Active Directory содержит две структуры- логическую и физическую. Логическая структура состоит из доменов, подразделений, лесов и деревьев, тогда как физическая структура содержит специальные серверы, называемые контроллерами домена, и сайты.
3.1 Домены (Логическая структура AD)
Ядро Active Directoryсоставляют домены.
Домены представляют собой логические группы компьютеров, определенные сетевым администратором. Компьютеры домена используют единые политики безопасности и могут обмениваться данными с компьютерами в других доменах. Домен, главным образом, представляет собой метод организации административной безопасности. Компьютер, на котором работает сервер каталога, называется контроллером домена; иными словами, контроллер домена — это компьютер, на котором размещена вся база данных Active Directory. Все запросы к активному каталогу и вообще все запросы, касающиеся доступа к информации, хранящейся в домене, обрабатывает именно контроллер домена.
Роль управления доменом — настолько важная в сети функция, что от нее напрямую зависит работа сети. Поэтому и доступ к контроллерам домена (DC, Domain Controller) разрешается с большей осторожностью, чем к остальным, а сами эти компьютеры имеют большую степень безопасности (как с точки зрения сетевого доступа, так и чисто физически) и оснащаются самым надежным оборудованием. В крупных сетях они никогда не выполняют дополнительных серверных функций (не бывают серверами печати, приложений, файловыми серверами и т.п.). Реализация доменной модели сети начинается с установки контроллера домена.
Для повышения надежности доменной сети, могут быть установлены резервные контроллеры домена. На каждом контроллере домена хранится своя копия базы данных Active Directory. Актуальность копий баз данных Active Directory поддерживается за счет режима репликации. Таким образом, каждый контроллер домена хранит одни и те же данные, включая учетные записи пользователей. Теперь, если один из контроллеров домена выйдет из строя, клиенты автоматически переключатся на другой, и это нисколько не помешает их работе.
К некоторым сетям предъявляются требования, которым не может удовлетворить один домен. В этом случае применяются два и более доменов. В основном это связано с требованиями и обстоятельствами, при которых уместной или неизбежной будет организация еще одного домена, или несколько доменов, а именно:
Ø Административное решение. Технических причин в этом случае нет, но требование руководства предприятия выполнять нужно: слияние предприятий, корпорация и т.п.
Ø Разные требования к безопасности в разных подразделениях. Например, если руководство требует, чтобы у пользователей из отдела разработки пароль был не короче 10 символов, а у всех остальных — не короче 8 символов, то эти требования в пределах одного домена выполнить невозможно. Придется выделять отдел разработчиков во второй домен.
Ø Разные подразделения должны быть представлены в Интернете под разными именами. Один домен не может иметь нескольких имен.
Ø Перегрузка линий связи. Когда в домене создается новый объект (например, учетная запись пользователя), то он реплицируется на все контроллеры домена. Если на предприятии два подразделения, связанные между собой медленной и ненадежной линией, то не стоит загружать эту линию еще и копированием содержимого активного каталога: здесь уместно выделить эти подразделения в отдельные домены.
Ø Крупные компании, корпорации, предприятия, имеющие свои отделения, филиалы, представительства по всей стране и за границей также строят корпоративную сеть с множеством доменов.
Однако если ваше предприятие не соответствует какой-либо из вышеописанных ситуаций, то вполне достаточно и одного домена.
3.2 Дерево Active Directory (Логическая структура AD)
Если в вашей организации несколько доменов, у вас есть две возможности их логической организации. Первая из них называется деревом доменов.
Дерево (tree) - иерархическая структура, включающая в себя несколько доменов с единым пространством имен.
Имена объектов должны быть уникальными в пределах всего дерева. Достигается эта уникальность тем, что полное имя подчиненного домена (europe.microsoft.com) складывается из его собственного имени (europe) и имени вышестоящего домена (microsoft.com) Рис 18.1. Первый домен, созданный в дереве, является корневым. Следующий домен считается дочерним по отношению к корневому. Имя домена высшего уровня (корневого домена) входит в имена всех поддоменов.
