Служба директорий Active Directory

Служба директорий Active Directory

Для централизованного управления большенными сетями, обхватывающими несколько миллионов юзеров и компов, и резвого доступа к ресурсам Windows 2000-2003 употребляет службу каталогов Active Directory. Под каталогом в этом случае понимается хранилище наборов сведений об объектах сети, а служба каталогов не только лишь совершенно точно идентифицирует и организует юзеров и ресурсы, да и Служба директорий Active Directory обеспечивает доступ к ним.

Active Directory делает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен сети Веб. DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и соединяет воединыжды несколько доменов в древовидную структуру. Введение нового Служба директорий Active Directory домена может быть при помощи оснастки Active Directory Domains and Trust (рис. 8).

Рис.8. Оснастка оснастки Active Directory Domains and Trust

Active Directory выделяет две структуры сети: логическую и физическую.

Логическую структуру определяет метод организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных Служба директорий Active Directory атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, юзеры, группы, контакты, принтеры, разделяемые папки и компы (рис 8). Некие объекты (контейнеры), такие как домены либо организационные подразделения, могут содержать внутри себя другие объекты.

Совокупа объектов, допустимых для хранения в каталоге, именуется схемой. Схема может обновляться динамически Служба директорий Active Directory, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.


Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы снутри доменов (рис.9).

Домен – основная структурная единица Active Directory. Все сетевые объекты есть снутри доменов и каждый домен хранит информацию только о тех объектах, которые Служба директорий Active Directory содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, но, достоверно понятно только о цифре в 1 миллион.

С другой стороны, доменом именуется раздел Active Directory и совокупа доменов в границах леса образуют службу Active Directory.


Рис. 10. Создание нового OU снутри домена

Доступ к объектам домена определяется перечнем контроля Служба директорий Active Directory доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов и административные разрешения действуют только снутри домена, не пересекаясь с остальными.

Рис. 11. Характеристики контроллера домена

В домен могут заходить компы последующих типов:

· Контроллеры доменов (рис. 11) под управлением Windows 2000-2003 Server хранят и поддерживают копию каталога, проводит авторизацию юзеров Служба директорий Active Directory обеспечивают работу Active Directory. Все контроллеры в домене равны меж собой и реплицируют конфигурации, произошедшие на одном из их;

· Рядовые серверы под управлением Windows 2003 Server для предоставления доступа к своим ресурсам;

· Компьютеры-клиенты под управлением Windows 7 l для доступа к ресурсам домена.

Создание новых объектов компов, выполняющих различные роли в Служба директорий Active Directory домене, может быть при помощи оснастки Active Directory Users and Groups (рис. 12).

Рис. 12. Оснастка Active Directory Users and Groups

Иерархия нескольких доменов, предоставляющих глобальный кооперативный доступ к ресурсам, именуется деревом. Дерево может содержать только один домен. Все домены 1-го дерева обеспечивают доступ к глобальному каталогу и делают общее место имен. По Служба директорий Active Directory эталонам DNS, имя дочернего домена присоединяется в конец родительского имени, к примеру elab.cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Вебе имени предприятия, в этом случае mephi.ru.

Если деревья употребляют различные схемы именования, то они соединяются воединыжды в лес. Деревья в лесу обеспечивают правила совместной Служба директорий Active Directory работы объектов, имеют однообразный глобальный каталог и конфигурационный контейнер.

Доверительные дела. Домены в дереве связывают меж собой симметричные и транзитивные доверительные дела по протоколу Kerberos. Транзитивность Kerberos значит, что если домен А доверяет домену В и домен В доверяет С, то это значит, что А доверяет С. Таким макаром, все три Служба директорий Active Directory домена доверяют друг дружке. При вступлении нового домена в дерево, доверительные дела инсталлируются автоматом меж ним и корнем родительского домена.

Active Directory поддерживает несколько форматов имен, что делает удобства для разных приложений и юзеров. К ним относятся:

· Имена RFC 822 в виде имя_пользователя@имя_домена;

· Имена LDAP в виде //имя_сервера Служба директорий Active Directory.имя_OU._имя_домена;

· Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.

Физическая структура Active Directory определяет тиражирование каталога меж контроллерами доменов. Эффективность тиражирования определяется организацией веб-сайтов, т. е. наборов IP-подсетей, соединенных скоростными линиями связи. Выделяя спектр IP-подсетей в Служба директорий Active Directory веб-сайт, к примеру, всю скоростную локальную сеть, мы тем локализуем трафик. Происходит это по двум фронтам:

· При регистрации юзера, клиенты Active Directory пробуют отыскать контроллер домена на веб-сайте компьютера юзера, чтоб уменьшить трафик при обслуживании запроса на регистрацию и последующих запросов сетевой инфы;

· Репликация каталогов может быть Служба директорий Active Directory настроена так, чтоб межсайтовые репликации происходят еще пореже, чем снутри веб-сайта.

Направьте внимание, веб-сайты не являются частью места имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 13). Веб-сайты содержат в себе только то, что Служба директорий Active Directory необходимо для опции репликаций, т. е. объекты компов и соединений.

Рис. 13. Оснастка Active Directory Sites and Services


sluzhat-li-glaza-cheloveka-oknami-ego-dushi.html
sluzhba-bezopasnosti-firmi.html
sluzhba-direktorij-active-directory.html