active directory что такое лес
HOW-TO: Разбираемся с деревьями в лесу, изучая терминологию Active Directory
Высший уровень логической иерархии AD — это лес. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации.
В состав леса могут входить как один, так и несколько доменов. Все объекты, создаваемые внутри леса, имеют общий набор атрибутов. Например, объект «пользователь» содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и другие параметры. Меняя этот набор, мы меняем его для всех объектов леса. Такой набор называется схемой AD. Она описывает все объекты, которые мы можем создать, и их структуру.
По умолчанию первый домен, который создан в лесу, считается его корневым доменом. Под доменом понимается логическая группа пользователей и компьютеров, которые поддерживают централизованное администрирование и настройки безопасности. Домен также служит единицей для репликации — все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.
Домены принято именовать, используя пространство имен DNS. Доверие, в свою очередь, — это связь между двумя доменами, при которой устанавливаются разрешения на доступ к тем или иным объектам другого домена. Дерево — не что иное, как набор доменов, которые используют связанные пространства имен. К примеру, если домен называется xakep.ru, то дочерний домен test будет выглядеть как test.xakep.ru. Резюмируя, можно условно нарисовать такую схему: «Лес — дерево — домен».
Реверс малвари
Чаще всего в организациях используют самую простую структуру. Один лес и в нем корневой домен, который содержит различные объекты, такие как пользователи и компьютеры. Развитая структура встречается в основном в крупных компаниях, с большим штатом ИТ-специалистов и разными уровнями ответственности. Зачастую полные права есть лишь у архитекторов, а рядовые администраторы имеют права только в своих доменах.
С первоначальной терминологией все. В одном из следующих выпусков расскажу о типах доверительных отношений.
Основные понятия и функции лесов ресурсов для доменных служб Azure Active Directory
Доменные службы Azure Active Directory (Azure AD DS) предоставляют возможность входа для устаревших локальных бизнес-приложений. Пользователи, группы и хэши паролей локальных и облачных пользователей синхронизируются с управляемым доменом Azure AD DS. Эти синхронизированные хэши паролей дают пользователям единый набор учетных данных, которые они могут использовать для локальных AD DS, Microsoft 365 и Azure Active Directory.
Хотя это защищенный метод с дополнительными преимуществами безопасности, некоторые организации не могут синхронизировать эти хэши паролей пользователей с Azure AD или Azure AD DS. Пользователи в организации могут не знать свой пароль, так как используют только проверку подлинности с помощью смарт-карты. Эти ограничения не позволяют некоторым организациям использовать Azure AD DS для переноса локальных классических приложений в Azure методом lift-and-shift.
В связи с этими потребностями и ограничениями можно создать управляемый домен, использующий лес ресурсов. В этой статье объясняется, что собой представляют леса и как они доверяют другим ресурсам, чтобы обеспечить безопасный метод проверки подлинности.
Что такое леса?
Лес — это логическая конструкция, используемая доменными службами Active Directory (AD DS) для группирования одного или нескольких доменов. Затем домены сохраняют объекты для пользователей или групп и предоставляют службы проверки подлинности.
На управляемых доменах Azure AD DS лес содержит только один домен. Локальные леса AD DS часто содержат много доменов. В крупных организациях, особенно после слияния и приобретения, у вас может быть несколько локальных лесов, каждый из которых будет содержать несколько доменов.
По умолчанию управляемый домен создается как лес объектов пользователя. Лес этого типа синхронизирует все объекты из Azure AD, включая учетные записи пользователей, созданные в локальной среде AD DS. Учетные записи пользователей могут напрямую проходить проверку подлинности в управляемом домене, например для входа в виртуальную машину, присоединенную к домену. Лес пользователей работает, когда хэши паролей можно синхронизировать и пользователи не используют единственный метод входа, например проверку подлинности с помощью смарт-карты.
В лесу ресурсов управляемого домена проверка подлинности пользователей осуществляется с помощью одностороннего доверия леса из локальных AD DS. При таком подходе пользовательские объекты и хэши паролей не синхронизируются с управляемым доменом. Пользовательские объекты и учетные данные существуют только в локальных AD DS. Такой подход позволяет предприятиям размещать в Azure ресурсы и платформы приложений, которым требуется классическая проверка подлинности, например LDAPS, Kerberos или NTLM, при этом устраняются проблемы проверки подлинности.
