Что такое active directory простыми словами. Зачем организации нужна Active Directory? Единая точка управления политиками

Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных.

Если вы не сталкивались ранее с понятием Active Directory и не знаете, как работают такие службы, эта статья для вас. Давайте разберёмся, что означает данное понятие, в чём преимущества подобных баз данных и как создать и настроить их для первоначального пользования.

Active Directory - это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.

Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.

В него включаются все объекты - компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory - это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?

То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту - в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.

Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов - чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных .

Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» - то есть только он имеет полный доступ к управлению информацией.

Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два - если с одним что-то произойдёт, информация будет сохранена на втором контроллере.

Ещё один вариант использования базы - если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.

В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.

Ещё целесообразно уточнить - работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.

После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос - зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.

Преимущества Active Directory

Плюсы Active Directory следующие:

1. Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи , требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.

И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.

Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.

Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы - «Отдел кадров» или «Бухгалтерия».

Ещё проще в таком случае предоставлять доступ к информации - если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.

1. Контроль над каждым участником базы данных.

Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.

Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.

Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.

1. Универсальность в установке программного обеспечения.

Кстати, о компонентах - при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.

А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу - эти сведения будут общими.

Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.

Используем базу данных на Windows Server 2012

Установка и настройка Active Directory - весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.

Чтобы загрузить службы, для начала необходимо выполнить следующее:

1. Поменять название компьютера: нажмите на «Пуск», откройте Панель управления, пункт «Система». Выберите «Изменить параметры» и в Свойствах напротив строки «Имя компьютера» кликните «Изменить», впишите новое значение для главного ПК.
2. Выполните перезагрузку по требованию ПК.
3. Задайте настройки сети так:
   • Через панель управления откройте меню с сетями и общим доступом.
   • Откорректируйте настройки адаптера. Правой клавишей нажмите «Свойства» и откройте вкладку «Сеть».
   • В окне из списка кликните на протокол интернета под номером 4, опять нажмите на «Свойства».
   • Впишите требуемые настройки, например: IP-адрес - 192.168.10.252 , маска подсети - 255.255.255.0, основной подшлюз - 192.168.10.1.
   • В строке «Предпочтительный DNS-сервер» укажите адрес локального сервера, в «Альтернативном…» - другие адреса DNS-серверов.
   • Сохраните изменения и закройте окна.

Установите роли Active Directory так:

1. Через пуск откройте «Диспетчер сервера».
2. В меню выберите добавление ролей и компонентов.
3. Запустится мастер, но первое окно с описанием можно пропустить.
4. Отметьте строку «Установка ролей и компонентов», перейдите дальше.
5. Выберите ваш компьютер, чтобы поставить на него Active Directory.
6. Из списка отметьте роль, которую нужно загрузить - для вашего случая это «Доменные службы Active Directory».
7. Появится небольшое окно с предложением загрузки необходимых для служб компонентов - примите его.
8. После вам предложат установить другие компоненты - если они вам не нужны, просто пропустите этот шаг, нажав«Далее».
9. Мастер настройки выведет окно с описаниями устанавливаемых вами служб - прочтите и двигайтесь дальше.
10. Появиться перечень компонентов, которые мы собираемся установить - проверьте, всё ли верно, и если да, жмите на соответствующую клавишу.
11. По завершении процесса закройте окно.
12. Вот и всё - службы загружены на ваш компьютер.

Настройка Active Directory

Для настройки доменной службы вам нужно сделать следующее:

• Запустите одноимённый мастер настройки.
• Кликните на жёлтый указатель вверху окна и выберите «Повысить роль сервера до уровня контроллера домена».
• Нажмите на добавление нового «леса» и создайте имя для корневого домена, затем кликните «Далее».
• Укажите режимы работы «леса» и домена - чаще всего они совпадают.
• Придумайте пароль, но обязательно запомните его. Перейдите далее.
• После этого вы можете увидеть предупреждение о том, что домен не делегирован, и предложение проверить имя домена - можете пропустить эти шаги.
• В следующем окне можно изменить путь к каталогам с базами данных - сделайте это, если они вам не подходят.
• Теперь вы увидите все параметры, которые собираетесь установить - просмотрите, правильно ли выбрали их, и идите дальше.
• Приложение проверит, выполняются ли предварительные требования, и если замечаний нет, или они некритичны, жмите «Установить».
• После окончания инсталляции ПК самостоятельно перегрузиться.

Ещё вам может быть интересно, как добавить юзера в базу данных. Для этого воспользуйтесь меню «Пользователи или компьютеры Active Directory», которое вы найдёте в разделе «Администрирование» в панели управления, или эксплуатируйте меню настроек базы данных.

Чтобы добавить нового юзера, нажмите правой клавишей по названию домена, выберите «Создать», после «Подразделение». Перед вами появится окно, где нужно ввести имя нового подразделения - оно служит папкой, куда вы можете собирать пользователей по разным отделам. Таким же образом вы позже создадите ещё несколько подразделений и грамотно разместите всех сотрудников.

Далее, когда вы создали имя подразделения, нажмите на него правой клавишей мыши и выберите «Создать», после - «Пользователь». Теперь осталось только ввести необходимые данные и поставить настройки доступа для юзера.

Когда новый профиль будет создан, нажмите на него, выбрав контекстное меню, и откройте «Свойства». Во вкладке «Учётная запись» удалите отметку напротив «Заблокировать…». На этом всё.

Общий вывод таков - Active Directory это мощный и полезный инструмент для системного управления, который поможет объединить все компьютеры сотрудников в одну команду. С помощью служб можно создать защищённую базу данных и существенно оптимизировать работу и синхронизацию информации между всеми пользователями. Если деятельность вашей компании и любого другого места работы связана с электронными вычислительными машинами и сетью, вам нужно объединять учётные записи и следить за работой и конфиденциальностью, установка базы данных на основе Active Directory станет отличным решением.

