Глоссарий

Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.

Роль сервера контроллера домена в сайте, обеспечивающая взаимодействие с другими сайтами в рамках процесса репликации.

Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.

Пользовательский раздел каталога.

Роль, назначаемая одному из контроллеров домена в сайте для выполнения следующих функций:

Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.

Встроенный процесс, который выполняется на всех контроллерах домена и создает топологию репликации для леса Active Directory.

Часть билета Kerberos, содержащая информацию о пользователе и его привилегиях. Включает в себя SID пользователя и набор SID всех групп домена пользователя, в состав которых он входит непосредственно или через механизм вложенных групп, включая и SID из атрибута sIDHistory. Формируется контроллером домена пользователя при его аутентификации в домене.

Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.

Режим функционирования доверительного отношения, при котором в процессе формирования маркера доступа клиента из доверенного домена к ресурсу в доверяющем домене из предоставленного клиентом PAC исключаются все идентификаторы безопасности (SID), кроме SID доверенного домена.

Атрибут объекта Active Directory, в котором могут содержаться идентификаторы безопасности (SID), принадлежавшие объекту до его миграции из другого домена.

Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.

Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.

Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются между контроллерами.

Восстановление состояния контроллера домена AD на момент создания резервной копии с последующей маркировкой восстановленных объектов как являющимися приоритетными для партнеров по репликации. В результате после восстановления объекты AD реплицируются с восстановленного контроллера на все остальные контроллеры в рамках домена.

Набор сервисов и процессов, работающих на каждом контроллере домена и предоставляющих доступ к физическому хранилищу данных каталога на диске. DSA является частью подсистемы Local Security Authority (LSA), отвечающей за авторизацию пользователей и локальную политику безопасности на отдельном компьютере.

Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный сеансовый ключ. Все эти данные зашифрованы с использованием ключа сервера.

Числовое значение, используемое контроллером домена для отслеживания исходящих изменений, получаемых от остальных контроллеров домена в процессе репликации. Когда контроллер запрашивает изменения для определенного раздела каталога, он передает текущее значение своего вектора обновления контроллеру домена, являющемуся источником изменений. Контроллер-источник затем использует это значение для сокращения набора атрибутов, отправляемых целевому контроллеру домена. В случае успешного завершения цикла репликации контроллер-источник отправляет значение своего вектора обновления целевому контроллеру.

Небольшой графический элемент или модуль, размещаемый на сайте для упрощения выполнения различных функций, а также для отображения важной и часто обновляемой информации.

Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.

Единое частичное представление разделов распределенного каталога. Хранит полные копии всех объектов каталога своего домена и частичные копии всех объектов всех других доменов леса. Позволяет пользователям и приложениям находить объекты в любом домене текущего леса по доступным атрибутам.

Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту.

Используется для предоставления доступа к ресурсам.

Используется для создания групп почтовых рассылок.

Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.

Доменная учетная запись, которая может использоваться для запуска служб на множестве серверов без необходимости выполнения дополнительных действий по управлению паролем. Функциональность gMSA предусматривает автоматическое управление паролем и упрощает работу с SPN, включая делегирование функций управления другим администраторам.

Механизм предоставления одному сервису (делегирующий сервис) доступа к другому сервису (целевой сервис) от имени пользователя.

Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.

Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.

Группа компьютеров, совместно использующих общую базу данных каталога.

Домен, который создается как корень нового дерева в существующем лесу и имеет собственное пространство имен, не связанное иерархически с корневым доменом леса. С другими доменами леса автоматически устанавливается двустороннее транзитивное доверительное отношение (Tree-Root Trust).

Домен, который находится ниже другого (родительского) домена в иерархии доменного пространства имен и структуры доверия. Такой домен наследует часть пространства имен родительского домена и образует с ним иерархическую структуру. Между родительским и дочерним доменом автоматически устанавливается двустороннее транзитивное доверительное отношение (Parent-Child Trust).

Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.

Набор ролей Ansible для автоматической установки и настройки компонентов продукта на группах хостов, описанных в схеме развертывания (inventory).

Объект, включающий контактную информацию о пользователе или организации.

Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.

Множество деревьев доменов, находящихся в различных формах доверительных отношений.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к любому целевому сервису от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_FOR_DELEGATION. По умолчанию данный вид делегирования активен (UF_TRUSTED_FOR_DELEGATION: True) только у машинных учетных записей контроллеров домена.

Набор правил и настроек для операционной системы, приложений и пользователей, назначаемых администратором определенной группе компьютеров и пользователей в домене. Состоит из двух составляющих — контейнера группой политики (Group Policy Container), хранящего свойства GPO (версия, список расширений, состояние и т. п.), и шаблона групповой политики (Group Policy Template), представляющего собой подкаталог в каталоге \Policies домена в SysVol с данными политики, которые задаются файлами .adm, настройками безопасности, скриптами и информацией о доступных для установки приложениях.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к заданным целевым сервисам от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION. Имена целевых экземпляров сервисов (SPN), к которым может быть получен доступ, перечисляются в атрибуте msDS-AllowedToDelegateTo владельца учетной записи делегирующего сервиса.

Вид делегирования Kerberos, при котором целевой сервис самостоятельно определяет, какие участники взаимодействия по протоколу Kerberos могут получить к нему доступ через механизм делегирования. Идентификаторы безопасности (SID) участников перечисляются в атрибуте msDS-AllowedToActOnBehalfOfOtherIdentity учетной записи владельца целевого сервиса.

Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.

Последовательность операций, необходимых для получения результата запроса из базы данных.

Субконтейнер в Active Directory, который может объединять в своем составе пользователей, группы, компьютеры и другие объекты. Подразделение может включать другие подразделения. К подразделениям могут применяться групповые политики.

Домен, который является частью иерархической структуры леса. Это может быть дочерний домен или домен — корень дополнительного дерева.

Определяет следующие правила аутентификации:

Специализированный раздел каталога, данные которого реплицируются только между выбранными контроллерами домена, а не по всему лесу.

Числовое значение, с помощью которого целевой контроллер домена отслеживает текущие изменения, получаемые с определенного контроллера-источника для объекта в определенном разделе каталога. Данное значение позволяет избежать повторной отправки контроллером-источником изменений, которые уже зафиксированы на целевом контроллере домена.

Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.

Непрерывный фрагмент (поддерево) в пространстве имен каталога, являющийся базовой единицей репликации.

Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.

Процесс распространения изменений в объектах службы каталогов между контроллерами домена с учетом логической группировки объектов по разделам (партициям) и распределения контроллеров по сайтам (топологии сайтов).

Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:

Единица топологии службы каталогов; способ физической группировки на основе сегментов сети.

Пара атрибутов, в которой значение одного атрибута (обратная ссылка, back link) вычисляется автоматически на основе значения другого атрибута (прямая ссылка, forward link). Данные атрибуты определяют связи между объектами в службе каталогов.

Логический канал связи между двумя или более сайтами. Определяет маршрут передачи данных между сайтами и параметры репликации, такие как стоимость, интервал и т. д.

Контейнер для доменных учетных записей и ресурсов, к которым могут применяться ограничения (политики) аутентификации.

Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.

Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.

Формализованное описание содержимого и структуры службы каталогов. Определяет все атрибуты и классы объектов, которые могут быть созданы в лесу Active Directory.

Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.

Информация об объекте, полученная из достоверного источника. В контексте службы каталогов объектом является учетная запись пользователя или компьютера, а в роли достоверного источника выступает служба KDC, работающая на контроллере домена.

Низкоуровневый объект базы данных, используемый во внутренних операциях. Обычно создается в следующих ситуациях: