Active Directory

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
אחד ממסכי הניהול של Active Directory, המשמש לניהול אובייקטי מחשבים, משתמשים והרשאות ("Active Directory Users and Computers MMC snap-in")

Active Directory היא חבילת כלי שירות שפותחה על ידי מיקרוסופט לניהול רשתות בארגונים. החבילה כוללת שירותים כגון:

חבילת השירותים מאפשרת ניהול מרכזי של רשת המחשבים בארגונים. בעת הוספת מחשב לארגון מתבצע תהליך לצירופו לספריית הניהול. כחלק מתהליך אתחול המחשב הוא מזדהה באמצעות מזהה ייחודי (GUID) מול הספרייה, המשתמש במחשב מזדהה באמצעות שם משתמש וסיסמה (או כל שיטת אימות זהות אחרת) ונקבעות עבורם כל ההרשאות הרלוונטיות.

היסטוריה[עריכת קוד מקור | עריכה]

חבילת AD שוחררה יחד עם מערכת ההפעלה Windows 2000 Server לניהול אובייקטים המשתמשים במערכת ההפעלה המקבילה Windows 2000 שירותי ניהול בסיסיים. בגירסת 2003, שהוצגה עם מערכת ההפעלה Windows 2003 Server נתווספו מספר שיפורים, כגון היכולת לשנות שם של דומיין. דומיין שבו כלל ה־Domain Controllers הם בגרסת Windows 2003 Server ניתן להעלות לרמה הפונקציונאלית "‎2003 Native Mode". מטבע הדברים, שדרוג הדומיין מדומיין "‎2000 Native" ל־"‎2003 Native" הוא קל יותר.

בפברואר 2008 הושקה מערכת ההפעלה החדשה לשרתים מבית מיקרוסופט, Windows 2008 Server, שכללה שיפורים רבים ל־Active Directory. ביניהם ניתן למנות תפקידים נוספים לשרתי ה־Domain Controllers, כגון ניהול זהויות, ניהול תעודות דיגיטאליות וניהול זכויות דיגיטאלי. שירותים נוספים כוללים שירותי פדרציה (ADFS – Active Directory Federation Services) שמאפשר שיתוף פעולה מוגבר בין דומיינים, שירותי תעודות (ADCS – Active Directory Certificate Services) ו־Active Directory Lightweight Directory Services (AD LDS)‎, שבא להחליף את ADAM (Active Directory Application Mode)‎ מגרסאות קודמות. מרבית השיפורים והחידושים בגרסת 2008 באים לתת מענה לדרישות אבטחה מוגברות.

מבנה[עריכת קוד מקור | עריכה]

מבנה פיסי[עריכת קוד מקור | עריכה]

בסיס הנתונים של Active Directory נמצא על שרתים מיוחדים שנקראים Domain Controllers - DC. ה-DC השונים יכולים להיות זהים בתפקידיהם לצורכי שרידות או שניתן לחלק ביניהם את התפקידים לצורכי חלוקת עומסים. בעת שינוי באחד מהשרתים השינוי משתכפל לשאר השרתים באמצעות מנגנון רפליקציה ובכך מוחל על כלל הארגון תוך זמן קבוע מראש.

מבנה לוגי[עריכת קוד מקור | עריכה]

מערכת AD בנויה בצורה היררכית. המבנה הגבוה ביותר בהיררכיה הוא יער שהוא אוסף של עצים המכילים דומיינים. יער הוא אוסף כל האובייקטים, מאפייניהם והחוקים המוגדרים ברשת המנוהלת על ידי AD. באופן דומה עץ הוא תת-קבוצה של אובייקטים מן הרשת הזאת, בעוד דומיין הוא תת-חלוקה נוספת של האובייקטים.

המערכת מורכבת מאובייקטים שהם ישויות הקצה במערכת ומתחלקים לשלושה סוגים: משאבים, שירותים ומשתמשים. כל אובייקט מייצג ישות ואת המידע הנלווה אליה. האובייקט הגבוה ביותר בהיררכיה הוא Organizational unit - OU. נהוג לסדר OUs לפי חלוקה גאוגרפית או היררכית של הארגון כך שלכל סניף או מחלקה יהיה OU. לרוב, ניהול הרשת נעשה על ידי מנהלים ברמת הOU. אובייקטים מסוימים יכולים להכיל אובייקטים אחרים (לדוגמה, אובייקט מסוג קבוצת משתמשים יכול להכיל משתמשים. אובייקט מסוג OU יכול להכיל אובייקטים מסוג OU נוספים, משתמשים, מחשבים וכו'). לכל אובייקט קיים מזהה ייחודי (GUID) באמצעותו הוא מזדהה מול הספרייה.

שרידות וביזור[עריכת קוד מקור | עריכה]

ניתן לפרוש את Active Directory בארכיטקטורה מבוזרת, כך שכל Domain Controller ימוקם באתר פיזי נפרד. מנגנון הרפליקציה מבטיח שכלל המידע ב־Domain Controllers יהיה מסונכרן ומעודכן, כך שאם אתר מסוים קורס, האתרים האחרים יוכלו להמשיך לקבל שירותי ספרייה מה־Domain Controller שלהם שעדיין זמין (אם כי לא כל השירותים ימשיכו להינתן, אם Domain Controller שהחזיק בתפקידים מסוימים קרס).

רמות פונקציונאליות[עריכת קוד מקור | עריכה]

שירות Active Directory נכנס לראשונה לשימוש במערכת ההפעלה Windows 2000 בגרסת Server. באותה תקופה היו דומיינים רבים שהתבססו על מערכת ההפעלה הקודמת, Windows NT 4. כדי לאפשר מעבר חלק ככל האפשר ל־Active Directory, ניתן היה להתקין Domain Controllers חדשים עם Windows 2000 ו־Active Directory במצב מיוחד שנקרא "Mixed Mode". במצב זה לא ניתן ליהנות משירותים הייחודיים ל־Active Directory, כגון קבוצות אוניברסליות, מכיוון ששרתי ה־Domain Controller הישנים, שהריצו את מערכת ההפעלה NT 4, לא הכירו את השירותים החדשים האלה. לאחר שכלל ה־Domain Controllers שודרגו ל־Active Directory, ולא היו DCים ישנים של NT, ניתן היה להעלות את הרמה הפונקציונאלית של הדומיין ל־"Native Mode".

ניהול מרכזי[עריכת קוד מקור | עריכה]

AD מאפשר ניהול ושליטה מרכזיים של משאבי המחשוב בארגון. הוא מאפשר החלת מדיניות ארגונית באמצעות כלי GPO, הגדרת הרשאות עבור משתמשים באמצעות הרשאות NTFS והתקנת תוכנות מרחוק. שימוש נכון בכלים חוסך עלויות ומאפשר לייעל את ניהול המחשוב בארגון.