Как вам известно, прежде чем внедрять серверную инфраструктуру в предприятия и избежать большинства неприятных моментов по окончанию развертывания, ее следует тщательно спланировать. Ввиду того, что службы Active Directory разворачиваются как центральный репозиторий для хранения данных, а также информации для реализации политики и конфигурации вместе со сценариями входа пользователей, компьютеров и сетевых служб с поддержкой промышленного стандарта LDAP, применяемого для написания запросов и изменения информации в каталоге, логическая и физическая структура организации должна быть спроектирована так, чтобы управление даже в самых больших и сложнейших сетях, предоставляло единую точку, в которой можно развернуть параметры настройки во множестве систем. После того как вы составите окончательную версию бизнес-требований, соглашение об уровне предоставления услуг, а также задокументируете полученную информацию, вам нужно начать проектировать логическую и физическую инфраструктуру предприятия. На этом этапе вам предстоит правильно спланировать количество, структуру и дизайн лесов, из которых будет состоять предприятие, где после планирования будут развертываться доменные службы Active Directory.

По определению, лесом называется наивысший уровень иерархии логической структуры доменных служб, который считается границей репликации и безопасности на предприятии и состоит из одного или нескольких доменов Active Directory. Первый установленный в лесу контроллер домена называется корневым . Лес содержит единственное описание конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, где данные не реплицируются. Соответственно, лес задает периметр безопасности организации. Совместно с лесом используются следующие компоненты доменных служб Active Directory:

• Общая схема . Все контроллеры доменов в лесе используют общую схему, которая хранится в доменных службах Active Directory в разделе каталогов Schema, а также реплицируется на все контроллеры в лесе. Единственный способ развернуть две различные схемы в организации состоит в развертывании двух отельных лесов;
• Общий глобальный каталог . Глобальным каталогом называется раздел, который хранит информацию о каждом объекте в лесу. То есть, когда пользователь из одного домена выполняет поиск объекта домена во втором, результаты запроса предоставляет именно глобальный каталог. Общий глобальный каталог содержит информацию обо всех объектах во всем лесе. Таким образом, повышается эффективность поиска объектов в лесе и входа пользователей в любой домен леса при помощи UPN;
• Общий раздел каталогов конфигурации . Раздел конфигурации содержит объекты, предоставляющие логическую структуру размещения леса – в частности, структуру доменов и топологию репликации. Объекты, хранящиеся в разделе конфигурации, должны реплицироваться среди всех контроллеров всех доменов лесов и использовать один контейнер конфигурации. Данные конфигурации включают список всех доменов, деревьев и лесов, а также размещение контроллеров доменов и глобальных каталогов. Раздел каталогов конфигурации также используется такими приложениями Active Directory, как Exchange Server и Share Point;
• Общий набор мастеров операций и администраторов уровня леса . В любой реплицируемой базе данных определенные изменения должны производиться только одной репликой, так как нецелесообразно выполнять их всеми равноправными участниками. Некий ограниченный набор операций нельзя выполнять в различных местах одновременно, а можно лишь на одном контроллере домена или только в одном лесу. Контроллер домена, выполняющий особые роли, называется мастером операций . На него добавляется гибкая роль FSMO (Flexible Single-Master Operations). Доменные службы Active Directory содержат пять ролей мастеров операций, для леса предусмотрены две роли, а для домена – три. Роли мастера схемы и мастера именования доменов конфигурируются на уровне леса. Каждый лес располагает только одним мастером схемы и одним мастером именования доменов, причем в корневом домене леса создаются две группы безопасности со своими уникальными разрешениями. Мастера операций будут подробнейшим образом рассмотрены в одной из последующих статей;
• Общая конфигурация доверия . Все домены в лесе автоматически конфигурируются для доверия всем остальным доменам леса. Концепция доверительных отношений также будет рассмотрена отдельно.

При планировании лесов предприятия требуется в первую очередь определиться, сколько лесов Active Directory следует создать. После этого вам предстоит выбрать модель леса, а также на этом этапе создается политика модификации схемы, которая очерчивает круг лиц, обладающих полномочиями управления, схемой и регулирует механизм административных модификаций, воздействующих на лес в целом. Обо всем этом вы узнаете в подробностях из данной статьи.

Определение требования схемы леса и полномочий

Перед тем как вы будете проектировать схему леса предприятия, нужно особое внимание уделить производственным требованиям, которые будет удовлетворять структура доменных служб. Службы каталогов позволяют спроектировать такую инфраструктуру, которая будет приспособлена для групп с различными и уникальными требованиями к управлению. К требованиям, которые могут предоставить организации при проектировании доменных служб Active Directory, можно отнести:

• Организационные структурные требования . Огромное значение при проектировании структуры леса имеет правильное понимание организационной структуры предприятия. В целях экономии средств определенные части организации могут использовать общую инфраструктуру, но одновременно работая независимо от остальной части организации. Например, одним из таких требований может считаться временная изоляция конкретного подразделения предприятия на определенный срок, которому необходимо устанавливать каталоги приложений, изменяющие схему Active Directory. В этом случае, если такое подразделение принадлежит к одному лесу, в котором расположены и остальные пользователи организации, самой организации может быть нанесен существенный ущерб. Поэтому для сбора организационных структурных требований лучше всего начать с определения различных групп принципалов безопасности, которые будут использоваться в доменных службах Active Directory. После этого определите, какие группы должны работать отдельно от всей организации. Если такие группы в вашей организации будут обнаружены, определите, могут ли они нанести ущерб всей организации. Обычно, группы, которые имеют различные требования от остальной части организации, размещают в отдельные леса;
• Законодательные требования . В процессе проектирования вы также должны иметь представление о правовых требованиях, которые должна соблюдать организация. В некоторых организациях в бизнес-контракте указано, что по закону требуется обеспечить определенный режим работы, например, ограничить доступ к определенным ресурсам. Несоблюдение таких требований может привести к расторжению контракта и, даже, к судебному преследованию. Поэтому, во время дизайна структуры лесов, при сборе правовых требований, начините с определения правовых обязательств организации. Чтобы соблюдать требования к безопасности, в некоторых организациях необходимо работать во внутренних изолированных сетях;
• Эксплуатационные требования . После того как вы определите организационные структурные и юридические требования вам нужно заняться сбором эксплуатационных требований, которые будут влиять на разработку структуры леса. Иногда случаются такие сценарии, когда какая-либо часть организации накладывает уникальные ограничения на конфигурацию службы каталогов, на доступность или безопасность этой службы или же использует приложения, которые накладывают уникальные ограничения на каталог. Отдельные подразделения организации могут развернуть отсутствующие в других подразделениях приложения, которые изменяют схему каталогов. Уникальные эксплуатационные требования могут использовать такие организации, как военные или хостинговые компании, предоставляющие услуги размещения. Для того чтобы определить эксплуатационные требования, лучше всего начать с инвентаризации оперативных групп вместе с эксплуатационными требованиями для каждой отдельной группы;
• Требования ограниченной связи . Наконец, для проектирования структуры леса важно выявление любых ограниченных требований связи. Во многих организациях есть филиалы с изолированными сетями, которые имеют ограниченную пропускную способность. При проектировании леса лучше всего начать с определения всех групп, расположенных удаленно от центрального офиса.

Завершив этот перечень основных требований, вы можете перейти к стадии определения полномочий администраторов и владельцев данных и служб.

В доменных службах Active Directory существует много типов административной деятельности, включая конфигурацию данных и управление данными в службе каталогов. В крупных организациях административные роли доменных служб разделяются на несколько категорий. Один из способов описания различных категорий заключается в разделении владельцев лесов, владельцев и администраторов данных, а также владельцев и администраторов служб.

• Владельцы леса отвечают за подбор и поддержку администраторов служб, поэтому из доверия владельцу леса следует доверие администраторам служб, управляемых владельцем леса;
• Владельцы и администраторы данных отвечают за информацию, которая хранится в доменных службах Active Directory. владельцы данных регламентируют политики и процессы управления данными, а администраторы данных располагают правами и привилегиями создания объектов AD DS в структуре, которая определяется владельцами и администраторами службы;
• Владельцы и администраторы служб отвечают за службу доменных служб и полностью контролируют данные и службы на всех контроллерах леса. Владельцы служб принимают решения относительно количества лесов, доменов и сайтов, необходимых для выполнения требования компании к службе каталогов Active Directory. А, в свою очередь, администраторы служб имеют следующие возможности:
• Изменение системного программного обеспечения на контроллерах домена, обходя любые обычные проверки безопасности, что позволяет просматривать все объекты в домене и управлять ими независимо от того, разрешено ли это им в списках управления доступом;
• Устранение ошибок, связанных со списками управления доступом к объектам, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;
• Сбрасывать пароли и изменять членства пользователей в группах;
• Использование политики безопасности «Группы с ограниченным доступом» , предназначенных для предоставления всем пользователям и группам административного доступа к любому компьютеру, присоединенному к домену, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;
• Иметь доступ к другим доменам леса путем изменения системного программного обеспечения на контроллерах доменов. Администраторы служб могут просматривать или изменять данные конфигурации леса, просматривать или изменять данные, хранящиеся в любом домене, а также просматривать или изменять данные на любом присоединенном к домену компьютере.

В связи с тем, что администраторы служб имеют такие полномочия, желательно, чтобы в организации было минимальное количество администраторов служб. По умолчанию такими правами обладают группы «Администраторы домена» в корневом лесе, «Администраторы предприятия» и «Администраторы схемы» .

Создание безопасного леса на основании корпоративных требований

В дополнение к вышеперечисленным требованиям, вам нужно определить, будет ли структура леса автономной или изолированной.

Административная автономия предполагает полный административный контроль над некоторыми компонентами леса на уровне леса, домена или подразделения. По достижении автономии администраторы получают право независимо управлять ресурсами. Тем не менее, автономия не означает получения эксклюзивного контроля. Существуют администраторы с более широкими полномочиями, которые тоже могут управлять этими ресурсами и при необходимости могут лишить полномочий подчиненных администраторов. Логическая структура доменных служб проектируется с одним из указанных ниже типов автономии:

• Автономия служб . Автономия служб предполагает возможность управлять инфраструктурой, не требуя единоличного контроля, то есть, если группе нужно внести изменения в инфраструктуру, пространство имен или схему без разрешения владельца леса. Автономия служб может потребоваться группам, которым нужно иметь возможность управлять уровнем обслуживания в доменных службах Active Directory или группам, которым нужно иметь возможность устанавливать поддерживающие каталоги приложения, требующие изменения схемы;
• Автономия данных . Включает в себя контроль над всеми или частью данных, которые хранятся в каталоге или на рядовых компьютерах, которые подключены к домену. Автономия данных предполагает, что группа или предприятие может управлять своими собственными данными, а также принимать административные решения по поводу данных и выполнять все необходимые задачи, не обращаясь за решением к другому полномочному органу. Если нет необходимости защищать конкретные данные от других администраторов в лесу, определенная группа может дать заявку на то, чтобы у нее была возможность самой управлять своими данными, которые относятся к конкретному проекту.

Административная изоляция предполагает получение эксклюзивного контроля над компонентом каталога. В случае административной изоляции никто, кроме указанных администраторов не может получить права управлять ресурсами, и никто из администраторов не может лишить их этих прав. Также как и в случае с административной автономией, логическая структура доменных служб проектируется с одним из указанных ниже типов изоляции:

• Изоляция служб . Изоляция служб позволяет администраторам контролировать работу служб и вмешиваться в нее могут только те администраторы, которым предоставлены такие разрешения. Группам, которые выдвигают требования к изоляции служб, необходимо, чтобы никто из администраторов вне данной группы не мог повлиять на работу служб каталогов. Например, если ваша организация оказывает услуги размещения веб-узлов клиентам и для каждого клиента требуется изоляция служб, чтобы перебои в работе основных служб не влияли на других клиентов;
• Изоляция данных . Изоляция данных препятствует всем, кроме указанных администраторов контролировать подмножество данных в каталоге или на рядовых компьютерах, присоединенных к домену, и просматривать эти данные. Администраторы служб могут лишить администраторов данных возможности управлять ресурсами, а администраторы данных не могут лишить администраторов служб доступа к ресурсам, которыми они управляют. В связи с этим, если группе требуется изоляция данных, то такая группа должна взять на себя еще и ответственность за администрирование служб. Единственным способом для таких групп получения изоляции заключается в том, чтобы создать для этих данных отдельный лес. Например, если финансовой структуре необходимо сделать так, чтобы доступ к данным клиентов, которые находятся в отдельной юрисдикции, имели только пользователи, администраторы и компьютеры, расположенные в этой юрисдикции. Так как руководство полностью доверяет администраторам служб удаленной юрисдикции, поэтому в таком учреждении необходимо изолировать данные от администраторов служб, которые находятся за пределами данной юрисдикции.

Помимо этих простых примеров, в доменных службах Active Directory предусмотрено еще множество способов реализации административной автономии и изоляции. Стоит помнить, что администраторы, которым требуется только автономия, должны мириться с тем, что другие администраторы с равными или более широкими административными полномочиями имеют равные или более широкие возможности контролировать управление службами или данными, а администраторы, которым требуется изоляция, полностью контролируют управление службами или данными. Многим компаниям требуется административная автономия с относительной гарантией того, что администраторы из других разделов в лесе не будут выполнять вредоносные действия. Также стоит отметить, что разработка автономной схемы в общем случае дешевле разработки изолированной схемы.

Выбор количества требуемых лесов

После того как вы выполнили все указанные выше требования, вам нужно определить необходимое количество лесов для инфраструктуры организации. Чтобы определить, сколько лесов необходимо развернуть, выясните, какие требования к автономии и изоляции выдвигает каждая группа организации, а затем все эти требования реализуйте в схемах моделей леса. Не стоит забывать, что разбить один лес на два очень сложно. При разработке лесов для каталога сетевой операционной системы (NOS) будет достаточно использовать только один лес. В большинстве случаев, развертывание доменных служб Active Directory выполняется в одном лесе, так как для многих компаний преимущества общего глобального каталога, встроенные доверительные отношения и общий раздел конфигурации играют более важную роль, нежели полное разделение всех административных ролей. Для того чтобы определить, сколько лесов будет использовать ваша организации, рассмотрите следующие ситуации:

• Определите необходимость изоляции или автономии лесов. Необходимость изоляции ограничивает выбор схем, в связи с чем, необходимо будет развернуть еще как минимум один лес для вашей организации;
• Для определения количества лесов, необходимо найти баланс между расходами и преимуществами. Модель с одним лесом является наиболее экономной, требующей наименьших административных затрат. При предпочтении автономной работе с административными службами, экономнее остановиться на услугах надежной ИТ-группы, что позволит управлять данными без затрат на управление самой службой;
• Две разные и автономные ИТ-организации не должны владеть одним и тем же лесом, так как цели их ИТ-групп могут существенно расходиться, что повлечет за собой перебои в рабочем процессе для каждой организации. Поэтому некоторые компании развертывают отдельные леса доменных служб в демилитаризованных зонах. Для повышения безопасности внутренней сети многие организации развертывают серверы с прямым доступом в Интернет именно в DMZ. При этом допустимо использовать управление пользователями и компьютерами в Active Directory, поддерживая изоляцию внутреннего леса;
• В целях безопасности доступ к определенной сетевой информации, целесообразно предоставлять отдельным организационным единицам, при этом используя полное разделение сетевых данных, где информация об одном лесе не отображается в другом. Нецелесообразно передавать администрирование служб внешним партнерам, особенно если это касается многонациональной организации, находящейся в разных странах или регионах. Ввиду того, что действия одних партнеров могут повлиять на услуги, предоставленные другими, партнеры должны соблюдать соглашение об уровне обслуживания, поскольку эти группы нельзя изолировать друг от друга, так как внутри леса все домены используют транзитивные доверительные связи;
• При использовании уникальной схемы развертывания приложений, с несовместимыми изменениями в схеме у разных подразделений в организации, предпочтительно создавать отдельные леса;
• Отдельные леса развертываются также в том случае, если организационная единица не работает с централизованным администрированием или не принимает централизованные административные процедуры.

Определение модели леса

После того как в проектировании службы каталогов было определено количество лесов, выбирается одна из следующих четырех моделей леса организации:

• Модель одного леса;
• Модель леса организации;
• Модель леса ресурсов;
• Модель леса с ограниченным доступом.>?/li

Модель одного леса

Данная модель является простейшей моделью леса и считается низкоуровневой, так как все объекты каталога принадлежат одному лесу и все сетевые ресурсы контролирует одна централизованная ИТ-группа. Такой проект требует минимальных административных расходов и считается самым рентабельным среди всех моделей. Модель одного леса является удачным выбором для малых и средних организаций, где действует лишь одна ИТ-группа и все ее филиалы управляются этой группой из центрального офиса.

Рис. 1. Модель одного леса

Преимущества	Недостатки
Возможность сотрудничества . Обмен электронными сообщениями; общий доступ к Интернет-сети; общие документы; общий механизм аутентификации, авторизации и поиска.	Невозможность обеспечить . Невозможность обеспечить автономность службы одного леса, если нет согласия в настройке конфигурации службы.
Аутентификация Kerberos . Обеспечивает обоюдную аутентификацию и делегирование полномочий.	Невозможно обеспечить изоляцию от владельцев служб . Администратор организации может аннулировать параметры безопасности, установленные владельцами отдельных доменов.
Автоматические транзитивные доверительные отношения . Между всеми доменами в лесе созданы транзитивные доверительные отношения в иерархическом порядке.	Проблемы репликации из-за больших объемов каталога . Проблема информации уровня леса, подлежащего репликации, в частности данные конфигурации и схема; проблема репликации информации глобального каталога на все серверы глобальных каталогов леса; при избытке информации репликация становится недопустимо медленной
Один глобальный каталог объектов . Информация всех объектов леса сохраняется в каталоге, в котором можно выполнять поиск

Модель леса организации

В соответствии с данной моделью, для каждого подразделения создается отдельный лес Active Directory, модель леса проектируется по определенным организационным критериям. Это обеспечивает автономность и изолированность данных или служб подразделений организации, при этом, лес настраивается таким образом, чтобы к нему не было доступа извне. Администраторы могут предоставлять доступ к ресурсам в другом лесу. При необходимости, подразделения могут иметь доверительные отношения с другими лесами для общего использования ресурсов. Учтённые записи, ресурсы и управление ими, в данной модели осуществляются независимо.

