Diferència entre revisions de la pàgina «Active Directory»
Salta a la navegació
Salta a la cerca
(Es crea la pàgina amb «Active Directory (AD) és un sistema d'administració integrada dels recursos d'informació i serveis d'una xarxa Microsoft. '''AD DS''' és Active Directory Domain S...».) |
|||
| Línia 14: | Línia 14: | ||
* UO : Unitats Organitzatives | * UO : Unitats Organitzatives | ||
| − | + | <br> | |
| + | |||
| + | == GUIDs vs GIDs == | ||
Quan es crea un objecte AD DS: | Quan es crea un objecte AD DS: | ||
* '''GUID''': Global Unique IDentifier. Identificador global mundial únic. | * '''GUID''': Global Unique IDentifier. Identificador global mundial únic. | ||
* '''SID''': Security IDentifier. Identificador dintre d'un organització. [https://technet.microsoft.com/en-us/library/cc961625.aspx Un objecte pot canviar de SID] en cas que es canvii d'ubicació organitzativa (per exemple, un perfil d'usuari que canvia de departament). | * '''SID''': Security IDentifier. Identificador dintre d'un organització. [https://technet.microsoft.com/en-us/library/cc961625.aspx Un objecte pot canviar de SID] en cas que es canvii d'ubicació organitzativa (per exemple, un perfil d'usuari que canvia de departament). | ||
*: [https://technet.microsoft.com/en-us/library/cc962001.aspx SIDs coneguts] (Everyone, Creator, etc.) | *: [https://technet.microsoft.com/en-us/library/cc962001.aspx SIDs coneguts] (Everyone, Creator, etc.) | ||
| + | |||
| + | <br> | ||
| + | |||
| + | == Control d'accés == | ||
| + | Es distingeixen 2 parts en el procés: | ||
| + | * '''Autenticació''': demostració que l'usuari és qui diu ser. | ||
| + | * '''Autorització''': un cop autenticat, permís d'accés o denegació dels recursos. | ||
| + | |||
| + | |||
| + | Conceptes: | ||
| + | * '''Security Principal''': entitat AD DS que pot ser autenticada (usuaris, grups, equips). Al generar l'objecte se'ls crea un SID. | ||
| + | * '''Token d'accés''': identificador temporal a mode de certificat utilitzat per concedir accés a recursos. | ||
| + | * '''Permisos''': regles per permetre o denegar l'accés a objectes. | ||
| + | ** '''ACL''': [https://msdn.microsoft.com/en-us/library/windows/desktop/aa374872%28v=vs.85%29.aspx Access Control List] | ||
| + | *** DACL: [https://msdn.microsoft.com/en-us/library/windows/desktop/aa446597%28v=vs.85%29.aspx Discretionary ACL] | ||
| + | *** SACL: System ACL. Utilitzades per enregistrar accessos a un recurs (auditoria). | ||
| + | ** '''ACE''': Acces Control Entry. Cadascun dels elements d'una ACL. | ||
| + | |||
| + | <br> | ||
| + | |||
| + | == Carpetes == | ||
| + | AD utilitza el protocol privatiu '''SMB/CIFS''' inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de [[Samba]] i ha estat una [[enginyeria inversa]] del protocol privatiu. | ||
| + | |||
| + | Permisos de carpetes: | ||
| + | * Lectura: llegir, executar | ||
| + | * Canvi: llegir, generar arxiu/carpeta, modificar arxiu/carpeta, esborrar | ||
| + | * Control total: canvi, canviar permisos NTFS en arxius i carpetes | ||
| + | |||
| + | <table cellpadding="10"> | ||
| + | <tr> | ||
| + | <td style="background-color:#0F6FC6;color:white;">Permís per arxiu</td> | ||
| + | <td style="background-color:#0F6FC6;color:white;">Permís per carpeta</td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td style="background-color:gray;">Lectura<br>Escriptura</td> | ||
| + | <td style="background-color:gray;">Lectura<br>Escriptura</td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td>Lectura i execució<br>Canvi<br></td> | ||
| + | <td>Lectura i execució<br>Canvi<br>Veure continguts</td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td style="background-color:gray;">Control total</td> | ||
| + | <td style="background-color:gray;">Control total</td> | ||
| + | </tr> | ||
| + | </table> | ||
Revisió del 19:39, 29 nov 2015
Active Directory (AD) és un sistema d'administració integrada dels recursos d'informació i serveis d'una xarxa Microsoft.
AD DS és Active Directory Domain Services
Objectes AD
AD utilitza el standard de directori LDAP per gestionar la informació de:
- Usuaris
- Màquines
- PCs
- Impressores
- Grups
- UO : Unitats Organitzatives
GUIDs vs GIDs
Quan es crea un objecte AD DS:
- GUID: Global Unique IDentifier. Identificador global mundial únic.
- SID: Security IDentifier. Identificador dintre d'un organització. Un objecte pot canviar de SID en cas que es canvii d'ubicació organitzativa (per exemple, un perfil d'usuari que canvia de departament).
- SIDs coneguts (Everyone, Creator, etc.)
Control d'accés
Es distingeixen 2 parts en el procés:
- Autenticació: demostració que l'usuari és qui diu ser.
- Autorització: un cop autenticat, permís d'accés o denegació dels recursos.
Conceptes:
- Security Principal: entitat AD DS que pot ser autenticada (usuaris, grups, equips). Al generar l'objecte se'ls crea un SID.
- Token d'accés: identificador temporal a mode de certificat utilitzat per concedir accés a recursos.
- Permisos: regles per permetre o denegar l'accés a objectes.
- ACL: Access Control List
- DACL: Discretionary ACL
- SACL: System ACL. Utilitzades per enregistrar accessos a un recurs (auditoria).
- ACE: Acces Control Entry. Cadascun dels elements d'una ACL.
- ACL: Access Control List
Carpetes
AD utilitza el protocol privatiu SMB/CIFS inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de Samba i ha estat una enginyeria inversa del protocol privatiu.
Permisos de carpetes:
- Lectura: llegir, executar
- Canvi: llegir, generar arxiu/carpeta, modificar arxiu/carpeta, esborrar
- Control total: canvi, canviar permisos NTFS en arxius i carpetes
| Permís per arxiu | Permís per carpeta |
| Lectura Escriptura |
Lectura Escriptura |
| Lectura i execució Canvi |
Lectura i execució Canvi Veure continguts |
| Control total | Control total |
