต์ในการรักษาความปลอดภัย[ 30 ]

พาร์ติชั่น

ฐานข้อมูล Active Directory ถูกจัดระเบียบเป็นพาร์ติชันโดยแต่ละพาร์ติชันจะเก็บวัตถุประเภทเฉพาะและปฏิบัติตามรูปแบบการจำลองแบบเฉพาะ มักเรียกพาร์ติชันเหล่านี้ว่า 'บริบทการตั้งชื่อ' [ 31 ]พาร์ติชัน 'Schema' กำหนดคลาสวัตถุและแอตทริบิวต์ภายในฟอเรสต์ พาร์ติชัน 'Configuration' มีข้อมูลเกี่ยวกับโครงสร้างทางกายภาพและการกำหนดค่าของฟอเรสต์ (เช่น โทโพโลยีของไซต์) ทั้งสองพาร์ติชันจะจำลองโดเมนทั้งหมดในฟอเรสต์ พาร์ติชัน 'Domain' เก็บวัตถุทั้งหมดที่สร้างขึ้นในโดเมนนั้นและจำลองเฉพาะภายในโดเมนนั้นเท่านั้น

พาร์ติชันไดเร็กทอรีบางส่วนจัดเก็บข้อมูลการกำหนดค่าและข้อมูลสคีมาของฟอเรสต์โดยรวม ในขณะที่พาร์ติชันไดเร็กทอรีอื่นๆ จัดเก็บข้อมูลเฉพาะสำหรับแต่ละโดเมน เช่น ผู้ใช้ กลุ่ม และหน่วยงานองค์กร

โดยค่าเริ่มต้น บริการโดเมน Active Directory จะมีบริบทการตั้งชื่อดังต่อไปนี้:

  • Schema NC: จัดเก็บข้อมูล Schema ที่จะถูกจำลองไปยังตัวควบคุมโดเมนในทุกโดเมนของฟอเรสต์
  • Configuration NC: จัดเก็บข้อมูลโทโพโลยีและข้อมูลการกำหนดค่าอื่นๆ ที่จะถูกจำลองไปยังตัวควบคุมโดเมนในทุกโดเมนของฟอเรสต์
  • โดเมน NC: จัดเก็บข้อมูลโดเมน เช่น ผู้ใช้และคอมพิวเตอร์ ซึ่งจะถูกจำลองไปยังตัวควบคุมโดเมนในโดเมนนั้นเท่านั้น

โครงสร้างทางกายภาพ

ไซต์เป็นกลุ่มทางกายภาพ (ไม่ใช่เชิงตรรกะ) ที่กำหนดโดยซับเน็ตIP หนึ่งรายการขึ้นไป [ 32 ] AD ยังกำหนดการเชื่อมต่อ โดยแยกความแตกต่างระหว่างลิงก์ความเร็วต่ำ (เช่นWAN , VPN ) กับลิงก์ความเร็วสูง (เช่นLAN ) คำจำกัดความของไซต์เป็นอิสระจากโครงสร้างโดเมนและ OU และใช้ร่วมกันทั่วทั้งฟอเรสต์ ไซต์มีบทบาทสำคัญในการจัดการปริมาณการรับส่งข้อมูลเครือข่ายที่สร้างขึ้นโดยการจำลองแบบและนำทางไคลเอ็นต์ไปยังตัวควบคุมโดเมน (DC) ที่ใกล้ที่สุด Microsoft Exchange Server 2007ใช้โทโพโลยีไซต์สำหรับการกำหนดเส้นทางอีเมล ผู้ดูแลระบบยังสามารถกำหนดนโยบายในระดับไซต์ได้อีกด้วย

ข้อมูล Active Directory จะถูกจัดเก็บไว้ในตัวควบคุมโดเมน แบบ Peer อย่างน้อยหนึ่งตัว โดยแทนที่ โมเดล NT PDC / BDCตัวควบคุมโดเมนแต่ละตัวจะมีสำเนาของ Active Directory เซิร์ฟเวอร์สมาชิกที่เข้าร่วม Active Directory ที่ไม่ใช่ตัวควบคุมโดเมนจะเรียกว่าเซิร์ฟเวอร์สมาชิก[ 33 ]ในพาร์ติชันโดเมน กลุ่มของวัตถุจะทำหน้าที่เป็นสำเนาของตัวควบคุมโดเมนที่ตั้งค่าเป็นแคตตาล็อกส่วนกลาง เซิร์ฟเวอร์แคตตาล็อกส่วนกลางเหล่านี้จะนำเสนอรายการที่ครอบคลุมของวัตถุทั้งหมดในฟอเรสต์[ 34 ] [ 35 ]

