Обновлено 27.04.2022
Введение в основные понятия Active Directory
🛠Служба Active Directory — Расширяемая и масштабируемая служба каталогов Active Directory ( Активный каталог) позволяет эффективно управлять сетевыми ресурсами.
Active Directory — это иерархически организованное хранилище данных об объектах сети, обеспечивающее удобные средства для поиска и использования этих данных. Компьютер, на котором работает Active Directory, называется контроллером домена. С Active Directory связаны практически все административные задачи.
Технология Active Directory основана на стандартных Интернет — протоколах и помогает четко определять структуру сети, более детально как развернуть с нуля домен Active Directory читайте тут.
📔Что такое Active Directory и DNS
В Active Directory используется доменная система имен.
Domen Name System, (DNS) — стандартная служба Интернета, организующая группы компьютеров в домены. Домены DNS имеют иерархическую структуру, которая составляет основу Интернета. Разные уровни этой иерархии идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNS также служит для преобразования имен узлов, например zeta.webatwork.com, в численные IP-адреса, например 192.168.19.2. Средствами DNS иерархию доменов Active Directory можно вписать в пространство Интернета или оставить самостоятельной и изолированной от внешнего доступа.
Для доступа к ресурсам в домене применяется полное имя узла, например zeta.webatwork.com. Здесь zeta — имя индивидуального компьютера, webatwork — домен организации, a com — домен верхнего уровня. Домены верхнего уровня составляют фундамент иерархии DNS и потому называются корневыми доменами (root domains). Они организованы географически, с названиями на основе двухбуквенных кодов стран (ru для России), по типу организации (сот для коммерческих организаций) и по назначению (mil для военных организаций).
Обычные домены, например microsoft.com, называются родительскими (parent domain), поскольку они образуют основу организационной структуры. Родительские домены можно разделить на поддомены разных отделений или удаленных филиалов. Например, полное имя компьютера в офисе Microsoft в Сиэтле может быть jacob.seattle.microsoft.com, где jacob — имя компьютера, sealtle — поддомен, а microsoft.com — родительский домен. Другое название поддомена — дочерний домен (child domain).
📔Облачная и наземная Active Directory
Сейчас в 2022 году уже ни кого не удивишь словом облако или облачный сервис и это нормально. И так классическая установка Active Directory называется «on-premise» по простому локальная AD, это когда все контроллеры домена располагаются у вас, это может быть как локальные сервера, так и мощности арендованные в цоде. Облачная Active Directory — это Azure AD.
Azure Active Directory (Azure AD или AAD) — это облачная служба каталогов, которая является частью платформы облачных вычислений Microsoft Azure.
Azure AD используемая для аутентификации входа в облачные приложения и обеспечивающая доступ с единым входом к другим часто используемым приложениям SaaS, таким как Slack и Salesforce. Однако Azure AD не является контроллером домена. Следовательно, он не обладает всеми возможностями оригинальной Active Directory. Серверы не могут быть добавлены в Azure AD. В Azure AD нет функции групповой политики. Поддержка Kerberos, LDAP или NTLM недоступна. Вы можете синхронизировать текущую локальную службу AD с Azure AD, но пути миграции с одной на другую нет.
Azure AD может работать в тандеме с Microsoft AD для управления доступом к SaaS и другим облачным приложениям, но не может обрабатывать ваши локальные операции. Исключением может быть ситуация, когда ваш бизнес использует исключительно облачные приложения и не имеет реальных локальных операций (т. е. вся рабочая сила удалена). Тогда вы можете просто использовать Azure AD.
Azure Active Directory поддерживает единый вход (SSO). Это означает, что пользователям необходимо войти в систему только один раз , чтобы начать использовать разные службы Microsoft 365.
Azure AD использует REST API, тогда как Windows AD использует LDAP, как упоминалось ранее
Windows AD использует для аутентификации Kerberos и NTLM, тогда как Azure AD использует собственные встроенные веб-протоколы аутентификации.
Может ли Azure AD полностью заменить локальную версию?
НЕТ. Во всяком случае, еще нет. Azure AD на самом деле не является облачной копией оригинала. Ключевым моментом здесь является замена — можно заменить локальную AD на Azure AD, если у вас нет устаревших приложений, которым требуется локальный контроллер домена, в современных реалиях это мало вероятно. Также можно заменить некоторые функции групповой политики на Microsoft InTune, но этого мало. Существуют также сценарии, в которых желательно отказаться от локальной инфраструктуры, и Microsoft 365 и Azure AD позволяют это сделать.
Пока вы не сможете полностью перейти на облако, лучше всего использовать два решения вместе для управления доступом как для облачных, так и для локальных приложений.
Самая большая разница между локальным Active Directory и Azure AD заключается в том, как они структурированы. В то время как Active Directory поддерживает использование организационных единиц (OU) и объектов групповой политики (GPO) и позволяет администраторам визуализировать, организовывать предприятие во всей совокупности его компонентов и подразделений, Azure Active Directory НЕ поддерживает организационные единицы и объекты групповой политики. Для облачных пользователей это может привести к ряду проблем:
- Отсутствие организационных единиц: в Azure AD невозможно создать те же домены, деревья и леса, что и в обычной AD.
- Большая административная рабочая нагрузка: поскольку нет организационных подразделений, сложнее делегировать административные задачи или достичь определенного уровня стандартизации и/или автоматизации в Azure AD.
- Меньший контроль: поскольку Azure AD не поддерживает групповые политики, нет возможности более подробно контролировать функции и настройки устройства .
⚙️Компоненты Active Directory on-premise
Введение в основные понятия Active Directory-02
Active Directory объединяет физическую и логическую структуру для компонентов сети. Логические структуры Active Directory помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. К логической структуре относятся следующие элементы:
- Организационное подразделение (organizational unit) — подгруппа компьютеров, как правило, отражающая структуру компании;
- Контейнер (Container) — Его очень часто путают с организационным подразделением. Контейнер кардинально от него отличается, по сути это просто папка, на которую вы не можете отдельно создать групповую политику, в отличии от OU. Например Active Directory по умолчанию имеет популярные контейнеры: Computers, Builtin, Users и многие другие. На контейнер будут распространяться только групповые политики на уровне домена. Контейнеры созданные по умолчанию Active Directory невозможно удалить.
- Домен (domain) — группа компьютеров, совместно использующих общую БД каталога;
- Дерево доменов (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен;
- Лес доменов (domain forest) — одно или несколько деревьев, совместно использующих информацию каталога.
Физические элементы помогают планировать реальную структуру сети. На основании физических структур формируются сетевые связи и физические границы сетевых ресурсов. К физической структуре относятся следующие элементы:
- Подсеть (subnet) — сетевая группа с заданной областью IP- адресов и сетевой маской;
- Сайт (site) — одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.
Контейнер
При установке Active Directory автоматически создается несколько контейнеров по умолчанию и организационных единиц (OU). В следующем списке перечислены контейнеры по умолчанию и их содержимое:
- Builtin — Контейнер Builtin содержит учетные записи администраторов служб по умолчанию и локальные группы безопасности домена. Этим группам предоставляются предварительно назначенные разрешения, необходимые для выполнения задач управления доменом.
- Computers — Контейнер Computers содержит все компьютеры, присоединенные к домену без учетной записи компьютера. Это расположение по умолчанию для новых учетных записей компьютеров, созданных в домене.
- Domain Controllers — Подразделение контроллеров домена — это расположение по умолчанию для учетных записей компьютеров для контроллеров домена.
- ForeignSecurityPrincipals — Контейнер ForeignSecurityPrincipals содержит прокси-объекты для участников безопасности в доменах или доменах за пределами леса.
- LostAndFound — Контейнер LostAndFound содержит объекты, перемещенные или созданные одновременно с удалением организационной единицы. Из-за репликации Active Directory родительское подразделение может быть удалено на одном контроллере домена, в то время как администраторы на других контроллерах домена могут добавлять или перемещать объекты в удаленное подразделение до того, как изменение будет реплицировано. Во время репликации новые объекты помещаются в контейнер LostAndFound
- NTDS Quotas — Контейнер NTDS Quotas содержит объекты, которые содержат ограничения на количество объектов, которыми могут владеть пользователи и группы.
- Program Data — Контейнер Program Data содержит данные для конкретного приложения, созданные другими программами. Этот контейнер пуст, пока его не использует программа, предназначенная для хранения информации в Active Directory.
- System — Контейнер System содержит информацию о конфигурации домена, включая группы безопасности и разрешения, общий ресурс SYSVOL домена, информацию о конфигурации DFS и политики безопасности IP.
- Users — Контейнер Users содержит дополнительные предопределенные учетные записи пользователей и групп (помимо тех, что находятся во встроенном контейнере). Пользователи и группы имеют предварительно назначенное членство и разрешения для выполнения задач управления доменами и лесами.
Организационные подразделения службы Active Directory
Организационные подразделения (ОП) (organizational unit) — это подгруппы в доменах, которые часто отражают функциональную структуру организации. ОП представляют собой своего рода логические контейнеры, в которых размещаются учетные записи, общие ресурсы и другие ОП. Например, можно создать в домене microsoft.com подразделения Resourses, IT, Marketing. Потом эту схему можно расширить, чтобы она содержала дочерние подразделения.
В ОП разрешается помещать объекты только из родительского домена. Например, ОП из домена Seattle.microsoft.com содержат объекты только этого домена. Добавлять туда объекты из my.microsoft.com нельзя. ОП очень удобны при формировании функциональной или бизнес — структуры организации. Но это не единственная причина их применения.
ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену. С помощью ОП создаются компактные и более управляемые представления объектов каталога в домене, что помогает эффективнее управлять ресурсами.
Организационные подразделения позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена, что помогает задавать пределы полномочий администраторов в домене. Можно передать пользователю А административные полномочия только для одного ОП и в то же время передать пользователю В административные полномочия для всех OП в домене. Это называется делегирование.
Также внешний вид OU отличается от контейнера и имеет значок папка с папкой, ниже представлено на скриншоте.
Домен
Домен Active Directory — это группа компьютеров, пользователей, принтеров и других объектов, совместно использующих общую БД каталога. Имена доменов Active Directory должны быть уникальными. Например, не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и my.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена необходимо зарегистрировать через любую полномочную регистрационную организацию.
В каждом домене действуют собственные политики безопасности и доверительные отношения с другими доменами. Зачастую домены распределяются по нескольким физическим расположениям, т. е. состоят из нескольких сайтов, а сайты — объединяют несколько подсетей. В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей, групп и компьютеров, а также общие ресурсы, например принтеры и папки.
Функции домена ограничиваются и регулируются режимом его функционирования. Существует ряд функциональных режима доменов:
- Смешанный режим Windows 2000 (mixed mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003 и выше;
- Основной режим Windows 2000 (native mode) — поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003 и выше;
- Промежуточный режим Windows Server 2003 (interim mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003 и выше;
- Режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003 и выше.
- Режим Windows Server 2008 — Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций
- Режим Windows Server 2008 R2 — позволяет использовать корзину Active Directory. Так же контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), будет в маркере Kerberos каждого пользователя. что позволит проводить его проверку подлинности в рамках домена. И второе нововведение это автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера
- Режим Windows Server 2012 — Несет в себе все функции Active Directory, которые присутствовали в режиме Windows Server 2008 R2. Так же появилась поддержка KDC-утверждений с комплексной проверкой подлинности
- Режим Windows Server 2012 R2 — Сохраняет за собой все функции предшественника и добавляет: Расширяет уровень защиты со стороны домена защищенных пользователей. Например, если защищенный пользователь прошел проверку подлинности в домене Windows Server 2012 R2, то у него больше не будет возможности использовать NTLM как проверку подлинности, не сможет при предварительной проверке подлинности Kerberos использовать DES и RC4, не сможет продлевать пользовательские билеты (TGT) и использовать их более 4 часов
- Режим Windows Server 2016 — Несет в себе все функции Active Directory по умолчанию, которые были в Windows Server 2012 R2. Из нового: теперь у контроллеров домена есть возможность автоматического отката протокола NTLM и другие секреты на основе пароля для пользователя, у которого настроено требование проверки подлинности с использованием PKI. Так же если у пользователя компьютер присоединен к домену и доступ разрешен только с данного устройства, то контроллеры домена могут поддерживать проверку сети по протоколу NTLM
- Режим Windows Server 2019 — Не имеет усовершенствований в режиме работы Active Directory
- Режим Windows Server 2022 — Не имеет усовершенствований в режиме работы Active Directory
Леса и деревья
Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (contiguous).
Домены, обладающие смежной структурой имен, называют деревом доменов. Если у доменов леса не смежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев. Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).
Функции лесов ограничиваются и регулируются функциональным режимом леса. Таких режимов три:
- Windows 2000 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;
- промежуточный (interim) Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003 и выше;
- Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003 и выше.
Самые современные функции Active Directory доступны в режиме Windows Server 2003. Если все домены леса работают в этом режиме, можно пользоваться улучшенной репликацией (тиражированием) глобальных каталогов и более эффективной репликацией данных Active Directory. Также есть возможность отключать классы и атрибуты схемы, использовать динамические вспомогательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.
Сайты и подсети доменных служб Active Directory
Сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов.
В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей указываются в формате сеть/битовая маска, например 192.168.19.0/24, где сетевой адрес 192.168.19.0 и сетевая маска 255.255.255.0 скомбинированы в имя подсети 192.168.19.0/24.
Компьютеры приписываются к сайтам в зависимости от местоположения в подсети или в наборе подсетей. Если компьютеры в подсетях способны взаимодействовать на достаточно высоких скоростях, их называют хорошо связанными (well connected).
В идеале сайты состоят из хорошо связанных подсетей и компьютеров, Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.
• Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой трафик и ускоряет аутентификацию.
• Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию.
Можно настроить порядок репликации данных каталога, используя связи сайтов (site links). Например, определить сервер-плацдарм (bridgehead) для репликации между сайтами.
Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на любой доступный сервер сайта. Сайты и подсети настраиваются в консоли Active Directory — сайты и службы (Active Directory Sites and Services).
Работа с доменами Active Directory
В сети Windows Server 2003 служба Active Directory настраивается одновременно с DNS. Тем не менее у доменов Active Directory и доменов DNS разное назначение. Домены Active Directory помогают управлять учетными записями, ресурсами и защитой.
Иерархия доменов DNS предназначена, главным образом, для разрешения имен.
В полной мере воспользоваться преимуществами Active Directory способны компьютеры, работающие под управлением Windows XP Professional и Windows 2000. Они работают в сети как клиенты Active Directory и им доступны транзитивные доверительные отношения, существующие в дереве или лесу доменов. Эти отношения позволяют авторизованным пользователям получать доступ к ресурсам в любом домене леса.
Система Windows Server 2003 функционирует как контроллер домена или как рядовой сервер. Рядовые серверы становятся контроллерами после установки Active Directory; контроллеры понижаются до рядовых серверов после удаления Active Directory.
Оба процесса выполняет мастер установки Active Directory. В домене может быть несколько контроллеров. Они реплицируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контроллеру обрабатывать изменения каталога, а затем передавать их на другие контроллеры. Благодаря структуре с несколькими хозяевами все контроллеры по умолчанию обладают равной ответственностью. Впрочем, можно предоставить некоторым контроллерам домена приоритет над другими в определенных задачах, например, создать сервер-плацдарм, который обладает приоритетом при репликации данных каталога на другие сайты.
Кроме того, некоторые задачи лучше выполнять на выделенном сервере. Сервер, обрабатывающий специфический тип задач, называется хозяином операций (operations master).
Для всех компьютеров с Windows 2000, Windows XP Professional и Windows Server 2003, присоединенных к домену, создаются учетные записи, хранящиеся, подобно другим ресурсам, в виде объектов Active Directory. Учетные записи компьютеров служат для управления доступом к сети и ее ресурсам, Прежде чем компьютер получает доступ к домену по своей учетной записи, он в обязательном порядке проходит процедуру аутентификации.
Структура каталога
Данные каталога предоставляются пользователям и компьютерам через хранилище данных (data stores) и глобальные каталоги (global catalogs). Хотя большинство функций Active Directory затрагивают хранилище данных, глобальные каталоги (ГК) не менее важны, поскольку используются для входа в систему и поиска информации. Если ГК недоступен, обычные пользователи не смогут войти в домен. Единственный способ обойти это условие — локальное кэширование членства в универсальных группах.
Доступ и распространение данных Active Directory обеспечиваются средствами протоколов доступа к каталогу (directory access protocols) и репликации (replication).
Репликация нужна для распространения обновленных данных на контроллеры. Главный метод распространения обновлений — репликация с несколькими хозяевами, но некоторые изменения обрабатываются только специализированными контроллерами — хозяевами операций (operations masters).
Способ выполнения репликации с несколькими хозяевами в Windows Server 2003 также изменился благодаря появлению разделов каталога приложений (application directory partitions). Посредством их системные администраторы могут создавать в лесу доменов разделы репликации, которые представляют собой логические структуры, используемые для управления репликацией в пределах леса доменов. Например, можно создать раздел, который будет ведать репликацией информации DNS в пределах домена. Другим системам домена репликация информации DNS запрещена.
Разделы каталога приложений могут быть дочерним элементом домена, дочерним элементом другого прикладного раздела или новым деревом в лесу доменов. Реплики разделов разрешается размещать на любом контроллере домена Active Directory, включая глобальные каталоги. Хотя разделы каталога приложений полезны в больших доменах и лесах, они увеличивают издержки на планирование, администрирование и сопровождение.
Хранилище данных
Хранилище содержит сведения о важнейших объектах службы каталогов Active Directory — учетных записях, общих ресурсах, ОП и групповых политиках. Иногда хранилище данных называют просто каталогом (directory). На контроллере домена каталог хранится в файле NTDS.DIT, расположение которого определяется при установке Active Directory (это обязательно должен быть диск NTFS). Некоторые данные каталога можно хранить и отдельно от основного хранилища, например, групповые политики, сценарии и другую информацию, записанную в общем системном ресурсе SYSVOL.
Предоставление информации каталога в совместное пользование называют публикацией (publish). Например, открывая принтер для использования в сети, его публикуют; публикуется информация об общей папке и т. д. Контроллеры доменов реплицируют большинство изменений в хранилище по схеме с несколькими хозяевами. Администратор небольшой или среднего размера организации редко управляет репликацией хранилища, поскольку она осуществляется автоматически, но её можно настроить согласно специфике сетевой архитектуры.
Реплицируются не все данные каталога, а только:
- данные домена — информация об объектах в домене, включая объекты учетных записей, общих ресурсов, ОП и групповых политик;
- данные конфигурации — сведения о топологии каталога: список всех доменов, деревьев и лесов, а также расположение контроллеров и серверов ГК;
- данные схемы — информация обо всех объектах и типах данных, которые могут храниться в каталоге; стандартная схема Windows Server 2003 описывает объекты учетных записей, объекты общих ресурсов и др., её можно расширить, определив новые объекты и атрибуты или добавив атрибуты для существующих объектов.
Глобальный каталог
Если локальное кэширование членства в универсальных группах не производится, вход в сеть осуществляется на основе информации о членстве в универсальной группе, предоставленной ГК.
Он также обеспечивает поиск в каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов каталога своего домена и частичную реплику объектов остальных доменов леса.
Для входа в систему и поиска нужны лишь некоторые свойства объектов, поэтому возможно использование частичных реплик. Для формирования частичной реплики при репликации нужно передать меньше данных, что снижает сетевой трафик.
По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. Можно расположить ГК на другом контроллере, чтобы сократить время ожидания ответа при входе в систему и ускорить поиск. Рекомендуется создать по одному ГК в каждом сайте домена.
Есть несколько способов решения этой проблемы. Разумеется, можно создать сервер ГК на одном из контроллеров домена в удаленном офисе. Недостаток этого способа — увеличение нагрузки на сервер ГК, что может потребовать дополнительных ресурсов и тщательного планирования времени работы этого сервера.
Другой способ решения проблемы — локальное кэширование членства в универсальных группах. При этом любой контроллер домена может обслуживать запросы на вход в систему локально, не обращаясь к серверу ГК. Это ускоряет процедуру входа в систему и облегчает ситуацию в случае выхода сервера ГК из строя. Кроме того, при этом снижается трафик репликации.
Вместо того чтобы периодически обновлять весь ГК по всей сети, достаточно обновлять информацию в кэше о членстве в универсальной группе. По умолчанию обновление происходит каждые восемь часов на каждом контроллере домена, в котором используется локальное кэширование членства в универсальной группе.
Членство в универсальной группе индивидуально для каждого сайта. Напомним, что сайт — это физическая структура, состоящая из одной или нескольких подсетей, имеющих индивидуальный набор IP-адресов и сетевую маску. Контроллеры домена Windows Server 2003 и ГК, к которому они обращаются, должны находиться в одном сайте. Если есть несколько сайтов, придется настроить локальное кэширование на каждом из них. Кроме того, пользователи, входящие в сайт, должны быть частью домена Windows Server 2003, работающего в режиме леса Windows Server 2003.
Репликация в Active Directory
В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.
Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.
Чтобы понять суть репликации, рассмотрим такой сценарий настройки новой сети.
- ✅В домене А установлен первый контроллер. Этот сервер — единственный контроллер домена. Он же является и сервером ГК. Репликация в такой сети не происходит, поскольку нет других контроллеров.
- ✅В домене А устанавливается второй контроллер, и начинается репликация. Можно назначить один контроллер хозяином инфраструктуры, а другой — сервером ГК. Хозяин инфраструктуры следит за обновлениями ГК и запрашивает их для измененных объектов. Оба этих контроллера также реплицируют данные схемы и конфигурации.
- ✅В домене А устанавливается третий контроллер, на котором нет ГК. Хозяин инфраструктуры следит за обновлениями ГК, запрашивает их для измененных объектов, а затем реплицирует изменения на третий контроллер домена. Все три контроллера также реплицируют данные схемы и конфигурации.
- ✅Создается новый домен Б, в него добавляются контроллеры. Серверы ГК в домене А и домене Б реплицируют все данные схемы и конфигурации, а также подмножество данных домена из каждого домена. Репликация в домене А продолжается, как описано выше, плюс начинается репликация внутри домена Б.
Active Directory и LDAP
Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — стандартный протокол Интернет соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запроса и изменения информации каталога.
Клиенты Active Directory применяют LDAP для связи с компьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory (Active Directory Service- Interfaces, ADSI).
Роли хозяина операций
Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами. Существует пять ролей хозяина операций, которые можно назначить одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, для других достаточно уровня домена. В каждом лесе Active Directory должны существовать следующие роли:
- Хозяин схемы (schema master ) — управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, достаточно открыть окно командной строки и ввести: dsquery server -hasfsmo schema.
- Хозяин именования доменов (domain naming master) — управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен, требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, достаточно в окне командной строки ввести: dsquery server -hasfsmo name.
