מהו אקטיב דירקטורי (Active Directory)?
Active Directory (אקטיב דירקטורי) הוא כלי המשמש ארגונים לניהול תשתית הרשת.
אקטיב דירקטורי הוא מוצר של מיקרוסופט המספק אימות מרכזי, הרשאה וניהול משאבים ברשת Windows.
אקטיב דיירקטורי ממלא תפקיד קריטי בניהול חשבונות משתמש, מערכות מחשב ומשאבים כגון מדפסות ושיתופי קבצים.
אקטיב דיירקטורי הוא מסד נתונים המאחסן מידע על אובייקטים ברשת.
אובייקטים אלה יכולים להיות משתמשים, מחשבים, מדפסות או כל משאב אחר שצריך לנהל.
אקטיב דירקטורי עושה שימוש במבנה היררכי, כאשר התחום הוא רמת הארגון הגבוהה ביותר.
בתוך כל תחום, יכולה להיות יחידה ארגונית אחת או יותר (OU) המייצגות קבוצות של משאבים או משתמשים.
מבנה היררכי זה מאפשר למנהלי מערכת לנהל גישה ומדיניות ברמות שונות של הארגון.
התכונות של אקטיב דירקטורי
אחת מתכונות המפתח של אקטיב דירקטורי היא היכולת שלה לספק חוויית כניסה יחידה (SSO) למשתמשים.
באמצעות SSO, משתמשים צריכים לבצע אימות חד פעמי כדי לקבל גישה לכל המשאבים
שהם מורשים להשתמש ברשת.
אפשרות SSO משפרת גם את חווית המשתמש וגם את האבטחת המידע על ידי הפחתת הצורך של
משתמשים לזכור סיסמאות מרובות.
תכונה נוספת של אקטיב דירקטורי היא היכולת שלה לתמוך באובייקטי מדיניות קבוצה (GPO).
מדיניות קבוצה מאפשרת למנהלי מערכת להגדיר מדיניות ותצורות עבור קבוצות של משתמשים או מחשבים.
זה יכול לכלול הגדרות כגון מדיניות סיסמאות, מדיניות התקנת תוכנה והגדרות אבטחה.
ניתן להחיל GPO ברמת הדומיין, OU או משתמש בודד או מחשב, מה שמספק גמישות רבה בניהול הרשת.
אקטיב דירקטורי מספקת יכולת חיפוש רבת עוצמה המאפשרת למנהלי מערכת לאתר במהירות משאבים או משתמשים.
זה יכול להיות שימושי במיוחד בארגונים גדולים עם משאבים ומשתמשים רבים.
אמנם אקטיב דירקטורי הוא כלי רב עוצמה, אך הוא דורש מומחיות להגדרה, לניהול, לתפעול ותחזוקה.
מנהלי מערכת חייבים להיות בעלי הבנה עמוקה של תשתית רשת ושיטות אבטחה כדי להבטיח שאקטיב דירקטורי
מוגדר בצורה נכונה ומאובטחת.
יש לשמור על זמני תחזוקה וניטור שוטפים של סביבת אקטיב דירקטורי חיוניים כדי להבטיח שהרשת תישאר
מאובטחת ושהמשאבים זמינים בעת הצורך.
מהם DC?
שרתי Domain Controllers של אקטיב דירקטורי הם עמוד השדרה של שירות מיקרוסופט אקטיב דירקטורי.
DC אחראים על ניהול מסד הנתונים של שירות הסיפריה, אימות והרשאה של משתמשים, שכפול של נתוני ספריות
ואכיפת מדיניות קבוצה בכל דומיין.
בקרי דומיין (DC) הם בעצם שרתים המריצים את התפקידAD DS.
לכל דומיין באקטיב דירקטורי יש לפחות DC אחד, אך לארגונים גדולים יותר עשויים להיות DC מרובים בכל דומיין
כדי להבטיח זמינות גבוהה.
כאשר משתמש נכנס לרשת, DC מאמת את האישורים שלו ומאמת את ההרשאות שלו לקבלת גישה למשאבי הרשת.
תהליך זה כרוך בתקשורת בין מחשב המשתמש לבין DC, אשר בודק את האישורים של המשתמש מול מסד הנתונים
של DS כדי לוודא שהם תקפים.
בנוסף לאימות והרשאה, DC אחראים לשכפול נתוני ספרייה ברחבי הרשת.
זה מבטיח ששינויים שנעשו במסד הנתונים של שירות הספריות (Directory service) ב-DC אחד ישוכפלו לכל שאר ה-DC.
שכפול מתרחש באופן אוטומטי ורציף, ומבטיח שלכל DC יש את המידע העדכני ביותר על אובייקטי ספרייה והמאפיינים שלהם.
מהם OU?
יחידה ארגונית (OU) באקטיב דירקטורי היא אובייקט המשמש לארגון וניהול משאבים בתוך תחום.
OU יכול להכיל OU אחרים, משתמשים, מחשבים ומשאבים אחרים כגון מדפסות ותיקיות משותפות.
המטרה העיקרית של OU היא לאפשר למנהלי מערכת לקבץ משאבים דומים ולהחיל מדיניות קבוצה והגדרות
ניהול אחרות על משאבים אלה.
על ידי ארגון משאבים ב-OU, מנהלי מערכת יכולים לנהל ולתחזק את המשאבים בדומיין בקלות רבה יותר.
בעת יצירת OU, מנהלי מערכת יכולים להגדיר מבנים היררכיים כדי לשקף את המבנה הארגוני הארגון.
לדוגמה, מבנה OU עשוי לשקף את המבנה המחלקתי של החברה, עם ארגונים נפרדים עבור כל מחלקה,
כגון חשבונאות, שיווק ומכירות.
מהו Directory service (שירותי ספריה)?
שירותי סיפריה (Directory service) הוא יישום תוכנה המספק מסד נתונים מרכזי לניהול וארגון משאבים.
בהקשר של אקטיב דירקטורי, Directory service הוא מרכיב מרכזי המספק מסד נתונים היררכי מבוזר
לניהול משאבים ברשת Windows.
Active Directory משתמשת בפרוטוקול LDAP כדי לספק גישה לשירות הספריות שלה.
שירות Directory service של Active Directory הוא מודל שכפול מרובה (multi-master replication model),
כלומר ניתן לבצע שינויים בכל בקר תחום ולאחר מכן לשכפלו לכל שאר בקרי התחום.