เซิร์ฟเวอร์ Global Catalog จะจำลองวัตถุทั้งหมดจากทุกโดเมนไปยังตัวมันเอง ทำให้มีรายการเอนทิตีในฟอเรสต์ในระดับสากล อย่างไรก็ตาม เพื่อลดปริมาณการรับส่งข้อมูลการจำลองและรักษาฐานข้อมูลของ GC ให้มีขนาดเล็ก จะมีการจำลองเฉพาะแอตทริบิวต์ที่เลือกไว้ของแต่ละวัตถุเท่านั้น ซึ่งเรียกว่าชุดแอตทริบิวต์บางส่วน (PAS) PAS สามารถแก้ไขได้โดยการแก้ไขสคีมาและทำเครื่องหมายคุณลักษณะสำหรับการจำลองไปยัง GC [ 36 ] Windows เวอร์ชันก่อนหน้าใช้NetBIOSในการสื่อสาร Active Directory ผสานรวมอย่างสมบูรณ์กับ DNS และต้องการTCP/IP —DNS ในการทำงานอย่างสมบูรณ์ เซิร์ฟเวอร์ DNS ต้องรองรับระเบียนทรัพยากร SRVหรือที่เรียกว่าระเบียนบริการ

การจำลองแบบ

Active Directory ใช้การจำลองแบบหลายมาสเตอร์เพื่อซิงโครไนซ์การเปลี่ยนแปลง[ 37 ]ซึ่งหมายความว่าสำเนาจะดึงการเปลี่ยนแปลงจากเซิร์ฟเวอร์ที่เกิดการเปลี่ยนแปลงแทนที่จะถูกผลักไปยังสำเนาเหล่านั้น[ 38 ]ตัวตรวจสอบความสอดคล้องของความรู้ (KCC) ใช้ไซต์ที่กำหนดไว้เพื่อจัดการการรับส่งข้อมูลและสร้างโทโพโลยีการจำลองของลิงก์ไซต์ การจำลองภายในไซต์เกิดขึ้นบ่อยครั้งและโดยอัตโนมัติเนื่องจากการแจ้งเตือนการเปลี่ยนแปลง ซึ่งจะกระตุ้นให้คู่ค้าเริ่มต้นรอบการจำลองแบบดึง ช่วงเวลาการจำลองระหว่างไซต์ต่างๆ มักจะไม่สม่ำเสมอและโดยปกติจะไม่ใช้การแจ้งเตือนการเปลี่ยนแปลง อย่างไรก็ตาม เป็นไปได้ที่จะตั้งค่าให้เหมือนกับการจำลองระหว่างตำแหน่งบนเครือข่ายเดียวกันหากจำเป็น

แต่ละ ลิงก์ DS3 , T1และISDNอาจมีค่าใช้จ่าย และ KCC จะปรับเปลี่ยนโครงสร้างเครือข่ายลิงก์ไซต์ตามนั้น การจำลองข้อมูลอาจเกิดขึ้นแบบส่งต่อผ่านลิงก์ไซต์หลายลิงก์บนบริดจ์ลิงก์ไซต์ ที่ใช้โปรโตคอลเดียวกัน หากราคาต่ำ อย่างไรก็ตาม KCC จะคิดค่าใช้จ่ายสำหรับลิงก์ไซต์โดยตรงต่ำกว่าการเชื่อมต่อแบบส่งต่อโดยอัตโนมัติ เซิร์ฟเวอร์บริดจ์เฮดในแต่ละโซนสามารถส่งการอัปเดตไปยัง DC อื่นๆ ในตำแหน่งเดียวกันเพื่อจำลองการเปลี่ยนแปลงระหว่างไซต์ต่างๆ ในการกำหนดค่าการจำลองข้อมูลสำหรับโซน Active Directory ให้เปิดใช้งาน DNS ในโดเมนตามไซต์นั้น