Эти роли, общие для всего леса в целом, должны быть в нем уникальными. В каждом домене Active Directory в обязательном порядке существуют следующие роли.
- Хозяин относительных идентификаторов (relative ID master) — выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы или компьютера контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов в домене, достаточно в окне командной строки ввести: dsquery server -hasfsmo rid.
- Эмулятор PDC (PDC emulator) — в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows NT, обрабатывает изменения пароля и реплицирует обновления на PDC. Чтобы определить, какой сервер в данное время является эмулятором PDC в домене, достаточно в окне командной строки ввести dsquery server -hasfsmo pdc.
- Хозяин инфраструктуры (infrastructure master) — обновляет ссылки объектов, сравнивая данные своего каталога с данными ГК. Если данные устарели, он запрашивает из ГК обновления и реплицирует их на остальные контроллеры в домене. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры в домене, достаточно в окне командной строки и ввести dsquery server -hasfsmo infr.
Эти роли, общие для всего домена, должны быть в нем уникальными. Иными словами, можно настроить только один хозяин относительных идентификаторов, один эмулятор PDC и один хозяин инфраструктуры для каждого домена.
Обычно роли хозяина операций назначаются автоматически, но их можно переназначить. При установке новой сети все роли хозяев операций получает первый контроллер первого домена. Если позднее будет создан новый дочерний домен или корневой домен в новом дереве, роли хозяина операций также автоматически назначаются первому контроллеру домена. В новом лесу доменов контроллеру домена назначаются все роли хозяина операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных идентификаторов, эмулятора РDС и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у первого домена леса.
Если в домене только один контроллер, он выполняет все роли хозяев операций. Если в сети один сайт, стандартное расположение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов иногда требуется переместить роли хозяев операций на другие контроллеры доменов.
Если в домене два или более контроллеров, рекомендуется сконфигурировать два контроллера домена для выполнения ролей хозяина операций. Например, назначить один контроллер домена основным хозяином операций, а другой — запасным, который понадобится при отказе основного. Также небольшая заметка про роли тут про то как их посмотреть тут
Администрирование Active Directory
C помощью службы Active Directory создаются учетные записи компьютеров, проводится подключение их к домену, производится управление компьютерами, контроллерами домена и организационными подразделениями (ОП).
Для управления Active Directory предназначены средства администрирования и поддержки. Перечисленные ниже инструменты реализованы и виде оснасток консоли ММС (Microsoft Management Console):
- Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП);
- Active Directory — домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов;
- Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;
- Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений в политике.
- В Microsoft Windows 2003 Server можно получить доступ к этим оснасткам напрямую из меню Администрирование (Administrative Tools).
Еще одно средство администрирования — оснастка СхемаActive Directory (Active Directory Schema) — позволяет управлять и модифицировать схему каталога.
Утилиты командной строки Active Directory
Для управления объектами Active Directory существуют средства командной строки, которые позволяют осуществлять широкий спектр административных задач:
- DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей.
- DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory.
- DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory.
- DSMOVE — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
- DSQXJERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
- DSRM — удаляет объект из Active Directory.
- NTDSUTIL — позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.
Другие службы Active Directory
Помимо доменных служб Active Directory, AD предоставляет несколько других важных служб. Некоторые из этих услуг перечислены ниже:
- ✅Упрощенные службы каталогов (Lightweight Directory Services): AD LDS — это служба каталогов облегченного протокола доступа к каталогам (LDAP). Он предоставляет только подмножество функций AD DS, что делает его более универсальным с точки зрения того, где его можно запускать. Например, его можно запустить как автономную службу каталогов без необходимости интеграции с полной реализацией Active Directory.
- ✅Службы сертификации (Certificate Services): вы можете создавать, управлять и обмениваться сертификатами шифрования, которые позволяют пользователям безопасно обмениваться информацией через Интернет.
- ✅Службы федерации Active Directory (Active Directory Federation Services): ADFS — это решение единого входа (SSO) для AD, которое позволяет сотрудникам получать доступ к нескольким приложениям с одним набором учетных данных, тем самым упрощая взаимодействие с пользователем.
- ✅Службы управления правами (Rights Management Services): AD RMS — это набор инструментов, помогающих управлять технологиями безопасности, которые помогают организациям обеспечивать безопасность своих данных. Такие технологии включают шифрование, сертификаты и аутентификацию и охватывают ряд приложений и типов контента, таких как электронные письма и документы Word.
Установка и настройка Active Directory on-premise
Сам процесс установки и последующей настройки Active Directory я описывал на базе Windows Server 2019, посмотрите там все очень подробно описано.
Контроллер домена в облаке (IaaS)
Другой способ объединения обеих служб — это расширить локальные AD DS до Azure. Для этого вам необходимо перенести текущий контроллер домена на виртуальную машину в Azure. Другими словами, вы развертываете инфраструктуру AD на виртуальной машине Azure. Это решение хорошо подходит для организаций, которые используют как локальные, так и облачные ресурсы, подключенные через VPN или Azure ExpressRoute.
Этот вариант лучше всего напоминает локальную Active Directory, поскольку Microsoft предоставляет только инфраструктуру (в виде серверов Windows на виртуальных машинах Azure). В отличие от Azure AD DS, эта модель дает вам полный контроль над доменом. Однако это также означает, что вы несете ответственность за его чистоту и актуальность (исправления, обновления, резервные копии и т. д.).
Спасибо, что вы дочитали до конца, мы с вами разобрали что такое Active Directory, из чего она состоит, как с ней взаимодействовать и управлять. С вами был Иван Сёмин. Материал сайта Pyatilistnik.org
Аннотация: В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации
Active Directory (AD) — это база данных платформы Windows Server 2003. Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition. Active Directory нельзя установить на серверах Windows 2003 Web Edition.
Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.
Поскольку AD — это база данных LDAP (Lightweight Directory Access Protocol), вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеются средства, с помощью которых вы можете применять фильтры к своим запросам, позволяющие сузить область поиска нужной вам информации.
В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации вашей собственной базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации.
Структура Active Directory
Active Directory позволяет вам использовать иерархическую структуру для организации объектов, содержащихся в вашем домене. Объектами могут быть, например, пользователи, принтеры и группы. В
«Контроллеры доменов»
описывается, как использовать DCPROMO для повышения статуса вашего рядового сервера Windows Server 2003 до уровня контроллера домена. После выполнения DCPROMO ваш сервер будет содержать установку по умолчанию Active Directory.
Оснастка Active Directory Users and Computers
Active Directory Users and Computers — это ваш интерфейс для управления объектами Active Directory, такими как пользователи, компьютеры и группы. Для просмотра вашей установки Active Directory выберите Start/Programs/Administrative Tools/ Active Directory Users and Computers (см. рис. 10.1).
Оснастка Active Directory Users and Computers выглядит аналогично Windows Explorer (Проводник). Она содержит значки папок и объектов, содержащихся в этих папках. Эти папки называются организационными единицами (OU) и контейнерами. Организационные единицы — это папки со значком книги в середине. AD поставляется с OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры — это папки, не содержащие какого-либо значка.
Рис.
10.1.
Средство управления Active Directory Users and Computers
Организационные единицы
OU — это объекты в Active Directory, которые могут определяться пользователем и к которым может применяться групповая политика. По умолчанию AD содержит OU Domain Controllers, куда включаются все контроллеры данного домена. Каждый раз, как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетная запись этого компьютера перемещается в OU Domain Controllers.
Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.
- Щелкните правой кнопкой на узле, для которого хотите создать OU (например, на узле домена) и выберите New/Organizational Unit (Создать/Организационная единица).
- В диалоговом окне New Object — Organizational Unit введите имя вашей OU. В данном примере используется OU Sales.
- Щелкните на кнопке OK.
- Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.
Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.
Контейнеры
Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.
-
Builtin.Содержит несколько локальных в домене групп по умолчанию (подробнее см. в
«Управление группами и организационными единицами»
). - Computers.По умолчанию при добавлении какого-либо компьютера в ваш домен учетная запись этого компьютера помещается в контейнер Computers. Вы можете в дальнейшем перемещать эти компьютерные учетные записи в созданную вами OU.
- ForeignSecurityPrincipals.Содержит прокси-объекты для вашего домена, чтобы взаимодействовать с доменом NT 4 и нижележащими доменами как со сторонними доменами вне вашего леса.
- Users.Контейнер по умолчанию для учетных записей Windows; в случае миграции из домена NT 4 здесь будут находиться ваши пользовательские учетные записи. При желании вы можете перемещать эти пользовательские учетные записи в другие OU.
Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.
- LostAndFound.Содержит объекты, которые были удалены в данном домене, если объект был перемещен в OU или контейнер, удаленный до того, как была выполнена репликация каталога.
- NTDS Quotas.В Windows Server 2003 добавлено несколько новых технологий, позволяющих задавать квоты на объекты Active Directory. В этом контейнере хранится информация о квотах служб каталога.
- Program Data.Новый контейнер, введенный в Windows Server 2003, чтобы хранить политики управления авторизацией для приложений.
- System.Содержит несколько дочерних контейнеров.
- AdminSDHolder.Используется для управления полномочиями пользовательских учетных записей, которые являются членами встроенных групп Administrators или Domain Admins.
- ComPartitionSets.Используется в разработке приложений; содержит информацию для наборов разделов COM+, что позволяет пользователям в этом домене выполнять доступ к службам приложения, которые предоставляются приложением COM+.
- Default Domain Policy.Содержит группы безопасности и полномочия по умолчанию для вашего домена.
-
Dfs-Configuration.Содержит информацию по отказоустойчивой файловой системе Distributed File System (DFS). Сведения по DFS см. в
«Управление файлами и дисками»
. - DomainUpdates.Здесь создаются контейнеры, если у вас выполнена модернизация из Windows NT или Windows 2000 в Windows Server 2003.
- File Replication Service.Содержит информацию по планированию репликации System Volume (SYSVOL) для вашего домена.
- FileLinks.Используется службой Distributed Link Tracking для отслеживания информации по файлам, которые были перемещены на другие тома NTFS.
- IP Security.Содержит политики IPSec для вашего домена, которые обеспечивают защищенный сетевой обмен информацией между компьютерами.
- Meetings.Используется для хранения информации, относящейся к собраниям Microsoft NetMeeting.
-
MicrosoftDNS.В этом контейнере хранятся интегрированные с Active Directory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируются на другие серверы DNS для той же зоны DNS в данном домене. Подробнее об интегрированных с Active Directory зонах DNS см. в
«Ознакомление с DNS»
. -
Policies.Содержит объекты Group Policy (GPO) для вашего домена. Подробнее об объектах GPO см. в
«Использование Group Policy для управления клиентскими и серверными машинами»
. - RAS and IAS Servers Access Check.Содержит информацию по службам Remote Access Services (RAS) и Internet Authentication Services (IAS) для вашего домена.
- RpcServices.Служба Remote Procedure Call Name Service для поиска в доменах для систем, предшествовавших Windows 2000.
- Winsock Services.В этом контейнере публикуются основанные на применении сокетов службы, которые используют протокол Registration and Resolution Protocol.
- WMIPolicy.Содержит объекты GPO Windows Management Instrumentation (WMI) для вашего домена. Фильтры WMI применяются только к Windows XP и последующим версиям.
Объекты Active Directory
Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.
LDAP и Active Directory
Active Directory можно запрашивать с помощью протокола LDAP (Lightweight Directory Access Protocol), который поддерживается несколькими платформами. LDAP указывает путь именования, определяющий любой объект Active Directory, OU или контейнер. В этом разделе описываются пути именования, используемые для доступа к Active Directory.
Отличительные имена
Каждый объект в Active Directory имеет свое отличительное имя (DN — distinguished name). DN определяет полный путь LDAP для доступа к определенному объекту Active Directory. Любое DN содержит следующие атрибуты пути.
- Доменный компонент (DC — Domain Component).Используется для определения компонента DNS-имени объекта Active Directory.
- Организационная единица (OU).Организационная единица.
- Общее имя (CN — Common Name).Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.
Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:
OU=Domain Controllers, DC=company,DC=dom
Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.
В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:
CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom
Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.
Относительные отличительные имена
Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как
CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom
Относительное отличительное имя для этого объекта
Служба
каталога Active
Directory
Microsoft
Windows
Server
2003 существует на двух уровнях: физическом
и логическом. В терминах физической
структуры Active
Directory
представляет собой файл, расположенный
на жестком диске сервера и на жестком
диске каждого контроллера домена,
который содержит эту службу. Логическая
структура Active
Directory
представляет собой контейнеры, которые
используются для хранения объектов
службы каталога (разделов каталога,
доменов и лесов) на предприятии. Разделы
каталога, домены и леса в виде байтов
информации хранятся в физических
компонентах службы каталога. В этой
главе вы узнаете о физическом проявлении
службы каталога Active
Directory.
Затем вы познакомитесь с логической
структурой реализации службы Active
Directory.
Хорошее понимание физической структуры
службы каталога важно, но знание
логической структуры является непременным
условием успешной реализации и управления
инфраструктурой вашей службы. Именно
с логической структурой службы каталога
вы будете ежедневно взаимодействовать.
Физическая
структура службы Active
Directory
Физическое
проявление службы Active
Directory
состоит в наличии отдельного файла
данных, расположенного на каждом
контроллере домена в домене. Физическая
реализация службы Active
Directory
описывается местоположением контроллеров
домена, на которых расположена служба.
При реализации службы Active
Directory
можно добавлять столько контроллеров
доменов, сколько необходимо для
поддержания служб каталога в данной
организации. Имеется пять определенных
ролей, которые может играть каждый из
контроллеров домена. Они известны как
роли
хозяина операций (operations
master
roles).
Еще одна роль, которую может выполнять
любой отдельный контроллер домена в
домене, связана с глобальным каталогом
(GC
— Global
Catalog).
В этом разделе мы рассмотрим хранилище
данных службы Active
Directory
и контроллеры домена, на которых оно
расположено.
Хранилище
данных каталога
Все
данные базы данных службы Active
Directory
хранятся в отдельном файле Ntds.dit
на контроллере домена. Этот файл данных
по умолчанию находится в папке
%SystemRoot%NTDS,
расположенной на контроллере домена.
В нем хранится вся информация каталога,
предназначенная для данного домена, а
также данные, являющиеся общими для
всех контроллеров домена в данной
организации.
Вторая
копия файла Ntds.dit
находится в папке %SystemRoot%
System32.
Эта версия файла — поставляемая копия
(копия, заданная по умолчанию) базы
данных каталога, она используется для
установки службы Active
Directory.
Этот файл копируется на сервер во время
установки Microsoft
Windows
Server
2003, чтобы сервер можно было назначать
контроллером домена без необходимости
обращаться к инсталляционной среде. Во
время выполнения мастера инсталляции
Active
Directory
(Dcpromo.exe)
файл Ntds.dit
копируется из папки System32
в папку NTDS.
Затем копия, сохраненная в папке NTDS,
становится действующей копией хранилища
данных каталога. Если это не первый
контроллер домена в домене, то файл
будет обновлен из других контроллеров
домена через процесс репликации.
Контроллеры
домена
По
определению любой компьютер, на котором
выполняется Windows
Server
2003, и который поддерживает копию базы
данных службы Active
Directory,
является контроллером
домена. Все
контроллеры домена создаются равными
за несколькими исключениями, которые
будут рассмотрены далее в этой главе.
При использовании процесса репликации
с несколькими хозяевами домена
(multimaster),
описанного в гл. 4, каждый контроллер
домена в домене поддерживает новейшую
копию базы данных домена и способен
создавать изменения в ней.
В
дополнение к контроллерам домена,
которые содержат службу Active
Directory,
имеется несколько контроллеров домена
специального назначения, которые
требуются службе Active
Directory
для выполнения определенных функций.
Они являются серверами глобального
каталога (GC)
и хозяевами
операций (operations
masters).
Серверы
глобального каталога
На
сервере глобального каталога находится
глобальный каталог (GC).
Он является частичной, предназначенной
только для чтения копией всех контекстов
именования домена (NC
— Naming
Context)
в лесу. Каталог GC
содержит основной, но неполный набор
атрибутов для каждого объекта леса в
каждом домене NC.
Данные каталога GC
получают из всех разделов каталога
доменов в лесу, они копируются с
использованием стандартного процесса
репликации службы Active
Directory.
Совет.
Будет ли атрибут скопирован в каталог
GC,
определяется схемой. Администраторы
могут конфигурировать дополнительные
атрибуты, которые будут реплицироваться
в каталог GC,
используя меню Active
Directory
Schema
(Схема Active
Directory),
встроенное в консоль управления ММС.
Чтобы добавить атрибут к каталогу GC,
выберите опцию Replicate
This
Attribute
To
The
Global
Catalog
(Копировать этот атрибут в глобальный
каталог) на самом атрибуте. В результате
значение параметра атрибута
isMemberOfPartialAttributeSet
будет
установлено на true
(истина).
Вы можете добавлять атрибут к глобальному
каталогу, если ожидаете, что пользователям
потребуется искать этот объект в лесу.
Редко упоминаемые атрибуты обычно не
добавляются к каталогу GC.
Первый
контроллер домена, установленный в
домене, автоматически является
контроллером глобального каталога.
Дополнительные контроллеры домена
можно назначить как GC,
выбирая опцию Global
Catalog
Server
(Сервер глобального каталога) в инструменте
администрирования Active
Directory
Sites
And
Services
(Сайты и службы Active
Directory).
Это делается с целью оптимизации входа
в систему. Как используется каталог GC
в процессе входа в систему, описано
далее в этом разделе. В главе 5 дается
более подробная информация о количестве
GC-серверов,
которое потребуется при развертывании,
и о том, где их следует располагать.
Вы
можете задаться вопросом, зачем вообще
нужны GC-серверы.
Во-первых, они используются для поиска
в Active
Directory.
Без каталога GC
поиск по запросам, полученным контроллером
домена, который не обладает запрошенным
объектом, приведет к тому, что он
переправит запрос на контроллер домена
другого домена. Поскольку GC-каталог
содержит полный список всех объектов
леса (и не содержит атрибуты объекта),
GC-сервер
может ответить на любой запрос, используя
атрибут, который копировался в GC-каталог,
без необходимости передавать его другому
контроллеру домена. Запрос, который
послан GC-серверу,
является LDAP-запросом
(Lightweght
Directory
Access
Protocol
— облегченный протокол службы каталогов),
использующим порт 3268 (заданный по
умолчанию порт GC-каталога).
Во-вторых,
GC-серверы
необходимы для обработки пользовательских
входов в систему. Обычно каждый раз,
когда пользователь входит в домен,
выполняется обращение к GC-каталогу.
Это происходит потому, что контроллеры
домена, не являющиеся глобальными, не
содержат никакой информации об
универсальном членстве группы.
(Универсальные группы имеются только
в доменах, обладающих функциональным
уровнем Microsoft
Windows
2000 или Windows
Server
2003. Функциональные уровни используются
в Windows
Server
2003, чтобы разрешить функ-
ции
службы Active
Directory
всем контроллерам домена, которые могут
их поддерживать.) Универсальные группы
могут содержать учетные записи
пользователей и групп из любого домена
определенного леса. Так как универсальное
групповое членство распространяется
на лес, то групповое членство может быть
разрешено только тем контроллером
домена, который имеет информацию каталога
на уровне леса, т.е. информацию глобального
каталога (GC).
Чтобы сгенерировать точную лексему
защиты для пользователя, запрашивающего
идентификацию, требуется контактировать
с GC-каталогом
для определения универсального группового
членства пользователя.
Примечание.
Windows Server
2003 поддерживает новую функцию кэширования
универсального группового членства,
которая дает возможность входить в сеть
Windows Server
2003 без контакта с GC-каталогом.
Универсальное групповое членство
кэши-руется на контроллерах домена, не
являющихся контроллерами GC,
если эта опция разрешена, а пользователь
впервые пытается войти в систему. Как
только эта информация попадает в
GC-каталог, она кэшируется
на неограниченное время на контроллере
домена сайта и периодически обновляется
(по умолчанию каждые 8 часов). Включение
этой функции приводит к ускорению входа
в систему пользователей с удаленных
сайтов, так как для аутентификации
контроллеру домена не требуется обращения
к GC-каталогу. Чтобы включить
опцию универсального группового членства
на сайте, откройте оснастку Active
Directory: Sites
And Services
(Сайты и службы Active
Directory) и выберите нужный
сайт в дереве консоли. Щелкните правой
кнопкой мыши на панели деталей NTDS
Site Settings
(Параметры настройки сайта NTDS),
затем выберите Properties
(Свойства). На вкладке Properties
выберите опцию Enable
Universal Group
Membership Caching
(Разрешить кэширование универсального
группового членства), а затем укажите
сайт, с которого будет обновляться кэш.
По умолчанию сайт обновит информацию
с самого близкого сайта, который имеет
глобальный каталог GC.
Функциональные
уровни
В
Windows
Server
2003 каждому лесу и каждому домену в
пределах леса может быть назначен
определенный функциональный уровень.
Функциональные уровни используются
для того, чтобы разрешать функции,
которые реализованы на комбинациях
операционных систем. Когда для домена
устанавливается функциональный уровень,
то он применяется только к данному
домену. Если не определено иначе, домены
создаются на функциональном уровне
mixed
(смешанный)
системы Windows
2000; леса создаются на функциональном
уровне Windows
2000.
В таблице 2-1 показаны
функциональные уровни доменов и
операционные системы, поддерживаемые
на контроллерах домена.
Табл.
2-1. Функциональные уровни домена
Функциональный |
Операционные |
Windows |
Windows |
Windows |
Windows |
Windows Windows |
Windows Windows |
В таблице 2-2 показаны
функциональные уровни леса и операционные
системы, поддерживаемые на контроллерах
домена в лесу.
Табл.
2-2. Функциональные уровни леса
Функциональные |
Операционные |
Windows |
Windows |
Windows Windows |
Windows Windows |
Прежде
чем повышать функциональный уровень
леса до уровня Windows
Server
2003, проверьте, всем ли доменам леса
установлен функциональный уровень
Windows
2000 native
или Windows
Server
2003. Домены, функциональный уровень
которых установлен на Windows
2000 native,
будут автоматически подняты до
функционального уровня Windows
Server
2003, а уровень леса — до уровня Windows
Server
2003. После того как это произойдет, к
данному домену (лесу) могут быть добавлены
только контроллеры домена, работающие
на том же функциональном уровне
операционной системы. Поднятый
функциональный уровень домена или леса
нельзя понизить.
Итак,
глобальный каталог (GC)
используется для того, чтобы облегчить
пользовательский вход в систему, допуская
использование основ-
ных
имен пользователя (например,
usernarae@contoso.com).
Каталог GC
понимает основные имена пользователя
(UPN
— User
Principal
Names),
потому что он содержит информацию о
каждом пользователе в каждом домене
леса. Контроллеры домена, не имеющие
каталога GC,
не обладают этими данными, они не способны
подтвердить подлинность пользовательского
входа в систему, если он задается в таком
формате.
