4.3 Az Active Directory (AD)
4.3.2 Active Directory működési szintek
A Windows szerverek és így az Active Directory fejlődése törvényszerűen újabb és újabb címtárszolgáltatások megjelenését hozza magával. Meglévő,
25 Gál Tamás – Szabó Levente – Szerényi László: Rendszerfelügyelet rendszergazdáknak, Bicske, Szak Kiadó, 2007
régebbi rendszereket is tartalmazó, folyamatos működést igénylő hálózat ese-tén nem is olyan egyszerű ezeknek az újabb szolgáltatásoknak az integrálása.
Hogy az integráció folyamata lehetőleg zökkenőmentes legyen lehetőség van arra, hogy a különböző tartományokban használt rendszerek, valamint a frissí-tett rendszerek verzióit figyelembe véve lehessen megválasztani a tartomá-nyok, illetve az erdő működési szintjét. A működési szintek közötti legfontosabb különbség a támogatott szolgáltatások köre. Ezenkívül oda kell figyelni arra, hogy a működési szint emelésével kizárható a régebbi verziójú tartományvezér-lők tartományhoz csatolása. Ez azonban nem jelenti azt, hogy maga a kiszolgáló tagkiszolgálóként ne lehetne továbbra is a tartomány tagja.
Külön működési szintek vannak meghatározva tartományokra és erdőkre is. Jelenleg, amikor is a Windows Server 2008 R2 a legújabb verzió tartományi szinten hat, erdő szinten öt működési szint van definiálva. A tartományi műkö-dési szintek a következők: Windows 2000 vegyes (mixed), Windows 2000 natív (native), Windows Server 2003 átmeneti (interim), Windows Server 2003, Win-dows Server 2008 és WinWin-dows Server 2008 R2.
Ha van igény a tartomány működési szintjének emelésére, akkor a szint emelés műveletét a tartományvezérlőkön kell végrehajtani. A legfontosabb, hogy számolni kell azzal, hogy a folyamat általában nem vonható vissza. Ez alól bizonyos korlátokkal kivétel a Windows Server 2008 szintről Windows Server 2008 R2 szintre emelés, ahonnan vissza lehet lépni a sima 2008-as szintre.26
Windows 2000 vegyes
Ezt a működési módot azért találták ki, hogy a régi Windows NT tartalék tartományvezérlők (Backup Domain Controller – BDC) addig is működhessenek a tartományban, mint tartalék tartományvezérlők, amíg nincsenek Windows 2000-re frissítve. Ebben a működési módban Windows NT, Windows 2000 és újabbak tartományvezérlők támogatottak. Kivételt képez ez alól a Windows Server 2008 sima és R2 változata. A Windows NT szerverek 2000-re történő frissítése vagy migrálása után célszerű működési szintet emelni, hogy a Win-dows 2000 natív működési szint plusz szolgáltatásait ki lehessen használni, arról nem is beszélve, hogy ebben az üzemmódban maximum 40000 objektumot tartalmazhat a címtár. Meg kell még említeni, hogy Windows Server 2003-ban ez az alapértelmezett működési szint.
26 Gál Tamás: Windows Server 2008 R2, A kihívás állandó. Budapest, Jedlik Oktatási Stúdió, 2011.
Windows 2000 natív
Ebben a működési módban a Windows NT kivételével az összes Windows Server verzió használható tartományvezérlőként. Ez a működési szint pedig olyan további szolgáltatások nyújt az előzőhöz képest, mint az univerzális cso-portok, a csoportok egymásba ágyazhatósága, biztonsági és terjesztési csopor-tok közötti konverzió, biztonsági azonosító történetkövetés (SID history), távoli hozzáférés házirendek támogatása (RAS policy), valamint megoldja a 40000 objektum korlátból adódó méretezési problémákat.
Windows 2003 átmeneti
Windows NT-ről Windows Server 2003-ra történő migrációkor, az erdő első NT tartományának frissítésekor használatos átmeneti jelleggel. Tarto-mányvezérlők lehetnek Windows Server 2003-tól felfelé.
Windows 2003 natív
Csak Windows Server 2003 és magasabb verziójú tartományvezérlőket le-het használni. Az előző szinthez képest természetesen bővül a szolgáltatások köre. A legfontosabbak közé tartozik a tartományvezérlő átnevezése a netdom.exe eszközzel, a Users és a Computers konténerek átirányíthatósága, újdonság két bejelentkezési időbélyeg attribútum kezelésében a felhasználók (Users) és a számítógépek (Computers) objektumoknál; frissíti a LastLogonTime attribútumot, illetve képes replikálni a LastLogonTimeStampet, igaz nem túl nagy pontossággal. Ezenkívül olyan egyéb szolgáltatások jelennek meg, mint a Kerberos Secure Delegation az alkalmazások Kerberos hitelesítéséhez, illetve az engedélyezéskezelő (Authorization Manager) Active Directoryban történő házi-rend tárolása.27
Windows 2008
A használható tartományvezérlők köre a Windows Server 2008 (sima és R2) verziókra korlátozódik. Az ezzel a verzióval megjelenő extra szolgáltatások közül mindenképpen meg kell említeni a csak olvasható tartományvezérlő (Re-ad-only Domain Controller – RODC) támogatást, a SYSVOL megosztás RDC algo-ritmussal és különbségi replikációs módszerrel támogatott DFS-R replikációját, a Kerberos AES 128/256 támogatását. De ide kell sorolni az utolsó interaktív beje-lentkezés információinak (Last Interactive Logon Information) rögzítését (utolsó belépés ideje, honnan történt a belépés, sikertelen belépések száma), valamint a finomított (vagy alternatív) jelszóházirendet (Fine-Grained Password Policies),
27 GÁL Tamás: Windows Server 2008 R2, A kihívás állandó. Budapest, Jedlik Oktatási Stúdió, 2011.
melynek segítségével akár szervezeti egységenként különböző jelszóházirendet adhatunk meg a felhasználókra.
Windows 2008 R2
Természetesen ebben az esetben csak Windows Server R2-es tartomány-vezérlők használhatók, és csak tisztán ezt a működési szintet alapul véve olyan további szolgáltatások jelennek meg, mint a biztosított hitelesítési mechaniz-mus (Authentication Mechanism Assurance – AMA), amely multifaktoros beje-lentkezés esetén több jogosultságot nyújt, illetve a kibővített szolgáltatásfiók kezelés (Managed Service Accounts – MSA), amely automatikusan kezeli a szol-gáltatások egyszerű neveit (Service Principal Name – SPN).28
Ezenkívül meg kell említeni azokat a szolgáltatásokat is, amelyek nem csak tiszta Windows 2008 R2 működési szinten érhetők el, hanem már akkor is, ami-kor Windows Server 2008 R2 pl. tagi kiszolgálóként vagy tartományvezérlőként kerül a Windows 2008-as tartományba. Már az előbbi esetében használható a fizikai kapcsolat nélküli tartományba léptetés (Offline Domain Join) és az alap szolgáltatásfiók kezelés (Managed Service Accounts). Utóbbi esetben pedig olyan extrák érhetők el, mint az Active Directory felügyeleti központ (Active Directory Administrative Center – ADAC), az Active Directory PowerShell mo-dulja (Powershell for Active Directory Module), az ajánlott eljárásokat kezelő eszköz (Best Practices Analyzer – BPA) és a címtárszolgáltatások helyreállító módjának jelszó szinkronizálás funkciója (Directory Service Restore Mode – DSRM, Password Sync).29
Sokkal körültekintőbben kell eljárni az erdő működési szintjének meghatá-rozásával, ugyanis az erdő a tartományok feletti fogalom. Az öt működési szint a következő: Windows 2000, Windows Server 2003 átmeneti (interim), Win-dows Server 2003 natív (native), WinWin-dows Server 2008 és WinWin-dows Server 2008 R2. A megfelelő szint megválasztásánál figyelembe kell venni, hogy az adott verziónál alacsonyabb verziójú tartományvezérlő többé nem léptethető be az erdőbe. Azaz ha nem cél az, hogy tartományvezérlők essenek ki az erdőből, akkor a szint megválasztásánál általában az erdő legalacsonyabb működési szin-tű tartományának szintjét kell alapul venni. Természetesen a tartományok mű-ködési szintjének emelésével az erdők műmű-ködési szintjét is érdemes emelni. Az erdő működési szintjei részletesen:
28 GÁL Tamás: Windows Server 2008 R2, A kihívás állandó. Budapest, Jedlik Oktatási Stúdió, 2011.
29 Kovács Attila: Active Directory alapfogalmak dióhéjban, Online cikk, KF GAMF Info, 2011,
<http://gamfinfo.hu/halozatok/201103/active-directory-alapfogalmak-diohejban>, 2012.09.19>
Windows 2000
Ebben a működési módban Windows NT tartományvezérlő kivételével mindenféle verziójú Windows Server megengedett tartományvezérlőként. A teljes erdőben használhatók lesznek a címtár Windows 2000 natív működési szintű tartományban használható szolgáltatások. Windows Server 2003 és 2008 esetén ez az alapértelmezett működési szint.
Windows 2003 átmeneti
Ez a működési szint – ahogyan a tartományok esetében is – a Windows NT-ről Windows Server 2003-ra való közvetlen áttérés támogatása miatt létezik.
Ilyenkor csak Windows NT és Windows 2003 tartományvezérlők csatlakozhat-nak az erdőhöz. A Windows NT tartományvezérlők frissítése illetve migrációja után tiszta Windows 2003 natívra emelhető az erdő működési szintje.
Windows 2003 natív
A tartományvezérlők természetesen a Windows Server 2003 és attól ma-gasabb verziójú Windows Serverekből lehetnek ilyen működési szintű erdőben.
Mindenképpen érdemes emelni a szintet, ha nincs akadálya, mert szolgáltatá-sok köre szemmel láthatóan bővül. Megjelenik többek között a tartomány át-nevezésének lehetősége, az erdők közötti bizalmi kapcsolat kialakításának (Cross Forest Trust) lehetősége, amelyet nagyrészt cégek összeolvadásánál le-het leginkább kihasználni, vagy a csak olvasható tartományvezérlő (RODC) használata, amelyre azonban minden attribútum replikálódik, ezért nem tekint-hető teljesen biztonságosnak. Mindenképpen meg kell említeni a finomított replikációt (Link Valued Replication), amely tekintettel a sávszélességre, csak a változott elemet replikálja, továbbá a séma elemek inaktiválási lehetőségét, amelynek segítségével már nem használt vagy sérült osztályokat, attribútumo-kat lehet használaton kívül helyezni törlés nélkül.
Windows Server 2008
Az azonos tartományi működési szint extra szolgáltatásain kívül csak egyet lehet megemlíteni, amely miatt érdemes is lehet az erdő szintjét emelni, már ha ez lehetséges. Ez a szolgáltatás pedig a csak olvasható tartományvezérlőkre replikálódó attribútumok szűrésének lehetősége (RODC Filtered Attribute Set – RODC FAS), amelyet a kérdéses attribútum searchFlags értékének növelésével lehet elérni. Ez a szűrés azonban csak Windows Server 2008 globális katalógus tartományvezérlő replikációjáról működik megfelelően, 2003-éról nem. Tarto-mányvezérlőként egyébként Windows Server 2008 sima és R2 is használható.
Windows Server 2008 R2
Itt csak a Windows Server 2008 R2 tartományvezérlők használhatóak, a plusz szolgáltatás pedig az Active Directory lomtár (AD Recycle Bin – AD RB) erdőszintű használata, amely nagyon hasznos dolog, hiszen egy (pl. véletlenül) törölt címtárobjektum online, azonnali és teljes körű visszaállítási lehetőségét nyújtja. Mellesleg talán a leggyakoribb hibák az Active Directory esetében az ilyen véletlen törlésekből adódnak.30