ในการจำลอง Active Directory จะใช้การเรียกใช้ขั้นตอนระยะไกล (RPC) ผ่าน IP (RPC/IP) SMTPใช้ในการจำลองระหว่างไซต์ แต่ใช้สำหรับการแก้ไขใน Schema, Configuration หรือ Partial Attribute Set (Global Catalog) GC เท่านั้น ไม่เหมาะสำหรับการจำลองพาร์ติชันโดเมนเริ่มต้น[ 39 ]

การดำเนินการ

โดยทั่วไป เครือข่ายที่ใช้ Active Directory จะมีคอมพิวเตอร์เซิร์ฟเวอร์ Windows ที่ได้รับอนุญาตมากกว่าหนึ่งเครื่อง การสำรองข้อมูลและกู้คืน Active Directory สามารถทำได้สำหรับเครือข่ายที่มีตัวควบคุมโดเมนเพียงตัวเดียว[ 40 ]อย่างไรก็ตาม Microsoft แนะนำให้ใช้ตัวควบคุมโดเมนมากกว่าหนึ่งตัวเพื่อ ป้องกัน การล้มเหลว โดยอัตโนมัติ ของไดเร็กทอรี[ 41 ]ตัวควบคุมโดเมนควรมีวัตถุประสงค์เดียวสำหรับการดำเนินการไดเร็กทอรีเท่านั้น และไม่ควรใช้งานซอฟต์แวร์หรือบทบาทอื่นใด[ 42 ]

เนื่องจากผลิตภัณฑ์ของ Microsoft บางอย่าง เช่น SQL Server [ 43 ] [ 44 ]และ Exchange [ 45 ]อาจรบกวนการทำงานของตัวควบคุมโดเมน จึงแนะนำให้แยกผลิตภัณฑ์เหล่านี้ไว้บนเซิร์ฟเวอร์ Windows เพิ่มเติม การรวมผลิตภัณฑ์เหล่านี้เข้าด้วยกันอาจทำให้การกำหนดค่าและการแก้ไขปัญหาของตัวควบคุมโดเมนหรือซอฟต์แวร์ที่ติดตั้งอื่นๆ ซับซ้อนขึ้น[ 46 ]หากวางแผนที่จะใช้งาน Active Directory ธุรกิจควรซื้อใบอนุญาตเซิร์ฟเวอร์ Windows หลายใบเพื่อให้มีตัวควบคุมโดเมนแยกกันอย่างน้อยสองตัว ผู้ดูแลระบบควรพิจารณาตัวควบคุมโดเมนเพิ่มเติมเพื่อประสิทธิภาพหรือความซ้ำซ้อน และเซิร์ฟเวอร์แต่ละเครื่องสำหรับงานต่างๆ เช่น การจัดเก็บไฟล์ Exchange และ SQL Server [ 47 ]เนื่องจากจะรับประกันได้ว่าบทบาทของเซิร์ฟเวอร์ทั้งหมดได้รับการสนับสนุนอย่างเพียงพอ

วิธีหนึ่งในการลดต้นทุนฮาร์ดแวร์ทางกายภาพคือการใช้เวอร์ชวลไลเซชันอย่างไรก็ตาม เพื่อการป้องกันการทำงานล้มเหลวที่เหมาะสม ไมโครซอฟต์แนะนำไม่ให้ใช้งานตัวควบคุมโดเมนเสมือนหลายตัวบนฮาร์ดแวร์ทางกายภาพเดียวกัน[ 48 ]

ฐานข้อมูล

ฐานข้อมูล Active-Directory ซึ่งเป็นที่เก็บไดเร็กทอรีใน Windows 2000 Server ใช้Extensible Storage Engine (ESE98) ที่ใช้ JET Blueฐานข้อมูลของตัวควบคุมโดเมนแต่ละตัวมีข้อจำกัดที่ 16 เทราไบต์และ 2 พันล้านอ็อบเจ็กต์ (แต่มีเพียง 1 พันล้านหลักการรักษาความปลอดภัย) Microsoft ได้สร้างฐานข้อมูล NTDS ที่มีอ็อบเจ็กต์มากกว่า 2 พันล้านรายการ[ 49 ] Security Account Managerของ NT4 สามารถรองรับอ็อบเจ็กต์ได้มากถึง 40,000 รายการ มีตารางหลักสองตาราง ได้แก่ตารางข้อมูลและตารางลิงก์ Windows Server 2003 เพิ่มตารางหลักที่สามสำหรับ การสร้างอินส แตนซ์เดี่ยวของตัวอธิบายความปลอดภัย[ 49 ]

