Microsoft Active Directory Bilicki Vilmos

Tartalom Windows 2000 struktúra, architektúra Az Active Directory Felhasználók, csoportok Csoport szabályok Biztonság Megosztás, DFS Kerberos Mentés visszaálítás

Windows 2000 Két funkcionális mód: kernel mode user mode HAL Mikrokernel Device Drivers Executive Managers user mode Protected environmental subsystem Dynamic user intervention

HAL (Hardware Abstraction Layer) A hardver függő részeket helyezték ide a hordozhatóság érdekében Elrejti a felső rétegek elől A Windows2000-nél csak Intel architektúrával foglalkozik Több processzoros rendszernél ez a réteg osztja szét a szálakat.

Mikrokernel Az operációs rendszer alapvető funkcióit menedzseli. Nem konfigurálható Állandóan a memóriában van Szálak ütemezése, (több processzor esetén szinkronizálása) Megszakítások kezelése

Device Drivers a különböző eszközöket vezérlő utasítások találhatóak itt WDM (Windows Device Driver Modell)

Executive Managers I. Az ő szolgáltatásait használhatják az alkalmazások object manager (fájlok, mappák, szálak,…) VMM (Virtual Memory Manager) oldalakat kezel PAGEFILE.SYS process manager hozza létre és törli a taszkokat, a szálakat (fonalakat), szorosan együttműködve a memória menedzserrel és a biztonsági rendszerrel Interprocess Communication Manager LPC RPC Kliens/Szerver kommunikáció

Executive Managers II. Security Reference Monitor I/O Manager az objektumot hozzáférését szabályozza minden felhasználó, csoport rendelkezik egy SID-vel minden objektum rendelkezik egy ACL (Access Contorol List)-el I/O Manager minden input, output funkció ide tartozik részekre van osztva: cache, fájl rendszer, … P&P manager, Power Manager, GDI …

Windows 2000 User Mode Protected User Mode Win32 alrendszer szabványos kimenet, bemenet GUI a Win 32 alkalmazások közvetlenül az alrendszerben futnak Dos esetén VDM OS/2 alrendszer nagyon korlátozott csak OS/2 1.x POSIX alrendszer IEEE 1003.1 szabvány C nyelv van megvalósítva Bővebb támogatás -> Services for Unix

Processzek, Szálak, leírók I. objektum kód memória cím, tér erőforrások egy szál szál egy process-en belül fut client ID register (mikroprocesszor állapota) kezelők (handles) (parent/child) a szálakhoz vannak rendelve az erőforrásokat írják le named-pipes process-ek közötti kommunikáció

Processzek, Szálak, leírók II. 32 prioritási szint 0-15 User mode quantum SMP

Fájlrendszer FAT,FAT32 NTFS NTFS5 a könyvtár neve egy mutató az első bájtra a mérete paraméterek (h,r,a,s) NTFS biztonságos (ACL) hibatűrő (RAID 1-5) unicode Master File Table redundáns NTFS5 kvóta támogatás fat32 támogatás

Active Directory Egy hálózati objektumtár amely kiszolgálja a klienseket és azok csoportjait a jogosultságaik alapján Információt tárol minden hálózati objektumról Egy biztonsági csatorna az ACL és a Domain kapcsolatok számára A rendszer adminisztráció központja Egy rendszer az objektumok replikálására

Felépítés

Fájl struktúra Adatbázis fájlok Log fájlok Ntds.dit minden tartomány vezérlőn van egy Táblákba rendezve tárolja az adatokat schema tábla az objektumok definícióját tárolja object tábla az objektumokat funkcó szerint rendezve tárolja link tábla megadja az összefüggést az objektum leírás és az objektum között Log fájlok Tranzakció log Edb.log, 12 óránként új nyílik Checkpoint files Edb.chk – az elindított de be nem fejezett tranzakciókat tartalmazza Reserved, Patch

Adattárolás és partíciók Schema data – Az objektumok leírását tartalmazza Configuration data – A tartomány logikai felépítését tartalmazza Domain data – A fa alatt lévő összes adat itt van eltárolva. Nincs replikálva. A GC segítségével férhetnek hozzá mások is.

Strukturális komponensek Logikai felépítés: tartomány egy logikai biztonsági egység saját biztonsági szabályok saját biztonsági viszonyok más tartományokkal olyan egységek szerint célszerű tartományokat létrehozni melyeket együtt kell menedzselni a következő információkkal rendelkezik: adat minden objektumról és a tároló objektumról az adott tartományban adat a többi tartományról, fáról… a GC szerver helye

Strukturális komponensek (logikai felépítés) tartomány fa amikor több tartomány közös sémát, biztonsági viszonyokat és GC-t használ akkor fát képeznek. Egy közös névér alá tartoznak (ceg.com-> t1.ceg.com) az elsőként létrehozott tartomány a gyökér tartomány ő tárolja a fának a sémáját, és a konfigurációs adatait. a fa struktúra gyermek tartományok hozzáadásával alakul ki.

