Active Directory

Active Directory, znane również jako AD, to usługa katalogowa, która działa jako hierarchiczna baza danych dla systemów Windows, takich jak Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2008, Windows Server 2003 oraz Windows 2000. Jest to implementacja protokołu LDAP.

Historia

Active Directory zostało wprowadzone do użytku w 1999 roku pod nazwą NTDS (NT Directory Service) przed premierą Windows 2000 Server, która miała miejsce 17 lutego 2000 roku.

NTDS, będąc domeną typu NT4, umożliwiało przechowywanie informacji o ograniczonej liczbie typów obiektów (takich jak konto użytkownika lub komputera, grupa) oraz miało ograniczoną liczbę atrybutów dla tych obiektów. Nie istniała możliwość rozszerzenia schematu domeny o dodatkowe atrybuty lub nowe typy obiektów. Istniały również techniczne ograniczenia co do liczby obiektów w domenie, która mogła wynosić około 40 tysięcy. Domeny nie korzystały z otwartych protokołów, co uniemożliwiało dostęp z aplikacji innych producentów bez użycia bibliotek od Microsoft.

Active Directory Domain Services to typ domeny Active Directory, która jako następca NTDS usunęła wiele jego wad, wprowadzając:

hierarchiczne przechowywanie informacji;
znacznie wyższe limity przechowywania informacji (ponad 1 milion obiektów w domenie Active Directory);
możliwość rozszerzania schematu definicji obiektów.

Wersje

Active Directory występuje w dwóch wersjach: pełnej, zintegrowanej z systemem Windows, niezbędnej do zarządzania kontami Active Directory, oraz wersji aplikacyjnej, która może być zainstalowana w systemie Windows, ale nie jest powiązana z domenami Windows. Wersja aplikacyjna nosi nazwę ADAM, co jest skrótem od Active Directory Application Mode (obecnie dla Windows 2008 i nowszych jest znana jako AD LDS, czyli Active Directory Lightweight Directory Services).

Struktura Active Directory

W Active Directory informacje są grupowane w sposób hierarchiczny. Podstawową jednostką jest tzw. liść, który znajduje się w kontenerze zwanym jednostką organizacyjną (organizational unit, OU). Liście oraz kontenery są zorganizowane w domeny.

Drzewo

Domeny zorganizowane hierarchicznie mogą tworzyć strukturę drzewa. Drzewo zawsze zawiera przynajmniej jedną domenę, zwaną domeną najwyższego poziomu (root), która stanowi korzeń drzewa. Dodatkowe domeny, jeśli istnieją, mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc gałęzie. Niższe poziomy mogą się dalej rozgałęziać.

Las

Każde drzewo znajduje się w lesie (forest). Las składa się z przynajmniej jednego drzewa. Nie można utrzymywać drzewa bez lasu. To samo dotyczy domeny Active Directory – nie może ona istnieć samodzielnie, musi być częścią jakiegoś drzewa i lasu. Jeśli jest to pierwsza domena, tworzy pierwsze drzewo, którego korzeniem się staje, oraz pierwszy las. Las przyjmuje nazwę od tej domeny.

Domeny

Domeny zorganizowane w drzewo współdzielą jedną przestrzeń adresową DNS, co oznacza, że domeny na kolejnych poziomach mają wspólny korzeń (dla najwyższego poziomu), np. domena.pl, a wszystkie niższe poziomy mają nazwy powstałe przez dodanie do nich nazwy domeny najwyższego poziomu, np. serwer.domena.pl, nowy.domena.pl, marketing.lublin.domena.pl.

Relacje zaufania

Głównym celem istnienia Active Directory jest uwierzytelnianie obiektów (np. użytkowników, komputerów) oraz autoryzacja (lub jej odmowa) dostępu do innych obiektów Active Directory oraz do zasobów, takich jak dyski, sieci czy aplikacje. Aby automatyczna autoryzacja użytkownika do innej usługi Active Directory lub zasobów z nią związanych (np. zasobu sieciowego) mogła się odbywać, konieczna jest relacja zaufania pomiędzy domenami Active Directory.

Domeny połączone relacją zaufania mogą „ufają sobie”, jeśli jest to relacja dwustronna, lub tylko jedna może ufać drugiej w przypadku relacji jednostronnej. Domeny w obrębie jednego lasu (a także w obrębie tego samego drzewa) ufają sobie nawzajem.