Active Directory (AD) – это служба управления и идентификации пользователями в среде Windows-сервера. Она хранит информацию об учетных записях пользователей, группах, компьютерах и других объектах сети. Active Directory позволяет администраторам централизованно управлять учетными записями, устанавливать права доступа и ограничения для пользователей, а также синхронизировать данные с различными приложениями внутри сети. Включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую функцию. Благодаря Active Directory, пользователи могут авторизоваться на сервере с помощью одной и той же учетной записи, даже если они работают на разных компьютерах, под разными операционными системами и в разных частях сети.Например, AD DS хранит сведения об учетных записях пользователей, таких как имена, пароли, номера телефонов и т. д., и позволяет другим авторизованным пользователям в той же сети получать доступ к этой информации.
Active Directory хранит сведения об объектах в сети и предоставляет эту информацию администраторам и пользователям, которые могут легко найти и использовать ее. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации сведений в каталоге.
Это хранилище данных, также известное как каталог, содержит сведения об объектах Active Directory. Эти объекты обычно включают общие ресурсы, такие как серверы, тома, принтеры и учетные записи пользователей сети и компьютеров. Для доступа к возможности аутентификации через LDAP и Active Directory из web-приложений и мобильных приложений может быть с успехом применен протокол Keycloak.
Первоначально создавалась, как LDAP-совместимая реализация службы каталогов X.500, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Представление решения состоялось в 1999 году, впервые продукт был выпущен вместе с Windows 2000 Server, а затем развит в рамках выпуска Windows Server 2003. Впоследствии новые версии продукта вошли в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых исполняемых файлах.
В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory тесно интегрирована с DNS и работает только поверх TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает Kerberos-аутентификацию, используется протокол NTLM.
Для разработчиков программного обеспечения предоставляется программный интерфейс доступа к службам Active Directory — ADSI.
Различные уровни взаимодействия с Active Directory могут быть реализованы в большинстве UNIX-подобных операционных систем посредством LDAP-клиентов, но такие системы, как правило, не воспринимают большую часть атрибутов, ассоциированных с компонентами Windows, например, групповые политики и поддержку односторонних доверенностей. Однако с выходом Samba 4 появилась возможность использовать групповые политики и инструменты администрирования Windows.
Следует также учитывать, что применение Active Directory никоим образом не ограничивается традиционным применением локальных сетей, но применимо для целей СКУД / видеонаблюдение / IoT / VOIP.
Безопасность интегрирована с Active Directory с помощью проверки подлинности входа и управления доступом к объектам в каталоге. С помощью одного входа в сеть администраторы могут управлять данными каталога и организацией по всей сети, а авторизованные пользователи сети могут получать доступ к ресурсам в любой точке сети. Администрирование на основе политики облегчает управление даже очень сложной сетью.
Active Directory также включает:
- Набор правил, схема, определяющий классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения экземпляров этих объектов, а также формат их имен.
- Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения о каталоге независимо от того, какой домен в каталоге фактически содержит данные.
- Механизм запроса и индекса, позволяющий публиковать и находить объекты и их свойства сетевыми пользователями или приложениями.
- Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех сведений о каталоге для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.