Article

Domener og hierarkiet i Active Directory

Active Directory (AD) er laget for å kunne fungere i bedrifter av alle størrelser. For å håndtere dette har AD en hierarkisk struktur. Håndteringen av domener i AD har mange likhetstrekk med domener slik vi kjenner dem fra internett og DNS.

Furuskog i sommersol. Foto. — Image: Johner Images / CC BY-NC 4.0

Domene i AD

Trekant med adressen Lab.lan, Domene og Parent Domain. Modell. — Image: Tron Bårdgård / CC BY-SA 4.0

I Active Directory tar vi utgangspunkt i et domene (parent domain). Domenet er bygd opp av et domenenavn og et toppdomenenavn. Dette kalles for et «fully qualified domain name» (FQDN). Eksempel på dette kan være lab.lan eller ndla.no.

I testoppsett er det vanlig å bruke et toppdomene som ikke er brukbart over internett (ikke er rutbart). Eksempel på dette kan være .lan og .corp. Begge disse er toppdomener som er satt av til lokale/interne oppsett.

Rutbare vs. ikke-rutbare toppdomener

Vi kan dele toppdomener i to grupper. Toppdomener som brukes på internett, har en eier og er rutbare, og toppdomener som ikke brukes over internett, har ikke en eier og er ikke rutbare.

Rutbare toppdomener

Alle toppdomenene du møter på internett, for eksempel .no .se .com .net, er rutbare toppdomener. Disse toppdomenene har en eier som styrer alle domener under sitt toppdomene og sikrer at det er mulig å gjøre domene-oppslag (koble domenenavn og IP-adresser).

For eksempel er .no det nasjonale toppdomenet for Norge og styres av Norid. Hvis du ønsker et domene under toppdomenet .no, må du registrere og betale for dette. Da får du mulighet til å legge inn DNS-oppslag for dette domenet (du kobler domenet mot én eller flere IP-adresser hvor du ønsker at trafikken til domenet skal sendes) – for eksempel hvis du skal sette opp en webserver eller en annen servertjeneste.

Bedrifter som eier gyldige domenenavn (hvor de styrer et domene som eksisterer under et rutbart domene på internett), for eksempel ndla.no, vil ofte bruke dette som domenenavn for AD-oppsettet sitt.

Ikke-rutbare toppdomener

En del toppdomener er ikke i bruk over internett. De har ingen eier som tar ansvar for domeneoppslag. Disse toppdomenene er derfor ikke rutbare på internett.

Selv om et toppdomene ikke er i bruk i dag, kan det bli tatt i bruk senere. Det anbefales derfor å bare bruke toppdomener som er spesifisert til bruk i interne nettverk – for eksempel .corp og .lan.

For små bedrifter som bare har noen få ansatte og bare ett kontorsted, kan alle brukere og enheter legges rett under domenet. En datamaskin kan da for eksempel få navnet laptop11.lab.lan, og en bruker kan ha navnet testbruker@lab.lan.

Hierarki i Active Directory

Underdomener og domene-tre

Trekant merket «Domene» i en firkant merket «Domene-tre», som igjen er i en firkant merket «Domene-skog». Modell. — Image: Tron Bårdgård / CC BY-SA 4.0

Større bedrifter er ofte delt inn i forskjellige avdelinger og gjerne også flere plasseringer (kontorer/arbeidssteder).

Ansatte ved en avdeling vil ofte ha behov for de samme typene ressurser for å gjøre arbeidet sitt. For eksempel trenger alle ansatte på økonomiavdelingen tilgang til økonomiprogramvaren som brukes i bedriften og tilgang til økonomirelaterte dokumenter. Andre avdelinger har andre behov og bør ikke ha tilgang til ressurser de ikke trenger for sitt arbeid.

Domene-tre inkluderer et domene og ett eller flere underdomener. Mellom underdomener og domenet er det tillitsforhold. Modell. — Image: Tron Bårdgård / CC BY-SA 4.0

I AD er det vanlig å bruke underdomener (child domain) til ressurser som tilhører forskjellige avdelinger.

Underdomenene (child domain) tilhører hoveddomenet (parent domain).

Når underdomener opprettes, etableres det tillitsforhold (trust), mellom domene og underdomene. Dette gjør det mulig å flytte ressurser mellom entitetene og også gi tillatelser på kryss av underdomenene. For eksempel kan kanskje en bruker som tilhører prod.lab.lan, få lov til å skrive ut på skrivere som tilhører salg.lab.lan. Hvis en ansatt som tilhører en avdeling flytter over til en ny avdeling, kan det være så enkelt som å flytte brukerkontoen til det nye underdomenet. Brukeren mister da gamle rettigheter og får nye som stemmer overens med arbeidsoppgavene han eller hun nå skal ha.

Underdomener kan også ha underdomener igjen. Dette gjør at strukturen kan få flere nivåer nedover (for eksempel utland.salg.lab.lan).

Siden alle fortsetter å tilhøre samme domene (parent domain), fortsetter de å være del av det samme domene-treet.

Et domene-tre er definert ut fra det felles domenet (parent domain) som brukes. De kan ha flere domenekontrollere, enten som deler arbeid eller har ansvar for spesifikke underdomener, men hele domene-treet har en felles database.

Domene-skog

Over domene-treet har vi domene-skogen. Denne eksisterer i alle oppsett av AD, men er mest aktuell når vi må håndtere konsern som har flere domener og domene-trær. Det kan også være relevant ved sammenslåing av bedrifter.

Konsern, to eller flere rettslig selvstendige selskaper som reelt utgjør en enhet ved at et selskap (morselskapet) har bestemmende innflytelse over ett eller flere andre selskaper (datterselskaper). Morselskapet vil da ofte benytte sin posisjon til å lede datterselskapene som en organisatorisk enhet. https://snl.no/konsern

Et konsern (som består av flere selvstendige selskap) vil ha domene (parent domain) og separate domene-trær for hvert selskap. Hvis vi ønsker å gi tilgang til ressurser mellom domene-trærne, må dette settes opp manuelt. Da lager vi et tillitsforhold (trust) mellom domenene. Et slikt tillitsforhold kan gå én vei eller begge veier. For eksempel kan vi tenke oss at en bedrift kjøper opp en annen. Da ønsker vi at oppkjøperen får fri tilgang til den oppkjøpte bedriften, men ikke andre veien. Hvert domene-tre har sin egen database. Domene-skogen har en global katalog som gjør det mulig å gjøre oppslag til utstyr mellom domene-trærne.