โปรแกรมอาจเข้าถึงคุณสมบัติของ Active Directory [ 50 ]ผ่านทางอินเทอร์เฟซ COMที่จัดเตรียมโดยActive Directory Service Interfaces [ 51 ]

ความไว้วางใจ

เพื่ออนุญาตให้ผู้ใช้ในโดเมนหนึ่งเข้าถึงทรัพยากรในอีกโดเมนหนึ่ง Active Directory ใช้ทรัสต์[ 52 ]

เมื่อมีการสร้างโดเมน ระบบจะสร้างความไว้วางใจภายในฟอเรสต์โดยอัตโนมัติ ฟอเรสต์จะกำหนดขอบเขตความไว้วางใจเริ่มต้น และความไว้วางใจแบบแฝงและส่งต่อได้จะเกิดขึ้นโดยอัตโนมัติสำหรับทุกโดเมนภายในฟอเรสต์

ศัพท์เฉพาะ

ความไว้วางใจฝ่ายเดียว
โดเมนหนึ่งอนุญาตให้ผู้ใช้ในอีกโดเมนหนึ่งเข้าถึงได้ แต่โดเมนอีกโดเมนหนึ่งไม่อนุญาตให้ผู้ใช้ในโดเมนแรกเข้าถึงได้
ความไว้วางใจแบบสองทาง
โดเมนสองโดเมนอนุญาตให้ผู้ใช้ในทั้งสองโดเมนเข้าถึงได้
โดเมนที่เชื่อถือได้
โดเมนที่เชื่อถือได้ ซึ่งผู้ใช้จากโดเมนนั้นจะสามารถเข้าถึงโดเมนที่เชื่อถือได้นั้นได้
ความไว้วางใจแบบถ่ายทอด
ความเชื่อถือที่สามารถขยายขอบเขตไปไกลกว่าสองโดเมนไปยังโดเมนที่เชื่อถือได้อื่นๆ ในฟอเรสต์ได้
ความไว้วางใจที่ไม่ถ่ายทอด
ความไว้วางใจแบบทางเดียวที่ไม่ขยายเกินสองโดเมน
ความไว้วางใจโดยชัดแจ้ง
ความไว้วางใจที่ผู้ดูแลระบบสร้างขึ้น ไม่ใช่ความไว้วางใจแบบถ่ายทอด และเป็นความไว้วางใจทางเดียวเท่านั้น
ความไว้วางใจแบบเชื่อมโยง
ความไว้วางใจที่ชัดเจนระหว่างโดเมนในโครงสร้างต้นไม้ที่แตกต่างกัน หรือในโครงสร้างต้นไม้เดียวกัน เมื่อไม่มีความสัมพันธ์แบบลูกหลาน/บรรพบุรุษ (ลูก/พ่อ/แม่) ระหว่างสองโดเมนนั้น
ทางลัด
เชื่อมโยงสองโดเมนในโครงสร้างต้นไม้ที่แตกต่างกัน ทั้งแบบถ่ายทอดได้ แบบทางเดียว หรือแบบสองทาง
กองทุนป่าไม้
ใช้ได้กับป่าทั้งผืน กริยาที่ต้องการกรรม กริยาช่วยแบบทางเดียวหรือสองทาง
อาณาจักร
อาจเป็นกริยาที่ต้องการกรรมหรือไม่ต้องการกรรม (กริยาไม่ผัน) กริยาแบบทางเดียวหรือสองทางก็ได้
ภายนอก
เชื่อมต่อกับป่าอื่นหรือโดเมนที่ไม่ใช่ Active Directory ไม่มีการส่งต่อ หนึ่งทางหรือสองทาง[ 53 ]
พีเอ็ม ทรัสต์
ความเชื่อถือทางเดียวที่ใช้โดยMicrosoft Identity Managerจากฟอเรสต์การผลิต (ซึ่งอาจอยู่ในระดับต่ำ) ไปยังฟอเรสต์ 'bastion' ( ระดับฟังก์ชันการทำงาน ของ Windows Server 2016 ) ซึ่งออกการเป็นสมาชิกกลุ่มแบบจำกัดเวลา[ 54 ] [ 55 ]

เครื่องมือการจัดการ

เครื่องมือจัดการ Microsoft Active Directory ประกอบด้วย:

