Datalab med Windows Server og UniFi-nettverk (utvida) - Domener og hierarkiet i Active Directory - Driftsstøtte (IM-ITK vg2) - NDLA

Hopp til innhald
Læringssti

Du er no inne i ein læringssti:
Datalab med Windows Server og UniFi-nettverk (utvida)

Fagartikkel

Domene og hierarkiet i Active Directory

Active Directory (AD) er laga for å kunne fungere i bedrifter av alle storleikar. For å handtere dette har AD ein hierarkisk struktur. Handteringa av domene i AD har mange likskapstrekk med domene slik vi kjenner dei frå internett og DNS.

Domene i AD

I Active Directory tek vi utgangspunkt i eit domene (parent domain). Domenet er bygd opp av eit domenenamn og eit toppdomenenamn. Dette blir kalla eit «fully qualified domain name» (FQDN). Døme på dette kan vere lab.lan eller ndla.no.

I testoppsett er det vanleg å bruke eit toppdomene som ikkje er brukbart over internett (ikkje er rutbare). Døme på dette kan vere .lan og .corp. Begge desse er toppdomene som er sette av til lokale/interne oppsett.

Rutbare vs. ikkje-rutbare toppdomene

Vi kan dele toppdomene i to grupper. Toppdomene som blir brukte på internett, har ein eigar og er rutbare, og toppdomene som ikkje blir brukte over internett, har ikkje ein eigar og er ikkje rutbare.

Rutbare toppdomene

Alle toppdomena du møter på internett, til dømes .no .se .com .net er rutbare toppdomene. Desse toppdomena har ein eigar som styrer alle domene under toppdomenet sitt og sikrar at det er mogleg å gjere domene-oppslag (kople domenenamn og IP-adresser).

Til dømes er .no det nasjonale toppdomenet for Noreg og blir styrt av Norid. Viss du ønskjer eit domene under toppdomenet .no, må du registrere og betale for dette. Då får du moglegheit til å leggje inn DNS-oppslag for dette domenet (du koplar domenet mot éin eller fleire IP-adresser der du ønskjer at trafikken til domenet skal sendast) – til dømes viss du skal setje opp ein webserver eller ei anna serverteneste.

Bedrifter som eig gyldige domenenamn (der dei styrer eit domene som eksisterer under eit rutbart domene på internett), til dømes ndla.no, vil ofte bruke dette som domenenamn for AD-oppsettet sitt.

Ikkje-rutbare toppdomene

Ein del toppdomene er ikkje i bruk over internett. Dei har ingen eigar som tek ansvar for domeneoppslag. Desse toppdomena er derfor ikkje rutbare på internett.

Sjølv om eit toppdomene ikkje er i bruk i dag, kan det bli teke i bruk seinare. Det er derfor tilrådd å berre bruke toppdomene som er spesifiserte til bruk i interne nettverk – til dømes .corp og .lan.

For små bedrifter som berre har nokre få tilsette og berre éin kontorstad, kan alle brukarar og einingar leggjast rett under domenet. Ei datamaskin kan då til dømes få namnet laptop11.lab.lan, og ein brukar kan ha namnet testbrukar@lab.lan.

Hierarki i Active Directory

Underdomene og domene-tre

Større bedrifter er ofte delte inn i ulike avdelingar og gjerne òg fleire plasseringar (kontor/arbeidsstader).

Tilsette ved ei avdeling vil ofte ha behov for dei same typane ressursar for å gjere arbeidd sitt. Til dømes treng alle tilsette på økonomiavdelinga tilgang til økonomiprogramvara som blir brukt i bedrifta og tilgang til økonomirelaterte dokument. Andre avdelingar har andre behov og bør ikkje ha tilgang til ressursar dei ikkje treng for arbeidet sitt.

I AD er det vanleg å bruke underdomene (child domain) til ressursar som høyrer til ulike avdelingar.

Underdomena (child domain) høyrer til hovuddomenet (parent domain).

Når underdomene blir oppretta, blir det etablert tillitsforhold (trust) mellom domene og underdomene. Dette gjer det mogleg å flytte ressursar mellom entitetane og også gi løyve på kryss av underdomena. Til dømes kan kanskje ein brukar som høyrer til prod.lab.lan, få lov til å skrive ut på skrivarar som høyrer til sal.lab.lan. Viss ein tilsett som høyrer til ei avdeling flyttar over til ei ny avdeling, kan det vere så enkelt som å flytte brukarkontoen til det nye underdomenet. Brukaren mistar då gamle rettar og får nye som stemmer overeins med arbeidsoppgåvene han eller ho no skal ha.

Underdomene kan òg ha underdomene igjen. Dette gjer at strukturen kan få fleire nivå nedover (til dømes utland.sal.lab.lan).

Sidan alle held fram med å høyre til same domene (parent domain), held dei fram med å vere del av det same domene-treet.

Eit domene-tre er definert ut frå det felles domenet (parent domain) som blir brukt. Det kan ha fleire domenekontrollerar, anten som deler arbeid eller har ansvar for spesifikke underdomene, men heile domene-treet har ein felles database.

Domene-skog

Over domene-treet har vi domene-skogen. Denne eksisterer i alle oppsett av AD, men er mest aktuell når vi må handtere konsern som har fleire domene og domene-tre. Det kan òg vere relevant ved samanslåing av bedrifter.

Konsern, to eller fleire rettsleg sjølvstendige selskap som reelt utgjer ei eining ved at eit selskap (morselskapet) har bestemmande innverknad over eitt eller fleire andre selskap (dotterselskap). Morselskapet vil då ofte nytte posisjonen sin til å leie dotterselskapa som ei organisatorisk eining. https://snl.no/konsern

Eit konsern (som består av fleire sjølvstendige selskap) vil ha domene (parent domain) og separate domene-tre for kvart selskap. Viss vi ønskjer å gi tilgang til ressursar mellom domene-trea, må dette setjast opp manuelt. Då lagar vi eit tillitsforhold (trust) mellom domena. Eit slikt tillitsforhold kan gå éin veg eller begge vegar. Til dømes kan vi tenkje oss at ei bedrift kjøper opp ei anna. Då ønskjer vi at oppkjøparen får fri tilgang til den oppkjøpte bedrifta, men ikkje andre vegen. Kvart domene-tre har sin eigen database. Domene-skogen har ein global katalog som gjer det mogleg å gjere oppslag til utstyr mellom domene-trea.

Skrive av Tron Bårdgård.
Sist fagleg oppdatert 11.03.2021