לדלג לתוכן

הרצאה: שירותי דומיין ב-Active Directory (AD DS)

מבנה מסד הנתונים של Active Directory

שירות הActive Directory Domain Services (AD DS) הוא מסד נתונים מבוסס-עצמים המאחסן מידע על משתמשים, קבוצות, מחשבים, משאבים ורכיבים נוספים בתוך רשת הארגון. הנתונים נשמרים בקובץ בשם NTDS.DIT, שממוקם בתקיית C:\Windows\NTDS בשרת הDC (Domain Controller, DC).

תכונות עיקריות של מסד הנתונים:

  • רפליקציה (Replication) – כל הDC-ים בדומיין מסנכרנים נתונים באופן אוטומטי ביניהם.
  • שילוב עם פרוטוקול LDAP – מאפשר גישה למידע דרך פרוטוקול סטנדרטי.

אובייקטים ב-Active Directory

כל רכיב ב-AD מיוצג כאובייקט, ויכול להיות מסוגים שונים, כגון:

  • משתמשים (Users) – מייצגים חשבונות משתמשים בארגון.
  • קבוצות (Groups) – מאפשרות ניהול הרשאות משותף.
  • מחשבים (Computers) – מייצגים תחנות עבודה ושרתים.
  • יחידות ארגוניות (Organizational Units - OUs) – מאפשרות חלוקה לוגית של הארגון לניהול מבוזר.

סכמת AD (Active Directory Schema)

סכמת AD היא התבנית שמגדירה את סוגי הנתונים שניתן לאחסן בתוך מסד הנתונים של Active Directory. כל אובייקט חייב להיות מוגדר על פי הסכמה, הכוללת:

  • מחלקות אובייקטים (Object Classes) – מגדירות את סוגי האובייקטים (למשל, משתמשים, קבוצות, מחשבים).
  • תכונות (Attributes) – כל מחלקת אובייקט מכילה תכונות מסוימות (למשל, שם משתמש, סיסמה, כתובת דוא״ל).
  • מחלקות על (Parent Classes) – מאפשרות היררכיה בין אובייקטים.

מחיצות (Partitions) ב-Active Directory

הAD מחולק למספר מחיצות לוגיות:

  1. מחיצת התצורה (Configuration Partition) – מכילה מידע על המבנה ההיררכי של היער.
  2. מחיצת הסכמה (Schema Partition) – מכילה את ההגדרות של סוגי האובייקטים והתכונות שלהם.
  3. מחיצת הדומיין (Domain Partition) – מכילה את כל האובייקטים הספציפיים לדומיין (משתמשים, קבוצות, מחשבים).
  4. מחיצת היישומים (Application Partition) – מיועדת לאחסון מידע מותאם אישית עבור יישומים.

פרוטוקול LDAP וכיצד הוא פועל

פרוטוקול Lightweight Directory Access Protocol (LDAP) הוא פרוטוקול שמשמש אותנו לגישה וליצירת שאילתות מול שירותי מדריך כמו Active Directory. LDAP מאפשר לקרוא, לעדכן ולמחוק נתונים במבנה היררכי.

תכונות עיקריות של LDAP:

  • מודל מבוסס-עצמים – מבוסס על עץ היררכי (Distinguished Name - DN).
  • תמיכה בשאילתות מתקדמות – מאפשר ביצוע חיפושים מבוססי פילטרים.
  • אבטחה ואימות – כולל תמיכה באימות באמצעות Kerberos או TLS.

דוגמא לשאילתת LDAP

לדוגמה, כדי לחפש משתמש בשם "David" בתוך OU בשם "Users" בדומיין example.com:

dn: CN=David,OU=Users,DC=example,DC=com
objectClass: user

סיכום

שירותי הדומיין של Active Directory מספקים ניהול מרכזי למשתמשים, מחשבים ומשאבים בארגון. מסד הנתונים שלו מבוסס על סכמות ומחיצות, ומאפשר גישה באמצעות פרוטוקול LDAP לניהול גמיש ומאובטח.