Служба каталогов Active Directory
Служба каталогов Active Directory представляет собой сложное, адаптируемое под нужды потребителей решение, позволяющее удовлетворить самые разнообразные потребности организаций и большого бизнеса.
У администраторов и конечных пользователей требования к пользовательскому интерфейсу отличаются. Многие свойства и действия не представляют никакой ценности для обычных пользователей, в то время как для администраторов они очень важны. Служба каталогов Active Directory обладает тонко настраиваемой моделью безопасности, позволяющей назначать различным пользователям права на уровне индивидуальных атрибутов и делегировать полномочия на выполнение административных действий. Таким образом, Active Directory поддерживает пользовательский интерфейс, легко адаптируемый под нужды администраторов и конечных пользователей, расширяемый для поддержки изменений в существующих схемах и отражающий возможности тонко настраиваемой модели безопасности.
Пользовательский интерфейс администратора представлен различными оснастками консоли MMC, в частности Диспетчером Active Directory (Active Directory Manager), оснасткой Active Directory – сайты и службы (Active Directory Sites and Services Manager), Active Directory Tree Manager и Диспетчером схемы Active Directory (Active Directory Schema Manager).
Конечный пользователь взаимодействует со службой каталогов через системную оболочку ОС Windows. Пользователи могут просматривать объекты, находящиеся в Active Directory как с помощью значка Сетевое окружение (Network Neighborhood), расположенного на Рабочем столе, так и с помощью диалогового окна Найти (Find) из меню Пуск (Start).
Несмотря на то, что пользовательский интерфейс, а также возможности работы с Active Directory у администраторов и обычных пользователей отличаются, объекты Active Directory должны отображаться как в интерфейсе пользователя администратора, так и обычных пользователей. Поэтому необходим такой гибкий пользовательский интерфейс, который бы удовлетворял всем требованиям различных групп пользователей и одновременно бы позволял решать более общие задачи, связанные с локализацией, возможностью расширения и удобством изменения пользовательских настроек.
Знание принципов работы службы каталогов Active Directory является первым шагом к пониманию работы всей ОС Windows 2000 и тому, что эта операционная система способна предоставить Вам для решения задач, возникающих на Вашем предприятии.
Информация об объектах в сети хранится в Active Directory в иерархическом виде. Эта информация доступна всем администраторам, пользователям и приложениям.
В Active Directory вся сеть и ее объекты относятся к таким компонентам, как домены, деревья, леса, доверительные отношения, организационные подразделения (OU) и сайты.
Благодаря тому, что служба каталогов Active Directory использует стандартные протоколы для доступа к каталогам, она может взаимодействовать с другими службами каталогов, а также с приложениями сторонних производителей, использующих эти протоколы.
Использование Active Directory в ОС Windows 2000 дает следующие преимущества:
- Интеграция с DNS. Служба каталогов Active Directory использует систему доменных имен (Domain Name System, DNS). DNS является стандартной службой сети Интернет, которая преобразует понятные людям названия компьютеров (например, mycomputer.microsoft.com) в IP-адреса (четыре числа, разделенные точкой). Это позволяет процессам, работающим на компьютерах в сетях TCP/IP определять наличие других процессов и устанавливать с ними соединение.
- Возможность гибкого построения запроса.Пользователи и администраторы могут использовать команду Найти (Search) из меню Пуск (Start), значок Мое сетевое окружение (My Network Places) на рабочем столе или оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers) консоли MMC для быстрого поиска объекта в сети по свойствам этого объекта. Например, можно найти пользователя по его имени, фамилии, адресу электронной почты, месту работы, а также прочим персональным данным из учетной записи пользователя. Поиск информации осуществляется гораздо проще при наличии глобального каталога.
- Возможность расширения. Active Directory имеет возможность расширения. Это означает, что администраторы могут добавлять новые классы объектов к схеме, а также могут добавлять новые атрибуты к имеющимся классам объектов. Схема содержит определение для каждого класса объекта и атрибуты для каждого класса объекта, которые могут храниться в каталоге. Например, администратор может добавить атрибут Late объекту пользователя User, а затем хранить в виде этого параметра данные об общем количестве опозданий на работу конкретно по каждому пользователю.
- Администрирование на основе политик.Групповые политики представляют собой конфигурационные настройки, применяемые к компьютерам и пользователям при их инициализации. Настройки групповой политики хранятся в объектах групповой политики (Group Policy Objects, GPO) и применяются к сайтам, доменам, и организационным подразделениям (OU) Active Directory. Настройки GPO определяют доступ к объектам и ресурсам каталога. Они определяют то, какие объекты каталога (например, приложения) будут доступны пользователям, а также то, каким образом эти ресурсы домена настроены для использования.
- Масштабируемость. Active Directory включает в себя один или несколько доменов, в каждом из которых есть один или несколько контроллеров домена, что позволяет администратору расширять каталог в целях соответствия всем требованиям конфигурации сети. Несколько доменов можно объединить в дерево домена, а несколько деревьев можно объединить в лес. Самая простая сеть с одним доменом является одновременно и деревом, и лесом.
- Репликация информации. В Active Directory используется репликация данных между контроллерами домена, что дает возможность вносить изменения на любом из контроллеров домена. Развертывание нескольких контроллеров в одном домене способствует повышению отказоустойчивости и равномерному распределению нагрузки. В случае, если один контроллер домена начнет медленно работать, остановится или выйдет из строя, то другие контроллеры того же домена смогут обеспечить необходимый доступ к каталогу, поскольку они содержат такие же данные каталога.
- Безопасность информации. Управление проверкой подлинности пользователей и контролем доступа, полностью интегрированными в Active Directory, является ключевыми возможностями безопасности в ОС Windows 2000. Проверка подлинности в Active Directory выполняется централизованно. Параметры доступа можно назначать не только каждому объекту каталога, но также и любому свойству объекта. Кроме того, служба каталогов Active Directory обеспечивает не только хранение политик безопасности, но и определяет область их применения.
- Совместимость. Поскольку Active Directory использует стандартные протоколы доступа к каталогам, такие как LDAP (Lightweight Directory Access Protocol), то она может взаимодействовать с другими службами каталогов, использующими те же протоколы. Такие интерфейсы API (Application programming interface), как интерфейс ADSI (Active Directory Service Interface), позволяют разработчикам использовать эти протоколы.