Windows - Az Active Directory hierarchikus felépítése

Cikkünk azoknak szól, akik nincsenek tisztában az Active Directory hierarchiájának felépítésével. Nem tudják mik azok a fák, erdők és hogyan viszonyulnak egymáshoz a tartományok. A jogosultságok beállításához nélkülözhetetlen ezen fogalmak ismerete több tartományos rendszerekben. Tartomány (Domain):

Az Active Directory egyik legmeghatározóbb egysége. Minden tartományhoz tartozik egy címtár, benne különböző objektumokkal (felhasználói fiókok, nyomtatók, megosztott mappák, stb.). Ezek egy adatbázisban helyezkednek el, minden keresés, írás, olvasás egy adatbázismotoron keresztül hajtódik végre. A felhasználó ebből semmit nem vesz észre, leül egy gép elé, beírja a bejelentkezéshez szükséges nevet és jelszót és rövid várakozás után rendelkezésére állnak az erőforrások. A háttérben az operációs rendszer elküldi az adatait a tartományvezérlőnek (domain controller) vagy tartományvezérlőknek - több is lehet belőle. Megnézi, hogy a címtár adatbázisában szerepelnek-e az adatok és nincs-e letiltva a fiók, ha ez rendben van sikeresnek tekinthető a bejelentkezés, ebben az esetben további információra van szükség arról, hogy milyen erőforrások elérése lehetséges a felhasználó számára. A speciális kiszolgálókat, amelyek a tartományi adatbázist tárolják és elvégzik a velük kapcsolatos műveleteket, tartományvezérlőnek, a többi számítógépet pedig tartományi tagnak (member) nevezzük.

Tartománynév lehet a wso.animare.hu.

Szervezeti egység (Organization Unit -OU):

A tartományon belüli logikai egységről van szó. Rendletetése, hogy a különböző objektumokat összefogja (tároló objektumnak (container) is nevezik), lehetővé tegye a csoportos adminisztrálhatóságot. A szervezeti egységekből kialakítható egy alá- fölé- mellérendeltségi viszony, elhelyezhetők benne különböző típusú objektumok, csoportházirend rendelhető hozzájuk (a csoportházirendben a számítógép és a felhasználók beállításai, hatókörei szerepelnek). A teljes vállalat felépítése tükrözhető a szervezeti egységek kialakításával.

Fák (Tree):

A tartományok feletti logikai egység, azok összekapcsolására szolgál. Adott hierarchián belül lehet több tartomány, ezek lehetnek egymással alá- vagy mellérendeltségi viszonyban és lehetnek köztük meghatalmazásos kapcsolatok (lehetővé téve, hogy bizonyos erőforrásokat átadjanak egymásnak). Őket fogja össze logikailag a fa. A bennük szereplő tartományokhoz ugyanaz a globális katalógus, séma és konfigurációs beállítások tartoznak.

Mellérendeltségi viszonyban lévő tartományok (az elnevezési rendszer minden esetben követi a hierarchiát):
wso.animare.hu
dso.animare.hu
cso.animare.hu

A wso.animare.hu-nak alárendelt tartományok, amelyek egymással mellérendeltségi viszonyban vannak:
informatika.wso.animare.hu
penzugy.wso.animare.hu

A példák alapján fának az animare.hu tekinthető.

Erdő (forest):

Ez a legmagasabb logikai szint. A fák erdőkbe szervezhetők és az erdők között lehet kapcsolatokat kiépíteni. A bennük szereplő fákhoz ugyanaz a globális katalógus, séma és konfigurációs beállítások tartoznak.

A példák alapján erdőnek a .hu felsőszintű domain tekinthető. Másik erdő lehet a .com, .net, stb. (A példa logikailag helyes, de annyiba sántít, hogy a valóságban a felső szintű domain-ek nem az Active Directory logikáját követik.)

Telephelyek:

A telephelyek nem illeszkednek bele ebbe a hierarchiába, egy teljesen önálló, független egységet képviselnek. Rendeltetésük teljesen gyakorlatias megközelítésű: tartományok, fák vagy csak egyszerűen egy tartományon belüli gépcsoport összefogható egy telephellyé. Általában egy nagyobb tartomány földrajzilag különböző helyen lévő gépeit szokták telephelyekbe szervezni. Ezek között meghatározhatók úgynevezett lassú vonalak (pl. modemes kapcsolat), amelyet a replikáció során a rendszer figyelembe vesz. Ilyenkor nem történnek azonnali vagy 5, 10, stb. percenkénti replikálások, hanem inkább éjszaka vagy amikor kisebb az adatforgalom.
Mi a replikáció? Annak biztosítása, hogy az Active Directory adatbázisa az összes tartományvezérlőn ugyanazzal a tartalommal szerepeljen.

Miért van erre hierarchiára szükség? A fenti logikai egységek határozzák meg egy objektum - legyen az egy felhasználó, vagy egy program - működési hatókörét. Ha valaki kizárólag egy tartománynak a tagja, akkor csak abba jelentkezhet be, csak onnan kaphat erőforrásokat. Míg egy másik felhasználó (pl. a "Vállalati rendszergazda") bármelyik gépről bejelentkezhet, bármelyik tartományból igényelhet erőforrásokat. A bejelentkezések nem egy konkrét géphez, hanem a fenti felépítéshez vannak kötve. Lényegét tekintve a hálózatban lévő számítógépek adminisztrációs szempontból való elrendezéséről van szó. Amikor jogokat osztunk ki a tartományi tagoknak mindig vegyük figyelembe ezt a felépítést, nehogy meglepetések érjenek, hogy egy felhasználó olyan helyhez is hozzáfér, amelyekhez szerintünk nem kapott jogot.