GNU/Linux >> Belajar Linux >  >> Linux

Dasar-dasar Kebijakan Grup di Active Directory

Artikel ini membahas fitur Kebijakan Grup Microsoft® Active Directory® (AD).

Kebijakan Grup IKLAN

Kebijakan Grup menyediakan manajemen terpusat dari pengaturan komputer dan jaringan sehingga Anda tidak perlu memilih dan mengkonfigurasi setiap komputer satu per satu. Anda dapat mengonfigurasi layanan AD berikut sebagai Kebijakan Grup:

  • Layanan Domain: Layanan Domain memungkinkan Anda untuk mengelola domain AD Anda. Mereka menyediakan fungsi otentikasi dan kerangka kerja untuk layanan serupa lainnya. AD menggunakan database LightweightDirectory Access Protocol (LDAP) yang berisi objek jaringan.

  • Layanan Sertifikat: Layanan Sertifikat adalah alat Microsoft untuk mengelola sertifikasi digital, dan mendukung infrastruktur kunci publik (PKI). Layanan Sertifikat dapat menyimpan, memvalidasi, membuat, dan mencabut kredensial kunci publik, daripada membuat kunci secara eksternal atau lokal.

  • Layanan Federasi: Federation Services menyediakan otentikasi tanda tunggal berbasis web untuk digunakan di beberapa organisasi. Ini memungkinkan kontraktor untuk masuk ke jaringan mereka sendiri dan diberi wewenang untuk mengakses sumber daya di jaringan klien dalam sistem terpusat.

  • Layanan Direktori Ringan: Layanan Direktori Ringan menghilangkan beberapa kompleksitas dan fungsionalitas lanjutan untuk menawarkan fungsionalitas layanan direktori dasar saja. Layanan Direktori Ringan tidak perlu menggunakan pengontrol domain, hutan, atau domain untuk lingkungan yang diperkecil.

  • Layanan Pengelolaan Hak: Layanan Manajemen Hak memecah otorisasi di luar izin pengguna. Hak dan batasan dilampirkan ke dokumen daripada pengguna. AD biasanya menggunakan hak ini untuk mencegah pencetakan, penyalinan, atau pengambilan tangkapan layar dokumen.

struktur IKLAN

AD berisi komponen berikut:

  • Hutan: Hutan adalah tingkat tertinggi dari hierarki organisasi. Hutan memungkinkan Anda untuk memisahkan otoritas delegasi dalam satu lingkungan. Pemisahan ini memberikan akses dan izin penuh kepada administrator hanya untuk kumpulan sumber daya tertentu. AD menyimpan informasi hutan di semua pengontrol domain, di semua domain, di dalam hutan.

  • Pohon: Pohon adalah sekelompok domain. Domain dalam pohon berbagi namespace root yang sama. Meskipun pohon berbagi ruang nama, pohon tidak membatasi keamanan atau replikasi.

  • Domain: Setiap hutan berisi domain root. Anda dapat menggunakan domain tambahan untuk membuat partisi lebih lanjut di dalam hutan. Domain memecah direktori menjadi potongan-potongan kecil untuk mengontrol replikasi. Domain membatasi replikasi AD hanya untuk pengontrol domain lain dalam domain yang sama.

    Setiap pengontrol domain dalam domain memiliki salinan identik dari basis data AD domain tersebut. Replikasi membuat salinan tetap mutakhir.

  • Unit organisasi (OU): Unit organisasi menyediakan pengelompokan otoritas atas subset dari sumber daya dalam domain. OU memberikan batas keamanan pada hak istimewa dan otorisasi yang lebih tinggi dan tidak membatasi replikasi objek AD.

    Gunakan OU untuk menerapkan dan membatasi keamanan dan peran di antara grup, dan menggunakan domain untuk mengontrol replikasi.

  • Pengontrol domain: Pengontrol domain adalah server Windows® yang berisi database AD dan menjalankan fungsi terkait AD, termasuk autentikasi dan otorisasi.

    Setiap pengontrol domain menyimpan salinan database AD yang berisi informasi untuk objek dalam domain yang sama. Selain itu, setiap pengontrol domain menyimpan skema untuk seluruh hutan, serta semua informasi tentang hutan.

    Pengontrol domain tidak menyimpan salinan skema atau informasi forest apa pun dari forest yang berbeda, meskipun mereka berada di jaringan yang sama.

  • Peran pengontrol domain khusus: Gunakan peran pengontrol domain khusus untuk melakukan fungsi tertentu yang biasanya tidak tersedia pada pengontrol domain standar. AD menetapkan peran master ini ke pengontrol domain pertama yang dibuat di setiap hutan atau domain, tetapi Anda dapat menetapkan ulang peran secara manual.

  • Master skema: Hanya satu master skema yang ada per hutan. Ini berisi salinan master skema yang digunakan oleh semua pengontrol domain lainnya. Salinan master memastikan bahwa semua objek didefinisikan sama.

  • Master nama domain: Hanya satu master nama domain yang ada per hutan. Master domain memastikan bahwa nama semua objek adalah unik dan dapat merujuk silang objek yang disimpan di direktori lain.

