Глоссарий

Active Directory

Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.

Conditional DNS Forwarding

Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.

Kerberos

Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.

Security Identifier (SID)

Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.

SID Filtering

Механизм обеспечения безопасности, который используется для защиты от атак типа «спуфинг» (SID spoofing). Он позволяет контролировать передачу SID между доменами и фильтровать неправильные SID.

Single Sign-On

Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.

SRV-запись (Service Record)

Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.

Формат записи:

_service._proto.name. ttl IN SRV priority weight port target

Описание элементов записи:

  • service — символическое имя запрашиваемого сервиса;

  • proto — транспортный протокол запрашиваемого сервиса (как правило, TCP или UDP);

  • name — заканчивающееся точкой имя домена, в рамках которого действует запись;

  • ttl — стандартное поле DNS, задающее время жизни записи в секундах до актуализации информации о ее значении;

  • IN — стандартное поле, задающее класс DNS (всегда имеет значение IN);

  • SRV — тип записи (всегда имеет значение SRV);

  • priority — приоритет целевого хоста (чем меньше значение, тем выше приоритет);

  • weight — относительный вес для записей с одинаковым приоритетом (чем больше значение, тем выше вероятность выбора записи);

  • port — TCP- или UDP-порт, на котором доступен сервис;

  • target: — заканчивающееся точкой каноническое имя хоста, на котором доступен сервис.

    Пример записи:

    _ldap._tcp.INNOSAMBA.inno.tech 86400 IN SRV 0 100 389 dc1.innosamba.inno.tech

SysVol

Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются службой репликации файлов (FRS).

Билет (Kerberos)

Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный ключ сессии. Все эти данные зашифрованы с использованием ключа сервера.

Внешнее доверительное отношение

Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.

Группа

Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту

Групповая политика

Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.

Дерево доменов

Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.

Доверие, доверительное отношение

Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.

Домен

Группа компьютеров, совместно использующих общую базу данных каталога.

Зона DNS (DNS Zone)

Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.

Контакт

Объект, включающий контактную информацию о пользователе или организации

Контроллер домена

Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.

Пул DHCP

Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.

Режим обслуживания (Maintenance Mode)

Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.

Лес доменов

Множество деревьев доменов, находящихся в различных формах доверительных отношений.

Операции с одним исполнителем (FSMO)

Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.

В зависимости от типа операции уникальность FSMO подразумевается в пределах или леса доменов, или домена.

Различные типы FSMO выполняются одним или несколькими контроллерами домена. Выполнение FSMO сервером называют «ролью» сервера.

Типы FSMO (ролей):

  • владелец схемы (Schema master);

  • владелец доменных имен (Domain naming master);

  • владелец относительных идентификаторов (RID master);

  • эмулятор первичного (основного) контроллера домена (PDC emulator);

  • владелец инфраструктуры домена (Infrastructure master);

  • хозяин зон DNS домена (Domain DNS Zone Master);

  • хозяин зон DNS леса (Forest DNS Zone Master).

Ресурсная запись

Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:

  • доменное имя;

  • тип записи;

  • время жизни записи (TTL, Time to live) в секундах до актуализации информации о ее значении;

  • значение записи.

Сайт

Единица топологии сервиса каталогов; способ физической группировки на основе сегментов сети.

Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например, по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например, через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов.

Служба каталогов

Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.

Служба разрешения имен

Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.

Транзитивное доверие

Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.

Все домены дерева поддерживают транзитивные двухсторонние доверительные отношения с другими доменами в этом дереве.

Транзитивное доверие между несколькими лесами не поддерживается. Между лесами могут быть настроены двусторонние или односторонние доверительные отношения.