Глоссарий

Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.

Роль сервера контроллера домена в сайте, обеспечивающая взаимодействие с другими сайтами в рамках процесса репликации.

Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.

Пользовательский раздел каталога.

Технология, которая позволяет объединить распределенные по сети файловые ресурсы в единое логическое пространство имен с целью упрощения доступа к сетевым папкам и повышения отказоустойчивости за счет виртуализации путей и синхронизации данных между серверами.

Подсистема DFS, отвечающая за построение виртуальной структуры доступа к ресурсам. Создает пространство имен, где пользователи видят единое дерево папок, каждая из которых может указывать на один или несколько физических файловых серверов. При этом клиент взаимодействует с логическим путем (например, \\domain\share), а выбор конкретного сервера происходит автоматически.

Подсистема DFS, отвечающая за репликацию содержимого между несколькими серверами. Обеспечивает согласованность данных между разными целевыми папками, используемыми в DFSN.

Роль, назначаемая одному из контроллеров домена в сайте для выполнения следующих функций:

Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.

Встроенный процесс, который выполняется на всех контроллерах домена и создает топологию репликации для леса Active Directory.

Технология автоматического управления паролями локальных администраторов на компьютерах в корпоративной среде.

Набор атрибутов схемы данных каталога, которые реплицируются на все серверы глобального каталога в лесу для обеспечения глобального поиска и аутентификации.

Специальный раздел базы данных Эллес на сервере глобального каталога, который содержит урезанные копии объектов из доменного раздела (партиции) с ограниченным набором атрибутов (Partial Attribute Set, PAS).

Расширение PKINIT, позволяющее контролировать актуальность запросов.

Часть билета Kerberos, содержащая информацию о пользователе и его привилегиях. Включает в себя SID пользователя и набор SID всех групп домена пользователя, в состав которых он входит непосредственно или через механизм вложенных групп, включая и SID из атрибута sIDHistory. Формируется контроллером домена пользователя при его аутентификации в домене.

Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.

Режим функционирования доверительного отношения, при котором в процессе формирования маркера доступа клиента из доверенного домена к ресурсу в доверяющем домене из предоставленного клиентом PAC исключаются все идентификаторы безопасности (SID), кроме SID доверенного домена.

Атрибут объекта Active Directory, в котором могут содержаться идентификаторы безопасности (SID), принадлежавшие объекту до его миграции из другого домена.

Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.

Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.

Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются между контроллерами.

Состояние объекта в Active Directory после удаления, при котором он получает флаг isDeleted=TRUE и перемещается в контейнер CN=Deleted Objects. При этом у объекта сохраняется минимальный набор атрибутов (например, objectGUID, objectSid, objectClass и необходимые метаданные для репликации), что обеспечивает корректную синхронизацию факта удаления между контроллерами домена. Объект находится в этом состоянии в течение периода, заданного параметром tombstoneLifetime, после чего окончательно удаляется процессом сборки мусора (Garbage Collection). Если включена функциональность корзины (Recycle Bin), удаленные объекты сохраняют существенно большее число исходных атрибутов, что позволяет восстановить их почти в первоначальном виде.

Стандартизированный способ обращения к сетевым ресурсам. Начинается с двух обратных косых черт и указывает на сервер, а затем — на ресурс. Например — \\server\share\folder.

Доменная учетная запись, предназначенная для запуска службы на одном сервере без необходимости ручного управления паролем. sMSA автоматически генерирует и обновляет пароли, что повышает безопасность. Учетная запись привязана к одному компьютеру и не поддерживает делегирование управления другим администраторам. sMSA также позволяет управлять SPN для аутентификации службы.

Пространство имен, которое существует только на одном сервере и не использует службу каталогов для публикации своей структуры. Оно доступно по UNC-пути вида \<FQDN сервера DFSN>\<пространство имен>\<имя папки>.

Восстановление состояния контроллера домена AD на момент создания резервной копии с последующей маркировкой восстановленных объектов как являющимися приоритетными для партнеров по репликации. В результате после восстановления объекты AD реплицируются с восстановленного контроллера на все остальные контроллеры в рамках домена.