Хозяева
операций
Active
Directory
разработана как система репликации с
несколькими хозяевами. Для этого
требуется, чтобы все контроллеры домена
имели разрешения делать запись в базу
данных каталога. Эта система
удовлетворительно работает для
большинства операций каталога, но для
некоторых операций требуется наличие
единственного официального (authoritative)
сервера. Контроллеры домена, выполняющие
определенные роли, известны как хозяева
операций; все они выполняют роли FSMO
(Flexible
Single
Master
Operations
— гибкие операции с одним хозяином).
Существует пять ролей хозяев операций
в Active
Directory:
-
хозяин схемы;
-
хозяин именования
доменов; -
хозяин
относительных идентификаторов RID; -
хозяин
эмулятора PDC
(Primary
Domain
Controller
— основной контроллер домена); -
хозяин инфраструктуры.
Первые
две роли устанавливаются для леса в
целом. Это означает, что задается только
один хозяин схемы и один хозяин именования
доменов для каждого леса. Следующие три
роли функционируют в пределах домена,
т.е. задается только одна из этих ролей
для каждого домена леса. Когда вы
установите Active
Directory
и создадите первый контроллер домена
в лесу, ему будут назначены все эти пять
ролей. Если вы добавите домены к лесу,
то первый контроллер домена в каждом
новом домене возьмет на себя свои прошлые
три роли хозяина операций. По мере
добавления контроллеров домена вы
передадите некоторые из этих ролей
другим контроллерам домена. Как передавать
роли другим контроллерам домена, описано
далее в этой главе.
Хозяин
схемы
Хозяин
схемы является единственным контроллером
домена, который имеет разрешение делать
записи в схему каталога. Чтобы сделать
любое изменение в схеме каталога,
администратор (он должен быть членом
группы безопасности Schema
Admins
— Администраторы схемы) должен связаться
с хозяином схемы. Если модификация схемы
предпринята на контроллере домена, не
являющемся хозяином схемы, она окончится
неудачей. После того как было сделано
изменение, модификации схемы копируются
на остальные контроллеры домена в лесу.
По
умолчанию первый контроллер домена,
установленный в лесу (контроллер домена
для корневого домена леса) принимает
роль хозяина схемы. Эта роль может быть
передана другому контроллеру в любое
время с помощью оснастки Active
Directory
Schema
(Схема Active
Directory)
или с помощью утилиты командной строки
Ntdsutil.
Хозяин схемы идентифицирован значением
атрибута fSMORoleOwner
в
контейнере схемы.
Хозяин
именования доменов
Хозяин именования
доменов представляет собой контроллер
домена, на котором можно добавлять новые
домены к лесу или удалять существующие.
Администраторы должны связываться с
хозяином именования доменов, чтобы
добавить или удалить домен. Если хозяин
именования доменов недоступен, любая
попытка добавить домен к лесу или удалить
его потерпит неудачу.
Домены
добавляются к лесу одним из способов,
которые требуют подключения удаленного
вызова процедуры (RPC)
к домену, исполняющему роль хозяина
именования доменов. Наиболее
распространенный метод создания нового
домена состоит в выполнении Dcpromo.exe
в командной строке, которая запускает
мастер инсталляции Active
Directory.
Во время этого процесса вы получаете
возможность установить первый контроллер
домена в новый домен. Dcpromo.exe
войдет в контакт с хозяином именования
домена для того, чтобы сделать это
изменение. Если хозяин операции именования
доменов недоступен, то создание домена
окончится неудачей. Добавить новый
домен можно также с помощью утилиты
Ntdsutil.
Эта утилита создает объект перекрестной
ссылки в контейнере разделов в разделе
конфигурации каталога, который затем
реплицируется на все контроллеры домена
в лесу. Далее создание домена можно
выполнять с помощью Dcpromo.exe
без необходимости входить в контакт с
хозяином именования доменов.
Хозяин
относительных идентификаторов
Хозяин
относительных идентификаторов (RID)
— это роль хозяина операций в пределах
домена. Она используется для управления
RID-пулом,
предназначенным для создания новых
участников безопасности в пределах
домена, таких как пользователи, группы
и компьютеры. Каждый контроллер домена
производит блок относительных
идентификаторов (RID),
использующихся для построения
идентификаторов защиты (SID),
которые однозначно идентифицируют
участников безопасности в домене. Блок
доступных идентификаторов RID
называется RID-пулом.
Когда количество доступных
RID-идентификаторов
в RID-пуле
на любом контроллере домена в домене
начинает истощаться, делается запрос
на другой RID-блок
у хозяина RID-идентификаторов.
Работа хозяина RID-идентификаторов
заключается в выполнении таких запросов
и обеспечении того, чтобы никакой
RID-идентификатор
не был выделен более одного раза. Этот
процесс гарантирует каждой учетной
записи в домене уникальную защитную
особенность.
Если
хозяин RID-идентификаторов
в течение какого-то времени недоступен,
процесс создания новых учетных записей
на определенных контроллерах домена
может быть прерван. Механизм запроса
новых блоков RID-идентификаторов
разработан таким образом, чтобы
опустошения пула не происходило, ведь
запрос делается раньше, чем все имеющиеся
в RID-пуле
идентификаторы будут розданы. Однако
если хозяин RID-идентификаторов
находится в автономном режиме, и
контроллер домена, запрашивающий новый
блок, исчерпает остаток RID-идентификаторов,
создание учетной записи окончится
неудачей. Чтобы снова сделать возможным
создание учетных записей, необходимо
или вернуть обладателя роли хозяина
RID-идентификаторов
в интерактивный режим, или эта роль
должна быть передана другому контроллеру
домена в данном домене.
Хозяин
эмулятора PDC
Роль
эмулятора PDC
требуется для того, чтобы Windows
Server
2003 мог сосуществовать с контроллерами
домена, на которых выполняются более
ранние версии, чем Windows
2000. В домене, работающем на функциональном
уровне Windows
2000 mixed
(смешанный), контроллер домена с Windows
Server
2003 действует как основной контроллер
домена (PDC)
для всех низкоуровневых (Microsoft
Windows
NT
версий 4 или 3.51) резервных контроллеров
домена (BDC
— Backup
Domain
Controller).
В такой среде требуется эмулятор PDC
для обработки изменений пароля,
реплицирования изменений домена на
BDC-домены
и выполнения службы главного браузера
домена (Domain
Master
Browser
Service).
Если эмулятор PDC
недоступен, все события, связанные со
службами, инициированными низкоуровневыми
клиентами, окончатся неудачей.
В
доменах, имеющих функциональный уровень
Windows
2000 native
(основной) или Windows
Server
2003, эмулятор PDC
используется для обслуживания модификаций
пароля. Все изменения пароля, сделанные
на других контроллерах домена в домене,
посылаются эмулятору PDC.
Если на контроллерах домена, не являющихся
эмуляторами PDC,
пользовательская идентификация терпит
неудачу, идентификация повторяется на
эмуляторе PDC.
Если эмулятор PDC
принимал недавнее изменение пароля к
этой учетной записи, идентификация
пройдет успешно.
Хозяин
инфраструктуры
Хозяин инфраструктуры
ответственен за обновление справочников
групповой принадлежности пользователей
в пределах домена. Роль хозяина операций
гарантирует, что изменения, сделанные
в названиях учетной записи пользователя,
будут отражены в информации группового
членства для групп, расположенных на
различных доменах. Хозяин инфраструктуры
поддерживает новейший список этих
справочников и реплицирует эту информацию
на все другие контроллеры домена в
домене. Если хозяин инфраструктуры
недоступен, справочники групповой
принадлежности пользователей в пределах
домена устаревают.
Передача
ролей хозяина операций
Роли хозяина
операций могут передаваться другому
домену для оптимизации функционирования
контроллера домена или для замены
контроллера домена, если держатель роли
стал недоступен. Процесс передачи роли
хозяина операций зависит от передаваемой
роли. Существуют следующие инструментальные
средства для передачи ролей хозяина
операций:
-
хозяин
схемы
— оснастка
Active Directory Schema; -
хозяин
именования доменов — инструмент
администрирования Active
Directory
Domains
And
Trusts
(Домены и доверительные отношения
Active
Directory); -
хозяин
RID,
эмулятора PDC
и инфраструктуры — инструмент
администрирования Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory).
Для передачи роли
хозяина операций должна функционировать
связь с обоими контроллерами домена:
текущим и предлагаемым держателем роли.
В случае отказа сервера текущий держатель
роли может быть недоступен для
осуществления передачи роли. В этом
случае роль может быть захвачена.
Захватывать роль хозяина операций
следует только в случае крайней
необходимости, если указано, что
контроллер домена, держатель этой роли,
будет недоступен в течение длительного
периода времени. Подробнее о захвате
ролей хозяина операций см. гл. 15.
Схема
Схема
определяет каждый тип объекта, который
можно сохранять в Active
Directory.
Прежде чем создавать объект в Active
Directory,
его надо сначала определить в схеме.
Схема предписывает правила, касающиеся
создания объектов в базе данных. Эти
правила определяют информацию, которая
может быть сохранена с каждым объектом,
и тип данных, соответствующих этой
информации.
Компоненты
схемы
Схема
состоит из объектов классов и атрибутов.
Объект
класса определяет
то, какие новые объекты могут быть
созданы в каталоге. Для каждого
создаваемого в каталоге объекта сначала
должен быть определен класс. Пример
объекта класса — класс User
(Пользователь). Все новые пользовательские
объекты, созданные в Active
Directory,
являются экземплярами класса User.
Схема
определяет и то, какая информация может
сохраняться для каждого класса объекта.
Эта информация определяется в схеме
как атрибут
объекта. Объект
некоторого класса может содержать
значения для всех атрибутов, определенных
для этого класса, а также для всех
родительских классов этого класса.
Например, учетная запись пользователя
может иметь определенные значения
атрибутов для всех объектов в классе
User,
так же как и для
класса organizationalPerson,
являющегося родительским классом класса
User.
При создании нового пользовательского
объекта вы можете включать информацию,
касающуюся этого пользователя и
определяемую в схеме, в качестве атрибута
всех классов, к которым этот новый
пользовательский объект будет
принадлежать.
Тип данных, которые могут
храниться в Active
Directory
для каждого атрибута, определен в схеме
как синтаксис атрибута.
Если пользовательский класс содержит
атрибут, названный display
Name,
синтаксис для этого
атрибута определяется как строковое
значение, которое может быть любым
алфавитно-цифровым символом. Значение
каждого атрибута должно удовлетворять
требованиям синтаксиса этого атрибута.
Схема Active
Directory
поддерживает наследование объектов
класса. Все объекты схемы организованы
в иерархическом порядке в контексте
именования. Благодаря этому любой объект
класса способен унаследовать все
характеристики объекта своего
родительского класса. Например, класс
Computer
(Компьютер) фактически является дочерним
классом от класса User
(Пользователь), и поэтому класс Computer
наследует все атрибуты, связанные с
классом User.
В этом случае класс Computer
ассоциируется с атрибутами, специфическими
для этого класса. С помощью оснастки
Active
Directory
Schema
вы можете увидеть организацию наследования
объектов класса и иерархию объектов
класса. На рисунке 2-1 показан класс
Computer
(Компьютер). Обратите внимание, что он
является дочерним по отношению к классу
User,
который является дочерним классом
класса organizationalPerson,
и т.д. Эта система наследования значительно
облегчает администраторам создание
новых классов объектов, потому что они
не должны определять каждый атрибут,
связанный с новым классом, а могут просто
унаследовать все объединения атрибутов
подходящего родительского класса.
Рис.
2-1. Объект класса Computer
(Компьютер), отображаемый оснасткой
Active
Directory
Schema
Модификация
схемы
Схема
Active
Directory
содержит большинство постоянно
используемых классов и атрибутов,
необходимых для реализации службы
каталога предприятия. Эти атрибуты и
классы определяются как объекты Category
1 (Категория
1), или основные объекты схемы. Для
поддержки классов и атрибутов, определяемых
клиентом, при разработке схемы Active
Directory
закладывались возможности ее расширения.
Другими словами, она может быть изменена
для включения новых объектов классов
и атрибутов, в которых, возможно, нуждается
организация. Объекты схемы, которые
создаются позднее, определяются как
объекты Category
2 (Категория
2). Схему обычно расширяют для того, чтобы
она удовлетворяла потребностям
приложений, пользующихся поддержкой
Active
Directory.
Хорошим примером такого приложения
является Microsoft
Exchange
Server
2000, для поддержки которого при
конфигурировании Active
Directory
было сделано более тысячи дополнений
к схеме.
Кроме
использования приложений, пользующихся
поддержкой Active
Directory,
администраторы могут расширять схему
другими методами. Это можно сделать в
пакетном режиме с помощью средств
администрирования с командной строкой,
включая инструменты LDAP
Data
Interchange
Format
Directory
Exchange
(LDIFDE)
и Comma
Separated
Value
Directory
Exchange
(CSVDE).
Схема может быть расширена программно,
используя Active
Directory
Service
Interfaces
(ADSI)
и сценарии Microsoft
Visual
Basic.
Дополнительная
информация. Для получения дополнительной
информации об инструментах LDIFDE
или CSVDE напечатайте
название команды в командной строке
для вызова онлайновой подсказки. Для
получения дополнительной информации
об ADSI и ADSI
Edit обратитесь к комплекту
разработки программного обеспечения
Microsoft Windows
Platform (SDK),
который можно загрузить или заказать
на компакт-диске на сайте http://
www.microsoft.com/msdownload/platformsdk/sdkupdate.Чacть
ADSI Platform
SDK можно просмотреть
интерактивно на сайте
http://msdn.microsoft.com/library/default.asp?url=/library/
en—us/netdir/adsi/directory_services.asp.
Схема
может быть изменена через интерфейс
пользователя Windows
Server
2003 с помощью оснастки Active
Directory
Schema.
Сначала нужно зарегистрировать оснастку,
выполнив команду Regsvr32
Schmmgmt.dll
из командной строки. Для изменения схемы
вы должны быть членом глобальной группы
Schema
Admins
(Администраторы схемы). Чтобы понять,
как работает изменение схемы, представьте
себе, что организации необходимо
сохранять записи о датах, когда служащие
приступили к работе, т.е. сохранять дату
начала работы служащего как ат-
рибут
пользовательского объекта в Active
Directory.
Чтобы этот атрибут был доступен при
создании каждого нового пользовательского
объекта, он сначала должен быть определен
в схеме.
С
помощью оснастки Active
Directory
Schema
вы можете добавить новый атрибут к схеме
и связать его с объектом класса User.
Для этого выполните следующие шаги.
-
Откройте
оснастку
Active Directory Schema (Схема
Active Directory). -
Выберите
папку Attributes
(Атрибуты) на панели дерева. -
В меню
Action
(Действие) щелкните на Create
Attribute
(Создать атрибут). -
В окне
предупреждения Schema
Object
Creation
(Создание объекта схемы) щелкните на
Continue
(Продолжить). -
В
диалоговом окне Create
New
Attribute
(Создание нового атрибута) введите
информацию в раздел Identification
(Идентификация):-
Common
Name (обычное
имя); -
LDAP
Display Name (отображаемое
LDAP-имя); -
Unique
X500
Object
ID
(уникальный идентификатор объекта
Х500); -
Description
(описание).
-
-
В
разделе Syntax
And
Range
(Синтаксис и диапазон) внесите информацию
в поля:
-
Syntax
(синтаксис); -
Minimum
(минимум); -
Maximum
(максимум).
-
Выберите,
будет ли новый атрибут многозначным
(Multi-Valued)
атрибутом.
Подробная
информация, касающаяся содержания
каждого поля, становится доступной при
выборе соответствующего текстового
поля и нажатии клавиши F1.
Получение
идентификатора Х500 Object
ID
Иногда
два приложения могут попытаться сделать
несовместимые модификации в схеме.
Чтобы решить эту проблему, каждый класс
и атрибут в Active
Directory
могут быть идентифицированы уникальным
идентификатором объекта (OID
— Object
Identifier)
для гарантии того, что другой объект
схемы не использует тот же самый OID.
Организация, планирующая создание новых
OID,
должна зарегистрироваться в Международной
организации по стандартизации (ISO
— International
Standards
Organization)
или в Американском национальном институте
стандартов (ANSI
— American
National
Standards
Institute).
При регистрации организация стандартов
выделит вам часть пространства OID,
которое затем можно расширять для
удовлетворения своих потребностей.
Например, компании может быть предоставлено
число типа 1.2.840.ХХХХ. Оно организовано
в иерархическом порядке и содержит
следующие части:
-
1 —
ISO; -
2-ANSI;
-
840 — Соединенные
Штаты Америки; -
ХХХХ — уникальное
число, идентифицирующее вашу компанию.
Как
только вы получили это число, можно
управлять своей собственной частью
иерархии. Например, если вы создаете
новый атрибут с именем Employee
Start
Date
(Дата
начала работы служащего), ему можно
назначить число типа 1.2.840.ХХХХ.12.
Пусть
OID
для контакта в Active
Directory
задан в виде 1.2.840.113556.1.5.15. Первые три
части числа выделены для ISO,
ANSI
и США соответственно. Число 113556 ANSI
предоставил компании Microsoft,
которая назначила 1 — на Active
Directory,
5 — на классы Active
Directory,
15 — на класс Contact
(Контакт).
Комплект
ресурсов Microsoft
Windows
Server
2000 Resource
Kit
содержит
инструмент по имени OIDGen,
который можно использовать для создания
уникальных идентификаторов OID
для классов или атрибутов объекта без
необходимости регистрировать OID.
Этот инструмент не должен использоваться,
если схема будет развертываться вне
вашей организации. Для внешнего
развертывания Microsoft
предлагает сгенерировать и зарегистрировать
ваш новый OID.
Подробности см. на сайте
http://msdn.microsoft.com/certification/ad—registration.asp.
На
рисунке 2-2 показано создание нового
атрибута с помощью оснастки Active
Directory
Schema
(Схема Active
Directory).
Рис.
2-2. Создание нового атрибута схемы
Примечание.
Добавление нового атрибута к схеме
не подразумевает, что атрибут будет
автоматически доступен из любого
средства администрирования. Инструментальные
средства администрирования, подобные
Active Directory
Users And
Computers (Пользователи и
компьютеры Active Directory),
показывают только некоторые атрибуты
для каждого класса и не показывают
атрибуты, которые добавляете вы. Если
вы хотите, чтобы новый атрибут появился
в инструменте администрирования, нужно
изменить существующий инструмент или
создать ваш собственный. О том, как
изменять и создавать инструментальные
средства администрирования, см. в разделе
Directory Services
(Службы каталога) документа Platform
SDK на сайте http://
msdn.microsoft.com/library/default.asp?url=/library/en-us/
netdir/ad/extending_the_user_interface_for_directory_objects.asp.
Дезактивация
объектов схемы
Расширение
схемы не является сложной операцией,
но перед ее осуществлением необходимо
провести предварительное планирование,
ведь все изменения схемы являются
необратимыми. Объекты не могут быть
удалены из схемы. Если вы сделаете ошибку
при расширении схемы, вы можете отключить
(дезактивировать) объект. В Windows
Server
2003 дезактивированные объекты схемы
могут снова использоваться при
необходимости, а новые объекты схемы
могут создаваться с тем же самым именем,
которое имел дезактивированный объект.
Есть
несколько моментов, которые надо иметь
в виду при дезактивации класса схемы и
объектов атрибутов. Сначала вы можете
дезактивировать только классы и атрибуты,
которые вы специально создавали, т.е.
объекты Category
2. Вы
не можете дезактивировать объекты
Category
1 или
базовую
схему. Нельзя
отключить атрибут, являющийся членом
класса, который не дезактивирован. Это
ограничение предотвращает ошибки в
создании новых экземпляров
недезактивированного класса, если
становится нужен дезактивированный
атрибут.
Чтобы
дезактивировать объект атрибута или
класса Category
2, установите
булевое значение атрибута isDefunct
объекта
схемы на true
(истина).
Это можно выполнить, используя инструмент
ADSI
Edit
(Редактирование ADSI)
или оснастку Active
Directory
Schema
(Схема Active
Directory).
На рисунке 2-3 показано, какие флажки
параметров установки надо очистить для
дезактивации атрибута EmployeeStartDate,
созданного
в примере, представленном ранее.
После того как
объект схемы был дезактивирован, он
считается несуществующим. Сообщения
об ошибках в случае попытки создания
нового экземпляра несуществующего
класса или атрибута те же самые, которые
появляются, если класс или атрибут схемы
не существуют. Единственное действие,
которое можно выполнить с дезактивированным
объектом
схемы, состоит в его повторной активации.
Для этого просто установите атрибут
isDefunt
на
false
(ложь).
После активации несуществующего объекта
схемы его можно снова использовать для
создания новых экземпляров класса или
атрибута. Процесс дезактивации/активации
не влечет за собой никаких неблагоприятных
последствий.
Рис.
2-3. Использование оснастки Active
Directory
Schema
(Схема Active
Directory)
для дезактивации атрибута схемы
Логическая
структура Active Directory
После
того как вы установили Active
Directory
в свою сетевую среду и начали реализовывать
проект службы, подходящий для ваших
деловых целей, вы будете работать с
логической структурой Active
Directory.
Она является моделью службы каталога,
которая определяет каждого участника
безопасности на предприятии, а также
организацию этих участников. База данных
Active
Directory
содержит следующие структурные объекты:
-
разделы;
-
домены;
-
деревья доменов;
-
леса;
-
сайты;
-
организационные
единицы.
Далее
представлено введение в эти компоненты
и концепции доверительных отношений,
которые используются для выдачи
разрешений на доступ участников
безопасности к ресурсам, хранящимся в
различных доменах. В главе 5 вы узнаете,
как эти структурные компоненты
используются для достижения определенных
целей (например, защита доступа к
ресурсам) и оптимизации производительности
сети. Сами участники безопасности
(пользователи, группы и компьютеры) в
этой главе не обсуждаются.
Разделы
Active Directory
Как
вы уже знаете, база данных Active
Directory
хранится в файле на жестком диске каждого
контроллера домена. Она разделена на
несколько логических разделов, каждый
из которых хранит различные типы
информации. Разделы Active
Directory
называются контекстами именования (NC
— naming
contexts).
Просмотреть их можно с помощью инструмента
Ldp.exe
или ADSI
Edit
(рис. 2-4).
Рис.
2-4. Просмотр разделов Active
Directory с помощью инструмента
ADSI Edit
Раздел
домена каталога
В
разделе домена происходит большая часть
действий. Он содержит всю информацию
домена о пользователях, группах,
компьютерах и контактах: все, что можно
просмотреть с помощью инструмента
администрирования Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory).
Раздел домена
автоматически реплицируется на все
контроллеры в домене. Информация, которая
в нем содержится, требуется каждому
контроллеру домена для подтверждения
подлинности пользователей.
