לדלג לתוכן

סקירה כללית על Active Directory

מהו Active Directory (AD) וכיצד הוא עובד?

שירות הActive Directory (AD) הוא שירות מבית Microsoft, שנועד לספק ניהול מרכזי של משאבים בארגון, כולל משתמשים, מחשבים, קבוצות ומשאבים נוספים. AD מאפשר לארגונים לשמור על סדר, להגדיר הרשאות גישה ולשלוט על מדיניות אבטחה מתוך נקודת ניהול מרכזית.
- היום כל חברה שמכבדת את עצמה משתמשת בAD כדי לנהל את הרשת שלה, ולכן אנשי רשתות ואנשי אבטחה חייבים להכיר את המוצר לעומק.

ההיסטוריה של Active Directory

שירות הActive Directory הוצג לראשונה עם Windows 2000 Server, וכיום הוא מהווה חלק בלתי נפרד מסביבות Windows Server. לפני כן, ניהול הרשת היה מבוסס על NT Domains, שהיו מוגבלים יחסית. AD הביא איתו תשתית מבוזרת, גמישה ומותאמת לארגונים מכל הגדלים.

עקרונות בסיסיים של Active Directory

0. אז מה זה בפועל?

הAD הוא בעצם מסד נתונים ענקי, ששומר מידע על כל המשתמשים, מחשבים, הרשאות ברשת. וכל הישיות ברשת שולפות מהAD, כדי לאמץ את ההגדרות שמוגדרות במסד.
- בAD אנחנו קוראים לרשת שלנו "דומיין", אומנם זה קצת מבלבל כי במילה דומיין אנחנו משתמשים גם כשאנחנו מדברים על DNS, אבל שכמדברים על AD המשמעות היא שונה.
- המחשבים והשרתים ברשת שולפים מהAD עם פרוטוקול LDAP, שנדבר עליו בהמשך.

הAD בנוי בצורה היררכית, כלומר הוא מחלק את הרשת לרמות שונות של ניהול ואבטחה:

1. מבנה היררכי

מהרמה הנמוכה ביותר לגבוהה

  • אובייקטים (Objects) – כל ישות שנמצאת בתוך Active Directory, כגון משתמשים, קבוצות, מחשבים היא אובייקט.
  • יחידות ארגוניות (OUs) – OU-ים היא חלוקה פנימית בתוך הדומיין לצורך ניהול גמיש יותר, למשל לפי מחלקות בארגון. ניתן לחשוב על זה כמו "תקייה" של אובייקטים, חשבו על מספר הגדרות מסויימות שאנחנו נותנים למחשבים או משתמשים מסויימים בדומיין.
  • דומיין (Domain) – קבוצת מחשבים, משתמשים ואובייקטים המנוהלים יחד תחת מדיניות משותפת, חשבו על זה כמו על הרשת בארגון.
  • יער (Forest) – הרמה הגבוהה ביותר בארגון, המכילה דומיינים רבים שיכולים לשתף מידע ביניהם- יער יכול להכיל מספר דומיינים. לפעמים נרצה להקים מספר דומיינים שונים ברשת של חברה, (ומכאן גם יעד שיאחד בניהם) נרצה לעשות משהו כזה מכמה סיבות. לדוגמה אם ברשת שלנו נרצה להקים דומיין מאובטח ששם נשים רק מחשבים מסויימים, ונכיל בדומיין הגדרות מסויימות ודומיין פחות מאובטח ששם נשים מחשבים אחרים והגדרות אחרות.

2. אימות מרכזי (Authentication)

הAD מאפשר אימות משתמשים בצורה מאובטחת. כאשר משתמש מנסה להיכנס לרשת, AD בודק את האישורים שלו ומעניק לו גישה בהתאם להרשאות שהוגדרו מראש. האימות מתבצע בעיקר באמצעות Kerberos, פרוטוקול אבטחה מתקדם שמונע התחזות וגניבת מידע. (נדבר עליו בהמשך)

3. שליטה בגישה (Authorization)

לאחר אימות מוצלח, AD קובע למה למשתמש יש גישה. ניתן להגדיר הרשאות לפי משתמשים, קבוצות או יחידות ארגוניות. למשל, ניתן להגדיר שרק אנשי מחלקת הנהלת חשבונות יוכלו לגשת לקבצים מסוימים בשרת או לשירותים מסויימים ברשת (למשל שרק המשתמשים הדומיינים שלהם יכולו לגשת לאתר הניהול של החשבונות בחברה).

4. ההפרדה בין משתמש למחשב

ברשתות דומייניות יש הפרדה לוגית בין מחשבים למשתמשים. מדוע? דמיינו ויש לכם מחשב ברשת, ודרכו אתם רוצים להתחבר למספר משתמשים שונים שהAD מכיר בהם, לכל משתמש כזה יש הרשאות שונות לשירותים מסויימים ברשת. בנוסף דמיינו ואתם קופצים למחשב של חבר שלכם לעבודה, ודרך המחשב שלו אתם רוצים להתחבר למשתמש הדומייני שלכם- גם תוכלו. זוהי הסיבה שגם שבהמשך שתגדירו רשת AD משלכם, תראו שצטרכו להגדיר משתמש דומייני לכל מחשב שיצטרף לדומיין שלכם.

