Иллюстрированный самоучитель по администрированию Windows 2000/2003

Служба каталогов Active Directory

Служба каталогов Active Directory представляет собой сложное, адаптируемое под нужды потребителей решение, позволяющее удовлетворить самые разнообразные потребности организаций и большого бизнеса.

У администраторов и конечных пользователей требования к пользовательскому интерфейсу отличаются. Многие свойства и действия не представляют никакой ценности для обычных пользователей, в то время как для администраторов они очень важны. Служба каталогов Active Directory обладает тонко настраиваемой моделью безопасности, позволяющей назначать различным пользователям права на уровне индивидуальных атрибутов и делегировать полномочия на выполнение административных действий. Таким образом, Active Directory поддерживает пользовательский интерфейс, легко адаптируемый под нужды администраторов и конечных пользователей, расширяемый для поддержки изменений в существующих схемах и отражающий возможности тонко настраиваемой модели безопасности.

Пользовательский интерфейс администратора представлен различными оснастками консоли MMC, в частности Диспетчером Active Directory (Active Directory Manager), оснасткой Active Directory – сайты и службы (Active Directory Sites and Services Manager), Active Directory Tree Manager и Диспетчером схемы Active Directory (Active Directory Schema Manager).

Конечный пользователь взаимодействует со службой каталогов через системную оболочку ОС Windows. Пользователи могут просматривать объекты, находящиеся в Active Directory как с помощью значка Сетевое окружение (Network Neighborhood), расположенного на Рабочем столе, так и с помощью диалогового окна Найти (Find) из меню Пуск (Start).

Несмотря на то, что пользовательский интерфейс, а также возможности работы с Active Directory у администраторов и обычных пользователей отличаются, объекты Active Directory должны отображаться как в интерфейсе пользователя администратора, так и обычных пользователей. Поэтому необходим такой гибкий пользовательский интерфейс, который бы удовлетворял всем требованиям различных групп пользователей и одновременно бы позволял решать более общие задачи, связанные с локализацией, возможностью расширения и удобством изменения пользовательских настроек.

Знание принципов работы службы каталогов Active Directory является первым шагом к пониманию работы всей ОС Windows 2000 и тому, что эта операционная система способна предоставить Вам для решения задач, возникающих на Вашем предприятии.

Информация об объектах в сети хранится в Active Directory в иерархическом виде. Эта информация доступна всем администраторам, пользователям и приложениям.

В Active Directory вся сеть и ее объекты относятся к таким компонентам, как домены, деревья, леса, доверительные отношения, организационные подразделения (OU) и сайты.

Благодаря тому, что служба каталогов Active Directory использует стандартные протоколы для доступа к каталогам, она может взаимодействовать с другими службами каталогов, а также с приложениями сторонних производителей, использующих эти протоколы.

Использование Active Directory в ОС Windows 2000 дает следующие преимущества:

  • Интеграция с DNS. Служба каталогов Active Directory использует систему доменных имен (Domain Name System, DNS). DNS является стандартной службой сети Интернет, которая преобразует понятные людям названия компьютеров (например, mycomputer.microsoft.com) в IP-адреса (четыре числа, разделенные точкой). Это позволяет процессам, работающим на компьютерах в сетях TCP/IP определять наличие других процессов и устанавливать с ними соединение.
  • Возможность гибкого построения запроса.Пользователи и администраторы могут использовать команду Найти (Search) из меню Пуск (Start), значок Мое сетевое окружение (My Network Places) на рабочем столе или оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers) консоли MMC для быстрого поиска объекта в сети по свойствам этого объекта. Например, можно найти пользователя по его имени, фамилии, адресу электронной почты, месту работы, а также прочим персональным данным из учетной записи пользователя. Поиск информации осуществляется гораздо проще при наличии глобального каталога.
  • Возможность расширения. Active Directory имеет возможность расширения. Это означает, что администраторы могут добавлять новые классы объектов к схеме, а также могут добавлять новые атрибуты к имеющимся классам объектов. Схема содержит определение для каждого класса объекта и атрибуты для каждого класса объекта, которые могут храниться в каталоге. Например, администратор может добавить атрибут Late объекту пользователя User, а затем хранить в виде этого параметра данные об общем количестве опозданий на работу конкретно по каждому пользователю.
  • Администрирование на основе политик.Групповые политики представляют собой конфигурационные настройки, применяемые к компьютерам и пользователям при их инициализации. Настройки групповой политики хранятся в объектах групповой политики (Group Policy Objects, GPO) и применяются к сайтам, доменам, и организационным подразделениям (OU) Active Directory. Настройки GPO определяют доступ к объектам и ресурсам каталога. Они определяют то, какие объекты каталога (например, приложения) будут доступны пользователям, а также то, каким образом эти ресурсы домена настроены для использования.
  • Масштабируемость. Active Directory включает в себя один или несколько доменов, в каждом из которых есть один или несколько контроллеров домена, что позволяет администратору расширять каталог в целях соответствия всем требованиям конфигурации сети. Несколько доменов можно объединить в дерево домена, а несколько деревьев можно объединить в лес. Самая простая сеть с одним доменом является одновременно и деревом, и лесом.
  • Репликация информации. В Active Directory используется репликация данных между контроллерами домена, что дает возможность вносить изменения на любом из контроллеров домена. Развертывание нескольких контроллеров в одном домене способствует повышению отказоустойчивости и равномерному распределению нагрузки. В случае, если один контроллер домена начнет медленно работать, остановится или выйдет из строя, то другие контроллеры того же домена смогут обеспечить необходимый доступ к каталогу, поскольку они содержат такие же данные каталога.
  • Безопасность информации. Управление проверкой подлинности пользователей и контролем доступа, полностью интегрированными в Active Directory, является ключевыми возможностями безопасности в ОС Windows 2000. Проверка подлинности в Active Directory выполняется централизованно. Параметры доступа можно назначать не только каждому объекту каталога, но также и любому свойству объекта. Кроме того, служба каталогов Active Directory обеспечивает не только хранение политик безопасности, но и определяет область их применения.
  • Совместимость. Поскольку Active Directory использует стандартные протоколы доступа к каталогам, такие как LDAP (Lightweight Directory Access Protocol), то она может взаимодействовать с другими службами каталогов, использующими те же протоколы. Такие интерфейсы API (Application programming interface), как интерфейс ADSI (Active Directory Service Interface), позволяют разработчикам использовать эти протоколы.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.