10.1 Úvod do Active Directory
Active Directory (běžně zkracováno jako AD) je robustní adresářová služba vyvinutá společností Microsoft, primárně určená pro sítě s doménou Windows. Poprvé byla představena v operačním systému Windows Server 2000.
Stavební kameny (Building blocks)
Active Directory používá hierarchickou strukturu pro logickou organizaci dat. Základní pojmy tvořící tuto strukturu zahrnují:
- Forests (Lesy) - Nejvyšší úroveň logické struktury, sdružující stromy s odděleným jmenným prostorem.
- Trees (Stromy) - Kolekce jedné nebo více domén, které sdílejí společný souvislý jmenný prostor.
- Domains (Domény) - Základní administrativní a bezpečnostní hranice v AD.
- Organization Units (OU) - Organizační jednotky umožňující dělení domény na menší logické celky pro snadnější správu a aplikaci politik.
- Groups a Accounts - Skupiny a jednotlivé účty uživatelů či počítačů.
- Sites - Fyzická reprezentace sítě (např. definovaná IP subnety) sloužící k optimalizaci replikace databáze a přihlašování.
Tier Model (Model vrstev)
Tier model je bezpečnostní koncept zaměřený na zamezení neoprávněné eskalace privilegií v lokálním (on-premises) prostředí Active Directory. Rozděluje infrastrukturu do logických úrovní, přičemž platí pravidla pro přístup mezi nimi:
- Tier 0 (Domain Admins, Domain Controllers): Správci domény (Tier 0) se nesmí přihlašovat na podnikové servery (Tier 1) ani na běžné uživatelské stanice (Tier 2). Zabrání se tak úniku jejich vysoce privilegovaných přístupových údajů (např. hesel nebo hashů) na méně zabezpečených stanicích.
- Tier 1 (Enterprise Servers, Server Admins): Správci serverů (Tier 1) se nesmí přihlašovat na běžné uživatelské stanice (Tier 2).
- Tier 2 (Standard User Workstations): Běžné uživatelské stroje bez významných administrátorských privilegií.
Tento klasický Tier model je v současné době považován za "legacy" (zastaralý). Microsoft jej nahradil modernějším přístupem zvaným Enterprise access model, který lépe reflektuje integraci s cloudovými službami a moderní bezpečnostní hrozby.