איך ה Active Directory בנוי?

  1. שרתי Domain Controllers (DCs) – שרתים שמנהלים את הדומיין, מאחסנים את מסד הנתונים של AD, ומבצעים אימות משתמשים וניהול הרשאות.
  2. כלי Group Policies (GPOs) – מאפשרים שליטה מרכזית של הDC על הגדרות מערכת בכל הרשת. GPO-ים מאפשרים למנהלי הדומיין להכיל הגדרות מסויימות על קבוצות שונות של משתמשים או מחשבים (על OU-ים.)
  3. מגנוני Trusts – כאשר יש לנו יער עם כמה דומיינים, יש AD שונה לכל דומיין, ולפעמים נרצה לשתף אובייקטים מסויימים בין דומיינים ביער, אז אנחנו יכולים להגדיר יחסי trust כלשהן (שיתוף), יחסי אמון המאפשרים שיתוף משאבים בין דומיינים שונים.
  4. חלוקה גאוגרפית לSites – לפעמים הרשת הדומיינת שלנו היא רחבה מאוד, כלומר סניף אחד בישראל, אחד בארהב ואחד בהודו. זה קורה בחברות בינלאומיות, במקרה כזה נרצה לפזר את השרתי הDC שאחראים לניהול הדומיין במקומות גאוגרפים שונים. בAD אנחנו יכולים לחלק את הדומיין שלנו ל-Sites כאשר כל Site הוא מקום גאוגרפי אחר, ובכך אם משתמשים / מחשבים משוייכים לSite מסויים, הם יפנו רק לDC שנמצא איתם באותו הSite, וזה יגרום לשיפור ביצועים ולצמצום עומסים על התקשורת.
  5. רפלקצית DC-ים - כמו שתואר בדוגמה למעלה, לפעמים נרצה להקים כמה DC-ים. כדאי שיהיו כמה שרתים שונים שינהלו לנו את הדומיין, בשביל שרידות- מה יקרה עם שרת DC יפול? אנחנו רוצים שיהיה לנו DC ספייר, כי בלי הDC הAD לא יכול לעבוד כלל! בנוסף ריבוי DC-ים יתן לנו לבצע איזון עומסים, חשבו על כך- שרת אחד שמנהל את כל הרשת יכול להיות מאוד עמוס- וכך ריבוי DC-ים יכול לעזור. כאשר אנחנו מקימים דומיין עם כמה DC-ים הם צריכים לסנכרן את המסד הAD שלהם כל הזמן כדי שישארו מעודכנים, פעולה זו נקראת "רפלקציה", או בשמה האחר "dc sync".

בהמשך נרחיב על כל אחד מהמאפיינים למעלה, ואיך לבצע אותו ברשת הדומיינית שלכם.

השירותים המרכזיים של Active Directory

איזה שירותים יש על הDC-ים שלנו?
בשלב זה, לא נעסוק בשירותים מתקדמים כמו ADFS או ADCS, אלא נתמקד ברכיבים הבסיסיים שחשוב להכיר:

1. הActive Directory Domain Services (AD DS)

זהו השירות המרכזי של AD, והוא מנהל את כל הדומיינים, המשתמשים, המחשבים והמשאבים ברשת. כל דומיין בארגון מתבסס על AD DS, והוא מאחסן את כל הנתונים על אובייקטים שונים.

2. שירותי DNS ואינטגרציה עם Active Directory

הActive Directory תלוי בשרת DNS כדי לפעול כראוי. DNS משמש לתרגום שמות מחשבים לכתובות IP ולהיפך. ללא תצורה נכונה של DNS, Active Directory לא יפעל כמו שצריך, ולכן חשוב להגדיר את שרתי ה-DNS ברשת כך שיתמכו בסביבה הארגונית.

הכל ביחד

ביחד, כל השירותים יוצרים לנו את הרשת הארגונית שלנו. כל השירותים השונים רצים על שרתי הDC. (דרך אגב יכול להיות גם רק אחד כזה.)

מדוע להשתמש ב-Active Directory?

השימוש ב-AD מביא יתרונות רבים לארגונים:

  • ניהול ריכוזי: מאפשר שליטה מלאה על משתמשים, מחשבים והתקנים מהרמה הגבוהה ביותר בארגון.
  • אבטחה משופרת: באמצעות מדיניות קבוצתית (GPOs) ניתן לקבוע הנחיות אבטחה אחידות לכל המשתמשים והמחשבים.
  • ייעול תהליכים: ניהול משאבים וניהול הרשאות מתבצע בקלות ובמהירות.
  • מדרגיות: מתאים גם לארגונים קטנים וגם לרשתות גדולות ומורכבות.

סיכום

כלי הActive Directory הוא כלי רב עוצמה לניהול רשתות ארגוניות. הוא מאפשר שליטה מלאה על משתמשים, מחשבים, הרשאות ומשאבים, תוך שמירה על אבטחה גבוהה ויעילות תפעולית.