Ali je Active Directory še potreben, če uporabljamo Microsoft 365?

Odvisno. Manjša podjetja, ki delajo izključno v oblaku, lahko uporabljajo le Microsoft Entra ID brez lokalnega AD. Pri okoljih z lokalnimi strežniki, datotečnimi delitvami in starejšimi aplikacijami pa lokalni AD pogosto ostaja smiseln.

Koliko domenskih kontrolnikov potrebujemo?

Za poslovno okolje vsaj dva, da en lahko odpove brez vpliva na uporabnike. Pri večjih organizacijah z več lokacijami dodamo še domenski kontrolnik na vsaki večji lokaciji.

Kakšna je razlika med Active Directory in Microsoft Entra ID?

AD je klasični, lokalni sistem za upravljanje Windows okolja. Entra ID je cloud-prva storitev za upravljanje identitet v Microsoft 365 in drugih cloud aplikacijah. Funkcionalnosti se prekrivata, a nista ena za drugo.

Ali AD potrebuje svoj DNS?

Da. AD je močno odvisen od pravilno postavljenega internega DNS-a. Slabo postavljen DNS je eden najpogostejših vzrokov težav z AD okoljem.

IT infrastruktura

Active Directory(AD)

Angleški izraz: Active Directory

Kratka definicija

Microsoftov sistem za centralno upravljanje uporabnikov, naprav, pravic in nastavitev v Windows okolju.

Kaj pomeni Active Directory?

Active Directory (AD) je imenski in avtentikacijski sistem, ki omogoča, da se v poslovnem omrežju vsi uporabniki, računalniki, strežniki in pravice upravljajo na enem mestu. Najpogosteje teče na enem ali več Windows Server domenskih kontrolnikih.

Ko se uporabnik prijavi na službeni računalnik, ta pošlje zahtevek na domenski kontrolnik, ki preveri geslo in vrne uporabnikove pravice. Preko skupinskih pravilnikov (Group Policy) lahko skrbniki nastavijo nastavitve, ki veljajo za vse računalnike ali samo za določene skupine.

Pomembno je razlikovati med klasičnim Active Directory (on-prem) in Microsoft Entra ID (cloud, prej Azure AD). To sta sorodni, a različni storitvi, ki ju je v hibridnih okoljih mogoče povezati preko Entra Connect.

Zakaj je to pomembno za podjetja?

Brez centralnega upravljanja identitet je IT skrbništvo v podjetju z več kot nekaj računalniki praktično nemogoče. Vsaka sprememba (nov sodelavec, sprememba pravic, odhod) bi pomenila ročno delo na vsaki napravi posebej.

AD hkrati omogoča enotna pravila: vsi uporabniki imajo ista pravila gesla, iste varnostne nastavitve, iste pravice za skupne mape. Brez tega je 'varnostna politika' samo zapis na papirju, ne pa nekaj, kar bi dejansko veljalo na vseh napravah.

Kje se to pojavi v praksi?

Tipičen primer: nov sodelavec dobi uporabniški račun v AD, ga skrbnik dodeli ustreznim skupinam (na primer 'Računovodstvo'), in v trenutku ima dostop do pravih map, tiskalnikov in aplikacij. Ob odhodu skrbnik račun onemogoči, kar v eni potezi odvzame vse pravice.

Drug pogost primer: skupinski pravilnik nastavi, da se vsi službeni računalniki samodejno zaklenejo po 10 minutah, da je USB shramba onemogočena in da se posodobitve nameščajo v določenem terminu. Brez AD bi bilo treba isto nastaviti na vsakem računalniku posebej.

Najpogostejše težave ali napake

Najpogostejša težava je domenski kontrolnik kot edina točka odpovedi. Pri samo enem domenskem kontrolniku njegova okvara pomeni, da se uporabniki ne morejo prijaviti, deliti datotek ali uporabljati notranjih storitev. Priporočljiva sta vsaj dva.

Druga pogosta napaka: pravice, ki so se skozi leta nabirale po načelu 'naj raje deluje, sortirali bomo kasneje'. Posledica je, da ima nesorazmerno veliko uporabnikov dostop do skupnih map z občutljivimi podatki.

Tretja težava: skrbniški računi (Domain Admin), ki se uporabljajo za vsakdanje delo. Vdor v tak račun pomeni popoln nadzor nad celotno domeno.

Kako pri tem pomaga VitalIT

Pri VitalIT pri obstoječih AD okoljih najprej preverimo zdravje domene: replikacijo med domenskimi kontrolniki, stanje DNS-a, organizacijsko strukturo, skupinske pravilnike in pregled skrbniških računov. Šele nato predlagamo smiselne korake.

V praksi pomagamo z nadgradnjo domenskih kontrolnikov, urejanjem organizacijske strukture in pravic, postavitvijo hibridne povezave z Microsoft 365 (Entra Connect) in z urejanjem skupinskih pravilnikov. Rešitve prilagodimo dejanskemu okolju in dogovoru s stranko.

IT infrastruktura Sistemska integracija

Sorodni izrazi

MFA

Način prijave, ki poleg gesla zahteva še en dokaz identitete — najpogosteje potrditev v aplikaciji na telefonu.

Microsoft 365

Microsoftov paket pisarniških aplikacij in cloud storitev — vključuje Outlook, Word, Excel, Teams, SharePoint, OneDrive in upravljanje uporabnikov.

DNS

Sistem, ki človeku berljiva imena (npr. vitalit.si) pretvarja v IP naslove, ki jih razumejo računalniki.

Povezane storitve

IT infrastruktura Sistemska integracija

Pogosta vprašanja

Ali je Active Directory še potreben, če uporabljamo Microsoft 365?: Odvisno. Manjša podjetja, ki delajo izključno v oblaku, lahko uporabljajo le Microsoft Entra ID brez lokalnega AD. Pri okoljih z lokalnimi strežniki, datotečnimi delitvami in starejšimi aplikacijami pa lokalni AD pogosto ostaja smiseln.
Koliko domenskih kontrolnikov potrebujemo?: Za poslovno okolje vsaj dva, da en lahko odpove brez vpliva na uporabnike. Pri večjih organizacijah z več lokacijami dodamo še domenski kontrolnik na vsaki večji lokaciji.
Kakšna je razlika med Active Directory in Microsoft Entra ID?: AD je klasični, lokalni sistem za upravljanje Windows okolja. Entra ID je cloud-prva storitev za upravljanje identitet v Microsoft 365 in drugih cloud aplikacijah. Funkcionalnosti se prekrivata, a nista ena za drugo.
Ali AD potrebuje svoj DNS?: Da. AD je močno odvisen od pravilno postavljenega internega DNS-a. Slabo postavljen DNS je eden najpogostejših vzrokov težav z AD okoljem.