Леса ресурсов также предоставляют возможность переноса приложений методом lift-and-shift по одному компоненту за раз. Многие устаревшие локальные приложения являются многоуровневыми, часто используют веб-сервер или внешний интерфейс и множество компонентов, связанных с базами данных. Эти уровни затрудняют перемещение всего приложения в облако за один шаг. С помощью лесов ресурсов вы можете переносить приложение в облако поэтапно, чтобы упростить задачу.
Что такое отношения доверия?
Организациям, имеющим более одного домена, часто требуется, чтобы у пользователей был доступ к общим ресурсам в другом домене. Для доступа к этим общим ресурсам пользователи из одного домена должны пройти проверку подлинности в другом домене. Чтобы обеспечить эти возможности проверки подлинности и авторизации для клиентов и серверов в разных доменах, между двумя доменами должно быть установлено доверие.
Когда отношения доверия установлены, механизмы проверки подлинности для каждого домена доверяют проверки подлинности другого домена. Отношения доверия обеспечивают управляемый доступ к общим ресурсам в домене ресурсов (доверяющий домен) путем проверки того, что входящие запросы на проверку подлинности поступают из доверенного центра (доверенного домена). Отношения доверия действуют как мосты, которые пропускают только проверенные запросы проверки подлинности между доменами.
Способ передачи запросов на проверку подлинности в рамках отношений доверия зависит от настройки. Отношения доверия можно настроить одним из следующих способов:
Отношения доверия также можно настроить на обработку дополнительных отношений одним из следующих способов:
В некоторых случаях отношения доверия автоматически устанавливаются при создании доменов. В других случаях необходимо выбрать тип доверия и явно установить соответствующие связи. Конкретные типы отношений доверия и структура этих отношений зависят от того, как организована служба AD DS и существуют ли в сети разные версии Windows.
Отношения доверия между двумя лесами
Вы можете расширить доверительные отношения доменов в пределах одного леса на другой лес, вручную создав одностороннее или двустороннее доверие лесов. Доверие леса — это транзитивное доверие, существующее только между корневым доменом одного леса и корневым доменом второго.
Транзитивность доверия между лесами распространяется только на два леса-партнера. Доверие между лесами не распространяется на другие леса, которым доверяет один из партнеров.
Можно создавать различные конфигурации доверия между доменами и лесами в зависимости от структуры AD DS в организации. Azure AD DS поддерживает только односторонние отношения доверия между лесами. В этой конфигурации ресурсы управляемого домена могут доверять всем доменам в локальном лесу.
Поддержка технологии для отношений доверия
Отношения доверия используют различные службы и функции, такие как DNS, для поиска контроллеров домена в партнерских лесах. Отношения доверия также используют протоколы проверки подлинности NTLM и Kerberos и механизмы управления доступом и авторизации на основе Windows, чтобы обеспечить безопасную инфраструктуру связи между доменами и лесами в AD DS. Следующие службы и компоненты помогают поддерживать успешные отношения доверия.
AD DS требуется DNS для расположения и именования контроллера домена. Для успешной работы AD DS предоставляется следующая поддержка DNS:
Обычно развертывается пространство имен домена DNS, отражающее пространство имен домена AD DS. Если перед развертыванием AD DS существует пространство имен DNS, это пространство имен DNS обычно секционируется для AD DS, а также создается поддомен DNS и делегирование для корня леса AD DS. Затем добавляются дополнительные доменные имена DNS для каждого дочернего домена AD DS.
DNS также используется для поддержки расположения контроллеров домена AD DS. Зоны DNS заполняются записями ресурсов DNS, которые позволяют узлам и службам сети обнаруживать контроллеры домена AD DS.
Приложения и сетевой вход в систему
Приложения и служба сетевого входа в систему являются компонентами модели распределенного канала безопасности Windows. Приложения, интегрированные с Windows Server и AD DS, используют протоколы проверки подлинности для взаимодействия со службой сетевого входа в систему, чтобы можно было установить защищенный путь для проверки подлинности.
Протоколы проверки подлинности
Контроллеры домена AD DS проверяют подлинность пользователей и приложений с помощью одного из следующих протоколов:
Протокол проверки подлинности Kerberos версии 5
Протокол проверки подлинности NTLM
Проверка подлинности и управление доступом
Технологии авторизации и доверия работают совместно, чтобы обеспечить безопасную инфраструктуру связи между доменами и лесами в AD DS. Авторизация определяет уровень доступа пользователя к ресурсам в домене. Отношения доверия упрощают междоменную авторизацию пользователей, предоставляя путь для проверки подлинности пользователей в других доменах, чтобы их запросы к общим ресурсам в этих доменах можно было авторизовать.
