Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2000-2003 использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.
Active Directory создает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен сети Интернет. DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснастки Active Directory Domains and Trust (рис. 8).
Рис.8. Оснастка оснастки Active Directory Domains and Trust
Active Directory выделяет две структуры сети: логическую и физическую.
Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис 8). Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут содержать в себе другие объекты.
Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.
 |
Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис.9).
Домен – основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов и каждый домен хранит информацию только о тех объектах, которые содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, однако, достоверно известно только о цифре в 1 миллион.
С другой стороны, доменом называется раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.
 |
Рис. 10. Создание нового OU внутри домена
Доступ к объектам домена определяется списком контроля доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов и административные разрешения действуют только внутри домена, не пересекаясь с остальными.
Рис. 11. Свойства контроллера домена
В домен могут входить компьютеры следующих типов:
· Контроллеры доменов (рис. 11) под управлением Windows 2000-2003 Server хранят и поддерживают копию каталога, проводит авторизацию пользователей обеспечивают работу Active Directory. Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них;
· Рядовые серверы под управлением Windows 2003 Server для предоставления доступа к своим ресурсам;
· Компьютеры-клиенты под управлением Windows 7 l для доступа к ресурсам домена.
Создание новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory Users and Groups (рис. 12).
Рис. 12. Оснастка Active Directory Users and Groups
Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется деревом. Дерево может содержать только один домен. Все домены одного дерева обеспечивают доступ к глобальному каталогу и создают общее пространство имен. По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например elab.cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.
Если деревья используют разные схемы именования, то они объединяются в лес. Деревья в лесу обеспечивают правила совместной работы объектов, имеют одинаковый глобальный каталог и конфигурационный контейнер.
Доверительные отношения. Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен А доверяет домену В и домен В доверяет С, то это означает, что А доверяет С. Таким образом, все три домена доверяют друг другу. При вступлении нового домена в дерево, доверительные отношения устанавливаются автоматически между ним и корнем родительского домена.
Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:
· Имена RFC 822 в виде имя_пользователя@имя_домена;
· Имена LDAP в виде //имя_сервера.имя_OU._имя_домена;
· Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.
Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи. Выделяя диапазон IP-подсетей в сайт, например, всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:
· При регистрации пользователя, клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации;
· Репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходят гораздо реже, чем внутри сайта.
Обратите внимание, сайты не являются частью пространства имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 13). Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.
Рис. 13. Оснастка Active Directory Sites and Services