Strukturális komponensek (logikai felépítés) Tartomány erdő két vagy több fa közötti biztonsági kapcsolat kialakítása estén jön létre az erdő az erdőben lévő minden fa közösen használja konfigurációt, sémát és a GC-t az erdőnek nincs külön neve a kerberos technológia használata előnyőnyös esetükben

Strukturális komponensek (logikai felépítés) Szervezeti Egységek (Organizational Units) a tartományokat és a gyermek tartományokat szervezeti egységekre oszthatjuk a szervezeti egységek egymást tartalmazhatják egy tartomány általában egy vagy több szervezeti egységet tartalmaz

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő az AD egy másolatát tartalmazza kapcsolatban van a többi vezérlővel és replikálják az adatokat feladatai: tárolja az összes adatot azonosítja a felhasználót adatokat biztosít a keresett objektumokról egyenrangú vezérlők (NT40:PDC,BDC) minden vezérlőnek írási, olvasási joga van az AD-hez érdemes több vezérlőt működtetni mert: hibatűrése nagyobb jobb a felhasználók csatlakozási lehetősége probléma a replikálás okozta nagyobb hálózati forgalom

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő replikálás: egy replikálási utat kell megadni KCC (nowledge Consistency Checker) dinamikus útválasztás RPC vagy SMTP használata replikációs igény jelzésére intrasite: 5 percenként küld jelzést ha történt változás (ez módosítható), a jelzés vételekor az érintettek letöltik a változást intersite: beállítható időközönként tömörített formában letöltik a változást a biztonsággal kapcsolatos beállítások azonnal replikálódnak

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő replikálás: Az alábbi objektumok definiálják a replikálást: Connection object: a tartomány vezérlők partnerek amikor össze vannak kötve. Egyirányú utat jellemez. A KCC generálja őket de manuálisan is megadhatók. NTDS settings object: A szerver objektum gyermeke és tartalmazza a kapcsolat objektumokat Server objekt: Az AD-ben minden számítógép computer objektum. A tartomány vezérlők szerver objektumok is. A szülője a site objektum mely definiálja az IP subnetet. Site link: A két hely között definálja a kapcsolat paramétereit (ár, távolság, időzítés). A KCC ezeket az adatokat használja fel az ideális útvonal felépítésére. Site link bridges: Egy site link csoportot definiál mely egy protokollt használ

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő replikálás: USN (Update Sequence Number) Az objektum minden tulajdonága rendelkezik egy USN-nel Minden változáskor növeli eggyel Időpontot csak akkor néznek, ha nagyjából egy időpontban történt a változás

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő speciális feladatok: Global Catalog: minden objektumot és azok leggyakrabban keresett tulajdonágait tartalmazza beléptetés a segítségével történik (Ha nincs akkor csak a helyi gépre enged be) egy olyan tárolóként működik amely feladata a gyors keresés több GC szerver működhet a hálózati csatlakozás a GC-hez gyorsnak kell lennie

Strukturális komponensek (fizikai felépítés) Tartomány vezérlő speciális feladatok: Domain naming master a tartományok hozzáadását elvételét menedzseli az erdőben. Egy erdőben csak egy lehet, át lehet tenni máshova. Infrastrucure master A csoportokat, felhasználókat kezeli. PDC emulator master A vegyes rendszerben a felhsználói neveket, jelszavakat menedzseli és továbbítja a BDC-nek. RelativeI ID master A SID-ek egyediségéert felelős, tartományok kiosztásával. Schema master A sémát kezeli.

Biztonsági viszonyok egyirányú kétirányú

Felhasználók és csoportok helyi felhasználók tartományi felhasználók felhasználó, csoport: SID (egyedi!) Hol léphet be? Mikor léphet be? Milyen jogai vannak?

Felhasználói Profilok lokális a helyi gépen van eltárolva a helyi Default User lesz az alapja központi egy központi gépen van eltárolva ideiglenesen a helyi gépen tárolódik kilépéskor átmásolódik a központi gépre másodszori belépéskor csak a változást másolja át ideiglenes csak olvasható az NTUSER.dat fájl átnevezésével NTUSER.man-ra beállítható

Csoportok Típusai: egy felhasználó több csoporthoz is tartozhat jogosultságokat definiálnak elosztási csoportok (email) egy felhasználó több csoporthoz is tartozhat csoportok csoportokat is tartalmazhatnak a jogok összegződnek a tiltásnak előnye van mindennel szemben