  • Penguasa infrastruktur: Ada satu master infrastruktur per domain. Master infrastruktur menyimpan daftar objek yang dihapus dan melacak referensi untuk objek di domain lain.

  • Master pengenal relatif: Ada satu master pengidentifikasi relatif per domain. Ini melacak pembuatan dan penetapan Pengidentifikasi Keamanan (SID) unik di seluruh domain.

  • Emulator Pengontrol Domain Utama: Hanya ada satu Emulator Pengontrol Domain Utama (PDC) per domain. Emulator ini menyediakan kompatibilitas mundur dari sistem domain berbasis Windows NT yang lebih lama.

  • Penyimpanan data: Penyimpanan data menangani penyimpanan dan pengambilan data pada pengontrol domain apa pun. Datastore memiliki tiga lapisan:- database dan komponen layanan (Agen Sistem Direktori (DSA) dan Extensible Storage Engine (ESE))- layanan penyimpanan direktori (LDAP)- antarmuka replikasi, Messaging API (MAPI), dan Manajer Akun Keamanan (SAM)

Sistem Nama Domain

AD berisi informasi lokasi pada objek yang disimpan dalam database. Namun, AD menggunakan Domain Name System (DNS) untuk menemukan pengontrol domain.

Dalam AD, setiap domain memiliki nama domain DNS, dan setiap komputer yang bergabung memiliki nama DNS dalam domain yang sama.

Objek

AD menyimpan segala sesuatu sebagai objek dan berisi informasi lokasi pada objek yang disimpan dalam database. Namun, AD menggunakan Domain Name System (DNS) untuk menemukan pengontrol domain. Kelas objek mendefinisikan atribut objek.

Skema harus berisi definisi objek sebelum Anda dapat menyimpan data dalam direktori. Setelah didefinisikan, AD menyimpan data sebagai objek individu. Setiap objek harus unik dan mewakili satu hal, seperti pengguna, komputer, atau grup elemen unik (misalnya, grup pengguna).

Objek memiliki tipe objek utama berikut:

  • Prinsip keamanan, yang memiliki SID

  • Sumber daya, yang tidak memiliki SID

Replikasi

AD menggunakan beberapa pengontrol domain karena berbagai alasan, termasuk penyeimbangan beban dan toleransi kesalahan. Agar ini berfungsi, setiap pengontrol domain harus memiliki salinan lengkap dari database AD domainnya sendiri. Replikasi memastikan bahwa setiap pengontrol memiliki salinan database saat ini.

Domain membatasi replikasi. Pengontrol domain pada domain yang berbeda tidak mereplikasi satu sama lain, bahkan di dalam hutan yang sama. Setiap pengontrol domain adalah sama. Meskipun versi Windows sebelumnya memiliki pengontrol domain Primer dan Sekunder, AD tidak memiliki hal seperti itu. Kebingungan berasal dari kelanjutan namapengontrol domain dari sistem berbasis kepercayaan lama ke AD.

Replikasi bekerja pada sistem tarik. Ini berarti bahwa pengontrol domain meminta atau menarik informasi dari pengontrol domain lain daripada setiap pengontrol domain mengirim atau mendorong data ke orang lain. Secara default, pengontrol domain meminta data replikasi setiap 15 detik. Peristiwa keamanan tinggi tertentu memicu peristiwa replikasi langsung, seperti penguncian akun.

Hanya perubahan yang direplikasi. Untuk memastikan fidelitas di seluruh sistem multi-master, setiap pengontrol domain melacak perubahan dan hanya meminta pembaruan sejak replikasi terakhir. Perubahan direplikasi di seluruh domain dengan menggunakan mekanisme simpan dan teruskan sehingga setiap perubahan direplikasi saat diminta, meskipun perubahan tidak berasal dari pengontrol domain yang menjawab permintaan replikasi.

Proses ini mencegah lalu lintas berlebih, dan Anda dapat mengonfigurasi AD untuk memastikan bahwa setiap pengontrol domain meminta data replikasinya dari server yang paling diinginkan. Misalnya, lokasi terpencil dengan satu koneksi cepat dan satu koneksi lambat ke situs lain dengan pengontrol domain dapat menetapkan biaya pada setiap koneksi. Dengan demikian, AD membuat permintaan replikasi di seluruh koneksi yang lebih cepat.

Otorisasi yang didelegasikan dan replikasi yang efisien adalah kunci struktur AD.


Linux

  1. Konfigurasikan pemantauan kinerja Direktori Aktif

  2. Konfigurasikan Direktori Aktif dengan DNS terintegrasi

  3. Kebijakan Grup Lokal Windows

  1. Setel ulang kata sandi pengguna Direktori Aktif

  2. Tidak Dapat Bergabung dengan Server Samba Linux ke Domain Direktori Aktif Windows

  3. Bagaimana cara mendapatkan tanggal kedaluwarsa kata sandi pengguna dari Active Directory?

  1. Jadikan Semua File Baru Dalam Direktori Dapat Diakses Oleh Grup?

  2. Bagaimana cara menggunakan realmd di Ubuntu 14.04 LTS untuk bergabung dengan domain Active Directory?

  3. Bagaimana saya bisa membuat daftar atribut pengguna Active Directory dari komputer linux?