  • ศูนย์บริหารจัดการ Active Directory (เปิดตัวพร้อมกับ Windows Server 2012 และเวอร์ชันที่สูงกว่า)
  • ผู้ใช้และคอมพิวเตอร์ Active Directory
  • โดเมนและทรัสต์ของ Active Directory
  • ไซต์และบริการ Active Directory
  • ADSI Edit,
  • ผู้ใช้และกลุ่มในพื้นที่
  • ส่วนเสริม Active Directory Schema สำหรับMicrosoft Management Console (MMC)
  • SysInternals ADExplorer

เครื่องมือบริหารจัดการเหล่านี้อาจไม่มีฟังก์ชันการทำงานที่เพียงพอสำหรับการทำงานอย่างมีประสิทธิภาพในสภาพแวดล้อมขนาดใหญ่ เครื่องมือจากผู้ให้บริการภายนอกบางรายช่วยเพิ่มขีดความสามารถในการบริหารจัดการ โดยมีคุณสมบัติที่จำเป็นสำหรับการบริหารจัดการที่สะดวกยิ่งขึ้น เช่น ระบบอัตโนมัติ รายงาน การบูรณาการกับบริการอื่นๆ เป็นต้น

การผสานรวมระบบยูนิกซ์

การทำงานร่วมกันกับ Active Directory ในระดับต่างๆ สามารถทำได้บนระบบปฏิบัติการที่คล้าย Unix ส่วนใหญ่ (รวมถึง Unix , Linux , Mac OS Xหรือโปรแกรมที่ใช้ Java และ Unix) ผ่านไคลเอ็นต์ LDAP ที่เป็นไปตามมาตรฐาน แต่ระบบเหล่านี้มักจะไม่สามารถตีความคุณลักษณะหลายอย่างที่เกี่ยวข้องกับส่วนประกอบของ Windows ได้ เช่นGroup Policyและการสนับสนุนความเชื่อถือแบบทางเดียว

บริษัทภายนอกให้บริการการผสานรวม Active Directory สำหรับแพลตฟอร์มที่คล้าย Unix ซึ่งรวมถึง:

  • PowerBroker Identity Servicesซึ่งเดิมชื่อ Likewise ( BeyondTrustซึ่งเดิมชื่อ Likewise Software) – อนุญาตให้ไคลเอนต์ที่ไม่ใช่ Windows เข้าร่วม Active Directory ได้[ 56 ]
  • ADmitMac ( Thursby Software Systems ) [ 56 ]
  • Samba (ซอฟต์แวร์ฟรีภายใต้ GPLv3 ) – สามารถทำหน้าที่เป็น Active Directory ที่มีฟังก์ชันการทำงานครบถ้วน [ 57 ] [ 58 ]

ส่วนเพิ่มเติมของสคีมาที่มาพร้อมกับWindows Server 2003 R2ประกอบด้วยแอตทริบิวต์ที่แมปกับ RFC 2307 อย่างใกล้ชิดเพียงพอที่จะใช้งานได้โดยทั่วไป การใช้งานอ้างอิงของ RFC 2307, nss_ldap และ pam_ldap ที่จัดทำโดย PADL.com รองรับแอตทริบิวต์เหล่านี้โดยตรง สคีมาเริ่มต้นสำหรับการเป็นสมาชิกกลุ่มเป็นไปตาม RFC 2307bis (ที่เสนอ) [ 59 ] Windows Server 2003 R2 มี สแนปอิน Microsoft Management Consoleที่สร้างและแก้ไขแอตทริบิวต์

อีกทางเลือกหนึ่งคือการใช้บริการไดเร็กทอรีอื่น เนื่องจากไคลเอ็นต์ที่ไม่ใช่ Windows จะตรวจสอบสิทธิ์กับบริการนี้ ในขณะที่ไคลเอ็นต์ Windows จะตรวจสอบสิทธิ์กับ Active Directory ไคลเอ็นต์ที่ไม่ใช่ Windows ได้แก่389 Directory Server (เดิมคือ Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directoryและ Sun Microsystems Sun Java System Directory Serverสองตัวหลังสามารถทำการซิงโครไนซ์แบบสองทางกับ Active Directory ได้ จึงให้การผสานรวมแบบ "เบี่ยงเบน"

