Active Directory (AD)

Active Directory je adresářová služba vyvinutá společností Microsoft pro sítě typu doména. Slouží jako centrální databáze pro ukládání informací o uživatelích, počítačích, skupinách, tiskárnách a dalších prostředcích v síti.

Hlavním účelem AD je umožnit administrátorům spravovat oprávnění a přístup k síťovým zdrojům z jednoho centrálního místa.

Logická struktura Active Directory

AD organizuje objekty do hierarchické struktury, což umožňuje škálovatelnost od malých kanceláří až po nadnárodní korporace.

1. Objekty (Objects)

Základní jednotka v AD. Objekty představují konkrétní položky, jako jsou uživatelé, počítače, tiskárny nebo sdílené složky. Každý objekt má své atributy (např. jméno, příjmení, e-mail, telefonní číslo).

2. Organizační jednotky (Organizational Units - OU)

Kontejnery v rámci domény, do kterých se vkládají objekty. Slouží k:

Logickému členění (např. OU „Marketing“, OU „IT“).
Delegování práv (např. správce IT může spravovat jen uživatele v OU „Marketing“).
Aplikaci skupinových politik (GPO).

3. Domény (Domains)

Hlavní administrativní jednotka. Všechny objekty v jedné doméně sdílejí společnou databázi a bezpečnostní politiku. Doména má obvykle název ve formátu DNS (např. mojefirma.local).

4. Stromy (Trees)

Seskupení jedné nebo více domén, které sdílejí společný jmenný prostor (např. vyvoj.mojefirma.local je součástí stromu mojefirma.local).

5. Lesy (Forests)

Nejvyšší úroveň hierarchie. Les sdružuje jeden nebo více stromů, které sdílejí společné Schéma (strukturu databáze) a Global Catalog (index všech objektů).

Fyzická struktura

Zatímco logická struktura řeší organizaci, fyzická struktura řeší výkon a dostupnost.

Domain Controller (DC): Server, na kterém běží služba Active Directory. Obsahuje kopii databáze AD a provádí autentizaci uživatelů.
Sites (Lokality): Reprezentují fyzickou topologii sítě (např. kancelář v Praze a pobočka v Brně). Slouží k optimalizaci replikace dat mezi DC, aby se zbytečně nezatěžovaly pomalé linky.

Klíčové mechanismy a funkce

Autentizace a Autorizace

AD využívá k ověřování uživatelů především protokol Kerberos, který je bezpečnější než starší NTLM. Po přihlášení uživatel obdrží „lístek“ (ticket), který mu umožňuje přístup k povoleným zdrojům bez nutnosti znovu zadávat heslo (Single Sign-On - SSO).

Group Policy (GPO)

Skupinové politiky umožňují hromadnou konfiguraci počítačů a uživatelů. Pomocí GPO lze například:

Všem uživatelům nastavit stejné pozadí plochy.
Zakázat používání USB disků.
Automaticky instalovat software.

Schéma AD

Definuje pravidla pro to, jaké typy objektů a atributů mohou být v AD vytvořeny. Je to v podstatě „blueprint“ celé databáze.

Používané protokoly

Active Directory není uzavřený systém, ale využívá standardizované protokoly:

Protokol	Funkce
LDAP	(Lightweight Directory Access Protocol) Slouží k dotazování a úpravám objektů v AD.
DNS	(Domain Name System) Klíčový pro lokalizaci doménových řadičů v síti. Bez DNS AD nefunguje.
Kerberos	Hlavní protokol pro bezpečnou autentizaci uživatelů.
SMB/CIFS	Protokol pro sdílení souborů a tiskáren v rámci domény.

Služby AD (Role)

Moderní systémy Windows Server dělí AD do několika specifických rolí:

1. **AD DS (Domain Services):** Standardní správa uživatelů a počítačů.
2. **AD CS (Certificate Services):** Správa digitálních certifikátů.
3. **AD FS (Federation Services):** Umožňuje SSO přístup k aplikacím mimo firemní síť (např. Office 365).
4. **AD LDS (Lightweight Directory Services):** Ořezaná verze pro aplikace, které potřebují adresář, ale nepotřebují celou doménu.

Související pojmy: LDAP, Kerberos, DNS, Group Policy, Access Control.