Набор сервисов и процессов, работающих на каждом контроллере домена и предоставляющих доступ к физическому хранилищу данных каталога на диске. DSA является частью подсистемы Local Security Authority (LSA), отвечающей за авторизацию пользователей и локальную политику безопасности на отдельном компьютере.

Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный сеансовый ключ. Все эти данные зашифрованы с использованием ключа сервера.

Числовое значение, используемое контроллером домена для отслеживания исходящих изменений, получаемых от остальных контроллеров домена в процессе репликации. Когда контроллер запрашивает изменения для определенного раздела каталога, он передает текущее значение своего вектора обновления контроллеру домена, являющемуся источником изменений. Контроллер-источник затем использует это значение для сокращения набора атрибутов, отправляемых целевому контроллеру домена. В случае успешного завершения цикла репликации контроллер-источник отправляет значение своего вектора обновления целевому контроллеру.

Небольшой графический элемент или модуль, размещаемый на сайте для упрощения выполнения различных функций, а также для отображения важной и часто обновляемой информации.

Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.

Единое частичное представление разделов распределенного каталога. Хранит полные копии всех объектов каталога своего домена и частичные копии всех объектов всех других доменов леса. Позволяет пользователям и приложениям находить объекты в любом домене текущего леса по доступным атрибутам.

Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту.

Используется для предоставления доступа к ресурсам.

Используется для создания групп почтовых рассылок.

Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.

Доменная учетная запись, которая может использоваться для запуска служб на множестве серверов без необходимости ручного управления паролем. gMSA автоматически генерирует и обновляет пароли, что повышает безопасность. Учетная запись может быть использована несколькими серверами и поддерживает делегирование управления паролями другим администраторам. gMSA также позволяет управлять SPN для аутентификации службы.

Механизм предоставления одному сервису (делегирующий сервис) доступа к другому сервису (целевой сервис) от имени пользователя.

Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.

Структура данных, прикрепленная к объекту каталога и определяющая параметры безопасности. Включает сведения о владельце объекта, группе владельца, список избирательного управления доступом (DACL), системный список управления доступом (SACL), а также набор флагов, описывающих наследование и особенности обработки прав доступа. Определяет, какие операции могут выполняться над объектом и какие события доступа подлежат аудиту.

Входит в состав дескриптора безопасности объекта каталога. Содержит упорядоченный набор записей контроля доступа (ACE), определяющих, какие операции могут выполнять различные субъекты безопасности в отношении данного объекта. Управляет разрешениями и запретами доступа. Если отсутствует или пустой, доступ к объекту считается полностью запрещенным.

Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.

Группа компьютеров, совместно использующих общую базу данных каталога.

Домен, который создается как корень нового дерева в существующем лесу и имеет собственное пространство имен, не связанное иерархически с корневым доменом леса. С другими доменами леса автоматически устанавливается двустороннее транзитивное доверительное отношение (Tree-Root Trust).

Пространство имен, интегрированное со службой каталогов. Его структура хранится в службе каталогов, а публикация доступна с нескольких серверов. Пользователь подключается к пути вида \<FQDN ресурсного домена>\<пространство имен>\<имя папки>, а механизм DFSN и служба каталогов автоматически направляют его к доступным серверам.

Домен, который находится ниже другого (родительского) домена в иерархии доменного пространства имен и структуры доверия. Такой домен наследует часть пространства имен родительского домена и образует с ним иерархическую структуру. Между родительским и дочерним доменом автоматически устанавливается двустороннее транзитивное доверительное отношение (Parent-Child Trust).

Элемент списка управления доступом. Определяет, какое действие разрешено или запрещено конкретному субъекту безопасности (пользователю, группе или служебной учетной записи). Запись включает SID субъекта, тип записи (разрешение или запрет), набор прав, а также дополнительные флаги наследования.

Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.

