-
В рамках этой книги невозможно подробно рассмотреть все аспекты использования службы каталогов Active Directory и доменов Windows 2000, поэтому в данной и следующих двух главах изложены основные термины и принципы построения служб каталогов и, конкретно, Active Directory;
-
Служба каталогов нужна многим приложениям. Требуется она и операционным системам, которым удобно хранить в едином каталоге учетные записи пользователей, информацию о файлах и приложениях политики безопасности и многое другое.
-
Сначала рассмотрим некоторые базовые термины, используемые в службах каталогов (с примерами из Active Directory), двигаясь в сторону более глобальных понятий. | После знакомства с ними можно переходить к терминам и концепциям конкретной службы каталогов – Active Directory.
-
Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией. Термины "элемент" и "объект" часто используют как взаимозаменяемые, хотя объект – это нечто относящееся к физическому миру, а элемент – его представление в каталоге.
-
Контейнер (container) – это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации – группировки – других объектов каталога.
-
При инсталляции Windows 2000 Server и организации домена Windows 2000 (или смешанного с Windows NT 4.0 домена) необходимо иметь четкое представление о некоторых базовых понятиях служб каталога вообще и Active Directory – в частности.
-
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой – преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах.
-
После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Как и DNS, LDAP – это стандарт, разработанный консорциумом IETF и происходящий от сложной, но не используемой широко службы каталогов Х.500, созданной в середине 80-х годов.
-
Каждый домен в Windows 2000 имеет DNS-имя, однако DNS-имена не применяются для именования отдельных элементов базы данных Active Directory. Вместо "этого следует использовать имена, принятые в LDAP. Согласно требованиям протокола LDAP один (или – очень редко – несколько) из атрибутов элемента каталога служит для именования этого элемента.
-
База данных домена Windows 2000 может хранить значительно больше элементов, чем это было возможно в доменах Windows NT 4.0, поэтому организация, имеющая в своей сети множество доменов, теперь сможет объединить их в один домен.
-
При помощи протокола LDAP несложно получить доступ к некоторому объекту (элементу), если клиенту известно имя домена, к которому этот объект относится, и отличительное имя объекта. Что же делать, если клиент знает только имя домена, а отличительное имя объекта ему не известно?
-
Сервером глобального каталога можно назначить любой контроллер домена с учетом требований сетевой среды к операциям поиска и обслуживания запросов на регистрацию.
-
Репликация данных Active Directory на нескольких контроллерах домена вполне оправданна. Однако представим себе, что домен располагается на значительной территории, может быть, даже в разных странах. Такой домен может иметь множество контроллеров доменов, значительно удаленных друг от друга.
-
Как уже упоминалось, в Active Directory реализована репликация в режиме multi-master. Однако некоторые изменения в каталоге целесообразнее (эффективнее) выполнять в режиме с одним основным контроллером (single-master), называемым основным контроллером операций (operations master), который и управляет всеми подобными изменениями.
-
Две следующие роли можно назначать только одному контроллеру в пределах леса: | Хозяин схемы (Schema Master). | Контроллер, выполняющий роль основного контроллера схемы, управляет всеми обновлениями и модификациями схемы. | Хозяин именования доменов (Domain Naming Master).
-
Для передачи ролей FSMO, уникальных для всего леса, используются оснастки Схема Active Directory (Active Directory Schema) (для назначения роли "хозяин схемы") и Active Directory – домены и доверие (Active Directory Domains and Trusts) (для назначения роли "хозяин именования доменов").
-
Имеется множество каталогов сетевых ресурсов, например, LDAP-каталоги, Active Directory, Banyan StreetTalk, Microsoft Windows NT Directory Service, Novell Directory Service, и каталогов конкретных приложений, таких как Lotus Notes, cc:Mail или Microsoft Exchange.
-
В табл. 23.2 перечислены некоторые основные стандарты, реализуемые в службе каталогов Active Directory и DNS-сервере, входящем в состав Windows 2000 Server. | Таблица 23.2. Запросы на комментарии (RFC), относящиеся к Active Directory и DNS. | Номер RFC | Описание | 1777