Когда запрос на проверку подлинности, сделанный в доверяющем домене, проверяется доверенным доменом, он передается целевому ресурсу. Затем целевой ресурс определяет, следует ли авторизовать конкретный запрос, сделанный пользователем, службой или компьютером, в доверенном домене на основе конфигурации контроля доступа.
Отношения доверия предоставляют механизм для проверки запросов проверки подлинности, передаваемых в доверяющий домен. Механизмы управления доступом на компьютере ресурса определяют окончательный уровень доступа, предоставленный запрашивающему объекту в доверенном домене.
Энциклопедия Windows
Все об использовании и настройке Windows
Active Directory: леса и домены
Лес Active Directory определяет набор одного или нескольких доменов, использующих одни и те же схему, конфигурацию и глобальный каталог. Кроме этого, все домены участвуют в двусторонних транзитивных отношениях доверия. Обратим внимание на термины, которые используются в определении леса.
Существует три основных типа отношений доверия.
Выяснив значение базовых терминов, рассмотрим пример леса. Далее представлен единый лес, который содержит два дерева доменов.
На рисунке показаны четыре домена aw.net, west.aw.net, east.aw.net и person.net. Домены aw.net, west.aw.net и east.aw.net находятся в одном дереве доменов, так как они используют одно пространство имен (aw.net).
Домен person.net находится в другом дереве, так как он не является частью пространства имен aw.net. Обратите внимание, что в пределах домена east.aw.net (который не подписан) показаны символы OU. OU – это организационные подразделения (organizational units), которые будут рассматриваться в очередной статье.
Стрелки на рисунке представляют транзитивные отношения доверия, которые автоматически создаются при первоначальной настройке доменов в пределах леса. Обратите внимание, что дочерние домены (east и west) домена aw.net не связаны непосредственно с доменом person.net. Несмотря на это они доверяют домену person.net.
Причиной доверия является доверие дочерних доменов домену aw.net. Так как домен aw.net доверяет домену person.net, дочерние домены aw.net тоже доверяют домену person.net. Зная это, можно представить домены Active Directory в виде маленьких детей. Они безоговорочно верят всему, что говорят родители. Если родитель сообщает, что другому домену можно доверять, значит это именно так и есть.
Но разница между детьми и дочерними доменами заключается в том, что дочерние домены всегда соглашаются и не задают вопросов родителю.
Основные сведения о логической модели Active Directory
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Проектирование логической структуры для домен Active Directory служб (AD DS) включает определение связей между контейнерами в каталоге. Эти связи могут основываться на административных требованиях, таких как делегирование полномочий, или определяются операционными требованиями, такими как необходимость контролировать репликацию.
Прежде чем приступить к проектированию логической структуры Active Directory, важно понимать Active Directory логическую модель. AD DS — это распределенная база данных, которая хранит и управляет сведениями о сетевых ресурсах, а также данными приложений из приложений с поддержкой каталогов. AD DS позволяет администраторам организовывать элементы сети (например, пользователей, компьютеры и устройства) в иерархическую структуру вложенности. Контейнер верхнего уровня — это лес. В лесах находятся домены, а в доменах — подразделения (OU). Это называется логической моделью, так как она не зависит от физических аспектов развертывания, например от количества контроллеров домена, необходимых в каждом домене и топологии сети.
Лес Active Directory
Лес — это коллекция из одного или нескольких доменов Active Directory с общей логической структурой, схемой каталогов (определениями классов и атрибутов), конфигурацией каталога (сведениями о сайте и репликации) и глобальным каталогом (возможности поиска в масштабе леса). Домены в одном лесу автоматически связываются с двусторонними транзитивными доверительными отношениями.
Домен Active Directory
Домен — это раздел в Active Directory лесу. Секционирование данных позволяет организациям реплицировать данные только там, где это необходимо. Таким образом, каталог может глобально масштабироваться по сети, имеющей ограниченную доступную пропускную способность. Кроме того, домен поддерживает ряд других основных функций, относящихся к администрированию, в том числе:
Удостоверение пользователя в масштабе всей сети. Домены позволяют создавать удостоверения пользователей один раз и ссылаться на любой компьютер, присоединенный к лесу, в котором находится домен. Контроллеры домена, составляющие домен, используются для безопасного хранения учетных записей пользователей и учетных данных пользователей (таких как пароли или сертификаты).
