2008년 10월 26일 일요일

Active Directory Collection


........

Active Directory is typically used for one of three purposes:

  • Internal directory. Used within the corporate network for publishing information about users and resources within the enterprise. A company’s internal directory may be accessible to employees when they are outside the company network using a secure connection such as a virtual private network (VPN) connection, but it is not accessible to non-employees.
  • External directory. These are directories typically located on servers in the perimeter network or demilitarized zone (DMZ) at the boundary between the corporate local area network (LAN) and the public Internet. External directories are typically used to store information about customers, clients, and business partners who access external applications or services. They are also made available to customers, clients, and business partners to provide them with selected business information such as catalogs and so on.
  • Application directory. Application directories store “private” directory data that is relevant only to the application in a local directory, perhaps on the same server as the application, without requiring any additional configuration to Active Directory. The personalization data, which is only interesting to the portal application and does not need to be widely replicated, can be stored solely in the directory associated with the application. This solution reduces replication traffic on the network between domain controllers.


Active Directory on a Windows Server 2003 Network

Active Directory is the information hub of the Windows Server 2003 operating system. The following figure shows Active Directory as the focal point of the Windows Server 2003 network used to manage identities and broker relationships between distributed resources so they can work together.

Active Directory on a Windows Server 2003 Network

........


작성자: 시간: 댓글 없음:
라벨: , ,

[wiki] Active Directory


Quelle : Active Directory - Wikipedia DE

Der Verzeichnisdienst von Microsoft Windows 2000/Windows Server 2003 heißt Active Directory (AD). Ab der aktuellen Version Windows Server 2008 wird die Kernkomponente als Active Directory Domain Services (ADDS) bezeichnet. .....

Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen.

Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.

Serverrollen

Seit Windows Server 2008 sind unter dem Begriff Active Directory fünf verschiedene Serverrollen zusammengefasst:

  • Active Directory Domain Services (Active Directory Domänen Verzeichnisdienst, ADDS) sind die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der Domänen- und Ressourcenverwaltung.
  • Active Directory Lightweight Directory Services (Active Directory Lightweight Verzeichnisdienst, ADLDS) sind eine funktional eingeschränkte Version des ADDS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.

  • Active Directory Federation Services (Active Directory Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der ADDS-Infrastruktur befinden.

  • Active Directory Rights Management Services (Active Directory Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.

  • Active Directory Certificate Services (Active Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

Die vier Hauptkomponenten

1. Lightweight Directory Access Protocol (LDAP)

Der LDAP-Server stellt Informationen über Benutzer und deren Gruppenzugehörigkeit bereit. Aber auch andere Objekte wie zum Beispiel die Zertifikate eines Computers werden in dem Verzeichnis gespeichert.

2. Kerberos-Protokoll

Kerberos ist ein Protokoll, mit welchem der Benutzer authentifiziert wird, so dass er ein sogenanntes „Ticket Granting Ticket“ (TGT) erhält. Mit diesem ist es möglich, sich Diensttickets für den Zugriff auf einen bestimmten Dienst innerhalb des Netzwerks zu besorgen. Der Benutzer muss dabei nur einmal sein Passwort eingeben, um das TGT zu erhalten. Die Besorgung der Diensttickets erfolgt dabei im Hintergrund.

3. Common Internet File System (CIFS)

Das CIFS-Protokoll ist für die Ablage von Dateien im Netzwerk vorgesehen. Dabei wird DNS zum Auffinden der einzelnen Computersysteme und Dienstinformationen (SRV Resource Record) genutzt. Es stellt außerdem aufgrund des standardisierten Protokolls eine Möglichkeit zur Anbindung an das Internet dar.

4. Domain Name System (DNS)

Anders als frühere Windows-Versionen wie zum Beispiel Windows NT 4.0, welche für die Namensauflösung NetBIOS verwendeten, ist für Active Directory ein eigenes DNS erforderlich. Um voll funktionsfähig zu sein, muss der DNS-Server SRV-Ressourceneinträge unterstützen.
Aus Gründen der Kompatibilität sind Windows 2000 oder -XP-Clients mit entsprechender Konfiguration auch bei Einsatz eines Active Directories weiterhin in der Lage, mit Hilfe von NetBIOS oder WINS Ressourcen im Netzwerk ausfindig zu machen.