Набор ролей Ansible для автоматической установки и настройки компонентов продукта на группах хостов, описанных в схеме развертывания (inventory).

Компьютер, с которого осуществляется доступ к ресурсам в пространстве имен DFSN.

Объект, включающий контактную информацию о пользователе или организации.

Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.

Механизм формирования лог-записей, в рамках которого отдельные записи могут быть связаны общим идентификатором. Это позволяет группировать их в рамках одного запроса или операции, а также применять к ним единый режим фильтрации, обработки и анализа.

Множество деревьев доменов, находящихся в различных формах доверительных отношений.

Структурированное битовое поле, используемое в записях контроля доступа (ACE) для представления набора прав, запрошенных или предоставляемых субъекту безопасности. Объединяет несколько категорий прав — стандартные, специфичные для объекта, обобщенные и расширенные, позволяя определить полный перечень операций, которые субъект может выполнять над объектом каталога. Маска доступа интерпретируется механизмом проверки прав при каждом обращении к объекту.

Информация о пространстве имен — его корне, ссылках и целевых папках. В случае автономного пространства имен хранится локально, на сервере DFSN. В случае доменного пространства имен — в базе данных службы каталогов.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к любому целевому сервису от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_FOR_DELEGATION. По умолчанию данный вид делегирования активен (UF_TRUSTED_FOR_DELEGATION: True) только у машинных учетных записей контроллеров домена.

Набор правил и настроек для операционной системы, приложений и пользователей, назначаемых администратором определенной группе компьютеров и пользователей в домене. Состоит из двух составляющих — контейнера группой политики (Group Policy Container), хранящего свойства GPO (версия, список расширений, состояние и т. п.), и шаблона групповой политики (Group Policy Template), представляющего собой подкаталог в каталоге \Policies домена в SysVol с данными политики, которые задаются файлами .adm, настройками безопасности, скриптами и информацией о доступных для установки приложениях.

Вид делегирования Kerberos, при котором делегирующий сервис может получить доступ к заданным целевым сервисам от имени любого пользователя (кроме пользователей из группы «Защищенные пользователи»). Контролируется атрибутом учетной записи UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION. Имена целевых экземпляров сервисов (SPN), к которым может быть получен доступ, перечисляются в атрибуте msDS-AllowedToDelegateTo владельца учетной записи делегирующего сервиса.

Вид делегирования Kerberos, при котором целевой сервис самостоятельно определяет, какие участники взаимодействия по протоколу Kerberos могут получить к нему доступ через механизм делегирования. Идентификаторы безопасности (SID) участников перечисляются в атрибуте msDS-AllowedToActOnBehalfOfOtherIdentity учетной записи владельца целевого сервиса.

Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.

Механизм, с помощью которого клиент, обратившись к ресурсу по ссылке DFSN, получает список возможных целевых папок. Список формируется сервером пространства имен и содержит адреса серверов, которые могут обслужить запрос. Клиент на основе этих данных выбирает конечную целевую папку с учетом ее доступности и приоритета.

Последовательность операций, необходимых для получения результата запроса из базы данных.

Субконтейнер в Active Directory, который может объединять в своем составе пользователей, группы, компьютеры и другие объекты. Подразделение может включать другие подразделения. К подразделениям могут применяться групповые политики.

Домен, который является частью иерархической структуры леса. Это может быть дочерний домен или домен — корень дополнительного дерева.

Определяет следующие правила аутентификации:

Специализированный раздел каталога, данные которого реплицируются только между выбранными контроллерами домена, а не по всему лесу.

Набор битовых флагов, определяющих, какие операции субъект безопасности может выполнять над объектом каталога. Указываются в составе маски доступа (Access Mask), которая включается в запись контроля доступа (ACE) внутри списков управления доступом (ACL).
В модель прав доступа входят следующие категории:

Виртуальное представление папок общего доступа, расположенных на файловых серверах. Доступно пользователям по UNC-пути. Внутри пространства имен администраторы создают иерархию папок, которые ссылаются на реальные сетевые ресурсы. Может быть автономным (хранится локально на одном сервере) или доменным (хранится в службе каталогов и доступно через контроллеры домена).