Аутентификация. Контроллеры домена предоставляют пользователям службы проверки подлинности и предоставляют дополнительные данные авторизации, такие как членство в группах пользователей, которые можно использовать для управления доступом к ресурсам в сети.
Отношения доверия. Домены могут расширять службы проверки подлинности для пользователей в доменах за пределами собственного леса с помощью доверенных отношений.
Репликации. Домен определяет раздел каталога, который содержит достаточно данных для предоставления доменных служб, а затем реплицирует его между контроллерами домена. Таким образом, все контроллеры домена являются одноранговыми в домене и управляются как единое целое.
Active Directory подразделений
Подразделения можно использовать для формирования иерархии контейнеров внутри домена. Подразделения используются для группировки объектов для административных целей, таких как применение групповая политика или делегирования полномочий. Управление (над подразделением и объектами внутри него) определяется списками управления доступом (ACL) в подразделении и объектах в подразделении. Чтобы упростить управление большим числом объектов, AD DS поддерживает концепцию делегирования полномочий. С помощью делегирования владельцы могут передавать полный или ограниченный административный контроль над объектами для других пользователей или групп. Делегирование важно, так как оно помогает распределять управление большим количеством объектов по нескольким людям, которые являются доверенными для выполнения задач управления.
Модели архитектуры леса
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В среде Active Directory можно применить одну из следующих трех моделей проектирования леса:
Модель организационного леса
Модель леса ресурсов
Модель леса с ограниченным доступом
Скорее всего, потребуется использовать сочетание этих моделей для удовлетворения потребностей всех разных групп в Организации.
Модель организационного леса
В модели организационных лесов учетные записи пользователей и ресурсы содержатся в лесу и управляются независимо друг от друга. Организационный лес можно использовать для обеспечения автономности служб, изоляции служб или изоляции данных, если лес настроен для предотвращения доступа к любому пользователю за пределами леса.
Если пользователям в организационном лесу требуется доступ к ресурсам в других лесах (или наоборот), отношения доверия могут быть установлены между одним организационным лесом и другими лесами. Это дает администраторам возможность предоставлять доступ к ресурсам в другом лесу. На следующем рисунке показана модель организационного леса.
Каждый Active Directoryный проект содержит по крайней мере один организационный лес.
Модель леса ресурсов
В модели леса ресурсов для управления ресурсами используется отдельный лес. Леса ресурсов не содержат учетных записей пользователей, кроме тех, которые необходимы для администрирования службы, и те, которые необходимы для предоставления альтернативного доступа к ресурсам в этом лесу, если учетные записи пользователей в лесу организации становятся недоступными. Отношения доверия лесов устанавливаются таким образом, чтобы пользователи из других лесов могли обращаться к ресурсам, содержащимся в лесу ресурсов. На следующем рисунке показана модель леса ресурсов.
Леса ресурсов обеспечивают изоляцию служб, используемую для защиты областей сети, которые должны поддерживать состояние высокого уровня доступности. Например, если в вашей компании есть производственный механизм, который должен продолжать работать при возникновении проблем в оставшейся части сети, можно создать отдельный лес ресурсов для производственной группы.
Модель леса с ограниченным доступом
В модели леса с ограниченным доступом создается отдельный лес, содержащий учетные записи пользователей и данные, которые должны быть изолированы от остальной части Организации. Ограниченные леса доступа обеспечивают изоляцию данных в ситуациях, когда последствия компрометации данных проекта являются серьезными. На следующем рисунке показана модель ограниченного леса доступа.
Пользователям из других лесов не может быть предоставлен доступ к ограниченным данным, так как доверие не существует. В этой модели у пользователей есть учетная запись в лесу организации для доступа к общим ресурсам Организации и отдельная учетная запись пользователя в лесу ограниченного доступа для доступа к классифицированным данным. Эти пользователи должны иметь две отдельные рабочие станции, один из которых подключен к лесу организации, а другой — к лесу с ограниченным доступом. Благодаря этому администратор службы из одного леса может получить доступ к рабочей станции в лесу с ограниченным доступом.
В экстремальных случаях лес ограниченного доступа может поддерживаться в отдельной физической сети. Организации, работающие с классифицированными правительственными проектами, иногда поддерживают ограниченные леса доступа в отдельных сетях для удовлетворения требований безопасности.