...............



2007/08/27 - [Network/Link for Network] - Active Directory란 무엇인가?

작성자: 시간: 댓글 없음:
라벨: , , , , , , , ,

Active Directory란 무엇인가?

출처 : 포항 MBC 기술부 홈페이지

Directory Service란 Network 상의 Resources을 정의하고 Users 및 Applications이 이를 사용할 수 있도록 하는 Network Service .....  
여기서 Resource이란 Computer, Email Address, Printer 등을 포함 .....
이상적인 Directory Service는 물리적인 Network Topology나 Protocol을 투명하게 해서 물리적으로 그것들이 어떻게 구성되어 있건 간에 User가 Resource를 이용하고자 할 때 실제로 그 Resource가 어디에 어떻게 연결되어 있는지 몰라도 이용가능하도록 구현되어야 한다.

현재 가장 널리 이용되는 Directory Service를 들라고 하면 Email Address를 대상으로 주로 사용되는 LDAP와 Novell Netware Network에서 이용되는 NDS(Netware Directory Service)가 있으며 거의 모든 Directory Service가 ITU(International Telecommunication Union)의 X.500 Standard에 기반..... 
간단하게 말하면 Network 상의 모든 Resources에 관한 정보를 담고 있는 중앙 Service 또는 Server.

Windows 2000의 Active Directory는 위와 같은 표준에 따른 Microsoft Version의 Directory Service.

Details ...


작성자: 시간: 댓글 없음:
라벨: , , , , , , ,

2008년 10월 20일 월요일

[Tip] How to create a New User on Windows Server 2003


Windows Server 2003의 경우 새로 설치하고 나면 사용자는 Administrator뿐이다.

Terminal Services를 사용하지 않고자 하거나, 이 Server를 이용하는 다른 사용자가 없다고 하더라도, 새로이 User를 추가하는 것은 유용하다.

아래 Link의 저자가 추천하는 것은 Administrator외에 추가로 2명의 User를 더 생성하는 것이다.

하나는 직접 Administrator Account에 로그인하는 것을 피하기 위한 "Administrators" group의 한 구성원이면서, 어쩔 수 없이 Administrator로 로그인해야만 하는 상황에 사용하기 위한 사용자이다.

또 다른 하나는 "Users" group의 한 구성원이다.
UNIX에서와 같이 오직 이 Regular User로서만 로그인하고, Administrator로서 Program을 실행할 필요가 있을 때에는 "runas" Command를 사용하기를 권고하고 있다.

Windows Server에서 관리자가 이런 환경에서 작업하는 것은 상당히 불편하므로 이 권고를 그대로 따르지는 않겠지만, 적어도 Administrator Account를 그대로 사용하는 것만은 바람직하지 못하다.
임의로 "Administrators" group에 속하는 사용자를 새로이 생성하여 사용하고 Administrator Account를 비활성화하는 것이 내가 택한 절충안이다. 당연한 말이지만 이런 식으로 조금 더 편리함을 도모할수록 보안상의 위험성이 높아진다는 것을 명심할 필요가 있다.

Control Panel에는 새로운 사용자를 생성하기 위한 Shortcut이 제공되지 않는다.
새로운 사용자 생성은 Local User and Groups snap-in (Start menu - Run - lusrmgr.msc)을 통해 가능하다.







작성자: 시간: 댓글 없음:
라벨: , , , , , , ,

[Tip] Deactivate the Shutdown Event Tracker + Set Interactive logon: Do not require CTRL+ALT+DEL

Group Policy Object Editor(Start menu - Run - gpedit.msc)
- Computer Configuration
     - Administrative Templates
          - System
               [Display Shutdown Event Tracker]항목을 "disabled"로 설정.


- Computer Configuration
     - Windows Settings
          - Security Settings
              - Local Policies
                   - Security Options
                       [Interactive logon: Do not require CTRL+ALT+DEL]항목을 "enabled"로 설정.


작성자: 시간: 댓글 없음:
라벨: , , , , , ,
피드 구독하기: 글 (Atom)