Рис. 2. Модель леса организации

Преимущества	Недостатки
Независимость от владельцев служб . У каждой организационной единицы собственный лес, обеспечивающий автономность данных и служб.	Высокая стоимость реализации . Самая дорогая модель с точки зрения администрирования, связанная с обучением обслуживающего персонала, установкой дополнительного аппаратного и программного обеспечения.
. Данные и службы полностью изолированы от владельца в отдельной организационной единице.
. Член каждого леса не может автоматически находиться во всех доверительных отношений между лесами; усиливается контроль за доверительными отношениями.

Данную модель можно использовать в компаниях с множеством организационных единиц, в компаниях, где отдельные единицы размещены в различных регионах, в организациях, сформированных путем слияния или приобретения.

Модель леса ресурсов

Данная модель позволяет подразделениям сообща использовать один лес, обслуживаемый отдельной ИТ-группой, при этом другие подразделения для изоляции или автономности могут разворачивать отдельный лес. Управление ресурсами в данной модели осуществляется с помощью отдельного леса, не содержащего других учетных записей, кроме тех, которые необходимы для администрирования служб и альтернативного доступа к ресурсам в лесу. Для доступа к другим лесам между ними устанавливаются доверительные отношения. В большинстве случаев конфигурируется односторонняя доверительная связь, хотя не исключаются двусторонние доверительные отношения, внешние доверительные связи с выборочной проверкой подлинности. Управление учетными записями пользователей и групп изолируются от управления ресурсами созданием отдельных лесов для каждой функции. Общие ресурсы конфигурируются на серверах в одном или нескольких лесах ресурсов.

Рис. 3. Модель леса ресурсов

Преимущества	Недостатки
Уменьшение затрат за счет общего использования ресурсов . Пользование преимуществами глобального каталога объектов; уменьшаются затраты, связанные с управлением леса.	Высокая стоимость реализации
Независимость от владельцев служб . Обеспечение полной автономности данных организационной единицы при развертывании нового леса.	Отсутствие единого глобального каталога объекта . Не производится репликация глобальных каталогов между лесами.
Изолированность от владельцев служб . Обеспечение полного изолирования данных организационной единицы при развертывании нового леса.	Непригодность для развивающихся организаций . При наличии значительных изменений, наличие многих лесов приводит к частому перемещению данных с одного леса к другому.
Явное установление доверительных отношений . Член каждого леса не может автоматически находиться во всех доверительных отношений между лесами.

Модель леса с ограниченным доступом

Эта модель предоставляет собой вариант организационной модели лесов. В ней создается отдельный лес для хранения учетных записей пользователей и общих ресурсов, изолированных от остальных подразделяй. Данный лес отличается от организационного леса тем, что между двумя доменами нельзя конфигурировать доверительные отношения. Он обеспечивает административную изоляцию. То есть, учетные записи пользователей леса вне леса не имеют разрешения или права доступа к данным в этом лесе и должны для доступа к лесу с ограниченным доступом применить отдельную учетную запись. С помощью данной модели создается отдельный лес с учётными записями пользователей и данными, изолированными от остальной части организации. Даная модель леса обеспечивает изоляцию данных при нарушении конфиденциальности с серьезными последствиями. Отсутствие доверительных отношений делает невозможным предоставления пользователям других лесов к данным с ограниченным доступом.

Рис. 4. Модель леса с ограниченным доступом

Преимущества	Недостатки
Полная изоляция ресурсов . Для хранения учетных записей пользователей и для общих ресурсов создаются отдельные изолированные леса.	Отсутствие доверительных отношений . Невозможность предоставления ресурсов одного леса для пользователей других лесов.
Административная изоляция . Учетные записи пользователей вне леса с ограниченным доступом не имеют разрешения или права доступа к любым данным в этом лесе.	Создание отдельных учетных записей . Пользователи имеют учетную запись для доступа к общим ресурсам и отдельную учетную запись для доступу к секретным сведениям, при этом должно быть две разных рабочих станциям, одна подключенная к лесу организации, а другая – к лесу с ограниченным доступом.
Обеспечение изоляции данных . Для устранения серьезных последствий при нарушении конфиденциальности данных проекта.	Высокая стоимость реализации . Затраты на администрирование возрастают пропорционально количеству созданных лесов в связи с обучением персонала, дополнительного аппаратного и программного обеспечения.
Поддержка физической сети . Организации, работающие над секретными проектами, создают леса с ограниченным доступом в отдельных сетях для поддержки безопасности.	Отсутствие аутентификации Kerberos между лесами по умолчанию . Два леса не могут использовать протокол Kerberos для аутентификации между собой по умолчанию.
	Отсутствие единого глобального каталога объекта . Не производится репликация глобальных каталогов между лесами.

Администраторам Windows-сетей не избежать знакомства с . Эта обзорная статья будет посвящена тому, что же такое Active Directory и с чем их едят.

Итак, Active Directory это реализация службы каталогов от компании Microsoft. Под службой каталогов в данном случае подразумевается программный комплекс, помогающий системному администратору работать с такими сетевыми ресурсами, как общие папки, серверы, рабочие станции, принтеры, пользователи и группы.

Active Directory имеет иерархическую структуру, состоящую из объектов. Все объекты разделяются на три основные категории.

• Учетные записи пользователей и компьютеров;
• Ресурсы (например, принтеры);
• Службы (например, электронная почта).

Каждый объект имеет уникальное имя и обладает рядом характеристик. Объекты возможно группировать.

Свойства пользователя

Active Directory имеет лесовидную структуру. Лес имеет несколько деревьев, которые содержат домены. Домены, в свою очередь, содержат вышеупомянутые объекты.

Структура Active Directory

Обычно объекты в домене группируются в подразделения. Подразделения служат для выстраивания иерархии внутри домена (организации, территориальные подразделения, отделы и т.д.). Это особенно важно для организаций, раскиданных по географическому признаку. При выстраивании структуру рекомендуется создавать как можно меньше доменов, создавая, при необходимости, отдельные подразделения. Именно на них и имеет смысл применять групповые политики.

Свойства рабочей станции

Другим способом структурирования Active Directory являются сайты . Сайты являются способом физической, а не логической группировки на основе сегментов сети.

