Hva er egentlig Active Directory?

Den største nyheten i Windows 2000 er Active Directory. Men de færreste har vel helt klart for seg hva dette egentlig er. digi.no gir deg her en liten innføring.

Active Directory er kanskje mest kjent som den viktigste årsaken til at Windows 2000 er blitt så forsinket. Men Active Directory er også Microsofts nye måte å gi knytte sammen ressurser i et datanettverk, uansett størrelse.

Active Directory er en omfattende katalogtjeneste som har som oppgave å organisere, administrere og kontrollere ressurser. Det ser basert på etablerte standarder som DNS (Domain Name Service), TCP/IP (Transmission Control Protocol/Internet Protocol), DHCP (Dynamic Host Configuration Protocol) og LDAP (Leightweight Directory Access Protocol) for å støtte samvirke med andre typer systemer.

Ressurser eller objekter i Active Directory kan være så mangt. De viktigste vil være maskiner, brukere, skrivere og servere med spesielle oppgaver. Hvert objekt identifiseres med et globalt unik identifikasjonsnummer (GUID).
Les også:
Omfattende og krevende Windows 2000
Den logiske strukturen i Active Directory og Windows 2000 skiller seg en del fra den de fleste kjenner fra Windows NT. Strukturen er på øverste nivå inndelt i en eller flere "skoger". Det kan medføre en del vanskeligheter å ha mer enn én skog, derfor anbefales det kun i spesielle tilfeller.

Figuren til høyre viser et typisk oppsett av den logiske strukturen til Active Directory. Denne "skogen" av to "trær". I roten av disse ligger det en domenekontroller for det første nivået av underdomener i dette nettverket. Under disse forgrener trærne seg til neste nivå med underdomener. Forbindelsene mellom de forskjellige domenekontrollerne kalles "trusts". For hvert domene eller underdomene bør det være to domenekontrollere, én primær og én sekundær.

I hvert nettverk må det være én global katalogserver. Denne inneholder en delmengde av attributtene til alle objektene i nettverket. Det er svært enkelt å gjøre en domeneserver om til en global katalogserver. Det kreves kun et klikk på en opsjonsboks i MMC-verktøyet (Microsoft Management Console). Det bør kun være én global katalogserver i et nettverk. Flere slike servere går ut over ytelsen i nettet.

Endringer som skjer ved én domenekontroller replikeres til de andre domenekontrollerne med jevne mellomrom.

Flere av domenekontrollerne vil også ha andre, spesielle oppgaver. Blant annet hvis nettverket består av servere basert på Windows NT, vil én av Windows 2000-maskinene også fungere som PDC-emulator (Primary Domain Controller). For å få til dette må Windows 2000-serverne kjøre i såkalt "mixed mode". Dette er en mindre effektiv modus enn "native mode", men gjør at brukerne ikke trenger å oppgradere alle serverne til Windows 2000 umiddelbart. Det er mulig å gå fra mixed mode til native mode ved et senere tidspunkt, men ikke omvendt.

Hvert domene består av én eller flere organisatoriske enheter. Disse brukes til å administrere lokale ressurser.

Også når det gjelder grupper er det flere forskjeller mellom Windows 2000 og Windows NT. I Windows 2000 og Active Directory finne det to typer grupper - sikkerhetsgrupper og distribuerte grupper. Distribuerte grupper gir høyere ytelse ved innlogging, men er mindre sikre enn sikkerhetsgruppene. Du bør i utgangspunktet bruke distribuerte grupper med mindre du trenger sikkerhetsegenskapene sikkerhetsgrupper tilbyr.

I tillegg kan gruppene ha tre forskjellige rekkevidder:

  • Lokale domenegrupper gir medlemmer fra ethvert domene i skogen tilgang til ressurser inne ett bestemt domene.
  • Globale grupper gir medlemmer fra eget domene tilgang til ressurser i ethvert domene.
  • Universelle grupper gir medlemmer fra ethvert domene tilgang til ressurser i ethvert domene.

Ved hjelp av den sentrale kontrollen over objektene i nettverket er det enkelt å administrere gruppene. Du kan for eksempel i MMC-verktøyet gi brukere tilgang til nye domener ved å gripe fatt i navnet på brukeren og dra det over til navnet på det nye domenet. Da kan brukere logge seg på det nye domene med samme brukernavn og passord som på det opprinnelige domenet - det vil si hvis dette er ønskelig.

Noe av hensikten er at brukerne skal kunne logge seg på i hvilken som helst gren av nettverket og likevel få tilgang til sine ressurser.

Dette er svært enkelt å få til. For å veie opp litt har Microsoft gjort det langt mer komplisert å sette de enkelte brukernes- eller gruppenes rettigheter.

- Selv for mange erfarne Windows NT-instruktører er dette vanskelig å få til, forteller Brian Myers, innehaver av The Myers Organization, et selskap som blant annet tilbyr undervisning i Windows 2000. Myers mener at Microsoft har gjort dette unødvendig komplekst og hadde foretrukket at mange av de avanserte egenskapene hadde blitt tilgjengelige kun for de som ønsket det.

Denne artikkelen er ikke ment som noen komplett innføring i Active Directory, men mer som en lett skraping i "det øverste laget" - forhåpentligvis uten å inneholde for store feil. Administrasjon av Active Directory krever langt grundigere innføring enn det som er mulig å gi gjennom en enkel artikkel. Vi snakker da heller om en tykk bok, en god instruktør, samt inngående kunnskap om DNS og nettverk.
Til toppen