На количество доменов, образующих дерево, ограничений нет.
 |
Даже если в организации лишь один домен, у вас все равно имеется дерево. Это позволяет создавать в дереве множество доменов. Здесь microsoft.com — первый домен, созданный в Active Directory, поэтому он считается корневым. Все домены в дереве совместно используют общую схему и непрерывное пространство имен. В примере на рис. 18.1 все домены, находящиеся в дереве под корневым доменом, делят пространство имен microsoft.com.
Рис. 18.1. Пример дерева Active Directory
Домены могут быть связаны друг с другом доверительными отношениями. Доверительные отношения означают следующее: пользователь, имеющий учетную запись в домене-доверенном, автоматически получает доступ к разделяемым ресурсам домена-доверителя. Отношение доверия транзитивно: если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С.
Единственное дерево достаточно для тех организаций, которые пользуются одним пространством имен DNS. Но для организаций, где задействовано несколько пространств имен DNS, одного дерева мало. Вот здесь и применяется такая концепция, как лес.
3.3 Лес Active Directory- (Логическая структура AD)
Другая модель логической организации доменов — лес.
Лес — это группа из одного или более деревьев доменов, которые не образуют непрерывного пространства имен, но могут совместно использовать общую схему и глобальный каталог. В сети всегда есть минимум один лес, и он создается, когда в сети устанавливается первый компьютер с поддержкой Active Director (контроллер домена). Первый домен в лесу, называемый корневым доменом леса (forest root domain), играет особую роль, так как на нем хранится схема, и он управляет именованием доменов для целого леса. Его нельзя удалить из леса, не удалив сам лес. Кроме того, в иерархии доменов леса нельзя создать домен, который находился бы над корневым.
На рис. 18.2 показан пример леса с двумя деревьями. У каждого дерева в лесу свое пространство имен. В данном случае microson.com — это одно дерево, а contoso.com — другое. Оба дерева находятся в лесу с именем microsoft.com.
Лес является крайней границей Active Directory — каталог не может охватывать более одного леса. Однако вы можете создать несколько лесов, а затем создать доверительные отношения между нужными доменами в этих лесах; это позволяет предоставлять доступ к ресурсам и учетным записям, которые находятся вне данного леса
Рис. 18.2. Деревья в лесу используют одну схему, но разные пространства имен
3.4 Организационные единицы
Организационные единицы (organizational units, OU) позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена. В основном это дает возможность делегировать административные задачи в домене. До появления Active Directory домен был наименьшим контейнером, которому вы могли бы назначить административные разрешения. То есть, передать группе администраторов контроль над конкретным ресурсом было затруднительно или вообще невозможно, не предоставив им широких полномочий во всем домене.
OU служит контейнером, в который можно поместить какие-либо ресурсы домена. После этого вы назначаете административные разрешения самой OU. Обычно структура OU соответствует функциональной или бизнес-структуре организации. Например, в сравнительно небольшой организации с единственным доменом можно было бы создать отдельные OU для отделов этой организации.
OU поддерживают вложение (создание OU внутри другой OU), что обеспечивает более широкие возможности в управлении ресурсами. Однако чрезмерно сложная структура OU внутри домена имеет свои недостатки. Ведь чем проще структура, тем легче реализация этой структуры и управление ею. Необходимо также учитывать, что, начиная примерно с 12-го уровня вложения OU, возникают серьезные проблемы с производительностью.
 |
Организационные единицы являются основными методами организации пользователей, компьютеров и других объектов в более легкие для понимания структуры. В организации на рис. 18.3 имеется корневая организационная единица, в которую помешены три вложенные организационные единицы (маркетинг, информационные технологии и исследования). Такое вложение позволяет организации распределить пользователей по нескольким контейнерам для облегчения просмотра и администрирования сетевых ресурсов.
Рис 18.3 Структура организационной единицы, обеспечивающая графическое представление распределения сетевых ресурсов
Доверительные отношения
Поскольку домены разграничивают зоны безопасности, специальный механизм, называемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)].
Windows Server 2003 поддерживает шесть типов доверительных отношений:
1. доверие к родительскому и дочернему доменам (parent and child trusts);
2. доверие к корневому домену дерева (tree-root trusts);
3. доверие к внешнему домену (external trusts);
4. доверие к сокращению (shortcut trusts);
5. доверие к сфере (realm trusts);