Как уже было сказано, каждый объект в Active Directory имеет уникальное имя. Например, принтер HPLaserJet4350dtn , который находится в подразделении Юристы и в домене primer.ru будет иметь имя CN=HPLaserJet4350dtn,OU=Юристы,DC=primer,DC=ru . CN — это общее имя, OU — подразделение, DC — класс объекта домена. Имя объекта может иметь гораздо больше частей, чем в этом примере.

Другая форма записи имени объекта выглядит так: primer.ru/Юристы/HPLaserJet4350dtn . Также у каждого объекта есть глобальный уникальный идентификатор (GUID ) - уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Некоторые объекты также имеют имя участника-пользователя (UPN ) в формате объект@домен .

Вот общие сведения о том, что же такое Active Directory и для чего они нужны в локальных сетях на базе Windows. Напоследок имеет смысл сказать, что администратор имеет возможность работать с Active Directory удаленно посредством Средств удаленного администрирования сервера для Windows 7 (KB958830) (Скачать ) и Средств удаленного администрирования сервера для Windows 8.1 (KB2693643) (Скачать ).

Active Directory

Active Directory («Активные директории», AD ) - LDAP -совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT . Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server ), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server . Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Представление Active Directory состоялось в 1999 году, продукт был впервые выпущен с Windows 2000 Server , а затем был модифицирован и улучшен при выпуске Windows Server 2003 . Впоследствии Active Directory был улучшен в Windows Server 2003 R2 , Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services . Ранее служба каталогов называлась NT Directory Service (NTDS ), это название до сих пор можно встретить в некоторых исполняемых файлах .

В отличие от версий Windows до Windows 2000 , которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и TCP/IP . Для аутентификации по умолчанию используется протокол Kerberos . Если клиент или приложение не поддерживает аутентификацию Kerberos , используется протокол NTLM .

Устройство

Объекты

Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и учётные записи пользователей и компьютеров. Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Объекты могут быть вместилищами для других объектов (группы безопасности и распространения). Объект уникально определяется своим именем и имеет набор атрибутов - характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо. Однако каждый объект схемы является частью определений объектов Active Directory , поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура Active Directory . Изменение объекта схемы автоматически распространяется в Active Directory . Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён , но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура

Верхним уровнем структуры является лес - совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory . Лес содержит одно или несколько деревьев , связанных транзитивными отношениями доверия . Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS - пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры - подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory . Подразделения могут содержать другие подразделения. Корпорация Microsoft рекомендует использовать как можно меньше доменов в Active Directory , а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия .

Другим способом деления Active Directory являются сайты , которые являются способом физической (а не логической) группировки на основе сегментов сети. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей , с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик , создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании Active Directory является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация

Физически информация хранится на одном или нескольких равнозначных контроллерах доменов , заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена, хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним главным сервером », который может эмулировать главный контроллер домена. Каждый контроллер домена хранит копию данных, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации . Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен Active Directory , называются рядовыми серверами.

Репликация Active Directory выполняется по запросу. Служба Knowledge Consistency Checker создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) - различная «оценка» (или «стоимость») может быть назначена каждому каналу (например DS3 , , ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт-сайт», чем для транзитивных соединений. Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC по протоколу IP , междоменная - может использовать также протокол SMTP .

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог : контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две - уникальны в рамках всего леса.

Базу Active Directory можно разделить на три логические хранилища или «раздела». Схема является шаблоном для Active Directory и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). Конфигурация является структурой леса и деревьев Active Directory . Домен хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично - на сервера глобального каталога.

Именование

Active Directory поддерживает следующие форматы именования объектов: универсальные имена типа UNC , URL и LDAP URL . Версия LDAP формата именования X.500 используется внутри Active Directory .

Каждый объект имеет различающееся имя (англ. distinguished name , DN ) . Например, объект принтера с именем HPLaser3 в подразделении «Маркетинг» и в домене foo.org будет иметь следующее различающееся имя: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org , где CN - это общее имя, OU - раздел, DC - класс объекта домена. Различающиеся имена могут иметь намного больше частей, чем четыре части в этом примере. У объектов также есть канонические имена. Это различающиеся имена, записанные в обратном порядке, без идентификаторов и с использованием косых черт в качестве разделителей: foo.org/Маркетинг/HPLaser3 . Чтобы определить объект внутри его контейнера, используется относительное различающееся имя : CN=HPLaser3 . У каждого объекта также есть глобально уникальный идентификатор (GUID ) - уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Определённые объекты также имеют имя участника-пользователя (UPN , в соответствии с RFC 822 ) в формате объект@домен.

Интеграция с UNIX

Различные уровни взаимодействия с Active Directory могут быть реализованы в большинстве UNIX -подобных операционных систем посредством соответствующих стандарту LDAP клиентов, но такие системы, как правило, не воспринимают большую часть атрибутов, ассоциированных с компонентами Windows , например групповые политики и поддержку односторонних доверенностей.

Сторонние поставщики предлагают интеграцию Active Directory на платформах UNIX , включая UNIX , Linux , Mac OS X и ряд приложений на базе Java , с пакетом продуктов:

Добавления в схему, поставляемые с Windows Server 2003 R2 включают атрибуты, которые достаточно тесно связаны с RFC 2307 , чтобы использоваться в общем случае. Базовые реализации RFC 2307, nss_ldap и pam_ldap , предложенные PADL.com , непосредственно поддерживают эти атрибуты. Стандартная схема для членства в группе соответствует RFC 2307bis (предлагаемому) . Windows Server 2003 R2 включает Консоль управления Microsoft для создания и редактирования атрибутов.

Альтернативным вариантом является использование другой службы каталогов, например 389 Directory Server (ранее Fedora Directory Server , FDS ), eB2Bcom ViewDS v7.1 XML Enabled Directory или Sun Java System Directory Server от Sun Microsystems , выполняющую двухстороннюю синхронизацию с Active Directory , реализуя таким образом «отраженную» интеграцию, когда клиенты UNIX и Linux аутентифицируются FDS , а клиенты Windows аутентифицируются Active Directory . Другим вариантом является использование OpenLDAP с возможностью полупрозрачного перекрытия, расширяющей элементы удаленного сервера LDAP дополнительными атрибутами, хранимыми в локальной базе данных.

