AD domän

I ett tidigare avsnitt gick vi igenom Active Directory logiska och fysiska komponenter.
Vi har också implementerat ett virtuellt nätverk i VirtualBox, där två Windows-servrar kommer att promoteras till domänkontrollanter (Domain Controllers).

Det innebär att dessa servrar, som kör Windows Server-operativsystem, kommer att få Active Directory Domain Services (AD DS) installerat. När AD DS är installerat och aktivt har servrarna promoterats till domänkontrollanter. Från och med detta ögonblick ansvarar de för autentisering, auktorisering och hantering av alla objekt inom domänen.

I detta avsnitt ska vi tydliggöra några centrala begrepp kopplade till Active Directory struktur, såsom domän, underdomän och skog.

Vad är en domän?

En domän inom Active Directory (AD) är en logisk och administrativ enhet som används för att organisera, hantera och skydda nätverksresurser i ett Windows-baserat nätverk.

Domänen fungerar som en centraliserad struktur där användarkonton, datorer, grupper, säkerhetspolicyer och resurser administreras gemensamt. Alla dessa resurser registreras i Active Directory-databasen, som lagras och hanteras av domänkontrollanten (Domain Controller, DC).

En domän kan ses som den digitala grunden för en organisation, där användare loggar in, får behörigheter och kommer åt nätverkets gemensamma resurser. Till exempel kan en användare:

  • logga in på vilken dator som helst inom domänen med sitt vanliga användarkonto,
  • få åtkomst till delade mappar eller filservrar som innehåller gemensamma dokument,
  • använda flera applikationer och skrivare som är tillgängliga för hela organisationen,
  • och automatiskt omfattas av säkerhetspolicyer och regler som styr lösenord, uppdateringar och rättigheter.

Exempel – hur en domän kan illustreras:

För att visualisera en domän kan du tänka dig en triangelformad struktur:

  • Högst upp i triangeln finns domänkontrollanten (DC) – den server som kör Active Directory Domain Services (AD DS) och hanterar autentisering, auktorisering samt policy, enkelt sagt sammanhängande regler.
  • Till höger om triangeln kan man placera applikationer, som i sin tur använder resurser och identiteter från domänen. Dessa applikationer kan vila på en databas och ett fildelningssystem (File Share).
  • Inuti triangeln finns Domain Policy, Group Policy Objects (GPOs) samt användare och grupper, organiserade i Organisationsenheter (OUs).

Denna struktur visar på ett enkelt sätt hur domänkontrollanten är centralpunkten som binder samman alla resurser och styr åtkomst, säkerhet och policyer inom nätverket.

Syftet med en AD-domän

Huvudsyftet med en AD-domän är att skapa en sammanhängande och enhetlig miljö där administratörer kan:

  • hantera användarkonton, datorer och grupper,
  • tillämpa säkerhetspolicyer,
  • och kontrollera åtkomst till resurser på ett effektivt och säkert sätt.

För användarna innebär det att de kan logga in på vilken dator som helst inom domänen med samma användarkonto, och fortfarande ha tillgång till sina personliga filer och inställningar oavsett var de befinner sig.

Fördelar med att använda en domän

  • Centraliserad administration: Alla resurser hanteras på en central plats, vilket förenklar underhåll och konfiguration.
  • Säkerhet: Möjligheten att använda centraliserade säkerhetspolicyer och behörighetskontroller ökar nätverkets säkerhet.
  • Skalbarhet: En domän kan växa och stödja ett stort antal användare, datorer och resurser.
  • Åtkomstkontroll: Administratörer kan definiera olika nivåer av behörighet och åtkomst till resurser.
  • Enkel inloggning (Single Sign-On): Användare loggar in en gång och får tillgång till resurser inom hela domänen.

Objekt i Active Directory

I en Active Directory-domän tilldelas alla användare och datorer ett domänkonto.
Användarna organiseras i grupper, och grupperna placeras i organisationsenheter (OUs). Alla dessa komponenter – användare, datorer, grupper, skrivare med mera – betraktas som objekt i Active Directory.

Ett objekt är den grundläggande byggstenen i AD och representerar en entitet i nätverket.
Varje objekt innehåller information om denna entitet, såsom dess egenskaper och attribut. Varje objekt har dessutom en unik identifierare, kallad Distinguished Name (DN), som identifierar objektet i hela AD-miljön.

Objektens hierarki i Active Directory

Objekten i Active Directory är organiserade i en hierarkisk, trädliknande struktur.
I denna struktur fungerar domänen som roten, medan underdomäner och organisationsenheter (OUs) utgör grenarna som förgrenar sig därifrån.

Metaforen träd i Active Directory ska förstås logiskt, inte visuellt.
I naturen växer trädet uppåt från roten, men i AD-terminologin brukar man rita trädet upp och ner, med roten överst. Det beror på att man ofta visar den överordnade domänen högst upp, och låter underordnade domäner och enheter ”växa nedåt” i strukturen.

Denna logiska trädstruktur gör det möjligt att skapa en ordnad och överskådlig organisation av nätverkets resurser, där varje nivå kan ha egna behörigheter, policyer och ansvar.