Раздел
конфигурации каталога
Раздел
конфигурации содержит информацию о
конфигурации леса, например, информацию
о сайтах, связях сайта и подключениях
репликации. В нем хранят информацию
многие прикладные программы. Приложения
Exchange
Server
2000, Microsoft
Internet
Security
And
Acceleration
(ISA)
Server
помещают свою конфигурационную информацию
в раздел конфигурации каталога Active
Directory,
а не в свою собственную службу каталога.
Когда вы устанавливаете первый ISA-сервер
в свою организацию, вы можете
сконфигурировать массив, который будет
хранить всю конфигурационную информацию
ISA
в Active
Directory.
Затем легко устанавливаются дополнительные
ISA-серверы,
использующие эту же конфигурацию,
которая читается из службы Active
Directory.
Раздел конфигурации
каталога имеет свои копии повсюду в
пределах леса. Каждый контроллер домена
содержит перезаписываемую копию раздела
конфигурации, и изменения в этот раздел
каталога могут быть внесены с любого
контроллера домена в организации. Это
означает, что конфигурационная информация
реплицируется на все контроллеры домена.
Когда репликация полностью синхронизирована,
каждый контроллер домена в лесу будет
иметь одну и ту же конфигурационную
информацию.
Раздел
схемы каталога
Раздел
схемы содержит схему для всего леса.
Как вы уже знаете, схема представляет
собой набор правил о том, какие типы
объектов можно создавать в Active
Directory,
а также правила для каждого типа объектов.
Раздел схемы реплицируется на все
контроллеры домена в лесу. Однако только
один контроллер домена, хозяин схемы,
хранит перезаписываемую копию раздела
схемы каталога. Все изменения к схеме
осуществляются на контроллере — хозяине
схемы, а затем реплицируются на другие
контроллеры домена.
Раздел
глобального каталога
Раздел
глобального каталога GC
не является разделом в полном смысле.
Он хранится в базе данных подобно другому
разделу, но администраторы не могут
вводить информацию в него напрямую.
Раздел GC
предназначен только для чтения на всех
GC-серверах,
он построен из содержимого баз данных
домена. Каждый атрибут в схеме имеет
булевое значение с именем isMemberOf
Partial
Attributes
et.
Если
оно установлено на true
(истина),
атрибут копируется в каталог GC.
Разделы
приложений каталога
Последний
тип раздела в службе Active
Directory
Windows
Server
2003 — это раздел приложений каталога.
Только один тип раздела приложений
каталога создается в Active
Directory
по умолчанию — это раздел, предназначенный
для службы сервера доменной системы
имен (DNS
-Domain
Name
System).
При установке первой интегрированной
(integrated)
зоны Active
Directory
создаются прикладные разделы каталога
ForestDnsZones
и DomainDnsZones.
Раздел приложений каталога может хранить
любой тип объекта Active
Directory,
кроме участников безопасности. Кроме
того, разделы приложений каталога
создаются для управления процессом
репликации данных, и ни один из объектов
раздела приложений каталога не может
реплицироваться в раздел GC.
Разделы приложений
каталога используются для хранения
специфической информации, связанной с
приложениями. Выгода от их использования
состоит в том, что имеется возможность
управлять репликацией информации в
раздел. Для слишком динамичной информации
необходимо управлять репликами, чтобы
ограничить количество трафика сети.
При создании раздела приложений каталога
вы можете указать, какие контроллеры
домена будут получать реплику раздела.
Контроллеры домена, которые получают
реплику раздела приложений, могут
находиться в любом домене или сайте
леса.
Схема
именования прикладных разделов каталога
идентична другим разделам каталога
Active
Directory.
Например, DNS-имя
для конфигурационного раздела каталога
в лесу Contoso.com
— dc=Configuration,
dc=Contoso,
dc=com.
Если вы создаете раздел приложений
каталога по имени AppPartitionl
в домене Contoso.com,
его DNS-имя
будет dc=AppPartitionl,
dc=Contoso,
dc=com.
Разделы приложений каталога достаточно
гибки по отношению к месту создания,
или, более точно, к контексту именования.
Например, можно создать дополнительный
раздел приложений каталога в разделе
AppPartitionl.
Это приведет к тому, что раздел будет
иметь имя dc=AppPartition2,
dc=AppPartitionl,
dc=Contoso,
dc=com.
Возможно создание раздела приложений
каталога с DNS-именем,
не смежным ни с одним доменом в лесу. Вы
можете создать раздел приложений в
домене Contoso.com,
который имеет DNS-имя
dc=AppPartition,
таким образом, будет создано новое
дерево в лесу.
Примечание.
Выбор DNS-имени для
пространства имен приложения никак не
влияет на функциональные возможности
раздела приложений. Единственное
различие будет состоять в конфигурировании
LDAP-клиента, который
обращается к разделу. Разделы приложений
каталога предназначены для доступа
LDAP, поэтому клиент должен
быть сконфигурирован так, чтобы делать
поиск на сервере в правильном пространстве
имен.
Создание
раздела приложений каталога усложняется
необходимостью обслуживания разрешений
на доступ к объектам раздела. Для заданных
по умолчанию разделов Active
Directory
разрешения назначаются автоматически.
При создании объекта в разделе каталога
домена
группе
Domain
Admins
(Администраторы домена) автоматически
назначаются полные разрешения на доступ
к объекту. При создании объекта в разделе
конфигурации или в разделе схемы каталога
разрешения назначаются для учетных
записей пользователей и групп,
принадлежащих корневому домену леса.
Поскольку прикладной раздел каталога
может быть создан в любом разделе домена
каталога или как отдельное дерево в
лесу, то заданный по умолчанию путь
назначения разрешений не применяется.
Назначить группе Domain
Admins
полное управление объектами в разделе
несложно, остается неясным то, какой
домен является заданным по умолчанию.
Поэтому разделы приложений каталога
всегда создаются со ссылкой на домен,
содержащий дескрипторы защиты. Этот
домен становится заданным по умолчанию,
он используется для назначения разрешений
на доступ к объектам в разделе приложений
каталога. Если раздел приложений каталога
создается в разделе домена каталога,
то родительский домен используется в
качестве домена, содержащего дескрипторы
защиты, и создается наследование
разрешений. Если раздел приложений
каталога создает новое дерево в лесу,
то корневой домен леса используется в
качестве домена, содержащего дескрипторы
защиты.
Совет.
Обычно разделы приложений каталога
создаются в процессе инсталляции
приложения, для которого требуется
использование раздела каталога.
Инсталляционная процедура приложения
должна разрешать создание дополнительных
реплик на других контроллерах домена.
Вы можете создать каталог приложений
с помощью утилиты Ntdsutil,
но в среде предприятия это обычно не
используется. Процедуры управления
разделами приложений каталога описаны
в справке Windows Server
2003 Help And
Support Center
(Центр справки и поддержки Windows
Server 2003). Для получения
детальной информации о разделах
приложений каталога, о том, как обращаться
к ним программно, сделайте поиск фразы
«Using application
directory partitions»
на сайте msdn.microsoft.com.
Как
только раздел приложений каталога с
несколькими репликами создан, управление
репликацией раздела осуществляется
так же, как для других разделов.
Дополнительную информацию о репликации
Active
Directory
см. в гл. 4.
Домены
Домен
является основным строительным блоком
в модели службы Active
Directory.
Устанавливая Active
Directory
на своем компьютере, работающем под
управлением Windows
Server
2003, вы создаете домен. Домен служит в
качестве административной границы, он
определяет и грани-
цу политик
безопасности. Каждый домен имеет, по
крайней мере, один контроллер домена
(оптимально иметь два или более).
Домены
Active
Directory
организованы в иерархическом порядке.
Первый домен на предприятии становится
корневым
доменом леса, обычно
он называется корневым
доменом или
доменом
леса. Корневой
домен является отправной точкой для
пространства имен Active
Directory.
Например, первый домен в организации
Contoso
— Contoso.com.
Первый домен может быть назначенным
(dedicated)
или неназначенным
(non-dedicated)
корневым доменом. Назначенный корневой
домен, называемый пустым
корнем, является
пустым доменом-заменителем, предназначенным
для запуска Active
Directory.
Этот домен не будет содержать никаких
реальных учетных записей пользователя
(группы) и использоваться для назначения
доступа к ресурсам. Единственные учетные
записи, которые содержатся в назначенном
корневом домене — это учетные записи
пользователей и групп, заданных по
умолчанию, таких как учетная запись
Administrator
(Администратор) и глобальная группа
Domain
Admins
(Администраторы домена). Неназначенный
корневой домен — это домен, в котором
создаются учетные записи фактических
пользователей и групп. Причины выбора
назначенного или неназначен-ного
корневого домена леса обсуждаются в
гл. 5.
Остальные
домены на предприятии существуют или
как равные по положению (peers)
по отношению к корневому домену, или
как дочерние домены. Равные по положению
домены находятся на том же иерархическом
уровне, что и корневой домен. На рисунке
2-5 показана модель доменов, равных по
положению.
Рис.
2-5. Домены Active Directory,
организованные как равные по положению
Общепринято,
что домены, устанавливаемые вслед за
корневым доменом, становятся дочерними
доменами. Дочерние
домены используют одно и то же пространство
имен Active
Directory
совместно с родительским доменом.
Например, если первый домен в организации
Contoso
назван Contoso.com,
то дочерний домен в этой структуре может
называться NAmerica.Contoso.com
и использоваться для управления всеми
участниками безопасности организации
Contoso,
находящимися в Северной Америке. Если
организация достаточно большая или
сложная, то могут потребоваться
дополнительные дочерние домены, например,
Sales.NAmerica.Contoso.com.
На рисунке 2-6 показана родительско-до-черняя
иерархия домена для организации Contoso.
Рис.
2-6. Родительско-дочерняя модель домена
для корпорации Contoso
Деревья
доменов
Домены,
которые создаются в инфраструктуре
Active
Directory
после создания корневого домена, могут
использовать существующее пространство
имен Active
Directory
совместно или иметь отдельное пространство
имен. Чтобы выделить отдельное пространство
имен для нового домена, нужно создать
новое дерево домена. Независимо от того,
используется ли единственное пространство
имен или несколько, дополнительные
домены в том же самом лесу функционируют
совершенно одинаково. Создание
дополнительных деревьев доменов связано
исключительно с организационными
проблемами и проблемами именования,
оно никак не затрагивает функциональные
возможности. Дерево доменов содержит,
по крайней мере, один домен. Даже
организация с единственным доменом
имеет дерево доменов. Использование
нескольких деревьев вместо дочерних
доменов влияет на конфигурацию DNS,
об этом вы узнаете в гл. 3.
Дерево
доменов образуется в том случае, когда
организация создает домен вслед за
созданием корневого домена леса (forest
root
domain),
но не хочет использовать существующее
пространство имен. В случае Contoso,
если существующее дерево доменов
использует пространство имен Contoso.com,
может быть создан новый домен, который
использует совершенно другое пространство
имен, например, Fabrikam.com.
Если в дальнейшем потребуется создание
доменов, чтобы удовлетворить потребностям
единицы Fabrikam,
они могут создаваться как дочерние от
дерева доменов Fabrikam.
На рисунке 2-7 показана схема организации
Contoso
с несколькими доменными деревьями.
Рис.
2-7. Корпорация Contoso с
несколькими доменными деревьями
Леса
Лес
представляет
самую дальнюю репликацию и является
границей безопасности для предприятия.
Все домены и доменные деревья существуют
в пределах одного или несколько лесов
Active
Directory.
Лес является общим для всех контроллеров
домена в лесу. Общими компонентами могут
быть:
-
Общая
схема.
У всех контроллеров домена в лесу
имеется одна и та же схема. Единственный
способ развертывания двух различных
схем в одной организации состоит в том,
чтобы развертывать два отдельных леса. -
Общий
раздел
конфигурации каталога.
Все контроллеры домена в лесу имеют
один и тот же конфигурационный контейнер,
который используется для репликации
в пределах леса. Раздел конфигурации
каталога интенсивно используется
приложениями, поддерживающими службу
Active
Directory
(Echange
Server
2000 и ISA). -
Общий
глобальный
каталог GC.
Он содержит информацию обо всех объектах
в лесу. Это делает поиск любого объекта
более эффективным и дает возможность
пользователям входить на любой домен
леса, используя свои имена UPN. -
Общий
набор администраторов в пределах леса.
В корневом
домене для
леса создаются две группы безопасности
(security
groups).
Им предоставляются такие разрешения,
которыми не обладают никакие другие
пользователи. Группа Schema
Admins
является единственной группой, которая
имеет право изменять схему, а группа
Enterprise
Admins
(Администраторы предприятия) является
единственной группой, которая имеет
право выполнять действия на уровне
леса, такие как добавление или удаление
доменов из леса. Группа Enterprise
Admins
автоматически добавляется к каждой
местной группе Administrators
(Администраторы) на контроллерах домена
в каждом домене леса. -
Общая
конфигурация доверительных отношений.
Все
домены в лесу автоматически сконфигурированы
так, чтобы доверять всем другим доменам
леса. Более подробно о доверительных
отношениях рассказано в следующем
разделе.
На
рисунке 2-8 показан лес Contoso.
Доверительные
отношения
По
умолчанию домен является границей
доступа к ресурсам в организации. Имея
соответствующие разрешения, любой
участник безопасности (например, учетная
запись пользователя или группы) может
обращаться к любому общедоступному
ресурсу в том же самом домене. Для
получения доступа к ресурсам, которые
находятся за пределами домена, используются
доверительные отношения службы Active
Directory.
Доверительные
отношения представляют
собой опознавательную связь между двумя
доменами, с помощью которой участники
безопасности могут получать полномочия
на доступ к ресурсам, расположенным на
другом домене. Есть несколько типов
доверительных отношений, включающих:
-
транзитивные
доверительные отношения; -
односторонние
доверительные отношения; -
доверительные
отношения леса; -
доверительные
отношения области.
Транзитивные
доверительные отношения
Все
домены дерева поддерживают транзитивные
двухсторонние доверительные отношения
с другими доменами в этом дереве. В
примере, рассмотренном выше, когда домен
NAmerica.Contoso.com
создается как дочерний домен корневого
домена Contoso.com,
автоматически создаются двухсторонние
доверительные отношения между доменами
NAmerica.Contoso.com
и Contoso.com.
Через доверительные отношения любой
пользователь в домене NAmerica.Contoso.com
может обращаться к любому ресурсу в
домене Contoso.com,
на доступ к которому есть разрешение.
Аналогично, если в домене Contoso.com
имеются какие-либо участники безопасности
(как в неназначенном корневом домене),
им можно давать доступ к ресурсам домена
NAmerica.Contoso.com.
В
пределах леса доверительные отношения
устанавливаются или как родительско-дочерние
доверительные отношения, или как
доверительные отношения корня дерева
(tree
root).
Примером
родительско-дочер-них доверительных
отношений являются отношения между
доменами NAmerica.Contoso.com
и Contoso.com.
Доверительные отношения корня дерева
— это отношения между двумя деревьями
в лесу, например, между Contoso.com
и Fabrikam.com.
Все
доверительные отношения между доменами
леса являются транзитивными. Это
означает, что все домены в лесу доверяют
друг другу. Если домен Contoso.com
доверяет домену NAmerica.Contoso.com
и домен Europe.Contoso.com
доверяет домену Contoso.com,
то транзитивность указывает на то, что
домен Europe.Contoso.com
также доверяет домену NAmerica.Contoso.com.
Поэтому пользователи в домене NAmerica.
Contoso.com
могут обращаться к ресурсам, имеющимся
в домене Europe.Contoso.com,
и наоборот. Свойство транзитивности
доверительных отношений применимо к
доверительным отношениям корня дерева.
Домен NAmerica.Contoso.com
доверяет домену Contoso.com,
и домен Contoso.com
доверяет домену Fabrikam.com.
Поэтому домен NAmerica.
Contoso.com
и домен Fabrikam.com
также имеют транзитивные доверительные
отношения друг с другом.
Односторонние
доверительные отношения
В дополнение к
двухсторонним транзитивным доверительным
отношениям, которые устанавливаются
при создании нового дочернего домена,
между доменами леса могут быть созданы
односторонние доверительные отношения.
Это делается для того, чтобы разрешить
доступ к ресурсам между доменами, которые
не состоят в прямых доверительных
отношениях. Односторонние доверительные
отношения также исполь-
зуются
для оптимизации производительности
работы между доменами, которые связаны
транзитивными доверительными отношениями.
Эти односторонние доверительные
отношения называются укороченными
доверительными отношениями (shortcut
trusts).
Укороченные
доверительные отношения нужны в том
случае, когда требуется частый доступ
к ресурсам между доменами, которые
удаленно связаны через дерево домена
или лес. Примером этому является лес
Contoso,
изображенный
на рисунке 2-9.
Рис.
2-9. Доверительные отношения в лесу
Contoso
Если
группа безопасности в домене
Sales.Europe.Contoso.com
часто обращается к общему ресурсу в
домене Research.NAmerica.Contoso.com,
то при наличии только транзитивных
доверительных отношения между доменами
пользователи в домене Sales.Europe.Contoso.com
должны подтверждать подлинность в
каждом домене дерева, расположенном
между ними и доменом, который содержит
ресурс. Такая организация работы
неэффективна, если часто возникает
потребность доступа к этим ресурсам.
Укороченные доверительные отношения
являются прямыми односторонними
доверительными отношениями, которые
дадут возможность пользователям в
домене Sales.Europe.Contoso.com
эффективно подтверждать подлинность
в домене Research.NAmerica.Contoso.com
без необходимости пересекать все дерево
каталога, чтобы туда добраться. На
рисунке 2-10 показаны эти прямые
доверительные отношения. Если возникает
потребность установить такие же
доверительные отношения в другом
направлении, можно создать прямые
доверительные отношения между этими
двумя доменами, взаимно изменив их роли.
(Такие двойные прямые доверительные
отношения кажутся транзитивными
отношениями, но
эти исключительные доверительные
отношения не простираются за пределы
этих двух доменов).
Доверительные
отношения леса
Доверительные
отношения леса являются
новой функцией в Windows
Server
2003. Они представляют собой двухсторонние
транзитивные доверительные отношения
между двумя отдельными лесами. С помощью
доверительных отношений леса участнику
безопасности, принадлежащему одному
лесу, можно давать доступ к ресурсам в
любом домене совершенно другого леса.
Кроме того, пользователи могут входить
на любой домен обоих лесов, используя
одно и то же имя UPN.
-
Доверительные
отношения леса не являются транзитивными
по отношению к другим лесам. Например,
если Forest
1 имеет доверительные отношения леса
с Forest2,
и Forest2
имеет доверительные отношения леса с
Forest3,
то Forestl
не имеет автоматических доверительных
отношений леса с Forest3. -
Доверительные
отношения леса делают возможной только
идентификацию между лесами, они не
обеспечивают другие функциональные
возможности. Например, каждый лес будет
иметь уникальный каталог GC,
схему и раздел конфигурации каталога.
Информация между этими двумя лесами
не копируется, доверительные отношения
леса просто делают возможным назначение
доступа к ресурсам между лесами. -
В некоторых случаях
вам потребуется установить доверительные
отношения между всеми доменами одного
леса и всеми доменами другого леса. Для
этого вы можете устанавливать
односторонние, не транзитивные
доверительные отношения между
индивидуальными доменами в двух
отдельных лесах.
На
рисунке 2-11 показаны доверительные
отношения леса компании Contoso.
Рис.
2-11. Доверительные отношения леса компании
Contoso
соединяют домены Contoso.com
и NWTraders.com,
находящиеся в разных лесах
Доверительные
отношения области
Последний
тип доверительных отношений — это
доверительные отношения области (Realm
Trusts).
Они
устанавливаются между доменом или лесом
Windows
Server
2003 и не Windows-реализацией
области Kerberos
v5.
Защита Kerberos
основана на открытом стандарте, имеются
другие сие-
темы
сетевой защиты, основанные на протоколе
Kerberos.
Доверительные отношения области можно
создать между любыми Kerberos-облас-тями,
которые поддерживают стандарт Kerberos
v5.
Доверительные отношения области могут
быть односторонними или двухсторонними,
их можно также сконфигурировать как
транзитивные и не транзитивные.
Сайты
Все
логические компоненты Active
Directory,
обсуждаемые до сих пор, практически не
зависят от физической инфраструктуры
сети. Например, при проектировании
структуры домена для корпорации вопрос
о том, где расположены пользователи,
является не самым важным. Все пользователи
в домене могут находиться в единственном
офисном строении или в офисах, расположенных
по всему миру. Независимость логических
компонентов от сетевой инфраструктуры
возникает вследствие использования
сайтов в Active
Directory.
Сайты
обеспечивают соединение между логическими
компонентами Active
Directory
и физической сетевой инфраструктурой.
Сайт
представляет
область сети, где все контроллеры домена
связаны быстрым, недорогим и надежным
сетевым подключением. В большинстве
случаев сайт содержит одну или более
подсетей с протоколом интернета (IP),
связанных локальной сетью (LAN)
или быстродействующей глобальной сетью
(WAN),
подключенных к остальной части сети
через более медленные WAN-подключения.
Основная
причина для создания сайтов состоит в
том, чтобы иметь возможность управлять
любым сетевым трафиком, который должен
использовать медленные сетевые
подключения. Сайты используются для
управления сетевым трафиком в пределах
сети Windows
Server
2003 тремя различными способами.
-
Репликация.
Одним
из важнейших способов, которым сайты
пользуются для оптимизации сетевого
трафика, является управление трафиком
репликации между контроллерами доменов
и GC-серверами.
В пределах сайта любое изменение,
сделанное в каталоге, будет копироваться
в течение приблизительно пяти минут.
Графиком репликации между сайтами
можно управлять так, чтобы репликация
происходила во время нерабочих часов.
По умолчанию трафик репликации между
сайтами сжат для сохранения пропускной
способности сети, в пределах сайта
трафик репликации не сжимается. (В главе
4 представлена более детальная информации
относительно различий между внутрисайтовой
и межсайтовой репликациями.) -
Идентификация.
Когда
пользователь входит в домен Windows
Server
2003 с клиента, на котором работает система
Windows
2000 или Microsoft
Windows
XP
Professional,
компьютер клиента пробует подключить
контроллер домена, находящийся в том
же самом сайте, где находится клиент.
В главе 3 будет обсуждаться, как каждый
контроллер домена регистрирует записи
указателя служб (SRV),
специфические для сайта. Когда компьютер
клиента пытается найти контроллер
домена, он всегда запрашивает записи
сайтов у DNS-серверов.
Это означает, что трафик входа клиента
в систему останется в пределах сайта.
Если домен работает на функциональном
уровне Windows
2000 native
(основной) или Windows
Server
2003, то клиент будет пытаться найти
каталог GC
во время входа в систему. Если на сайте
имеется GC-сервер,
клиент соединится с этим сервером.
(Роль сайтов в поиске контроллеров
домена подробно обсуждается в гл. 3.)