Csoportok érvényességi köre Helyi tartományi (Domain local) tagjai bárhonnan származhatnak csak a tartomány erőforrásaihoz férhetnek hozzá Globális tartományi (Global domain) a tagok csak a helyi tartományból származhatnak de bármely kapcsolatban lévő erőforráshoz hozzáférhetnek Univerzális (Universal) bárki bármit csak natív módban

Csoport szabályok GPO (Group Policy Object) LSDOU (Local, Site, Domain, Organizational Unit) A helyi az adott gépen van tárolva Group Policy Container tartalmazza a verziót, státuszt, típust.. ez lesz replikálva ő mondja meg hogy az aktuális GPT érvényes-e Group Policy Template a tényleges beállításokat tartalmazza User policy Computer Policy

Csoportszabályok (szoftver install.) felhasználókhoz kötve megjelenik egy új menü (install) a vezérlőpultból kell telepítenie gépekhez kötve csak becsomagolt alkalmazásokat lehet telepíteni (.msi, .zap) használhatunk újracsomagolót a Network Docs and Settings mappába kell bemásolni

Megosztás, DFS minden objektum -> ACL ACL: DACL -> jogosultságok SACL -> nyomkövetés, naplózás Az engedélye összegződnek A tiltás ezt fölülírja Alapértelmezésként minden almappa örökli az ősök tulajdonságait Másolásnál az új szülőmappa tulajdonságait öröklik Mozgatásnál Csak akkor örökili az új ős tulajdonságait ha más NTFS tárolóra történik

Megosztás amikor egy mappát megosztunk minden tulajdonságát átveszik az almappái változatok: saját tartományban lévő felhasználó használhatja saját adatait másik nem megbízható tartományban egy általunk megadott nevet és jelszót kell használnia másik megbízható tartományban a \tartomány\felhasználónév formában kell bejelentkeznie \\gépnév\megosztás \\gépnév\c$ az NTFS és a megosztás jogosultságok összegződnek

DFS (Distributed Filesystem) Több megosztást össze tudunk fogni egy gyökér megosztásba A felhasználóknak csak a gyökérrel kell kapcsolatba lenniük DFS Egyedül álló A szerveren van tárolva a mappa hierarchia Nem használja az AD-t Hibatűrő Az AD-ben van tárolva a mappa hierarchia Mivel több helyen van tárolva a kliens kiválaszthatja melyiket használja Automatikusan replikálódik

DFS (Distributed Filesystem) Használatához DFS kliens szükséges Csak NTFS5 fájlrendszerrel működik DFS gyökér Ha AD tárolja akkor replikálható DFS link Kapcsolatot létesít a gyökér és a megosztások között Az egyes mappákra be tudom állítani a replikációt Csak olvasható adatokra érdemes használni

Kerberos NT LAN Manager Kliens Szerver Kerberos KDC

Kerberos működési elve Nyilvános kulcsú titkosítás Szimmetrikus kulcsú titkosítás Kivonatoló (hash) Azonosítás kérelem (user name) TGT (Ticket to Get Ticket) 10 óra élettartam Session ticket kérelem (hash(TGT)) Session ticket (TTL, egyéb adatok) Service ticket kérelem Service ticket (kliens rész, titkosított szerver rész) Service ticket (titkosított szever rész), TGT -> szerver Hash(időpont) Kapcsolat AS TGS

Kerberos tartományok között Saját KDC Tartomány közötti kulccsal titkosított hivatkozó jegy hivatkozó jegy->KDC service ticket Cs Több tartomány esetén ismét 2,3.

Lemezkezelés Lemez: Egyszerű Dinamikus Particókat tartalmaz Nem tartalmaz particókat Összefűzhetőek Gyors Nincs redundancia Ha egy kiesik oda az egész Csíkozott

Lemezkezelés Lemez: Dinamikus: Tükrözött RAID-5 Gyorsabb mint a RAID-5 Biztonságos Kiesés esetén nem lassul Nem túl hatékony RAID-5 Csíkozott, paritással Legalább három lemez kell Két lemeznyi területet használhatunk Egy lemeznyi terület paritás Bármelyik kiesik a másik kettőből visszaállítható a tartalom

Mentés visszaálítás Mentés Napi (nem törli a módosításjelzőket) Növekményes (törli a módosításjelzőket) Másolás (mindent átmásol nem törli a jelzőket) Normál (mindent másol törli a jelzőket)

ASR (Automatic System Recovery) Boot szektor hibás Kritikus fájlok hiányoznak ASR visszaállítja a particót is Ehhez kell egy biztonsági lemezt generálni

Tartalom Támogatott protokollok NWLINK NetBeui TCPIP NetBIOS DHCP Hasznos parancsok