Active Directory автоматизируются с помощью Powershell .

Литература

• Рэнд Моримото, Кентон Гардиньер, Майкл Ноэл, Джо Кока Microsoft Exchange Server 2003 . Полное руководство = Microsoft Exchange Server 2003 Unleashed . - М .: «Вильямс», 2006. - С. 1024. - ISBN 0-672-32581-0

См. также

Ссылки

Примечания

Компоненты Microsoft Windows
Основные
Службы управления
Приложения	Контакты DVD Maker Факсы и сканирование Internet Explorer Журнал Экранная лупа Media Center Проигрыватель Windows Media Программа совместной работы Центр устройств Windows Mobile Центр мобильности Экранный диктор Paint Редактор личных символов Удалённый помощник Распознавание речи WordPad Блокнот Боковая панель Звукозапись Календарь Калькулятор Ножницы Почта Таблица символов Исторические : Movie Maker NetMeeting Outlook Express Диспетчер программ Диспетчер файлов Фотоальбом
Игры
Ядро ОС
Службы
Файловые системы
Сервер	Active Directory Службы развёртывания Служба репликации файлов DNS Домены Перенаправление папок Hyper-V IIS Media Services MSMQ Защита доступа к сети (NAP) Службы печати для UNIX Удалённое разностное сжатие Службы удаленной установки Служба управления правами Перемещаемые профили пользователей SharePoint Диспетчер системных ресурсов Удаленный рабочий стол WSUS Групповая политика Координатор распределённых транзакций
Архитектура
Безопасность
Совместимость

Microsoft
ПО
Серверное ПО
Технологии
Интернет
Игры
Аппаратное обеспечение
Образование
Лицензирование
Подразделения

Любой начинающий пользователь, сталкиваясь с аббревиатурой AD, задается вопросом, что такое Active Directory? Active Directory — это служба каталогов, разработанная Microsoft для доменных сетей Windows. Входит в большинство операционных систем Windows Server, как набор процессов и сервисов. Первоначально служба занималась только доменами. Однако, начиная с Windows Server 2008, AD стала наименованием для широкого спектра служб, связанных с идентификацией, основанных на каталогах. Это делает Active Directory для начинающих более оптимальной для изучения.

Базовое определение

Сервер, на котором работают доменные службы каталогов Active Directory, называется контроллером домена. Он аутентифицирует и авторизует всех пользователей и компьютеры в сетевом домене Windows, назначая и применяя политику безопасности для всех ПК, а также устанавливая или обновляя программное обеспечение. Например, когда пользователь входит в компьютер, включенный в домен Windows, Active Directory проверяет предоставленный пароль и определяет, является ли объект системным администратором или обычным пользователем. Также он позволяет управлять и хранить информацию, предоставляет механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных сервисов: службы сертификации, федеративные и облегченные службы каталогов и управления правами.

В Active Directory используются протоколы LDAP версии 2 и 3, версия Kerberos от Microsoft и DNS.

Active Directory — что это? Простыми словами о сложном

Отслеживание данных сети — трудоемкая задача. Даже в небольших сетях пользователи, как правило, испытывают трудности с поиском сетевых файлов и принтеров. Без какого-либо каталога средними и крупными сетями невозможно управлять, и часто приходится сталкиваться с трудностями при поиске ресурсов.

Предыдущие версии Microsoft Windows включали службы, помогающие пользователям и администраторам находить данные. Сетевое окружение полезно во многих средах, но явным недостатком являются неудобный интерфейс и его непредсказуемость. WINS Manager и Server Manager могут использоваться для просмотра списка систем, но они не были доступны конечным пользователям. Администраторы использовали User Manager для добавления и удаления данных совершенно другого типа сетевого объекта. Эти приложения оказались неэффективными для работы в крупных сетях и вызывали вопрос, зачем в компании Active Directory?

Каталог, в самом общем смысле, представляет собой полный список объектов. Телефонная книга — это тип каталога, в котором хранится информация о людях, предприятиях и правительственных организациях, и обычно в них записывают имена, адреса и номера телефонов. Задаваясь вопросом, Active Directory — что это, простыми словами можно сказать, что эта технология похожа на справочник, но является гораздо более гибкой. AD хранит информацию об организациях, сайтах, системах, пользователях, общих ресурсах и любом другом сетевом объекте .

Введение в основные понятия Active Directory

Зачем организации нужна Active Directory? Как уже упоминалось во введении в Active Directory, служба хранит информацию о сетевых компонентах. В пособии «Active Directory для начинающих» говорится о том, что это позволяет клиентам находить объекты в своем пространстве имен. Этот термин (также называемый деревом консоли) относится к области, в которой может располагаться сетевой компонент. Например, оглавление книги создает пространство имен, в котором главы могут быть соотнесены к номерам страниц.

DNS — это дерево консоли, которое разрешает имена узлов IP-адресам, как т елефонные книги предоставляют пространство имен для разрешения имен для номеров телефонов. А как это происходит в Active Directory? AD предоставляет дерево консоли для разрешения имен сетевых объектов самим объектам и может разрешить широкий спектр объектов, включая пользователей, системы и службы в сети.

Объекты и атрибуты

Все, что отслеживает Active Directory, считается объектом. Можно сказать простыми словами, что этим в Active Directory является любой пользователь, система, ресурс или служба. Общий объект терминов используется, поскольку AD способен отслеживать множество элементов, а многие объекты могут совместно использовать общие атрибуты. Что это значит?

Атрибуты описывают объекты в активный каталог Active Directory, например, все пользовательские объекты совместно используют атрибуты для хранения имени пользователя. Это касается и их описания. Системы также являются объектами, но у них есть отдельный набор атрибутов, который включает имя хоста, IP-адрес и местоположение.

Набор атрибутов, доступных для любого конкретного типа объекта, называется схемой. Она делает классы объектов отличными друг от друга. Информация о схеме фактически хранится в Active Directory. Что такое поведение протокола безопасности очень важно, говорит тот факт, что схема позволяет администраторам добавлять атрибуты к классам объектов и распределять их по сети во всех уголках домена без перезапуска любых контроллеров домена.