Примечание.
Клиентские компьютеры, на которых
работает система Windows NT
4 SP6a, могут
регистрироваться на контроллерах домена
Active Directory,
если они установили службу Directory
Services Client
(Клиент служб каталога), которая доступна
для загрузки на сайте http://www.microsoft.com/
windows2000/server/evaluation/news/bulletins/
adextension.asp.
Для тех клиентов, которые не были
модернизированы с Windows
95 или Windows 98, программное
обеспечение Directory Services
Client доступно на компакт-диске
Windows Server
2000.
-
Сетевые
службы, учитывающие наличие сайтов.
Третий
способ, который позволяет сайтам
сохранять высокую пропускную способность,
состоит в ограничении клиентских
подключений к сайту только теми
приложениями и службами, которые
учитывают наличие сайтов. Например,
используя распределенную файловую
систему (DFS
-Distributed
File
System),
вы можете создавать несколько реплик
папки на различных сайтах в сети.
Поскольку система DFS
спроектирована так, что она учитывает
конфигурацию сайта, компьютеры клиента
всегда пробуют обратиться к DFS-реплике
на своем собственном сайте, прежде чем
использовать связи WAN-сети,
чтобы получить доступ к информации на
другом сайте.
Каждый
компьютер в сети Windows
Server
2003 будет назначен сайту. Когда служба
Active
Directory
устанавливается в среде Windows
Server
2003, создается заданный по умолчанию
сайт, называемый Default
First
Site
Name
(заданное по умолчанию имя первого
сайта), и все компьютеры леса будут
назначены этому сайту, если не создается
дополнительных сайтов. Когда создаются
дополнительные сайты, они связываются
с подсетями IP.
Когда сервер, на котором выполняется
система Windows
Server
2003, становится контроллером домена, то
он автоматически назначается тому
сайту, который назначен IP-адресу
компьютера. При необходимости контроллеры
домена можно перемещать между сайтами
с помощью инструмента администрирования
Active
Directory
Sites
And
Services
(Active
Directory:
Сайты и службы).
Клиентские
компьютеры определяют свои сайты в
первый раз, когда они запускаются и
входят в домен. Поскольку компьютер
клиента не знает, какому сайту он
принадлежит, то он соединяется с любым
контроллером домена в домене. В процессе
входа в систему контроллер домена
сообщит клиенту, какому сайту он
принадлежит, и клиент будет кэши-ровать
эту информацию для следующего входа в
систему.
Примечание.
Если контроллер домена или компьютер
клиента имеют IP-адрес,
который не связан с определенным сайтом,
то этот компьютер будет приписан в сайт
Default First
Site Name. Каждый
компьютер, который является частью
домена Windows Server
2003, должен принадлежать сайту.
Как
уже было сказано выше, нет прямой связи
между сайтами и другими логическими
концепциями Active
Directory.
Один сайт может содержать более одного
домена, и один домен может принадлежать
нескольким сайтам. На рисунке 2-12 показано,
что сайт Seattle
содержит два домена: Contoso.com
и NAmerica.Contoso.com.
Домен NWTraders.com
распределен между несколькими сайтами.
Примечания.
Сайты подробно обсуждаются в других
главах. В главе 3 детализируется роль
DNS и сайтов для клиентских
входов в систему. Глава 4 посвящена роли
сайтов в репликации и тому, как создавать
и конфигурировать сайты. В главе 5 дается
детальная информация по проектированию
оптимальной конфигурации сайта для
леса Active Directory.
Организационные
единицы
Путем
реализации нескольких доменов в лесу
в виде одного или нескольких деревьев
служба Active
Directory
Windows
Server
2003 может масштабироваться так, чтобы
обеспечить услуги каталога для сети
любого размера. Многие из компонентов
Active
Directory,
такие как глобальный каталог и
автоматические транзитивные доверительные
отношения, предназначены для того, чтобы
сделать использование и управление
каталогом предприятия эффективным,
независимо от того, насколько большим
становится каталог.
Организационные
единицы (OU
— Organizational
Unit)
предназначены для того, чтобы облегчить
управление службой Active
Directory.
OU
используются для того, чтобы сделать
более эффективным управление единственным
доменом, вместо того чтобы иметь дело
с управлением несколькими доменами
службы Active
Directory.
OU
служат для создания иерархической
структуры в пределах домена. Домен может
содержать сотни тысяч объектов. Управление
таким количеством объектов без
использования определенных средств
организации объектов в логические
группы затруднено. Организационные
единицы выполняют именно эти функции.
На рисунке 2-13 показан пример структуры
OU
в корпорации Contoso.
Рис.
2-13. Пример структуры организационных
единиц
OU
являются контейнерами объектов,
содержащими несколько типов объектов
службы каталога:
-
компьютеры;
-
контакты;
-
группы;
-
inetOrgPerson;
-
принтеры;
-
пользователи;
-
общедоступные
папки; -
организационные
единицы.
Организационные
единицы используются для группировки
объектов в административных целях. Они
могут делегировать административные
права и управлять группой объектов как
отдельным подразделением.
Использование
организационных единиц для делегирования
административных прав
Организационные
единицы могут использоваться для
делегирования административных прав.
Например, пользователю могут быть даны
права на выполнение административных
задач в определенной OU.
Это могут быть права высокого уровня,
когда пользователь имеет полный контроль
над подразделением, или очень ограниченные
и специфические (например, только
возможность сбрасывания паролей
пользователей в этом подразделении).
Пользователь, который имеет административные
права на доступ к организационной
единице, по умолчанию не имеет никаких
административных прав вне OU.
Организационные
единицы имеют гибкую структуру назначения
прав на доступ к объектам внутри OU.
Во многих диалоговых окнах Windows
и во вкладках Properties
(Свойства) они называются разрешениями.
Сама организационная единица OU
имеет список управления доступом (ACL
— Access
Control
List),
в котором можно назначать права на
доступ к этой OU.
Каждый объект в OU
и каждый атрибут объекта имеет ACL-список.
Это означает, что вы можете очень точно
контролировать административные права,
данные кому-либо в этом подразделении.
Например, вы можете дать группе Help
Desk
(Справочная) право изменять пароли
пользователей в OU,
не изменяя любые другие свойства учетных
записей пользователя. Можно дать отделу
Human
Resources
(Отдел кадров) право изменять личную
информацию, касающуюся любой учетной
записи пользователя в любом OU,
но не давать им никаких прав на другие
объекты.
Использование
организационных единиц для управления
группами объектов
Одной
из функций OU
является объединение объектов в группы
так, чтобы этими объектами можно было
одинаково управлять. Если вы хотите
одинаково управлять всеми компьютерами
в отделе (например, вводя ограничения
на то, какие пользователи имеют право
входа в операционную систему), вы можете
сгруппировать компьютеры в OU
и
установить
разрешение Logon
Locally
(Локальный вход в систему) на уровне OU.
Это разрешение будет установлено для
всех компьютеров в данной OU.
Другим примером группировки объектов
в административных целях является
ситуация, когда совокупность пользователей
нуждается в одинаковой стандартной
конфигурации рабочего стола компьютера
и одинаковом наборе приложений. В этом
случае пользователи объединяются в
одну OU,
и используется групповая политика
(group
policy)
для конфигурирования рабочего стола и
управления инсталляцией приложений.
В
многих случаях объекты в OU
будут управляться через групповую
политику. Group
Policy
Object
Editor
(Редактор объектов групповой политики)
представляет собой инструмент, который
может использоваться для управления
рабочей средой каждого пользователя.
Групповые политики могут использоваться
для блокировки пользовательских рабочих
столов, для придания им стандартного
вида, обеспечения сценариев входа в
систему и выхода из нее, перенаправления
папок. В таблице 2-3 дается краткий список
типов параметров настройки, доступных
в редакторе Group
Policy
Object
Editor.
Табл.
2-3. Типы параметров настройки групповой
политики
Типы параметров настройки |
Пояснение |
|
Administrative |
Используется |
|
Security |
Используется |
|
Software |
Используется |
|
Scripts |
Используется |
|
Типы параметров |
Пояснение |
|
Folder |
Используется |
Групповые
политики чаще назначаются на уровне
OU.
Это облегчает задачу управления
пользователями, так как можно назначить
один объект групповой политики (GPO
— Group
Policy
Object),
например, политику инсталляции
программного обеспечения организационной
единице, которая затем распространится
на всех пользователей или компьютеры
в OU.
Предостережение.
Организационные единицы не являются
участниками безопасности. Их нельзя
использовать для назначения разрешений
на ресурс так, чтобы затем пользователи
всей OU
автоматически наследовали эти разрешения.
OU
используются для административных
целей. Для предоставления доступа к
ресурсам необходимо использовать
группы.
Резюме
В этой
главе вы рассмотрели основные физические
и логические компоненты службы Active
Directory
Windows
Server
2003. Валено иметь представление о
физических компонентах, особенно
управляя базами данных и схемой, размещая
контроллеры домена. Но все-таки большая
часть работы в Active
Directory
будет связана с логическими компонентами.
Далее вы познакомитесь с логической
структурой службы Active
Directory.
Active Directory — Windows Server 2003
Обзор Active Directory
Что такое Active Directory?
Каталог (directory) — на самом деле простой способ упорядочения чего угодно. Каталоги прочно вошли в нашу жизнь. Вы пользуетесь каталогом, отыскивая номер в телефонной книге. То же самое вы делаете, когда организуете файлы и папки на жестком диске своего компьютера.
Потребность в службах каталогов
Традиционный способ обращения с колоссальным объемом информации о сетевых ресурсах — хранение ее в отдельных каталогах, которые обычно управляются приложением или компонентом операционной системы, использующим эту информацию.
Active Directory — не первая служба каталогов. В современных сетях используется несколько служб каталогов и стандартов. Вот лишь некоторые из них:
-
Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (
ISO
), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
-
Lightweight Directory Access Protocol (
LDAP
).
LDAP
была разработана в ответ на критические замечания по DAP, которая оказалась слишком сложной для примене-ния в большинстве случаев.
LDAP
быстро стала стандартным протоколом каталогов в Интернете.
-
Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500.
-
Active Directory. Составная часть сетей под управлением Windows Server 2000 или Windows Server 2003. Соответствует стандарту
LDAP
.
Функции службы каталога
-
Централизация
-
Масштабируемость
-
Стандартизация
-
Расширяемость
-
Разделение физической памяти
-
Безопасность
В сложной сети служба каталогов должна обеспечивать эффективный способ управления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, принтерам, общим папкам и т. д. Хорошая реализация службы каталогов дает следующие основные преимущества:
Централизация. Смысл централизации — уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), когда возникает необходимость в поиске ресурсов.
Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек. То есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.
Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в Active Directory (и публиковать их в ней), а не поддерживать собственные каталоги.
Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге.
Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной пользователям и администраторам. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.
Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.
AD отделяет логическую структуру иерархии доменов Windows 2003 от физической структуры сети.
Логические компоненты AD
-
Объекты: ресурсы хранятся в виде объектов.
-
Классы объектов
-
Схема Active Directory
-
-
Домены: базовая организационная структура.
-
Деревья: несколько доменов объединяются в иерархическую структуру.
-
Леса: группа из нескольких деревьев домена.
-
Организационные единицы: позволяют делить домен на зоны и делегировать на них права.
Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.
Объекты
Ресурсы хранятся в Active Directory как объекты.
Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и подконтейнеров, упрощающей поиск, доступ и управление, она во многом похожа на файловую систему Windows с файлами в папками.
Классы объектов. Объект на самом деле представляет собой просто набор атрибутов. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта.
Active Directory Schema. Классы и атрибуты, определяемые ими, собирательно называются Active Directory Schema — в терминологии баз данных схема (schema) — это структура таблиц и полей, а также их взаимосвязи. Active Directory Schema можно считать набором данных (классов объектов), определяющим то, как организована и хранится реальная информация (атрибуты объекта) в каталоге.
Домены
Базовая организационная структура в сетевой модели Windows Server 2003 — домен. Домен представляет административную единицу (administrative boundary). Компьютеры, пользователи и другие объекты внутри домена делят общую базу данных защиты (security database).
Домены позволяют администраторам разделять сеть на зоны безопасности (security boundaries). Кроме того, администраторы из разных доменов могут устанавливать свои модели защиты; таким образом, модель защиты одного домена может быть изолирована от моделей защиты других доменов. Домены в основном предназначены для логического деления сети в соответствии с внутренней структурой организации.
Домен Windows Server 2003 также представляет пространство имен, которое соответствует системе именования, давно привычной большинству администраторов сетей: DNS, применяемой в Интернете.
Деревья
Несколько доменов организуется в иерархическую структуру, называемую деревом (tree). На самом деле, даже если в организации лишь один домен, у вас все равно имеется дерево. Первый домен, созданный в дереве, является корневым. Следующий домен считается дочерним по отношению к корневому.
Леса
Лес — это группа из одного или более деревьев доменов, которые не образуют непрерывного пространства имен, но могут совместно использовать общую схему и глобальный каталог. В сети всегда есть минимум один лес, и он создается, когда в сети устанавливается первый компьютер с поддержкой Active Directory (контроллер домена). Первый домен в лесу, называемый корневым доменом леса (forest root domain), играет особую роль, так как на нем хранится схема и он управляет именованием доменов для целого леса. Его нельзя удалить из леса, не удалив сам лес. Кроме того, в иерархии доменов леса нельзя создать домен, который находился бы над корневым.
Организационные единицы
Организационные единицы (organizational units, OU) позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена. В основном это дает возможность делегировать административные задачи в домене. До появления Active Directory домен был наименьшим контейнером, которому вы могли бы назначить административные разрешения.
Доверительные отношения
Специальный механизм доверительных отношений позволяет объектам в одном домене обращаться к ресурсам в другом домене.
Windows Server 2003 поддерживает шесть типов доверительных отношений:
-
Доверие к родительскому и дочернему доменам
-
Доверие к корневому домену дерева
-
Доверие к внешнему домену
-
Доверие к сокращению
-
Доверие к сфере
-
Доверие к лесу
Поскольку домены разграничивают зоны безопасности, специальный механизм, назы-ваемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)].
Доверие к родительскому и дочернему доменам, а также к корневому домену дерева
Active Directory автоматически выстраивает транзитивные двусторонние доверительные отношения между родительскими и дочерними доменами в дереве доменов. При создании дочернего домена доверительные отношения автоматически формируются между дочерним доменом и его родителем. Эти отношения двусторонние. Доверие также является транзитивным, т. е. контроллеры доверяемого домена пересылают запросы на аутентификацию контроллерам доверяющих доменов.
Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу. Это резко упрощает управление доменами по сравнению с тем, что было в версиях Windows, предшествовавших Windows 2000. Вам больше не нужно конфигурировать отдельные односторонние доверительные отношения между доменами.
Внешнее доверие
Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие. Внешнее доверие является односторонним.
Доверие к сокращению
Доверие к сокращению — это способ создания прямых доверительных отношений между двумя доменами, которые уже могут быть связаны цепочкой транзитивных доверий, но которым нужно оперативнее реагировать на запросы друг от друга.
Доверие к сфере
Доверие к сфере — новшество Windows Server 2003 — служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может транзитивным или нетранзитивным, одно- или двусторонним.
Доверие к лесу
Доверие к лесу — тоже новшество Windows Server 2003 — упрощает управление несколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user identification, ID), что и в его собственном лесу.
Разбиение базы данных AD на разделы
Разбиение базы данных AD на разделы
Active Directory — набор всех объектов в лесу. По мере роста леса растет и каталог. Одна из проблем, которые пришлось решать при разработке каталога, — как сделать так, чтобы база данных каталога могла увеличиваться по мере расширения организации без ограничений по производительности сервера или по местонахождению в сети. Выход был найден: каталог разделяется на распределенные разделы.
Поскольку домены — основные строительные блоки сети, имеет смысл разделять каталог по границам доменов. Каждый домен содержит раздел каталога, который хранит информацию об объектах в этом домене. Разделы из всех доменов леса образуют полный каталог Active Directory.
Важное преимущество разбиения каталога на разделы по доменам заключается в том, что в лес можно добавлять новые домены, не создавая лишней нагрузки на существующие домены. При добавлении нового домена создается новый раздел, и контроллеры нового домена берут на себя большую часть работы, связанной с управлением этим разделом.
Физическая структура сети
Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.
Контроллер домена — это сервер под управлением Windows Server 2003, на котором установлена и работает служба Active Directory. В домене можно создать любое число контроллеров. На каждом контроллере домена хранится полная копия раздела каталога данного домена. Контроллеры домена локально разрешают запросы на информацию об объектах в своем домене и пересылают в другие домены запросы на информацию, отсутствующую в данном домене. Контроллеры домена также отслеживают изменения в информации каталога и отвечают за репликацию этих изменений на другие контроллеры.
Контроллер домена хранит полную копию раздела каталога для своего домена, это означает, что контроллеры следуют модели репликации с несколькими хозяевами (multimaster model). To есть каждый контроллер просто хранит мастер-копию раздела, и с его помощью можно модифицировать эту информацию.
Однако есть роли, которые могут быть присвоены контроллерам домена и при которых выбранный контроллер становится единственным, кому дозволено выполнять упомянутую выше задачу. К таковым относятся роли хозяина операций (operations master roles).
Роли, действующие в границах леса.
Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу:
-
Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно;
-
Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.
Общедоменные роли.
Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене:
-
Хозяин RID [Relative Identifier (RID) Master]. Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан;
-
Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator]. Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC — регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход.
-
Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master— передавать информацию об изменениях, внесенных в объекты, в другие домены.
Сервер глобального каталога. Одна из функций сервера, которую можно назначить контроллеру домена. Серверы глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Другая функция глобального каталога, полезная независимо от того, сколько доменов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.
Сайт
Сайт Windows Server 2003 — это группа контроллеров доменов, которые находятся в единой или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями. Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов з разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.
Сайты не являются частью пространства имён Active Directory- Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группируются в домены и OU без ссылок на сайты. Сайты содержат объекты только двух типов. Первые — это контроллеры доменов в границах сайта, а вторые — связи сайта (site links), сконфигурированные для соединения данного сайта с остальными.
Связи сайта. Внутри сайта репликация осуществляется автоматически. Для репликации между сайтами вы должны установить связь между ними. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации [Internet Protocol (IP) или Simple Mail Transfer Protocol -SMTP)]. Объект связи сайта также инициирует выполнение запланированной репликации.
Репликация в AD
Все объекты и атрибуты нужно реплицировать на все контроллеры в домене, чтобы у каждого контроллера была актуальная мастер-копия раздела каталога для данного домена. А это огромный объем передаваемых данных, отслеживать которые весьма трудно.
В Windows Server 2003 применяется модель репликации с несколькими хозяевами (multi-master replication model), в которой все реплики (точные копии) базы данных Active Directory считаются равными хозяевами (equal masters). Вы можете вносить изменения в эту БД на любом контроллере домена, и изменения будут реплицированы на другие контроллеры доменов. Контроллеры доменов в рамках одного сайта выполняют репликацию на основе уведомлений. Когда на одном из контроллеров домена вносятся изменения, он уведомляется своих партнеров по репликации (прочие контроллеры доменов в пределах сайта); затем партнеры запрашивают изменения, и происходит репликация.
Пока вы не сконфигурируете свои сайты в Active Directory, все контроллеры доменов автоматически включаются в один сайт по умолчанию с именем «Default-First-Site-Name», который создается при создании первого домена.
Если вам нужно контролировать трафик репликации по более медленным WAN-каналам, создайте дополнительные сайты.
Сначала рассмотрим репликацию внутри одного сайта:
Внутрисайтовая репликация (intrasite replication). Трафик репликации передается в несжатом виде. В этом случае предполагается, что все контроллеры домена внутри сайта связаны широкополосными соединениями. Более того, репликация происходит по механизму уведомления об изменениях. То есть, если изменения вносятся в домене, они быстро реплицируются на другие контроллеры домена.
Межсайтовая репликация (intersite replication). Все данные передаются в сжатом виде. Здесь учитывается вероятность того, что трафик будет передаваться по более медленным WAN-линиями связи, но нагрузка на серверы возрастает из-за необходимости компрессии/декомпрессии данных. Вы можете использовать не только сжатие, но и планировать репликацию на те периоды времени, которые наиболее оптимальны для вашей организации.
Межсайтовая репликация
Как Active Directory использует DNS
Active Directory и DNS тесно интегрируются и даже используют общее пространство имен. А значит, важно, чтобы вы понимали, как устроена каждая из этих систем и как они работают совместно.
DNS — это служба локатора (locator service), используемая Active Directory (и многими другими компонентами Windows). Active Directory делает свои службы доступными в сети, публикуя их в DNS. Когда устанавливается контроллер домена (или к нему добавляются службы), он использует динамические обновления для регистрации своих служб в DNS как записей SRV. После этого клиенты могут находить службы через простые DNS-запросы. По умолчанию служба Microsoft DNS работает на каждом контроллере домена под управлением Windows Server 2003.
Пространство имен DNS в сети отражает пространство имен Active Directory. DNS разделяется на домены. Каждый домен отвечает за записи, хранящиеся в этом домене, и за сопоставление хост-имен и служб с IP-адресами в своих границах. Пространство имен DNS также разделяется на зоны — неразрывные части пространства имен, за управление которыми отвечают определенные серверы. Зона охватывает минимум один домен и может включать другие домены.
Анализ существующей инфраструктуры
-
Определение географической модели организации
-
Локальная модель
-
Региональная модель
-
Национальная модель
-
Международная модель
-
Филиалы
-
Дочерние компании
-
-
Создание карты территориального размещения организации
-
Сбор сведений о информационных потоках в организации
-
Анализ текущей модели администрирования
-
Анализ топологии существующей сети
Планирование структуры AD
Первый шаг в проектировании структуры AD — определение лесов и доменов.
-
Применение одного домена
-
Упрощение управления пользователями и группами
-
Нет необходимости планировать доверительные отношения
-
Для делегирования прав применяются OU
-
-
Применение нескольких доменов
-
Возможность реализации разных политик безопасности
-
Децентрализованное управление
-
Оптимизация трафика
-
Разные пространства имен
-
Необходимо сохранить существующую архитектуру доменов Windows NT
-
Размещение хозяина схемы в отдельный домен
-
Применение одного домена
Простейшая модель Active Directory — единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно всегда исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.
В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс-доменные аутентификацию и разрешения. Кроме того, при использовании одного домена ИТ-отделу гораздо проще обеспечить централизованное управление сетью.
Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.
Домены Active Directory масштабируемы в гораздо большей мере, чем домены Windows NT. Поэтому исчезает существенное препятствие, не позволявшее применять однодоменные сети на основе Windows NT, в которых диспетчер учетных записей безопасности (Security Accounts Manager, SAM) поддерживал только до 40 000 объектов в домене. В отличие от Windows NT в домен Active Directory может входить более миллиона объектов.
