Active Directory — Microsoft tomonidan Windows domen tarmoqlari uchun yaratilgan katalog va identity xizmatlari oilasi. Ko‘pincha bu nom Active Directory Domain Services, ya’ni AD DSga nisbatan ishlatiladi. U foydalanuvchi, kompyuter, guruh va siyosat obyektlarini markaziy saqlaydi, domen autentifikatsiyasini bajaradi hamda administratorga ko‘plab qurilmalarni yagona tuzilma asosida boshqarish imkonini beradi. AD DS LDAP, Kerberos, DNS va boshqa protokollarni birgalikda qo‘llaydi.
Domen va forest
Domen umumiy katalog bazasi, DNS nomi va xavfsizlik siyosatiga ega mantiqiy chegara. Bir yoki bir nechta domen tree hosil qiladi; o‘zaro trust va umumiy schema bilan bog‘langan tree’lar forestni tashkil etadi. Forest AD DSdagi asosiy xavfsizlik chegarasi sifatida qaraladi. Organizational Unit, ya’ni OU obyektlarni ma’muriy guruhlash va Group Policy qo‘llash uchun xizmat qiladi, ammo u alohida domen yoki mustaqil xavfsizlik chegarasi emas.
Har obyektga Security Identifier — SID beriladi. Foydalanuvchi nomi o‘zgarsa ham SID ruxsat ro‘yxatlaridagi identityni saqlaydi. Distinguished Name obyektning katalog yo‘lini ifodalaydi; obyekt boshqa OUga ko‘chirilsa DN o‘zgarishi mumkin. Global Catalog forest bo‘yicha qidiruv uchun barcha obyektlarning tanlangan atributlarini saqlaydi.
Domain controller
Domain controller katalogning yoziladigan nusxasini saqlaydi, Kerberos ticket chiqaradi va domen loginini tekshiradi. AD DS ko‘p yozuvchili replikatsiyadan foydalanadi: aksariyat o‘zgarishlar istalgan yoziladigan controllerda bajarilib, boshqalariga tarqaladi. Ayrim maxsus vazifalar Flexible Single Master Operations rollari orqali ma’lum controllerlarga biriktiriladi.
Client domain controllerni DNSdagi SRV yozuvlari orqali topadi. Shu sababli domen qurilmalarida tasodifiy tashqi DNS serverini asosiy resolver qilish login, Group Policy va service discoveryni buzishi mumkin. Vaqt sinxronligi ham Kerberos ticketlari uchun muhim; katta vaqt farqi autentifikatsiyani rad ettiradi.
Autentifikatsiya va guruhlar
Kerberos domen ichidagi asosiy autentifikatsiya protokoli bo‘lib, foydalanuvchi parolini har xizmatga yubormasdan ticket asosida kirishni ta’minlaydi. Eski yoki moslik holatlarida NTLM ishlatilishi mumkin, ammo u relay va credential hujumlariga nisbatan zaifroq. Service Principal Name xizmat nusxasini Kerberos identitysi bilan bog‘laydi; takroriy yoki noto‘g‘ri SPN ticket olishni buzadi.
Guruhlar ruxsatlarni foydalanuvchilarga bevosita tarqatish o‘rniga rollar bo‘yicha boshqarishga yordam beradi. Security group access control listlarda ishlatiladi, distribution group esa asosan xabar tarqatish uchun. Group scope — domain local, global yoki universal — a’zolik va qaysi domen resursiga ruxsat berish chegaralarini belgilaydi.
Group Policy
Group Policy Object kompyuter va foydalanuvchi sozlamalarini markaziy tarqatadi. GPO site, domen yoki OUga bog‘lanadi; inheritance, link order, security filtering va WMI filtering yakuniy siyosatni shakllantiradi. Parol siyosati, firewall, script, sertifikat va dastur sozlamalari shu mexanizm bilan boshqarilishi mumkin. Siyosat natijasini taxmin qilish o‘rniga gpresult kabi vosita bilan real qo‘llangan qoidalar tekshiriladi.
Himoya va tiklash
Domain Admins kabi yuqori imtiyozli guruhlar minimal tarkibda saqlanadi. Administrator kundalik ish uchun oddiy hisob, boshqaruv uchun alohida hisob ishlatadi. Tiering yoki privileged access workstation yuqori credentiallarning pastroq ishonchli qurilmaga tushishini kamaytiradi. Domain controller internetga bevosita xizmat ko‘rsatmaydi va keraksiz dasturlardan xoli saqlanadi.
AD zaxirasi faqat fayllarni nusxalash emas; system state va katalogga mos tiklash jarayonini talab qiladi. Recycle Bin o‘chirilgan obyektlarni tiklashga yordam beradi, ammo backup o‘rnini bosmaydi. Forest recovery rejasi credential buzilishi yoki barcha controllerlar yo‘qolganda yangi ishonchli muhitni qayta qurish ketma-ketligini belgilaydi.
Bog‘liq tushunchalar
Domain controller, Kerberos, LDAP, Group Policy, DNS, Security Identifier, Forest