Контейнер и имя LDAP

Контейнер - это особый тип объекта, который используется для организации работы службы. Он не представляет собой физического объекта, как пользователь или система. Вместо этого он используется для группировки других элементов. Контейнерные объекты могут быть вложены в другие контейнеры.

У каждого элемента в AD есть имя. Это не те, к которым вы привыкли, например, Иван или Ольга. Это отличительные имена LDAP. Различающиеся имена LDAP сложны, но они позволяют идентифицировать любой объект внутри каталога однозначно, независимо от его типа.

Дерево терминов и сайт

Дерево терминов используется для описания набора объектов в Active Directory. Что это? Простыми словами это можно объяснить при помощи древовидной ассоциации. Когда контейнеры и объекты объединены иерархически, они имеют тенденцию формировать ветви — отсюда и название. Связанным термином является непрерывное поддерево, которое относится к неразрывному основному стволу дерева.

Продолжая метафорию, термин «лес» описывает совокупность, которая не является частью одного и того же пространства имен, но имеет общую схему, конфигурацию и глобальный каталог. Объекты в этих структурах доступны всем пользователям, если это позволяет безопасность. Организации, разделенные на несколько доменов, должны группировать деревья в один лес.

Сайт — это географическое местоположение, определенное в Active Directory. Сайты соответствуют логическим IP-подсетям и, как таковые, могут использоваться приложениями для поиска ближайшего сервера в сети. Использование информации сайта из Active Directory может значительно снизить трафик в глобальных сетях.

Управление Active Directory

Компонент оснастки Active Directory — пользователи. Это самый удобный инструмент для администрирования Active Directory. Он напрямую доступен из группы программ «Администрирование» в меню «Пуск». Он заменяет и улучшает работу диспетчера сервера и диспетчера пользователей из Windows NT 4.0.

Безопасность

Active Directory играет важную роль в будущем сетей Windows. Администраторы должны иметь возможность защищать свой каталог от злоумышленников и пользователей, одновременно делегируя задачи другим администраторам. Все это возможно с использованием модели безопасности Active Directory, которая связывает список управления доступом (ACL) с каждым атрибутом контейнера и объекта в каталоге.

Высокий уровень контроля позволяет администратору предоставлять отдельным пользователям и группам различные уровни разрешений для объектов и их свойств. Они могут даже добавлять атрибуты к объектам и скрывать эти атрибуты от определенных групп пользователей. Например, можно установить ACL, чтобы только менеджеры могли просматривать домашние телефоны других пользователей.

Делегированное администрирование

Концепцией, новой для Windows 2000 Server, является делегированное администрирование. Это позволяет назначать задачи другим пользователям, не предоставляя дополнительных прав доступа. Делегированное администрирование может быть назначено через определенные объекты или непрерывные поддеревья каталога. Это гораздо более эффективный метод предоставления полномочий по сетям.

Вместо назначения кому-либо всех глобальных прав администратора домена, пользователю могут быть даны разрешения только в рамках определенного поддерева. Active Directory поддерживает наследование, поэтому любые новые объекты наследуют ACL своего контейнера.

Термин «доверительные отношения»

Термин «доверительные отношения» по-прежнему используется, но имеют разную функциональность. Не существует различия между односторонними и двусторонними трастами. Ведь все доверительные отношения Active Directory двунаправлены. Кроме того, все они являются транзитивными. Итак, если домен A доверяет домену B, а B доверяет C, тогда существует автоматические неявные доверительные отношения между доменом A и доменом C.

Аудит в Active Directory — что это простыми словами? Это функция безопасности, которая позволяет определить, кто пытается получить доступ к объектам, а также насколько эта попытка успешна.

Использование DNS (Domain Name System)

Система по-другому DNS, необходима для любой организации, подключенной к Интернету. DNS предоставляет разрешение имен между общими именами, такими как mspress.microsoft.com, и необработанные IP-адреса, которые используют компоненты сетевого уровня для связи.

Active Directory широко использует технологию DNS для поиска объектов. Это существенное изменение в сравнении с предыдущими операционными системами Windows, которые требуют, чтобы имена NetBIOS были разрешены IP-адресами, и полагаются на WINS или другую технику разрешения имен NetBIOS.

Active Directory работает лучше всего при использовании с DNS-серверами под управлением Windows 2000. Microsoft упростила для администраторов переход на DNS-серверы под управлением Windows 2000 путем предоставления мастеров миграции, которые управляют администратором через этот процесс.

Могут использоваться другие DNS-серверы. Однако в этом случае администраторы должны будут тратить больше времени на управление базами данных DNS. В чем заключаются нюансы? Если вы решите не использовать DNS-серверы под управлением Windows 2000, вы должны убедиться, что ваши DNS-серверы соответствуют новому протоколу динамического обновления DNS. Серверы полагаются на динамическое обновление своих записей, чтобы найти контроллеры домена. Это неудобно. Ведь, е сли динамическое обновление не поддерживается, обновлять базы данных приходится вручную.

Домены Windows и интернет-домены теперь полностью совместимы. Например, имя, такое как mspress.microsoft.com, будет определять контроллеры домена Active Directory, ответственные за домен, поэтому любой клиент с DNS-доступом может найти контроллер домена. Клиенты могут использовать разрешение DNS для поиска любого количества услуг, поскольку серверы Active Directory публикуют список адресов в DNS с использованием новых функций динамического обновления. Эти данные определяются как домен и публикуются через записи ресурсов службы. SRV RR следуют формату service.protocol.domain.

Серверы Active Directory предоставляют службу LDAP для размещения объекта, а LDAP использует TCP как базовый протокол транспортного уровня. Поэтому клиент, который ищет сервер Active Directory в домене mspress.microsoft.com, будет искать запись DNS для ldap.tcp.mspress.microsoft.com.

Глобальный каталог

Active Directory предоставляет глобальный каталог (GC) и предоставляет единственный источник для поиска любого объекта в сети организации.

Глобальный каталог — это сервис в Windows 2000 Server, который позволяет пользователям находить любые объекты, которым был предоставлен доступ. Эта функциональность намного превосходит возможности приложения Find Computer, включенного в предыдущие версии Windows. Ведь пользователи могут искать любой объект в Active Directory: серверы, принтеры, пользователей и приложения.