Использование нескольких доменов
-
В каждом домене требуется хотя бы один контроллер
-
Групповая политика и управление доступом действует на уровне домена
-
При создании дочернего домена, между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения, для доменов расположенных далеко друг от друга это не так.
-
Административные права, действующие между доменами, выдаются только для Администраторов предприятия
-
Необходимо создавать доверяемые каналы
Хотя однодоменная модель дает существенное преимущество — простоту, иногда приходится использовать несколько доменов. Старайтесь планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.
Применение нескольких деревьев в лесу
Дерево доменов — это иерархическая структура доменов, использующих единое пространство имен. Первый создаваемый домен становиться корневым, а любой другой дочерним.
Два дерева, представляющие собой два пространства имен
Недостатки:
-
Разное пространство имен, поддержка больше
DNS
-имен
-
Проблемы связанные с применением нескольких доменов
-
Возможности
LDAP
клиентов
Дерево доменов — это иерархическая структура доменов, использующих единое пространство имен. Первый домен дерева, который вы создаете, становится корневым для данного дерева, а любой домен, добавляемый в дерево, — дочерним для этого корневого домена. Одна веская причина, по которой может понадобиться несколько деревьев доменов, — поддержка в лесу нескольких пространств имен DNS. Тогда применение нескольких деревьев — это еще и отличный способ объединить отдельные леса, чтобы использовать общие схему и глобальный каталог, в то же время поддерживая разные пространства имен.
Недостатки такого варианта:
-
Поскольку у каждого дерева должно быть отдельное пространство имен
DNS
, ИТ-отделу придется поддерживать больше
DNS
-имен, чем в случае однодоменной модели.
-
Чем больше деревьев, тем больше доменов, поскольку каждое дерево должно содержать минимум один домен. Следовательно, возникнут все проблемы, связанные с применением нескольких доменов.
-
Возможно, что
LDAP
-клиенты (Lightweight Directory Access Protocol), разработанные не Microsoft, не смогут выполнять поиск по глобальному каталогу и вместо этого им придется вести
LDAP
-поиск по каждому дереву отдельно. В результате увеличится время отклика для таких клиентов.
С учетом этих недостатков имеет смысл подумать об альтернативном решении: объединить пространства имен и использовать одно дерево с разными доменами вместо нескольких деревьев.
Отдельные пространства имен, в одном дереве
Применение нескольких лесов
Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами. В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.
Леса представляют собой крайние границы зон безопасности. Между лесами невозможно административное управление или пользовательский доступ, если на то нет явного разрешения в конфигурации. Для этого предназначен новый тип доверия, введенный в Windows Server 2003, — доверие к лесу (forest trust), применяемое при управлении отношениями между двумя лесами.
Доверие к лесу не является транзитивным на уровне лесов. Другими словами, если первый лес доверяет второму, а второй —третьему, это еще не означает, что первый автоматически доверяет третьему. Также учтите, что для использования доверия к лесу нужно, чтобы оба леса находились на функциональном уровне Windows 2003, т. е. чтобы все контроллеры доменов в обоих лесах работали под управлением Windows Server 2003.
В общем и целом, следует по возможности избегать использования нескольких лесов. Однако есть несколько случаев, в которых может потребоваться реализация нескольких лесов. К этим случаям относятся следующие:
-
Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, вы можете столкнуться с тем, что у вас появятся два полностью раздельных леса, которые нужно связать друг с другом для совместного использования ресурсов. Эта связь может быть временной, если в дальнейшем один лес планируется сделать частью другого, или постоянной, если обе компании должны остаться относительно автономными.
-
Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса. В таком случае ИТ-персонал отдельного леса может поддерживать и изменять схему, не оказывая влияния на другие леса.
-
Создание изолированного подразделения. Изолированный лес отличается от автономного в первую очередь уровнем полномочий по управлению, доступных администраторам вне леса. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им.
Недостатки структуры из нескольких лесов
Прежде чем приступить к планированию структуры нескольких лесов, вы должны принять к сведению, что большая часть функциональности, доступной в пределах одного леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует значительно больше усилий в администрировании, чем поддержка одного леса.
Архитектура с несколькими лесами имеет следующие недостатки.
-
При поиске ресурсов от пользователей требуется более высокий уровень подготовки. С точки зрения пользователя, поиск ресурсов в рамках одного леса сравнительно прост благодаря единому глобальному каталогу. При наличии нескольких лесов существует несколько глобальных каталогов, и пользователям приходится указывать, в каком лесу вести поиск ресурсов.
-
Сотрудникам, которым требуется входить на компьютеры, включенные во внешние леса, должны указывать при входе основное имя пользователя (user principal name, UPN) по умолчанию. От таких сотрудников требуется более высокий уровень подготовки.
-
Часто для наблюдения за отдельными лесами и управления ими нужен дополнительный ИТ-персонал, а значит, расходуются средства на подготовку большего штата ИТ-сотрудников и на оплату их труда.
-
Администраторам приходится хранить несколько схем.
-
Для каждого леса используются отдельные контейнеры конфигурации. Изменения в топологии необходимо реплицировать в другие леса.
-
Любую репликацию информации между лесами приходится настраивать вручную. Администраторы должны конфигурировать разрешение
DNS
-имен между лесами, чтобы обеспечить функционирование контроллеров доменов и поддержку поиска ресурсов.
-
Администраторам приходится настраивать списки управления доступом (
ACL
) к ресурсам, чтобы соответствующие группы из разных лесов могли обращаться к этим ресурсам, а также создавать новые группы, чтобы можно было использовать роли одних лесов в других лесах.
Соглашение о именовании
Чтобы найти сетевой ресурс, необходимо знать имя объекта или его одно из его свойств. Active Directory поддерживает несколько типов имен:
-
Относительные составные имена
-
Составные имена
-
Основные имена пользователей
-
Канонические имена
Решив, какую структуру доменов и лесов нужно создать, переключите свое внимание на именование элементов, входящих в эту структуру.
LDAP — стандартный протокол, используемый клиентами для поиска информации в каталоге. Служба каталогов, поддерживающая LDAP (например Active Directory), индексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их. Клиенты, поддерживающие LDAP, могут выполнять всевозможные запросы к серверу.
Каждый объект в Active Directory является экземпляром класса, определенного в схеме Active Directory. У каждого класса имеются атрибуты, обеспечивающие уникальную идентификацию каждого объекта каталога. Чтобы это реализовать, в Active Directory действует соглашение об именовании, позволяющее логически упорядочить хранение объектов и предоставить клиентам стандартизированные методы доступа к объектам. И пользователи, и приложения должны соблюдать соглашение об именовании, используемое каталогом. Чтобы найти сетевой ресурс, вы должны знать его имя или одно из его свойств. Active Directory поддерживает несколько типов имен, поэтому при работе с Active Directory можно использовать разные форматы имен.
Относительные составные имена
Относительное составное имя (RDN) объекта уникально идентифицирует объект, но только в его родительском контейнере. Таким образом, оно уникально идентифицирует объект относительно других объектов в том же самом контейнере. Например, здесь:
CN=wjglenn,CN=Users,OC=kd,DC=ru
относительным составным именем объекта является CN=wjglenn
. RDN родительской организационной единицы (OU) — Users. У большинства объектов RDN — то же, что и атрибут Common Name.
Active Directory автоматически создает RDN по информации, указываемой при создании объекта, и не допускает, чтобы в одном и том же родительском контейнере существовали два объекта с одинаковыми RDN.
В нотации относительных составных имен применяются специальные обозначения, называемые тэгами LDAP-атрибутов и идентифицирующие каждую часть имени. Существует три тэга атрибутов:
-
DC — тэг Domain Component, который идентифицирует часть
DNS
-имени домена вроде СОМ или ORG.
-
OU — тэг Organizational Unit, который идентифицирует организационную единицу, являющуюся контейнером.
-
CN — тэг Common Name, который идентифицирует простое имя, присвоенное объекту Active Directory.
Составные имена
У каждого объекта в каталоге имеется составное имя (DN), которое уникально на глобальном уровне и идентифицирует не только сам объект, но и место, занимаемое объектом в общей иерархии объектов. DN можно рассматривать как относительное DN объекта, объединенное с относительными DN всех родительских контейнеров, образующих путь к объекту.
Вот типичный пример составного имени: CN=wjglenn,CN=Users,DC=kd,DC=ru
Это DN означает, что объект пользователя wjglenn содержится в контейнере Users, в свою очередь содержащемся в домене kd.ru. Если объект wjglenn переместят в другой контейнер, его DN изменится и будет отражать новое местоположение в иерархии. DN гарантированно уникальны в лесу — по аналогии с тем, как полное доменное имя (fully qualified domain name, FQDN) уникально идентифицирует местонахождение объекта в иерархии DNS. Существование двух объектов с одинаковыми DN невозможно.
Канонические имена
Каноническое имя объекта используется во многом также, как и составное. Просто у него другой синтаксис. Составному имени, приведенному в предыдущем разделе, соответствовало бы следующее каноническое имя: kd.ru/Users/wjglenn
Как видите, в синтаксисе составных и канонических имен два основных отличия. Первое — каноническое имя формируется от корня к объекту, а второе — в каноническом имени не используются тэги LDAP-атрибутов (например CN и DC).
Основные имена пользователей
Основное имя пользователя (UPN), генерируемое для каждого объекта пользователя, имеет вид имя_пользователя@имя_домена. Пользователи могут входить в сеть под своими основными именами, а администратор при желании может определить для этих имен суффиксы. Основные имена пользователей должны быть уникальными, но Active Directory не проверяет соблюдение этого требования. Лучше всего принять соглашение об именовании, не допускающее дублирования основных имен пользователей.
Идентификаторы защиты
При выработке стратегии именования две роли хозяев операций представляют интерес:
-
Хозяин именования доменов
-
Один домен в каждом лесу, обрабатывает добавление и удаление доменов и генерирует уникальный идентификатор защиты (SID)
-
-
Хозяин RID
-
Генерирует последовательности для каждого из контроллеров домена. Действует в пределах домена. Генерирует для каждого контроллера домена пул по 500 RID.
-
Active Directory используется модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно внести изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры.
Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций.
Однако при выработке стратегии именования представляют интерес две роли хозяев операций: именования доменов (domain naming master) и RID (relative ID master). Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals).
Определение стратегии именования
Следует учитывать требования и DNS и AD
-
Поддерживается иерархия, длина имени до 64 символов
-
Подключение к внешним сетям
Совместимость с NetBios-именами
-
Плоская модель, длина имени не более 16 символов
Существует возможность назначать разные NetBios и DNS имена, но такой подход не допустим.
При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS. Клиенты используют DNS для разрешения IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны.
В DNS имена образуют иерархию и формируются путем «движения» от родительских доменов к дочерним. Так, у домена kd.ru может быть дочерний домен sales.kd.com, у того в свою очередь — дочерний домен europe.sales.kd.ru. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой).
Active Directory следует соглашению об именовании, принятому в DNS. Когда вы создаете первый домен Active Directory, он становится корневым для леса и первого дерева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в которую входит родительский домен.
Все имена доменов Active Directory идентифицируются по DNS, но можно использовать и NetBIOS-имена (Network Basic Input/Output System) — унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддерживается в Windows Server 2003. Windows автоматически генерирует NetBIOS-имена для каждой службы, выполняемой на компьютере, добавляя к имени компьютера дополнительный символ. Доменам также присваиваются NetBIOS-имена.
Правила именования доменов
Допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные имена. Выбирая доменные имена, соблюдайте следующие правила:
Используйте только символы, разрешенные стандартами Интернета: а—z, 0—9 и дефис (-). Хотя реализация DNS в Windows Server 2003 поддерживает и другие символы, применение стандартных символов гарантирует возможность взаимодействия с другими реализациями DNS.
Используйте короткие доменные имена, которые легко идентифицировать и которые соответствуют соглашению об именовании в NetBIOS.
В качестве основы имени корневого домена берите только зарегистрированные доменные имена. Даже если вы не используете в качестве имени корня леса зарегистрированное DNS-имя, это поможет избежать путаницы. Например, у компании может быть зарегистрирован домен kd.ru. Если вы не используете kd.ru в качестве имени корневого домена вашего леса, все равно формируйте имя, производное от kd.ru (скажем, sales.kd.ru).
Не используйте дважды одно и то же доменное имя. Иное возможно только в сетях, которые не взаимодействуют между собой (например, вы можете создать домен microsoft.com в частной сети, не подключенной к Интернету), но это плохой подход. Когда-нибудь он обязательно приведет к путанице.
Для большей безопасности создайте отдельные внутреннее и внешнее пространства имен, чтобы предотвратить несанкционированный доступ к закрытым ресурсам. И создавайте внутреннее имя на основе внешнего (например kd.ru и local.kd.ru).
Имена участников системы безопасности
Объекты участников системы безопасности — это объекты AD, которым назначены идентификаторы защиты и которые указываются при входе в сеть (учетные записи пользователей, компьютеров и групп)
При добавлении учетной записи администратор задает:
-
Имя используемое для входа в сеть
-
Имя домена, содержащего учетную запись
-
Прочие атрибуты (имя, фамилия, телефон..)
Имена могут содержать любые символы Unicode, за исключением следующих: #, +, «, , <, >
Объекты участников системы безопасности (security principal objects) — это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при входе в сеть и предоставлении доступа к ресурсам домена. Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компьютеров и групп) имена, уникальные в рамках домена. Следовательно, вы должны выработать стратегию именования, которая позволит это делать.
Добавляя в каталог учетную запись нового пользователя, администратор должен задать следующую информацию:
-
имя, которое пользователь должен указывать при входе в сеть;
-
имя домена, содержащего учетную запись пользователя;
-
прочие атрибуты, такие как имя, фамилия, номер телефона и т. д.
В идеале следует создать стратегию именования, определяющую единообразный подход к формированию имен.
Правила имен участников системы безопасности
-
Длина имен учетных записей пользователей не более 20 символов
-
Имена учетных записей компьютеров не более 15 символов
-
Длина имен учетных записей групп не более 63 символов
-
Нельзя использовать только точки, пробелы и знак @
Имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @. Любые точки или пробелы в начале имени пользователя отбрасываются.
Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn
в доменах hr.kd.ru и sales.kd.ru. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.
Проектирование структуры OU
Для этого требуется определить, сколько доменов нужно и как организовать эти домены — в одно дерево доменов или в лес. По завершении этого этапа проектирования наступает время переключить внимание на планирование структуры административной защиты каждого домена. По собранной вами информации о компании и ИТ-персонале вы должны определить, как лучше всего делегировать административные полномочия в доменах.
Первый этап проектирования административной структуры защиты — планирование использования организационных единиц (OU) в каждом домене. Следующий этап проектирования этой структуры — выработка стратегии управления учетными записями пользователей, компьютеров и групп. Затем вы должны разработать эффективную реализацию групповой политики.
OU служит контейнером, в который можно поместить ресурсы и учетные записи домена. Затем можно назначить OU административные разрешения и позволить содержащимся в нем объектам наследовать эти разрешения. OU могут содержать любые объекты следующих типов: пользователи; компьютеры; группы; принтеры; приложения; политики безопасности; общие папки; другие OU.
Не следует создавать структуру OU исключительно ради того, чтобы иметь какую-то структуру, — OU используются в определенных целях. К этим целям относятся: делегирование административного управления объектами; ограничение видимости объектов; управление применением групповой политики.
Цели создания OU
-
Делегирование прав администрирования — Существует чтобы облегчить жизнь администраторам
-
Ограничение видимости объектов
-
Управление применением групповой политикой
Есть две основные архитектуры OU, применяемые для делегирования административных полномочий: на основе объектов и на основе задач. Эти две архитектуры рассматриваются в следующих разделах.
Архитектура основанная на объектах
Архитектура основанная на объектах
В структуре OU, основанной на объектах, делегирование полномочий выполняется в зависимости от типа объектов, которые хранятся в OU. Вы можете выбрать структуру OU, в которой объекты группируются по принадлежности к одному из следующих типов: пользователям; компьютерам; сайтам; доменам; OU.
Чтобы делегировать полномочия по администрированию объектов, входящих в OU, определенному пользователю или группе, придерживайтесь следующей схемы. Поместите пользователя или группу, которой требуются административные права, в группу безопасности. Поместите в OU набор объектов, которыми нужно управлять. Делегируйте административные задачи для этой OU группе безопасности, в которую вы добавляли пользователя или группу на этапе 1.
Служба каталогов Active Directory позволяет весьма точно управлять делегированием административных полномочий. Например, можно предоставить одной группе полный доступ ко всем объектам OU, второй — права на создание, удаление и изменение объектов OU определенного типа, а третьей — право управлять определенным атрибутом объектов конкретного типа (скажем, возможностью сбрасывать срок действия паролей учетных записей пользователей). Кроме того, можно сделать эти разрешения наследуемыми, чтобы они применялись не только к данному OU, но и ко всем создаваемым OU более низкого уровня. Такое тонкое управление обеспечивает огромную гибкость.
Если вы выберете структуру OU на основе объектов, то сможете поместить все объекты некоего типа в один контейнер, а затем назначить довольно сложный набор административных разрешений для этих OU, определяющих, что вправе делать каждый администратор. Далее можно создать OU более низкого уровня, управляющие применением групповой политики или решением какие-либо других задач, причем эти OU унаследуют ту же структуру разрешений.
Архитектура основанная на задачах
В архитектуре, основанной на задачах, делегирование управления осуществляется в зависимости от административных задач, которые требуется решать, а не от типа объектов, подлежащих администрированию. К этим задачам относятся: создание, удаление и изменение учетных записей пользователей; сброс сроков действия паролей; определение групповой политики; управление членством в группах и разрешениями.
Верхний уровень структуры OU
Верхний уровень структуры OU
Правильно разработанная структура OU позволяет администраторам эффективно делегировать полномочия. Следует уделять особое внимание верхнему уровню структуры OU, который всегда должен отражать относительно неизменную часть структуры предприятия, чтобы его не приходилось изменять в случае реорганизации. Так, следующие типы структуры верхнего уровня основаны на постоянных характеристиках предприятия, изменение которых маловероятно.
Физические участки. В филиалах, физически расположенных в разных местах (особенно, когда компания действует на обширной территории, например в нескольких странах), часто имеются свои ИТ-отделы, поэтому у филиалов разные требования к администрированию. Создание отдельного OU верхнего уровня для каждого филиала — один из вариантов архитектуры, основанной на задачах; в зависимости от местонахождения определяются разные административные задачи.
Типы административных задач. Структура верхнего уровня, основанная на административных задачах, относительно постоянна. Какие бы реорганизации не происходили в компании, основные типы административных задач вряд ли сильно изменятся.
Типы объектов. Как и структура, основанная на задачах, структура, в которой OU верхнего уровня соответствуют типам объектов, обеспечивает устойчивость архитектуры к изменениям.
При планировании структуры OU верхнего уровня для среды с несколькими доменами, есть смысл подумать о создании структуры верхнего уровня, которая будет одной и той же для каждого домена сети. В этом случае особенно эффективна архитектура, основанная на объектах или на задачах (об этих архитектурах рассказывается далее). Создание структуры OU, одинаковой для различных доменов, позволяет реализовать единый подход к администрированию и поддержке сети.
Нижний уровень OU
OU нижних уровней (создаваемые в OU верхнего уровня) должны использоваться для более тонкого управления административными полномочиями или в других целях, например для применения групповой политики. Запомните: по умолчанию OU нижних уровней наследуют разрешения от родительских OU. При планировании архитектуры вы должны определить и то, когда наследуются разрешения и когда они не наследуются.
При проектировании OU нижних уровней легко переусердствовать. Помните: ваша основная задача — получить структуру, максимально облегчающую администрирова-ние учетных записей и ресурсов. Поэтому ваша архитектура должна быть как можно проще. Если вы создадите слишком глубоко вложенную структуру OU, то не только будете иметь дело с более запутанной структурой, но и можете столкнуться со снижением производительности. Групповая политика может применяться к OU на разных уровнях — на уровне домена, сайта и каждого из родительских OU. Чем больше политик нужно применить, тем больше время ответа и тем ниже производительность.
Задачи решаемые с помощью OU
Применение OU для ограничения видимости объектов
В некоторых организациях определенные объекты должны быть скрыты от определенных администраторов или пользователей. Даже если вы запретите изменение атрибутов объекта, пользователи, имеющие доступ к контейнеру с таким объектом, все равно смогут видеть, существует ли этот объект. Однако вы можете скрыть объекты, поместив их в OU и ограничив круг пользователей, которые имеют разрешение Список содержимого (List Contents) для этой OU. Тогда объекты, помещенные в контейнер, будут невидимы пользователям, не имеющим этого разрешения.
Применение OU для управления групповой политикой
Групповая политика позволяет применять одни и те же параметры конфигурации сразу к нескольким объектам. С ее помощью можно определять параметры пользователей (например ограничения, налагаемые на пароли) или компьютеров. При использовании групповой политики вы создаете объект групповой политики (Group Policy Object, GPO) — объект, содержащий параметры конфигурации, которые вам нужно применить. Создав GPO, вы связываете его с доменом, сайтом или OU.
Проектируя структуру OU, управляющую применением групповой политики, старайтесь соблюдать следующие принципы.
Планируйте структуру OU так, чтобы использовать как можно меньше GPO. Чем больше GPO связано с каким-либо объектом, тем больше времени потребуется пользователям, чтобы войти в сеть.
Создавайте OU верхнего уровня, основанные на объектах или задачах, а затем создавайте OU более низких уровней, управляющие групповой политикой.
Создавайте дополнительные OU, чтобы обойтись без фильтрации для изъятия группы пользователей из OU, связанной с GPO.
Контейнеры и OU по умолчанию
При установке Active Directory создается несколько контейнеров и OU, используемых по умолчанию.
Контейнер Домен (Domain). Корневой контейнер в иерархии Active Directory. Административные разрешения, применяемые к этому контейнеру, могут влиять на дочерние контейнеры и объекты всего домена. Не делегируйте полномочия на управление этим контейнером — им должны управлять администраторы служб.
Контейнер Встроенный (Built-in). Содержит учетные записи администраторов служб, используемые по умолчанию.
Контейнер Пользователи (Users). Применяемое по умолчанию хранилище учетных записей новых пользователей и групп, создаваемых в домене. Также не следует изменять разрешения на доступ к этому контейнеру, действующие по умолчанию. Если требуется делегировать управление определенными пользователями, создайте новые OU и перенесите в них объекты пользователей. Кроме того, с контейнером Пользователи (Users) нельзя связать GPO. Чтобы применить групповую политику к пользователям, вы также должны создать OU и перенести в них пользователей.
Контейнер Компьютеры (Computers). Применяемое по умолчанию хранилище новых учетных записей компьютеров, создаваемых в домене. Как и в случае контейнера Пользователи (Users), чтобы назначить разрешения или GPO компьютерам, следует создать OU.
