Роль Active Directory
Основы работы Active Directory
Поскольку работа служб безопасности Windows 2000 тесно связана с функционированием службы каталогов Active Directory, для понимания принципов работы служб безопасности необходимо базовое знакомство с архитектурой Active Directory. Если Вы не знакомы с Active Directory, в данном разделе Вы найдете ее краткий обзор.
Примечание
Для получения дополнительной информации об Active Directory обращайтесь к ресурсам Технической библиотеки Windows 2000, расположенной на веб-узле http://www.microsoft.com/windows2000/technologies/directory/default.asp.
В отличие от простой пофайловой структуры каталога ОС Windows NT® Server, служба каталогов Active Directory в Windows 2000 сохраняет информацию в иерархическом виде, отражающем логику построения Вашего предприятия. Благодаря этому упрощается управление каталогом и становится возможным значительный его рост. Иерархическая структура Active Directory состоит из доменов, подразделений (organizational units, OU) и объектов, подобно тому, как информация на компьютерах под управлением Windows организуется в папки и файлы.
Рисунок 1 – Иерархическая структура службы каталогов Active Directory
Домен – это совокупность сетевых объектов, таких как подразделения, учетные записи пользователей, группы и компьютеры, использующие в целях безопасности общую базу данных каталогов. Домены являются основными структурными единицами в Active Directory, выполняя важные функции в системе безопасности. Группировка объектов в один или несколько доменов помогает отразить способ организации Вашей компании.
Сети крупных организаций могут содержать несколько доменов, при этом их иерархия называется деревом доменов. Первый созданный домен является корневым и, по отношению к доменам, созданным под ним, будет родительским, а те по отношению к нему – дочерними. В очень больших организациях деревья доменов могут быть связаны между собой, формируя структуру, называемую лесом. (В случаях, когда используется несколько контроллеров домена, служба каталогов Active Directory реплицирует базы данных через равные интервалы времени на каждый контроллер домена, благодаря чему базы данных всегда синхронизированы).
В домене выполнение функций центра обеспечения безопасности сочетается с единством внутренних политик и определенностью отношений в сфере безопасности с другими доменами. Администратор домена имеет полномочия на регулирование политик только внутри своего домена. Для больших организаций это особенно удобно, поскольку с различными доменами работают разные администраторы (более подробно эта особенность управления доменами рассматривается ниже, в разделе "Делегирование прав администрирования"). Однако домен не имеет собственных защитных границ, обеспечивающих безопасную изоляцию от других доменов в пределах леса. Такими границами обладает только лес.
Сайты – другое понятие, необходимое при изучении работы Active Directory. В то время как структура доменов обычно отражает бизнес-структуру организации, сайты объединяют серверы Active Directory по географическому признаку. Компьютеры внутри сайта, как правило, соединены быстрыми каналами связи, но не обязательно логически связаны между собой. Например, если в здании находится несколько разных предприятий, таких, как видеостудия, ресторан и архив документов, серверы Active Directory в этом здании могут составлять сайт, даже если области выполняемых на них задач не пересекаются.
Подразделение (organizational unit, OU) представляет собой контейнер, с помощью которого можно логически объединять объекты в административные группы внутри домена. В подразделение могут входить такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры, приложения, общие файлы, а также другие подразделения.
Объект содержит информацию (называемую атрибутами) об отдельном пользователе, компьютере или аппаратном устройстве. Например, среди атрибутов объекта, соответствующего пользователю, скорее всего, можно будет найти имя, номер телефона и имя руководителя. В объект, сопоставленный компьютеру, обычно включается информация о расположении компьютера, а также список управления доступом (Access control list, ACL), перечисляющий группы и пользователей, у которых имеются права на доступ к данному компьютеру.
Распределение информации по доменам и подразделениям позволяет управлять применением мер безопасности к совокупностям объектов, таким как группы пользователей и компьютеров, а не к каждому пользователю или объекту отдельно. Более подробно этот подход будет описан ниже, в разделе "Управление мерами безопасности с помощью групповой политики". Перед этим необходимо рассмотреть еще одно понятие, важное для понимания взаимодействия системы безопасности с Active Directory – доверие.