Domener og hierarkiet i Active Directory
I Active Directory tar vi utgangspunkt i et domene (parent domain). Domenet er bygd opp av et domenenavn og et toppdomenenavn. Dette kalles for et «fully qualified domain name» (FQDN). Eksempel på dette kan være lab.lan
eller ndla.no
.
I testoppsett er det vanlig å bruke et toppdomene som ikke er brukbart over internett (ikke er rutbart). Eksempel på dette kan være .lan
og .corp
. Begge disse er toppdomener som er satt av til lokale/interne oppsett.
For små bedrifter som bare har noen få ansatte og bare ett kontorsted, kan alle brukere og enheter legges rett under domenet. En datamaskin kan da for eksempel få navnet laptop11.lab.lan
, og en bruker kan ha navnet testbruker@lab.lan
.
Underdomener og domene-tre
Større bedrifter er ofte delt inn i forskjellige avdelinger og gjerne også flere plasseringer (kontorer/arbeidssteder).
Ansatte ved en avdeling vil ofte ha behov for de samme typene ressurser for å gjøre arbeidet sitt. For eksempel trenger alle ansatte på økonomiavdelingen tilgang til økonomiprogramvaren som brukes i bedriften og tilgang til økonomirelaterte dokumenter. Andre avdelinger har andre behov og bør ikke ha tilgang til ressurser de ikke trenger for sitt arbeid.
I AD er det vanlig å bruke underdomener (child domain) til ressurser som tilhører forskjellige avdelinger.
Underdomenene (child domain) tilhører hoveddomenet (parent domain).
Når underdomener opprettes, etableres det tillitsforhold (trust), mellom domene og underdomene. Dette gjør det mulig å flytte ressurser mellom entitetene og også gi tillatelser på kryss av underdomenene. For eksempel kan kanskje en bruker som tilhører prod.lab.lan
, få lov til å skrive ut på skrivere som tilhører salg.lab.lan
. Hvis en ansatt som tilhører en avdeling flytter over til en ny avdeling, kan det være så enkelt som å flytte brukerkontoen til det nye underdomenet. Brukeren mister da gamle rettigheter og får nye som stemmer overens med arbeidsoppgavene han eller hun nå skal ha.
Underdomener kan også ha underdomener igjen. Dette gjør at strukturen kan få flere nivåer nedover (for eksempel utland.salg.lab.lan
).
Siden alle fortsetter å tilhøre samme domene (parent domain), fortsetter de å være del av det samme domene-treet.
Et domene-tre er definert ut fra det felles domenet (parent domain) som brukes. De kan ha flere domenekontrollere, enten som deler arbeid eller har ansvar for spesifikke underdomener, men hele domene-treet har en felles database.
Domene-skog
Over domene-treet har vi domene-skogen. Denne eksisterer i alle oppsett av AD, men er mest aktuell når vi må håndtere konsern som har flere domener og domene-trær. Det kan også være relevant ved sammenslåing av bedrifter.
Konsern, to eller flere rettslig selvstendige selskaper som reelt utgjør en enhet ved at et selskap (morselskapet) har bestemmende innflytelse over ett eller flere andre selskaper (datterselskaper). Morselskapet vil da ofte benytte sin posisjon til å lede datterselskapene som en organisatorisk enhet. https://snl.no/konsern
Et konsern (som består av flere selvstendige selskap) vil ha domene (parent domain) og separate domene-trær for hvert selskap. Hvis vi ønsker å gi tilgang til ressurser mellom domene-trærne, må dette settes opp manuelt. Da lager vi et tillitsforhold (trust) mellom domenene. Et slikt tillitsforhold kan gå én vei eller begge veier. For eksempel kan vi tenke oss at en bedrift kjøper opp en annen. Da ønsker vi at oppkjøperen får fri tilgang til den oppkjøpte bedriften, men ikke andre veien. Hvert domene-tre har sin egen database. Domene-skogen har en global katalog som gjør det mulig å gjøre oppslag til utstyr mellom domene-trærne.