OU Контроллеры домена (Domain Controllers). Здесь по умолчанию хранятся учетные записи компьютеров — контроллеров домена. К этому OU по умолчанию применяется ряд политик. Чтобы обеспечить единообразие применения этих политик ко всем контроллерам домена, рекомендуется не переносить объекты-компьютеры, являющиеся контроллерами домена, из этого OU. По умолчанию этим OU управляют администраторы служб. Не делегируйте управление этим OU пользователям, которые не являются администраторами служб.
Стандартные модели структуры OU
Существует пять базовых моделей структуры OU:
-
На основе местоположения
-
На основе структуры организации
-
На основе функций
-
Смешанная — сначала по местоположению, затем по структуре организации
-
Смешанная — сначала по структуре, затем по местоположению
Каждый OU по умолчанию наследует разрешения, заданные для родительского OU. Ана-логично объекты, содержащиеся в OU, наследуют разрешения, заданные для этого OU (и для каждого из его родителей). Наследование — эффективный способ предоставить или делегировать разрешения на доступ к объектам. Преимущество наследования в том, что администратор может управлять разрешениями на доступ ко всем объектам в OU, задавая разрешения для самого OU, а не конфигурируя все дочерние объекты по отдельности.
Бывают ситуации, где наследование препятствует решению нужных задач. Вам может потребоваться, чтобы некоторые разрешения на доступ к объекту переопределяли разрешения, наследуемые объектом от родителей. В таком случае заблокируйте наследование разрешений, применяемых к родительской OU, чтобы они не распространялись на дочернюю OU.
Модель по месту положения
Модель по месту положения
Преимущества:
-
OU Устойчивы к изменениям
-
Для центрального 1Т-отдела легко реализовать общедоменные политики
-
Легко определять положение ресурсов
-
Легко создавать новые OU при расширении компании
Недостатки:
-
Предполагает наличие в каждом филиале администратора
-
Архитектура не соответствует бизнес-структуре или административной структуре
В модели OU на основе местонахождения административные полномочия распределены между несколькими филиалами, расположенными в разных местах. Эта модель полезна, когда у каждого филиала свои требования к администрированию, отличные от требований других филиалов.
Назначение объектов групповой политики сайтам (обычно выполняемое по территориальному признаку) обеспечивает во многом такие же преимущества, что и модель OU на основе местонахождения, но лишено ее недостатков.
Модель на основе структуры организации
Модель на основе структуры организации
Преимущества:
-
Обеспечивает определенный уровень автономии для каждого отдела
-
Поддерживает слияния и расширения
-
Удобна администраторам
Недостатки:
-
Уязвима при реорганизации, т.к. может потребоваться изменение верхнего уровня структуры ОU
В модели OU на основе структуры организации административные полномочия распределены между отделами или подразделениями, в каждом из которых имеется собственный администратор. Эта модель полезна, когда у компании есть четкая структура отделов.
Модель на основе функций
Модель на основе функций
Преимущества:
-
Устойчивость при реорганизациях
Недостаток:
-
Создание дополнительных OU для делегирования административного управления пользователями, компьютерами, принтерами.
В модели OU на основе функций административный персонал децентрализован и использует модель управления, основанную на бизнес-функциях, существующих в организации. Это идеальный выбор для малых компаний, в которых ряд бизнес-функций выполняется несколькими отделами одновременно.
Смешанная модель — по положению
Смешанная модель — по положению
Преимущества:
-
Поддерживает рост числа подразделений
-
Позволяет создавать зоны безопасности
Недостатки:
-
При реорганизации административного персонала, необходимо пересмотреть структуру
-
Необходимо взаимодействие между администраторами, работающими в разных отделах одного филиала
В этой модели сначала создаются OU верхнего уровня, представляющие географические участки, на которых находятся филиалы компании, а потом — OU более низкого уровня, представляющие структуру организации.
Смешанная модель — по структуре
Смешанная модель — по структуре
Преимущества:
-
Надежная защита на уровне отделов и подразделений
-
И в тоже время возможность делегировать административные полномочия в зависимости от местоположения
Недостатки:
-
Уязвимость при реорганизациях
В этой модели сначала создаются OU верхнего уровня, представляющие организационную структуру компании, а потом — OU более низкого уровня, представляющие территориальные участки.
Планирование стратегии управления учетными записями
Типы учетных записей
Учетная запись в Active Directory — это список атрибутов, определяющих участника системы безопасности (security principal), например пользователя или группу пользователей. В Active Directory можно создать пять типов учетных записей, перечисленных ниже.
Компьютер. Всякий раз, когда в домен добавляется компьютер под управлением Microsoft Windows NT, Windows 2000, Windows XP или Windows Server 2003, для него создается учетная запись компьютера. Учетные записи компьютеров служат для аутентификации компьютеров, которые обращаются к сети и ресурсам домена.
Пользователь. Учетная запись пользователя — это набор атрибутов для пользователя. Объект-пользователь хранится в Active Directory и позволяет пользователю входить в сеть. Пользователь должен указать удостоверения (имя и пароль) только один раз, затем ему предоставляются соответствующие разрешения на доступ к сетевым ресурсам.
Группа. Это набор пользователей, компьютеров или других групп, для которого можно задать разрешения. Задавая разрешения группам и добавляя члены в эти группы, можно сэкономить время, поскольку не приходится назначать разрешения каждому отдельно взятому члену группы.
InetOrgPerson. Учетная запись InetOrgPerson работает во многом аналогично учетной записи пользователя за исключением того, что учетные записи InetOrgPerson совместимы с другими службами каталогов, основанными на LDAP (Lightweight Directory Access Protocol). Это обеспечивает совместимость между Active Directory и другими системами.
Контакт. Объект, который хранится в Active Directory, но для которого не задаются разрешения. То есть контакт нельзя использовать для входа в сеть или доступа к ресурсам. Часто контакты связывают с пользователями, работающими вне сети, которым отправляет сообщения почтовая система.
Планирование учетных записей компьютеров
Учетные записи компьютеров позволяют применять к компьютерам, входящим в домен, во многом такие же средства защиты, как и для пользователей. Эти учетные записи дают возможность выполнять аутентификацию компьютеров — членов домена прозрачным для пользователей образом, добавлять серверы приложений как рядовые серверы (member servers) в доверяемые домены и запрашивать аутентификацию пользователей или служб, которые обращаются к этим серверам ресурсов.
Так как разрешается помещать учетные записи компьютеров в OU и назначать им групповую политику, вы можете управлять тем, как выполняется аутентификация и обеспечивается защита компьютеров различных типов. Например, для компьютеров, установленных в общедоступном информационном киоске, действуют другие требова-ния безопасности, чем для рабочих станций, установленных в управляемой среде с ограниченным доступом.
Всякий раз, когда в домен добавляется новый компьютер, создается новая учетная запись компьютера. Таким образом, еще одна составляющая стратегии управления учетными записями — определение пользователей, которые вправе добавлять компьютеры в домен, создавая их учетные записи.
Кроме того, необходимо продумать соглашение об именовании компьютеров. Хорошее соглашение должно позволять без труда идентифицировать компьютер по владельцу, местонахождению, типу или любой комбинации этих данных.
Планирование учетных записей пользователей
Учетные записи пользователей позволяют идентифицировать пользователей, входящих в сеть, задавать, к каким ресурсам они вправе обращаться, и указывать всевозможную информацию о пользователях. Администраторы — тоже пользователи, но с более широкими правами доступа к ресурсам, связанным с управлением сетью. Группы служат для того, чтобы формировать наборы пользователей, для которых нужно задать одни и те же требования к безопасности или права доступа.
Учетные записи пользователей предоставляют пользователям возможность входить в домен или на локальный компьютер и обращаться к ресурсам. Объекты учетных записей пользователей содержат информацию о пользователях и связывают с ними определенные привилегии или ограничения. Каждый объект Active Directory связан со списком управления доступом (Access Control List, ACL), который представляет собой список разрешений на доступ к объекту, заданных для пользователей и групп.
Типы учетных записей пользователей
В Windows Server 2003 существует два основных типа учетных записей пользователей.
Локальные учетные записи пользователей. Создаются в базе данных защиты локального компьютера и управляют доступом к ресурсам этого компьютера. Локальные учетные записи пользователей предназначены для управления доступом к изолированным компьютерам или к компьютерам, входящим в рабочую группу. Когда вы только что установили операционную систему на сервер, используются локальные учетные записи, управление которыми осуществляется через консоль Управление компьютером (Computer Management) в узле Локальные пользователи и группы (Local Users and Groups). Если вы сделаете сервер контроллером домена, инструмент Управление компьютером запретит доступ к этому узлу, и вместо него будет использоваться инструмент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) (учетные записи пользователей на контроллерах домена хранятся в Active Directory).
Доменные учетные записи пользователей. Создаются в Active Directory и дают возможность пользователям входить в домен и обращаться к любым ресурсам сети. Вы можете создать доменную учетную запись пользователя с помощью Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Такие учетные записи пользователей реплицируются на все контроллеры в домене, поэтому после репликации любой контроллер домена сможет аутентифицировать пользователя.
Встроенные учетные записи пользователей.
Windows автоматически создает несколько учетных записей пользователей, называемых встроенными. И на локальных компьютерах, и в доменах создается две ключевых учетных записи: Администратор (Administrator) и Гость (Guest).
Учетная запись Администратор обладает наибольшими возможностями, поскольку она автоматически включается в группу Администраторы (Administrators). Члены этой группы имеют высший уровень прав по управлению компьютером, им предоставляются почти все пользовательские права. Учетная запись Администратор уровня домена дает максимум возможностей по управлению доменом в целом; по умолчанию она включается в группу Администраторы домена (Domain Admins) [а администратор корневого домена леса, кроме того, входит в группы Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins)]. Учетную запись Администратор нельзя удалить, но ее можно переименовать (и это следует сделать для большей безопасности). Также следует задать для этой учетной записи непустой пароль и не передавать его другим пользователям.
Учетная запись Гость (Guest) — еще одна базовая встроенная учетная запись пользователя. Она предназначена для того, чтобы администратор мог задать единый набор разрешений для любых пользователей, которые иногда входят в сеть, но не имеют обычной учетной записи. Учетная запись Гость позволяет это сделать, так как автоматически включается в локальную группу Гости (Guests). В среде, где есть домен, эта учетная запись также включается в группу Гости домена (Domain Guests). По умолчанию учетная запись Гость отключена. И действительно, ее следует использовать только в сетях, не требующих особой защиты. Эту учетную запись нельзя удалить, но можно отключить и/или переименовать.
Правила именования учетных записей
-
Каждый пользователь должен иметь уникальное имя (логин) в домене
-
Длина имени не должна превышать 20 символов (из-за совместимости с предыдущими версиями Windows)
-
Имена не чувствительны к регистру букв
-
Имена не должны содержать символов: »/[]:; = , + *?< >
-
Должна поддерживаться гибкая система именования
-
Учитывайте совместимость именования для других приложений (например для электронной почты)
Тщательное планирование схемы именовании учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей.
Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей.
Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее соглашение об именовании должно быть таким, чтобы имена для входа легко запоминались и чтобы можно было различать сотрудников с похожими именами.
Планирование политики управления паролями
-
Политика сохранения последних паролей (рекомендуемое значение: 24)
-
Политика смены пароля (рекомендуемое значение: 42)
-
Смена пароля не чаще чем 1 раз сутки
-
Длина пароля на должна быть короче 7 символов
-
Используйте сложную схему пароля (строчные, прописные буквы, цифры и другие символы)
Пароли — один из наиболее важных аспектов сетевой безопасности, поэтому политику определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, проверяющее сложность пароля учетной записи Администратор (Administrator). Если пароль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно. Оставив пароль пустым, вы не сможете обращаться к учетной записи через сеть.
Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планировании политики управления паролями следует соблюдать ряд правил.
Стратегия аутентификации
-
Политика блокировки учетных записей (рекомендуемое значение для пользователя 5 попыток)
-
Ограничение времени, в которое разрешен вход
-
Политика истечения сроков билетов (tickets) (значение по умолчанию 10 часов)
-
Не используйте административные учетные записи для обычной работы
-
Переименуйте или отключите встроенные учетные записи
Контроллеры домена должны проверять идентификацию пользователя или компьютера прежде чем предоставить доступ к системным и сетевым ресурсам. Такая проверка называется аутентификацией и выполняется всякий раз при входе в сеть.
Планирование групп
Типы групп
Группы безопасности
-
Используются для объединения в одну административную единицу
-
Используются ОС
Группы распространения
-
Используются приложениями (не ОС) для задач не связанных с защитой
Области действия групп
Глобальные группы
-
Содержат учетные записи пользователей и компьютеров только того домена в котором создана эта группа
-
Можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу
Локальные группы домена
-
Существуют на контроллерах домена и используются для управления доступом к ресурсам локального домена
-
Могут включать пользователей и глобальные группы в пределах леса
Универсальные группы
-
Используются для назначение разрешений доступа к ресурсам нескольких доменов
-
Существуют вне границ доменов
-
Могут включать пользователей, глобальные группы и другие универсальные группы в пределах леса
Группы упрощают предоставление разрешений пользователям. Группы могут быть локальными или доменными. Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдельности назначать разрешения многочисленным пользователям и управлять этими разрешениями. Когда пользователи входят в группу, для изменения того или иного разрешения всех этих пользователей достаточно одной операции.
Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управлять доступом к ресурсам домена и его контроллеров.
Вложение групп и их именование
-
Способ упорядочить пользователей
-
Глубина вложений должна быть минимальной (желательно 1 уровень вложенности)
-
Требования при именовании такие схожи с требованиями для пользователей, но длина до 64 символов
Active Directory позволяет вкладывать группы (т. е. помещать одни группы в другие). Вложение групп — эффективный способ упорядочения пользователей. При вложении групп стремитесь к тому, чтобы уровень вложения был минимальным. В сущности, лучше ограничиться одним уровнем вложения. Чем глубже вложение, тем сложнее поддерживать структуру разрешений.
Взаимодействие групп и пользователей
-
Избегайте выдачи разрешений учетным записям
-
Создавайте локальные группы домена
-
Для упорядочивания пользователей используйте глобальные группы
-
Помещайте глобальные группы в локальные группы домена
-
Не включайте пользователей в универсальные группы
Итак, вы ознакомились с доступными типами и областями действия групп и планированием учетных записей пользователей. Теперь пора посмотреть, какое место занимают пользователи и группы в стратегии управления учетными записями.
Планирование групповой политики
Групповая политика — набор параметров конфигурации пользователей и компьютеров. Называется объектом групповой политики (GPO)
Существует два типа параметров групповой политики:
-
Конфигурация компьютера
-
Используется для задания групповых политик, применяемых к определенным компьютерам
-
-
Конфигурация пользователя
-
Используется для задания групповых политик, применяемых к определенным к определенным пользователям
-
Не зависимо от типа есть три категории:
-
Параметры программ
-
Параметры Windows
-
Административные шаблоны
Групповая политика — мощное и эффективное средство, позволяющее задать параметры сразу для нескольких пользователей и компьютеров. Кроме того, групповая политика применяется для распространения и обновления ПО в организации.
Групповая политика — набор параметров конфигурации пользователей и компьютеров, который можно связать с компьютерами, сайтами, доменами и OU в Active Directory. Такой набор параметров групповой политики называется объектом групповой политики (Group Policy Object, GPO).
Любой компьютер под управлением Windows 2000, Windows ХР или Windows Server 2003 (независимо от того, входит он в Active Directory или нет) содержит один локальный GPO, в котором заданы политики, применяемые к этому компьютеру. Если компьютер входит в Active Directory, к нему можно применить несколько дополнительных GPO, не являющихся локальными.
Существует два основных типа параметров групповой политики.
Параметры программ
Параметры применяемые для установки ПО на клиентских ПК (поддерживаются ОС Windows 2000 и более новые)
Используются два компонента:
-
Служба установки Windows
-
Установка и обновление ПО в соответствии с инструкциями в установочных пакетах
-
-
Установочные пакеты Windows
-
Исполняемые файлы сценариев со всеми инструкциями (msi)
-
Узел Параметры программ (Software Settings) содержит параметры, которые можно использовать для развертывания ПО на клиентских компьютерах, к которым применяется групповая политика. Для этого клиентские компьютеры должны работать под управлением Windows 2000 Professional, Windows 2000 Server, Windows XP Professional, Windows XP 64-Bit Edition или Windows Server 2003 и быть членами домена. Вы можете задать, для каких пользователей или на какие компьютеры будет установлено ПО, при необходимости указать обновления и даже удалить ПО. Для поддержки этой функции нужны два взаимодействующих компонента.
Служба установки Windows (Windows Installer service) — служба, которая развертывает и обновляет ПО в соответствии с инструкциями в установочных пакетах Windows (Windows Installer packages)
Установочные пакеты Windows (Windows Installer Packages) — исполняемые файлы сценариев со всеми инструкциями, нужными Windows Installer для установки, обновления или восстановления ПО. Файлы Windows Installer Package имеют расширение msi.
Служба Windows Installer отслеживает состояние устанавливаемого приложения. Эта информация может использоваться для переустановки приложения, восстановления отсутствующих или поврежденных файлов и удаления больше не нужного приложения.
Существует два способа развертывания ПО с помощью групповой политики: публикация (publishing) и назначение (assigning). Когда приложение назначается пользователю, создается ярлык, доступный пользователю и показываемый в меню Пуск (Start) или на рабочем столе этого пользователя. Это называется предложением (advertising) приложения пользователю. Когда пользователь щелкает ярлык (или открывает файл, связанный с программой), запускается программа установки. Когда приложение назначается компьютеру, приложение устанавливается при первом запуске компьютера после назначения.
Если вы публикуете приложение, оно становится доступным пользователям, которые могут установить его, когда пожелают. Приложения можно публиковать только для пользователей — сделать это для компьютера нельзя. Приложение становится доступным в апплете Установка и удаление программ (Add/Remove Programs) панели управления (Control Panel) и устанавливается по запросу пользователя, если тот откроет файл, связанный с программой.
Параметры Windows
Категория Параметры Windows (Windows Settings) предназначена для изменения ряда параметров конфигурации, связанных со средой Windows.
Сценарии (Scripts). При настройке конфигурации компьютера можно задать сценарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя. Сценарии можно писать на любое языке сценариев с поддержкой ActiveX, в том числе на VBScript, JScript, Perl, языке командных файлов MS-DOS и др.
Параметры безопасности (Security Settings). Это параметры безопасности, задаваемые для компьютеров и пользователей.
Настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен только для пользователей. Он служит для управления работой Internet Explorer на клиентских компьютерах.
Службы удаленной установки (Remote Installation Services, RIS). RIS позволяет автоматически выполнять удаленную установку операционной системы на новые клиентские компьютеры. Эти параметры тоже доступны только для конфигураций пользователей. Они управляют удаленной установкой операционных систем.
Перенаправление папок (Folder Redirection). И эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows [такие как Мои документы (My Documents), Главное меню (Start Menu) и Application Data], изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей.
Административные шаблоны
Административные шаблоны
Узел | Конфигурация компьютера | Конфигурация пользователя | Описание |
---|---|---|---|
Панель управления | Неприменимы | X | Определяет средства панели управления, доступные пользователю |
Рабочий стол | Неприменимы | X | Задает внешний вид рабочего стола пользователя |
Сеть | X | X | Управляет параметрами Автономные файлы и Сеть и удаленный доступ к сети |
Принтеры | X | Неприменимы | Параметры принтеров |
Панель задач и меню «Пуск» | Неприменимы | X | Параметры конфигурации для меню пуск и панели задач пользователя |
Система | X | X | Управление входом/выходом, запуск/остановка |
Компоненты Windows | X | X | Управление встроенными компонентами Windows |
Категория Административные шаблоны (Administrative Templates), доступная для конфигураций компьютеров и пользователей, содержит все параметры групповой политики, хранящиеся в реестре.
Разрешение GPO из нескольких источников
Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из нескольких источников, нужен способ определения того, как эти GPO сочетаются друг с другом. GPO обрабатываются в следующем порядке.
Локальный GPO — обрабатывается локальный GPO компьютера и применяются все параметры защиты, заданные в этом GPO.
GPO сайта — обрабатываются GPO, связанные с сайтом, к которому относится компьютер. Параметры, заданные на этом уровне, переопределяют любые параметры, заданные на предыдущем уровне, с которыми они конфликтуют. Если с сайтом связано несколько GPO, администратор сайта может задать, в каком порядке обрабатываются эти GPO.
GPO домена — обрабатываются GPO, связанные с доменом, к которому относится компьютер, и применяются содержащиеся в них параметры. Параметры, заданные на уровне домена, переопределяют параметры, примененные на локальном уровне или на уровне сайта, с которыми они конфликтуют. Если с доменом связано несколько GPO, администратор, как и в предыдущем случае, может задать порядок их обработки.
GPO OU — обрабатываются GPO, связанные с любыми OU, содержащими пользователя или компьютер. Параметры, заданные на уровне OU, переопределяют параметры, примененные на локальном уровне или уровне домена/сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящимся на самом высоком уровне иерархии Active Directory, затем — с OU, находящимся на следующем уровне и т.д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.
Наследование групповой политики
-
Дочерние контейнеры наследуют групповую политику от родительских контейнеров
-
Есть возможность переопределить унаследованные параметры
-
В GPO можно задавать активность/неактивность и не определенность параметров
-
Не противоречивые политики верхнего и нижнего уровней комбинируются, а для несовместимых значений используются значения родительских контейнеров
-
Дополнительные механизмы наследования:
-
Не перекрывать
-
Блокировать наследование политик
-
-
Если необходимо не применять политику к пользователю или группе, можно запретить чтение или применение этой политики для данного пользователя или группы
По умолчанию дочерние контейнеры наследуют групповую политику от родительских контейнеров. Однако можно переопределить унаследованные параметры, задав для дочернего объекта другие значения параметров. Кроме того, в GPO можно задать, что тот или иной параметр активен, неактивен или не определен. Параметры, которые не определены для родительского контейнера, вообще не наследуются дочерними контейнерами, а параметры, которые активны или неактивны, наследуются.
Если GPO определены и для родителя, и для потомка и если заданные в них параметры совместимы, эти параметры комбинируются. Например, если в родительской OU задана определенная длина пароля, а в дочерней OU — некая политика блокировки учетных записей, будут использоваться оба этих параметра. Если параметры несовместимы, то по умолчанию с дочерним контейнером связывается значение параметра, переопределяющее значение параметра, который связан с родительским контейнером.
Совет: На вкладке Общие (General) окна свойств GPO можно отключить неиспользуемые параметры конфигурации компьютера или пользователя, содержащиеся в GPO. В большинстве политик задействована лишь часть доступных параметров. Если неиспользуемые параметры включены, они все равно обрабатываются, что приводит к лишнему расходу системных ресурсов. Отключив неиспользуемые параметры, вы снизите нагрузку на клиентские компьютеры, обрабатывающие политику.