Числовое значение, с помощью которого целевой контроллер домена отслеживает текущие изменения, получаемые с определенного контроллера-источника для объекта в определенном разделе каталога. Данное значение позволяет избежать повторной отправки контроллером-источником изменений, которые уже зафиксированы на целевом контроллере домена.

Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.

Непрерывный фрагмент (поддерево) в пространстве имен каталога, являющийся базовой единицей репликации.

Право на выполнение некоторой операции над объектом каталога или его атрибутам. Соответствует конкретному биту или набору битов в маске доступа и задается в составе записи контроля доступа (ACE).

Права для управления доступом к объекту, которые не привязаны к отдельным битовым флагам стандартной маски доступа. Каждое такое право идентифицируется уникальным значением GUID и включается в запись контроля доступа (ACE) посредством установки специального бита. Позволяют определить доступ к операциям, не охватываемым стандартными правами (например, административные операции, репликация и др.).

Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.

Процесс распространения изменений в объектах службы каталогов между контроллерами домена с учетом логической группировки объектов по разделам (партициям) и распределения контроллеров по сайтам (топологии сайтов).

Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:

Единица топологии службы каталогов; способ физической группировки на основе сегментов сети.

Пара атрибутов, в которой значение одного атрибута (обратная ссылка, back link) вычисляется автоматически на основе значения другого атрибута (прямая ссылка, forward link). Данные атрибуты определяют связи между объектами в службе каталогов.

Логический канал связи между двумя или более сайтами. Определяет маршрут передачи данных между сайтами и параметры репликации, такие как стоимость, интервал и т. д.

Корневой сервер, выдающий клиентам ссылки на папки общего доступа на файловых серверах.

Контейнер для доменных учетных записей и ресурсов, к которым могут применяться ограничения (политики) аутентификации.

Входит в состав дескриптора безопасности объекта каталога. Содержит записи контроля доступа (ACE), определяющие правила аудита: какие действия над объектом и со стороны каких субъектов безопасности должны фиксироваться в журнале безопасности. Не влияет на разрешения или запреты доступа, а используется исключительно для регистрации событий, связанных с попытками доступа к объекту.

Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.

Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.

Содержит упорядоченный набор записей контроля доступа (ACT). Определяет правила доступа к объекту каталога, описывая, какие действия разрешены или запрещены определенным субъектам безопасности. Может быть двух типов:

Ссылка на фактическое расположение папки общего доступа.

Физическое устройство для хранения цифровых сертификатов и закрытых ключей, используемых для аутентификации пользователей в сетях на базе Эллес с использованием протокола Kerberos PKINIT. Смарт-карты обеспечивают безопасный и надежный способ входа в домен, предотвращая несанкционированный доступ.

Пользователь, компьютер, группа безопасности или сеанс входа для которых устанавливается разрешение для доступа к объекту.

Формализованное описание содержимого и структуры службы каталогов. Определяет все атрибуты и классы объектов, которые могут быть созданы в лесу Active Directory.

Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.

Механизм регистрации последовательности вызовов и операций, выполняемых при обработке входящих запросов и внутренних процессов. Фиксирует порядок выполнения, вложенные вызовы, время выполнения и статус операций, а также связанные атрибуты и события. В Эллес опирается на коррелируемое логирование: лог-записи могут связываться общим идентификатором для формирования единой цепочки событий, пригодной для последующей фильтрации и анализа.

Информация об объекте, полученная из достоверного источника. В контексте службы каталогов объектом является учетная запись пользователя или компьютера, а в роли достоверного источника выступает служба KDC, работающая на контроллере домена.

Физическая папка общего доступа на файловом сервере, на которую указывает ссылка DFSN.

Одна строка в списке разрешений, представляющая одну запись контроля доступа (ACE), которая описывает, какие права предоставлены или запрещены конкретному субъекту безопасности на данный объект или его потомков.