อีกทางเลือกหนึ่งคือการใช้OpenLDAPร่วมกับ โอเวอร์เลย์ แบบโปร่งแสงซึ่งสามารถขยายรายการในเซิร์ฟเวอร์ LDAP ระยะไกลใดๆ ด้วยแอตทริบิวต์เพิ่มเติมที่จัดเก็บไว้ในฐานข้อมูลภายในเครื่อง ลูกค้าที่ชี้ไปยังฐานข้อมูลภายในเครื่องจะเห็นรายการที่มีทั้งแอตทริบิวต์จากระยะไกลและภายในเครื่อง ในขณะที่ฐานข้อมูลระยะไกลยังคงไม่เปลี่ยนแปลงเลย

การบริหารจัดการ (การสอบถาม การแก้ไข และการตรวจสอบ) Active Directory สามารถทำได้ผ่านภาษาสคริปต์หลายภาษา รวมถึงPowerShell , VBScript , JScript/JavaScript , Perl , PythonและRuby [ 60 ] [ 61 ] [ 62 ] [ 63 ]เครื่องมือบริหารจัดการ Active Directory ทั้งแบบฟรีและไม่ฟรีสามารถช่วยลดความซับซ้อนและอาจทำให้งานบริหารจัดการ Active Directory เป็นไปโดยอัตโนมัติได้

ตั้งแต่เดือนตุลาคม 2560 Amazon AWSได้นำเสนอการผสานรวมกับ Microsoft Active Directory [ 64 ]

ดูเพิ่มเติม

  • Microsoft Technet: เอกสารไวท์เปเปอร์: สถาปัตยกรรม Active Directory (เอกสารทางเทคนิคฉบับเดียวที่ให้ภาพรวมเกี่ยวกับ Active Directory)
  • Microsoft Technet: คำอธิบายโดยละเอียดเกี่ยวกับActive Directory บน Windows Server 2003
  • คลังข้อมูล MSDN ของ Microsoft: [MS-ADTS]: ข้อกำหนดทางเทคนิคของ Active Directory (ส่วนหนึ่งของMicrosoft Open Specification Promise )
  • โหมดแอปพลิเคชัน Active Directory (ADAM)
  • Microsoft MSDN: [AD-LDS]: บริการไดเร็กทอรีแบบเบาของ Active Directory
  • Microsoft TechNet: [AD-LDS]: บริการไดเร็กทอรีแบบเบา (Lightweight Directory Services) ของ Active Directory
  • Microsoft MSDN: โครงสร้างข้อมูล Active Directory
  • Microsoft TechNet: ทำความเข้าใจ Schema
  • นิตยสาร Microsoft TechNet: การขยาย Schema ของ Active Directory
  • Microsoft MSDN: บริการใบรับรอง Active Directory
  • Microsoft TechNet: บริการใบรับรอง Active Directory
ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=Active_Directory&oldid=1361593881 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ แอคทีฟไดเร็กทอรี

Active Directory ( AD ) เป็นบริการไดเร็กทอรีที่พัฒนาโดยMicrosoftสำหรับเครือข่ายโดเมน Windows ระบบปฏิบัติการWindows Server รวม AD ไว้เป็นชุดของกระบวนการและบริการ เดิมที Active...

ประวัติศาสตร์

เช่นเดียวกับความพยายามด้านเทคโนโลยีสารสนเทศหลายอย่าง Active Directory เกิดขึ้นจากกระบวนการออกแบบที่เป็นประชาธิปไตยโดยใช้ Requests for Comments (RFCs) Internet Engineering Task Force (IETF) ดูแลกระบวนการ RFC และยอมรับ RFC...

บริการ Active Directory

บริการ Active Directory ประกอบด้วยบริการไดเร็กทอรีหลายประเภท บริการที่รู้จักกันดีที่สุดคือ Active Directory Domain Services ซึ่งมัก ย่อ ว่า AD DS หรือเรียกสั้น ๆ ว่า AD

บริการโดเมน

Active Directory Domain Services (AD DS) เป็นรากฐานของ เครือข่าย โดเมน Windows ทุกเครือข่าย มันจัดเก็บข้อมูลเกี่ยวกับสมาชิกโดเมน รวมถึงอุปกรณ์และผู้ใช้ ตรวจสอบข้อมูลประจำตัว และ กำหนดสิทธิ์การเข้าถึง เซิร์ฟเวอร์ที่รันบริการนี้เรียกว่า ตัวควบคุมโดเมน...