Конечно, описанное выше наследование применяется только по умолчанию. Имеется еще два механизма, применяемых при управлении наследованием групповых политик.
Не перекрывать (No Override). Когда вы связываете GPO с контейнером, можно выбрать Не перекрывать, чтобы параметры, заданные в этом GPO, не переопределялись параметрами в GPO, связанных с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная вами политика.
Блокировать наследование политики (Block Policy Inheritance). При выборе этого параметра контейнер не наследует параметры GPO, заданные для родительского контейнера. Однако, если для родительского контейнера указан параметр Не перекрывать, дочерний контейнер не может заблокировать наследование от своего родителя.
Планирование структуры GPO
При реализации групповой политики сначала создают GPO, затем связывают их с сайтами, доменами и OU. Может потребоваться применение некоторых GPO на уровне доменов или сайтов, но в большинстве случаев следует применять GPO на уровне OU.
Связывание GPO с доменом
GPO, связанный с доменом, применяется ко всем пользователям и компьютерам домена. Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.
Связывание GPO с сайтом
GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при определенных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом. Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.
Связывание GPO с OU
В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики. Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.
Для принятия параметров групповой политики клиентские компьютеры должны быть членами Active Directory. Основные операционные системы обладают следующими возможностями по поддержке групповой политики.
Windows 95/98/Ме не поддерживают групповую политику.
Windows NT 4.0 и более ранних версий не поддерживает групповую политику.
Windows 2000 Professional и Server поддерживают многие параметры групповой политики, доступные в Windows Server 2003, но не все. Неподдерживаемые параметры игнорируются.
Windows XP Professional, Windows XP 64-bit Edition и Windows Server 2003 полностью поддерживают групповую политику.
Планирование сайтов
Планирование сайтов
Сайт — это группа контроллеров домена, существующих в одной или нескольких IP-подсетях, связанных быстрым и надежным сетевым соединением. Поскольку сайты основаны на IP-подсетях, они обычно соответствуют топологии сети, а значит, соответствуют и географической структуре компании. Сайты соединяются с другими сайтами WAN-каналами.
Сайты Active Directory позволяют отделить логическую организацию структуры каталогов (структуры лесов, доменов и OU) от физической структуры сети. Сайты представляют физическую структуру сети на основе Active Directory. Поскольку сайты не зависят от структуры доменов, в один домен может входить несколько сайтов или, наоборот, один сайт может содержать несколько доменов.
Сайты не входят в пространство имен Active Directory- Пользователь, просматривающий логическое пространство имен, видит компьютеры и пользователей, сгруппированных в домены и OU, но сайты при этом не показываются. Однако имена сайтов используются в записях DNS (Domain Name System), поэтому у сайтов должны быть допустимые DNS-имена.
Если вы не конфигурируете в Active Directory собственные сайты, все контроллеры доменов автоматически входят в один сайт по умолчанию с именем Default-First-Site-Name, который создается при создании первого домена.
Сайты содержат объекты только двух типов: контролеры доменов, входящие в сайт, и связи сайтов (site links), настраиваемые для соединения с другими сайтами.
В целом, сайты служат для управления трафиком по WAN-каналам. А конкретнее, сайты используются для управления: трафиком входа на рабочие станции; трафиком репликации; распределенной файловой системой (Distributed File System, DPS); службой репликации файлов (File Replication Service, FRS).
Выбор структуры сайтов
Для разработки топологии сайта необходима
-
Информация о физической структуре сети:
-
Информация о логической архитектуре AD
Основные принципы:
-
Создается для
LAN
или группы
LAN
-
Создается для каждого территориального участка с контроллером домена
-
Создавайте сайт для участков с сервером, на котором выполняется приложение, работающее с данными о сайтах
Для разработки топологии сайта необходима
-
Информация о физической структуре сети:
-
Территориальное местоположение филиалов
-
Структура и скорость
LAN
филиалов
-
Сведения о TCP/IP-подсетях филиалов
-
Скорость и стоимость
WAN
-соединений
-
-
Информация о логической архитектуре AD:
-
План лесов
-
План доменов
-
План административной иерархии
-
Ответственный за топологию сайтов
При планировании сайта следует подумать и о том, кто будет управлять структурой сайта после его развертывания. Ответственным за топологию сайтов назначают администратора (или администраторов). Он должен по мере роста и изменения физической сети вносить необходимые изменения в структуру сайтов. Ответственный за топологию сайтов выполняет следующие обязанности:
-
Изменяет топологию сайтов в соответствии с изменениями в физической топологии сети.
-
Отслеживает сведения о подсетях в сети: IP-адреса, маски подсетей и местонахождения подсетей.
-
Наблюдает за сетевыми соединениями и задает цены связей между сайтами.
Планирование контроллеров доменов
После того как вы определили структуру сайтов сети, наступает следующий этап планирования сайтов — определение количества и размещения контроллеров доменов в этих сайтах.
Как определить, нужен ли контроллер домена для данного участка
Первый этап планирования контроллеров доменов в сети — определить, где должны находиться контроллеры. Часто администраторы используют слишком мало контроллеров домена, предполагая, что чем меньше контроллеров у домена, тем проще им управлять. Но бывает, что контроллеров домена, наоборот, слишком много, поскольку администраторы полагают, будто в каждом из участков сети должен быть минимум один контроллер домена. Предположения, выдвигаемые в обоих случаях, вполне могут оказаться правильными, но это не всегда так.
Чтобы определить, нужно ли создать контроллер домена для данного сайта, руководствуйтесь следующими принципами.
Если сайт охватывает много пользователей, помещение контроллера домена в сайт обеспечивает, что при аутентификации пользователей, входящих в сеть, не генерируется сетевой трафик, который нужно передавать на удаленный контроллер домена по WAN-каналу.
Если пользователям нужна возможность входить в домен, даже когда WAN-канал не работает, следует установить контроллер домена в локальном сайте. Если WAN-канал недоступен и нет локальных контроллеров домена, способных обработать запросы на вход в систему, пользователи регистрируются с кэшированными удостоверениями и не могут обращаться к ресурсам других компьютеров.
Если на серверах сайта выполняются приложения, работающие с сайтами, и нужно обеспечить доступ пользователей домена к этим приложениям, установите в этом сайте контроллер домена. Тогда серверы, на которых выполняются такие приложения, смогут выполнять аутентификацию пользователей, обращаясь к локальному контроллеру домена, и не будут генерировать трафик аутентификации, передаваемый по WAN-каналу.
Если сайт является узловым (hub site), т. е. связывает друг с другом остальные сайты меньшего размера, и если у этих сайтов меньшего размера нет своих контроллеров доменов, имеет смысл поместить контроллер домена в узловой сайт, чтобы уменьшить время отклика при входе.
Когда вы добавляете контроллер домена по любой из вышеперечисленных причин, нужно учитывать следующие моменты.
Контроллерами доменов нужно управлять. Устанавливайте контроллеры только там, где есть администраторы, достаточно квалифицированные для того, чтобы управлять контроллерами домена. Если таких администраторов нет, вы должны обеспечить сотрудникам ИТ-отдела уровень доступа, позволяющий удаленно управлять контроллером домена.
Контроллеры домена должны быть защищены. Устанавливайте контроллеры домена только в тех сайтах, в которых можно гарантировать физическую безопасность контроллера.
Как определить количество необходимых контроллеров доменов
Следующий этап — определить, сколько контроллеров доменов требуется на сайте для обслуживания каждого из его доменов.
Количество пользователей домена, входящих на сайт, — основной фактор, влияющий на число контроллеров, необходимых данному домену. Чтобы определить, сколько контроллеров требуется каждому из доменов сайта, руководствуйтесь следующими правилами.
Если данный домен сайта охватывает менее 1000 пользователей, в нем достаточно установить всего один контроллер.
Если данный домен сайта охватывает от 1000 до 10 000 пользователей, в нем требуется установить не менее двух контроллеров.
Для каждых дополнительных 5000 пользователей следует добавлять по одному контроллеру. Например, если на сайт входят 20 000 пользователей домена, в этом домене следует установить четыре контроллера.
Как разместить контроллеры корневого домена леса
Первый домен, создаваемый в новом лесу, называется корневым доменом леса и занимает особое место среди доменов леса. Корневой домен леса закладывает основу структуры леса и пространства имен. Кроме того, данные о группах Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins) уровня леса так-же хранятся в корневом домене леса.
Доверительные отношения между доменами являются транзитивными, и вся аутентификация между разными доменами леса выполняется или через корневой домен леса (т. е. контроллер корневого домена леса), или через специально сконфигурированное доверие к сокращению (shortcut trusts) между региональными доменами. Если один сайт содержит несколько доменов, но корневой домен леса находится в другом сайте, можно определить доверие к сокращению или добавить контроллер корневого домена леса в локальный сайт. Это позволит аутентифицировать пользователей между доменами локального сайта, даже если WAN-канал неработоспособен.
Планирование серверов — хозяев операций
Существуют задачи, которые в отличие от модели репликации с несколькими хозяевами решаются только определенными контроллерами домена. Эти контроллеры выполняют так называемые роли хозяев операций. Хозяева операций (operations masters) — контроллеры домена, которым назначены определенные роли, связанные с обслуживанием домена или леса, и они всегда выполняют функции, специфичные для домена или леса, — никакой другой компьютер не вправе брать на себя эти функции. Такие функции разделены на категории для лучшей управляемости.
В Windows Server 2003 две роли хозяев операций уровня леса.
-
Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory- Если схему нужно обновлять или изменять, — как, например, в случае установки приложения, которое должно модифицировать классы или атрибуты схемы, — то делать это следует на хозяине схемы [т. е. должен быть доступен контроллер домена (DC), имеющий роль хозяина схемы] одному из членов группы Администраторы схемы (Schema Admins). Если DC, являющийся хозяином схемы, недоступен, а вы должны внести изменения в схему, можно передать эту роль другому DC.
-
Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Хозяин именования доменов запрашивается при добавлении к лесу новых доменов. Если хозяин именования доменов недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру. Здесь есть одна тонкость, о которой важно помнить в среде с несколькими доменами: хозяин именования доменов должен быть еще и сервером глобального каталога. Дело вот в чем. Чтобы проверить, является ли уникальным домен, создаваемый в лесу, хозяин именования доменов запрашивает глобальный каталог. Эти две роли автоматически назначаются первому контроллеру домена в лесу. В однодоменной среде (или в лесу с нескольким доменами, в котором все контролле-ры корневого домена леса хранят глобальный каталог) вы должны оставить обе роли хозяев операций уровня леса первому контроллеру, созданному в корневом домене леса.
В лесу с несколькими доменами, в котором глобальный каталог хранится не на всех контроллерах, передайте обе роли хозяев операций уровня леса контроллеру корневого домена леса, не являющемуся сервером глобального каталога.
Роли хозяев операций уровня домена
В Windows Server 2003 три роли хозяев операций уровня домена.
-
Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator] отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows Server 2003. Одна из основных задач эмулятора PDC — регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной.
-
Хозяин RID [Relative Identifier (RID) Master] отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. Идентификатор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект в домене и указывают, где он был создан.
-
Хозяин инфраструктуры [Infrastructure Master] регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается хозяину инфраструктуры, и лишь потом они реплицируются на другие контроллеры домена. Хозяин инфраструктуры обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача хозяина инфраструктуры — передавать информацию об изменениях, внесенных в объекты, в другие домены. Не назначайте роль хозяина инфраструктуры контроллеру домена, содержащему глобальный каталог, если только этот каталог не хранится на всех контроллерах домена. Это объясняется тем, что хозяин инфраструктуры не будет нормально работать, если он содержит ссылки на объекты, не входящие в домен. Если хозяин инфраструктуры является еще и сервером глобального каталога, то глобальный каталог будет содержать объекты, которые не хранятся на хозяине инфраструктуры, что опять же помешает его работе.
Планирование серверов глобального каталога
Сервер глобального каталога — это контроллер домена, поддерживающий подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компьютеры, например регистрационное имя пользователя. Серверы глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса, не обращаясь к конкретным контроллерам доменов, на которых хранятся эти объекты. Active Directory состоит из трех разделов.
Раздел схемы. Хранит определения всех объектов, которые можно создать в лесу, а также их атрибутов. В лесу существует только один раздел схемы. Его копия реплицируется на все контроллеры доменов, входящие в лес.
Раздел конфигурации. Определяет структура доменов, сайтов и объектов-серверов Active Directory. В лесу существует только один раздел конфигурации. Его копия реплицируется на все контроллеры доменов, входящие в лес.
Раздел домена. Служит для идентификации и определения объектов, специфичных для домена. В каждом домене существует свой раздел домена, копия которого реплицируется на все контроллеры этого домена.
Другая функция глобального каталога, полезная независимо от того, сколько доме-нов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, указывая имя участника системы безопасности (user principal name, UPN) вида user@domain.com, оно сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись. Кроме того, это позволяет входить в сеть, когда контроллер домена недоступен, например из-за того, что не работает WAN-канал.
Планирование числа пользователей контроллеров доменов
Под пропускной способностью контроллера домена имеется в виду число пользовате-лей сайта, которое может поддерживать этот контроллер. Администраторы должны понимать требования, предъявляемые к каждому контроллеру домена, и подбирать аппаратное обеспечение в соответствии с этими требованиями, чтобы в дальнейшем не было трудноразрешимых проблем, связанных с тем, что контроллеры доменов не отвечают на запросы пользователей, поскольку не справляются с нагрузкой.
Основной фактор, влияющий на требования к пропускной способности, — количество пользователей домена, которые должны проходить аутентификацию. После того как вы оценили требования к оборудованию с учетом количества пользователей, следует уточнить эти требования — принять во внимание дополнительные роли и службы, которые будут работать на этом контроллере домена.
Определение требований к процессорам
Количество процессоров, необходимых контроллеру домена, в основном зависит от того, сколько пользователей будут входить в домен. Чтобы по числу пользователей, входящих в домен, определить, какие процессоры использовать, руководствуйтесь следующими правилами.
Если пользователей меньше 500, контроллеру домена под управлением Windows Server 2003 достаточно одного процессора с тактовой частотой 850 МГц или выше.
Если количество пользователей находится в пределах от 500 до 1500, контроллеру домена под управлением Windows Server 2003 требуется два процессора с тактовой частотой 850 МГц или выше.
Если пользователей больше 1500, контроллеру домена под управлением Windows Server 2003 нужно четыре процессора с тактовой частотой 850 МГц или выше.
Определение требований к дисковому пространству
Как и требования к процессорам, требования к дисковому пространству в первую очередь зависят от числа пользователей в домене. Чтобы определить требования к дисковому пространству, руководствуйтесь следующими правилами.
На диске, содержащем БД Active Directory (NTDS.dit), для хранения данных о каждой 1000 пользователей необходимо выделить минимум 400 Мб. Сюда входит и пространство, занимаемое разделом DNS.
На диске, содержащем файлы журналов транзакций Active Directory, должно быть минимум 500 Мб свободного места.
На диске, содержащем общие папки SYSVOL, должно быть минимум 500 Мб.
На диске, на который устанавливается ОС Windows Server 2003, должно быть примерно 2 Гб свободного дискового пространства.
Определив минимальный объем дискового пространства, необходимый контроллерам доменов, вы должны выделить дополнительное дисковое пространство на тех контроллерах домена, на которых будет храниться глобальный каталог. Если в лесу только один домен, назначение контроллеру домена роли сервера глобального каталога не приведет к увеличению размера БД. Однако, если в лесу более одного домена, для каждого дополнительного домена размер глобального каталога увеличивается приблизительно на 50% от размера базы данных этого домена.
Определение требований к памяти
И вновь основным фактором, влияющим на требования к объему памяти контроллера домена, является количество пользователей. Чтобы определить требования к памяти контроллера домена, руководствуйтесь следующими правилами.
Если пользователей меньше 500, контроллеру домена требуется 512 Мб памяти.
Если количество пользователей находится в пределах от 500 до 1000, контроллеру домена требуется 1 Гб памяти.
Если пользователей больше 1000, контроллеру домена требуется 2 Гб памяти.
Планирование стратегии репликации
Репликация Active Directory — жизненно важная операция, которую необходимо тщательно планировать. Правильно спланированная репликация ускоряет ответ каталога, уменьшает сетевой трафик по WAN-каналам и сокращает административные издержки.
Процесс репликации
Как вы уже знаете, в Windows Server 2003 используется модель репликации с несколькими хозяевами, при которой на всех контроллерах домена хранятся равноправные копии БД Active Directory. Когда вы создаете, удаляете или переносите объект либо изменяете его атрибуты на любом контроллере домена, эти изменения реплицируются на остальные контроллеры домена.
Внутрисайтовая и межсайтовая репликация
Внутрисайтовая (между контроллерами домена одного сайта) и межсайтовая репликация (между контроллерами домена, относящимися к разным сайтам) выполняется по-разному.
При внутрисайтовой репликации трафик репликации передается в несжатом формате. Это объясняется тем, что контроллеры домена, принадлежащие одному сайту, как предполагается, связаны каналами с высокой пропускной способностью. Помимо того, что данные не сжимаются, используется механизм репликации, основанный на уведомлении об изменениях. Значит, если в данные домена вносятся изменения, эти изменения быстро реплицируются на все контроллеры домена.
При межсайтовой репликации все данные передаются в сжатом виде. Это отражает тот факт, что трафик, вероятно, передается по более медленным WAN-каналам (в сравнении с соединениями локальной сети, используемыми при внутрисайтовой репликации). Однако при этом увеличивается нагрузка на серверы, поскольку, помимо прочих операций по обработке, им приходится упаковывать/распаковывать данные. Кроме того, репликация выполняется по расписанию во время, лучше подходящее данной организации.
Удаленные вызовы процедур выполняются при отправке сообщений репликации внутри сайта и между сайтами. Протокол RPC используется по умолчанию при всех операциях репликации Active Directory, поскольку является отраслевым стандартом и совместим с большинством типов сетей.
SMTP применяется при репликации между сайтами, не связанными постоянными соединениями (необходимыми для работы RPC). Одно из ограничений при использовании SMTP — он не позволяет реплицировать информацию раздела домена (domain partition information) на DC, входящие в домен. Поскольку SMTP применяется только при репликации между сайтами, проблем с репликацией информации раздела домена внутри домена не возникает (в этом случае автоматически используется RPC). То есть SMTP полезен лишь при репликации схемы и глобального каталога.
Как выполняется репликация
Каждый контроллер домена в сайте представляется объектом-сервером. У каждого объекта-сервера есть дочерний объект NTDS Settings, управляющий репликацией данных контроллера домена внутри сайта, а у каждого объекта NTDS Settings — объект-соединение, в котором хранятся атрибуты соединения и который представляет коммуникационный канал, применяемый при репликации данных с одного контроллера домена на другой. Для репликации нужно, чтобы на обеих сторонах было по объекту-соединению.
Сервис Knowledge Consistency Checker (КСС) автоматически создает набор объек-тов-соединений для репликации с одного контроллера домена на другой. Однако при необходимости можно создать объекты-соединения вручную.
КСС создает различные топологии (т. е. задает местонахождение объектов-соедине-ний и их конфигурацию) для внутрисайтовой и межсайтовой репликации. Кроме того, КСС изменяет созданные им топологии всякий раз, когда вы добавляете и удаляете контроллеры домена или перемещаете их из одного сайта в другой.
Транзитивность связей сайтов
Транзитивность связей сайтов
Транзитивность связей сайтов и мосты таких связей
По умолчанию связи сайта являются транзитивными. То есть, если связаны сайты А и В, В и С, то сайты А и С также связаны транзитивным соединением. Вы можете отключить транзитивность связей сайтов для заданного транспорта, но это не рекомендуется, кроме особых случаев, когда:
-
нужен полный контроль над репликацией;
-
требуется исключить определенный путь репликации;
-
сеть не обеспечивает полной маршрутизации или же брандмауэр не позволяет напрямую выполнять репликацию между двумя сайтами.
Отключение транзитивности связей сайтов для транспорта влияет на все связи, использующие этот транспорт, — они станут нетранзитивными. Тогда, чтобы поддерживать транзитивные соединения, вам придется создать мосты связей сайтов.
Мосты связей сайтов (site-link bridges) — логические соединения, использующие связи сайтов в качестве транспорта. Когда транзитивность связей включена, между всеми сайтами автоматически создаются логические мосты связей сайтов. А когда транзитивность связей отключена, вы должны создавать такие мосты вручную. На рис. показана простая группа из четырех сайтов, соединенных связями по принципу карусели. Если транзитивность связей для этих сайтов отключена, вам придется вручную создать мосты связей сайтов, чтобы сделать возможной репликацию между всеми сайтами. В основном такие мосты служат для того, чтобы при отключенной транзитивности связей у каждого сайта был путь репликации к другим сайтам. Рассуждайте следующим образом. Когда транзитивность связей включена, между всеми связями сайтов имеются мосты, поэтому все сайты могут обмениваться данными репликации друг с другом. А когда транзитивность отключена, вы должны самостоятельно создать мосты, поскольку связаны только те сайты, между которыми вручную сконфигурированы связи. Мосты связей сайтов передают трафик репликации между соответствующими сайтами по цепочке из нескольких связей.
Назначение цен связям сайтов
Всем связям сайтов назначается цена, которая определяет, насколько данный путь лучше или хуже других связей. По умолчанию все связи имеют цену 100. Если одну связь сделать дороже другой, то при репликации (и при работе других приложений и служб, например Domain Controller Locator) предпочтение будет отдаваться связи с меньшей ценой.
Серверы — плацдармы
Серверы — плацдармы
После создания связей сайтов КСС автоматически назначает один или несколько контроллеров в каждом домене на роль серверов-плацдармов (bridgehead servers), или серверов репликации между сайтами.
Данные репликации передаются между этими серверами, а не напрямую между всеми контроллерами домена. Запомните, что внутри сайта контроллеры домена (в том числе и серверы репликации между сайтами) выполняют репликацию, как только в ней возникает необходимость. Затем, когда согласно расписанию связи доступны, серверы-плацдармы инициируют репликацию с аналогичными серверами других сайтов через заданный интервал.
Соединения репликации, создаваемые КСС, случайным образом распределяются между всеми серверами сайта, которые могут быть плацдармами репликации между сайтами, — это делается для распределения нагрузки по поддержке репликации. Обычно КСС распределяет соединения, только когда создаются новые объекты-соединения. Однако в Windows Server 2003 Resource Kit имеется утилита Active Directory Load Balancing (ADLB), которую можно использовать для перераспределения ролей серверов-плацдармов в любое другое время (например, при добавлении новых контроллеров домена).
Дополнительные задачи при проектировании домена
-
Планирование WINS
-
Планирование инфраструктуры сети и маршрутизации
-
Планирование подключения к Интернету
-
Планирование стратегии удаленного доступа
Итоги
Были рассмотрены вопросы связанные с технологией построение службы каталогов на базе AD реализованной в ОС Windows Server 2003