Támogatott protokollok Hálózati kártya meghajtók Hálózati kártyák NDIS NWLink NetBEUI TCP/IP TDI NetBIOS Windows Sockets API alkalmazások TCP/IP alkalmazások Az ábrán látható, hogy a legalsó szinten a hálózati kártyák helyezkednek el. Felettük láthatjuk a meghajtó szoftver réteget mely felett az egységes kezelhetőséget biztosító NDIS(Network Driver Interface Specification) réteg található. Az NDIS réteg szerepe, hogy egy szabványos kapcsolódási felületet biztosítson a közeghozzáférési réteg és a hálózati réteg között. Az NDIS egy jól definiált felület mely megkönnyíti a gyártók számára a meghajtók írását. Az NDIS teszi lehetővé a számítógép számára több hálózati csatoló alkalmazását. A jelenlegi Microsoft Operációs rendszerek 3 szállítási rétegbeli protokollt támogatnak. Ezek felett helyezkedik el a TDI réteg (Transport Data Interface) mely szintén egy jól definiált kapcsolódási felületet biztosít a szállítási és a kapcsolati réteg között.

NWLink NetWare IPX SPX Az útvonalválasztók támogatják HW címek mint címek Az NWLink a NetWare szabványos IPX SPX protokolljának egy implementációja. Ez volt a szabványos Microsoft szállítási protokoll a WinNT 3.5-ben. A 3.51-óta a TCP/IP játssza ezt a szerepet. A protokoll előnye, hogy routolható. Az egyes kapcsolati pontok címeként azok hardvercímét használja. Ez a mód garantálja a címek egyediségét.

NetBEUI max 100-200 gép gyors kommunikácó minimális konfigurálási igény nem routolható A NetBEUI (Net BIOS Extended User Interface) protokollt az IBM fejlesztette ki. Egyszerű a telepítése beállítása. Win95/98 telepítése esetén alapértelmezett. Konfigurálásához csak a gép neve és a munkacsoport vagy domain neve szükséges. Nagy hátránya, hogy mivel az egyes csomagok nem tartalmazzák a célgépek címét csak a nevét ezért nem routolható. Ezért és az üzenetszórás gyakori alkalmazása miatt csak kisméretű hálózatok kiépítésére alkalmas.

TCP/IP szabványos routolható kapcsolatorientált kapcsolatnélküli általánosan használt kimerülő címkészlet

NetBIOS egyedi nevek csoport nevek kapcsolatorientált kapcsolatnélküli üzenetszórás NetBIOS címzéshez a számítógépek egyedi neveit használja. Ezek a nevek 16 karakterből állnak melynek utolsó karaktere meghatározza a számítógép vagy erőforrás típusát. Így tulajdonképpen az adott névben van a típus is elrejtve. A NetBIOS támogatja a kapcsolatnélküli és kapcsolatorientált kommunikációt is. Mint az előzőekben láthattuk a NetBEUI protokoll nem alkalmas routolásra. Tehát ha egy hállózat több alháózatból áll akkor a NetBIOS protokollt vagy TCP/IP vagy IPX/SPX protokollon keresztül kell megvalósítani. A NetBIOS protokoll nagy hétrénya az üzenetszórásos névfeloldás. Ennek kiküszöbölésére használhatjuk a WINS szervert vagy az LMHOSTS fájlt. A windows-os erőforrásokhoz NetBIOS-on keresztül férhetünk hozzá pl.: fájl megosztás.

DHCP dinamikus címkiosztás hatáskör fenntartott ügyfelek DHCP közvetítés A DHCP-t (Dinamic Host Configuration Protocoll) arra tervezték, hogy lehetővé tegyék az IP címek központi karbantartását elüde a BOOTP protokoll volt. Amikor a kliens gépet bekapcsoljuk az egy üzenetszórással a 68-as porta IP címet kér magának. Általában az első választ fogadja el. Az IP címen kívül igen sok más paramétert is átadhatunk. A DHCP szerveren beállíthatunk hatásköröket melyek egy-egy címtartományt fednek. Ha egy adott ügyfélnek mindég egy címet szeretnénk adni akkor az adott ügyfél hardver címéhez tudjuk kapcsolni a kívánt IP címet. Mivel a kommunikáció üzenetszórás jellegű ezért az útvonalválasztókon nem tud áthaladni. A továbbítását külön be kell állítani.

Hasznos parancsok ipconfig ping tracert nbtstat nslookup ipconfig: Ez a parancs kiirja az összes TCP/IP beállítást. DCHP használata esetén nagyon hasznos (renew, release). ping: Ezzel tudjuk ellenőrizni egy hállózati kapcsolat meglétét. tracert: Hasonló mint a ping csak itt az elérési utat is megkapjuk. nbtstat: Hasonló mint az ipconfig csak itt a NetBIOS paramétereket láthatjuk. nslookup: A DNS bejegyzések között tudunk keresni.