Глоссарий

Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.

Роль сервера контроллера домена в сайте, обеспечивающая взаимодействие с другими сайтами в рамках процесса репликации.

Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.

Роль, назначаемая одному из контроллеров домена в сайте для выполнения следующих функций:

Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.

Встроенный процесс, который выполняется на всех контроллерах домена и создает топологию репликации для леса Active Directory.

Часть билета Kerberos, содержащая информацию о пользователе и его привилегиях. Включает в себя SID пользователя и набор SID всех групп домена пользователя, в состав которых он входит непосредственно или через механизм вложенных групп, включая и SID из атрибута sIDHistory. Формируется контроллером домена пользователя при его аутентификации в домене.

Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.

Режим функционирования доверительного отношения, при котором в процессе формирования маркера доступа клиента из доверенного домена к ресурсу в доверяющем домене из предоставленного клиентом PAC исключаются все идентификаторы безопасности (SID), кроме SID доверенного домена.

Атрибут объекта Active Directory, в котором могут содержаться идентификаторы безопасности (SID), принадлежавшие объекту до его миграции из другого домена.

Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.

Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.

Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются между контроллерами.

Восстановление состояния контроллера домена AD на момент создания резервной копии с последующей маркировкой восстановленных объектов как являющимися приоритетными для партнеров по репликации. В результате после восстановления объекты AD реплицируются с восстановленного контроллера на все остальные контроллеры в рамках домена.

Набор сервисов и процессов, работающих на каждом контроллере домена и предоставляющих доступ к физическому хранилищу данных каталога на диске. DSA является частью подсистемы Local Security Authority (LSA), отвечающей за авторизацию пользователей и локальную политику безопасности на отдельном компьютере.

Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный сеансовый ключ. Все эти данные зашифрованы с использованием ключа сервера.

Числовое значение, используемое контроллером домена для отслеживания исходящих изменений, получаемых от остальных контроллеров домена в процессе репликации. Когда контроллер запрашивает изменения для определенного раздела каталога, он передает текущее значение своего вектора обновления контроллеру домена, являющемуся источником изменений. Контроллер-источник затем использует это значение для сокращения набора атрибутов, отправляемых целевому контроллеру домена. В случае успешного завершения цикла репликации контроллер-источник отправляет значение своего вектора обновления целевому контроллеру.

Небольшой графический элемент или модуль, размещаемый на сайте для упрощения выполнения различных функций, а также для отображения важной и часто обновляемой информации.

Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.

Единое частичное представление разделов распределенного каталога. Хранит полные копии всех объектов каталога своего домена и частичные копии всех объектов всех других доменов леса. Позволяет пользователям и приложениям находить объекты в любом домене текущего леса по доступным атрибутам.

Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту.

Используется для предоставления доступа к ресурсам.

Используется для создания групп почтовых рассылок.

Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.

Доменная учетная запись, которая может использоваться для запуска служб на множестве серверов без необходимости выполнения дополнительных действий по управлению паролем. Функциональность gMSA предусматривает автоматическое управление паролем и упрощает работу с SPN, включая делегирование функций управления другим администраторам.

Механизм предоставления одному сервису (делегирующий сервис) доступа к другому сервису (целевой сервис) от имени пользователя.

Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.

Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.

Группа компьютеров, совместно использующих общую базу данных каталога.

Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.

Набор ролей Ansible для автоматической установки и настройки компонентов продукта на группах хостов, описанных в схеме развертывания (inventory).

Объект, включающий контактную информацию о пользователе или организации.

Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.

Множество деревьев доменов, находящихся в различных формах доверительных отношений.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к любому целевому сервису от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_FOR_DELEGATION. По умолчанию данный вид делегирования активен (UF_TRUSTED_FOR_DELEGATION: True) только у машинных учетных записей контроллеров домена.

Набор правил и настроек для операционной системы, приложений и пользователей, назначаемых администратором определенной группе компьютеров и пользователей в домене. Состоит из двух составляющих — контейнера группой политики (Group Policy Container), хранящего свойства GPO (версия, список расширений, состояние и т. п.), и шаблона групповой политики (Group Policy Template), представляющего собой подкаталог в каталоге \Policies домена в SysVol с данными политики, которые задаются файлами .adm, настройками безопасности, скриптами и информацией о доступных для установки приложениях.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к заданным целевым сервисам от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION. Имена целевых экземпляров сервисов (SPN), к которым может быть получен доступ, перечисляются в атрибуте msDS-AllowedToDelegateTo владельца учетной записи делегирующего сервиса.

Вид делегирования Kerberos, при котором целевой сервис самостоятельно определяет, какие участники взаимодействия по протоколу Kerberos могут получить к нему доступ через механизм делегирования. Идентификаторы безопасности (SID) участников перечисляются в атрибуте msDS-AllowedToActOnBehalfOfOtherIdentity учетной записи владельца целевого сервиса.

Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.

Субконтейнер в Active Directory, который может объединять в своем составе пользователей, группы, компьютеры и другие объекты. Подразделение может включать другие подразделения. К подразделениям могут применяться групповые политики.

Определяет следующие правила аутентификации:

Числовое значение, с помощью которого целевой контроллер домена отслеживает текущие изменения, получаемые с определенного контроллера-источника для объекта в определенном разделе каталога. Данное значение позволяет избежать повторной отправки контроллером-источником изменений, которые уже зафиксированы на целевом контроллере домена.

Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.

Непрерывный фрагмент (поддерево) в пространстве имен каталога, являющийся базовой единицей репликации.

Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.

Процесс распространения изменений в объектах службы каталогов между контроллерами домена с учетом логической группировки объектов по разделам (партициям) и распределения контроллеров по сайтам (топологии сайтов).

Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:

Единица топологии службы каталогов; способ физической группировки на основе сегментов сети.

Пара атрибутов, в которой значение одного атрибута (обратная ссылка, back link) вычисляется автоматически на основе значения другого атрибута (прямая ссылка, forward link). Данные атрибуты определяют связи между объектами в службе каталогов.

Логический канал связи между двумя или более сайтами. Определяет маршрут передачи данных между сайтами и параметры репликации, такие как стоимость, интервал и т. д.

Контейнер для доменных учетных записей и ресурсов, к которым могут применяться ограничения (политики) аутентификации.

Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.

Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.

Формализованное описание содержимого и структуры службы каталогов. Определяет все атрибуты и классы объектов, которые могут быть созданы в лесу Active Directory.

Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.

Информация об объекте, полученная из достоверного источника. В контексте службы каталогов объектом является учетная запись пользователя или компьютера, а в роли достоверного источника выступает служба KDC, работающая на контроллере домена.

Низкоуровневый объект базы данных, используемый во внутренних операциях. Обычно создается в следующих ситуациях: