Глоссарий

Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.

Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.

Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.

Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.

Механизм обеспечения безопасности, который используется для защиты от атак типа «спуфинг» (SID spoofing). Он позволяет контролировать передачу SID между доменами и фильтровать неправильные SID.

Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.

Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.

Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются между контроллерами.

Восстановление состояния контроллера домена AD на момент создания резервной копии с последующей маркировкой восстановленных объектов как являющимися приоритетными для партнеров по репликации. В результате после восстановления объекты AD реплицируются с восстановленного контроллера на все остальные контроллеры в рамках домена.

Набор сервисов и процессов, работающих на каждом контроллере домена и предоставляющих доступ к физическому хранилищу данных каталога на диске. DSA является частью подсистемы Local Security Authority (LSA), отвечающей за авторизацию пользователей и локальную политику безопасности на отдельном компьютере.

Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный сеансовый ключ. Все эти данные зашифрованы с использованием ключа сервера.

Числовое значение, используемое контроллером домена для отслеживания исходящих изменений, получаемых от остальных контроллеров домена в процессе репликации. Когда контроллер запрашивает изменения для определенного раздела каталога, он передает текущее значение своего вектора обновления контроллеру домена, являющемуся источником изменений. Контроллер-источник затем использует это значение для сокращения набора атрибутов, отправляемых целевому контроллеру домена. В случае успешного завершения цикла репликации контроллер-источник отправляет значение своего вектора обновления целевому контроллеру.

Небольшой графический элемент или модуль, размещаемый на сайте для упрощения выполнения различных функций, а также для отображения важной и часто обновляемой информации.

Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.

Единое частичное представление разделов распределенного каталога. Хранит полные копии всех объектов каталога своего домена и частичные копии всех объектов всех других доменов леса. Позволяет пользователям и приложениям находить объекты в любом домене текущего леса по доступным атрибутам.

Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту.

Используется для предоставления доступа к ресурсам.

Используется для создания групп почтовых рассылок.

Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.

Доменная учетная запись, которая может использоваться для запуска служб на множестве серверов без необходимости выполнения дополнительных действий по управлению паролем. Функциональность gMSA предусматривает автоматическое управление паролем и упрощает работу с SPN, включая делегирование функций управления другим администраторам.

Механизм предоставления одному сервису (делегирующий сервис) доступа к другому сервису (целевой сервис) от имени пользователя.

Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.

Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.

Группа компьютеров, совместно использующих общую базу данных каталога.

Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.

Набор ролей Ansible для автоматической установки и настройки компонентов продукта на группах хостов, описанных в схеме развертывания (inventory).

Объект, включающий контактную информацию о пользователе или организации.

Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.

Множество деревьев доменов, находящихся в различных формах доверительных отношений.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к любому целевому сервису от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_FOR_DELEGATION. По умолчанию данный вид делегирования активен (UF_TRUSTED_FOR_DELEGATION: True) только у машинных учетных записей контроллеров домена.

Набор правил и настроек для операционной системы, приложений и пользователей, назначаемых администратором определенной группе компьютеров и пользователей в домене. Состоит из двух составляющих — контейнера группой политики (Group Policy Container), хранящего свойства GPO (версия, список расширений, состояние и т. п.), и шаблона групповой политики (Group Policy Template), представляющего собой подкаталог в каталоге \Policies домена в SysVol с данными политики, которые задаются файлами .adm, настройками безопасности, скриптами и информацией о доступных для установки приложениях.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к заданным целевым сервисам от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION. Имена целевых экземпляров сервисов (SPN), к которым может быть получен доступ, перечисляются в атрибуте msDS-AllowedToDelegateTo владельца учетной записи делегирующего сервиса.

Вид делегирования Kerberos, при котором целевой сервис самостоятельно определяет, какие участники взаимодействия по протоколу Kerberos могут получить к нему доступ через механизм делегирования. Идентификаторы безопасности (SID) участников перечисляются в атрибуте msDS-AllowedToActOnBehalfOfOtherIdentity учетной записи владельца целевого сервиса.

Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.

Субконтейнер в Active Directory, который может объединять в своем составе пользователей, группы, компьютеры и другие объекты. Подразделение может включать другие подразделения. К подразделениям могут применяться групповые политики.

Числовое значение, с помощью которого целевой контроллер домена отслеживает текущие изменения, получаемые с определенного контроллера-источника для объекта в определенном разделе каталога. Данное значение позволяет избежать повторной отправки контроллером-источником изменений, которые уже зафиксированы на целевом контроллере домена.

Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.

Непрерывный фрагмент (поддерево) в пространстве имен каталога, являющийся базовой единицей репликации.

Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.

Процесс распространения изменений в объектах службы каталогов между контроллерами домена с учетом логической группировки объектов по разделам (партициям) и распределения контроллеров по сайтам (топологии сайтов).

Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:

Единица топологии службы каталогов; способ физической группировки на основе сегментов сети.

Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.

Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.

Формализованное описание содержимого и структуры службы каталогов. Определяет все атрибуты и классы объектов, которые могут быть созданы в лесу Active Directory.

Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.

Информация об объекте, полученная из достоверного источника. В контексте службы каталогов объектом является учетная запись пользователя или компьютера, а в роли достоверного источника выступает служба KDC, работающая на контроллере домена.

Низкоуровневый объект базы данных, используемый во внутренних операциях. Обычно создается в следующих ситуациях: