Βασικές έννοιες της Active Directory. Δασικές τοπολογίες Active Directory Δασές και τομείς ενεργών καταλόγων

Η Active Directory παρέχει υπηρεσίες διαχείρισης συστημάτων. Αποτελούν πολύ καλύτερη εναλλακτική για τις τοπικές ομάδες και σας επιτρέπουν να δημιουργείτε δίκτυα υπολογιστών με αποτελεσματική διαχείριση και αξιόπιστη προστασία δεδομένων.

Εάν δεν έχετε συναντήσει στο παρελθόν την έννοια της υπηρεσίας καταλόγου Active Directory και δεν γνωρίζετε πώς λειτουργούν τέτοιες υπηρεσίες, αυτό το άρθρο είναι για εσάς. Ας μάθουμε τι σημαίνει αυτή η έννοια, ποια είναι τα πλεονεκτήματα τέτοιων βάσεων δεδομένων και πώς να τις δημιουργήσετε και να τις διαμορφώσετε για αρχική χρήση.

Το Active Directory είναι ένας πολύ βολικός τρόπος διαχείρισης συστήματος. Χρησιμοποιώντας την υπηρεσία καταλόγου Active Directory, μπορείτε να διαχειριστείτε αποτελεσματικά τα δεδομένα σας.

Αυτές οι υπηρεσίες σάς επιτρέπουν να δημιουργήσετε μια ενιαία βάση δεδομένων που διαχειρίζεται ελεγκτές τομέα. Εάν είστε ιδιοκτήτης μιας επιχείρησης, διαχειρίζεστε ένα γραφείο ή γενικά ελέγχετε τις δραστηριότητες πολλών ανθρώπων που πρέπει να ενωθούν, ένας τέτοιος τομέας θα σας φανεί χρήσιμος.

Περιλαμβάνει όλα τα αντικείμενα - υπολογιστές, εκτυπωτές, φαξ, λογαριασμούς χρηστών κ.λπ. Το άθροισμα των τομέων στους οποίους βρίσκονται τα δεδομένα ονομάζεται «δάσος». Η βάση δεδομένων Active Directory είναι ένα περιβάλλον τομέα όπου ο αριθμός των αντικειμένων μπορεί να είναι έως και 2 δισεκατομμύρια. Μπορείτε να φανταστείτε αυτές τις ζυγαριές;

Δηλαδή, με τη βοήθεια ενός τέτοιου «δάσους» ή βάσης δεδομένων, μπορείτε να συνδέσετε μεγάλο αριθμό υπαλλήλων και εξοπλισμού σε ένα γραφείο και χωρίς να είστε συνδεδεμένοι σε μια τοποθεσία - μπορούν επίσης να συνδεθούν άλλοι χρήστες στις υπηρεσίες, για παράδειγμα, από ένα γραφείο της εταιρείας σε άλλη πόλη.

Επιπλέον, στο πλαίσιο των υπηρεσιών Active Directory, δημιουργούνται και συνδυάζονται αρκετοί τομείς - όσο μεγαλύτερη είναι η εταιρεία, τόσο περισσότερα εργαλεία χρειάζονται για τον έλεγχο του εξοπλισμού της μέσα στη βάση δεδομένων.

Περαιτέρω, όταν δημιουργείται ένα τέτοιο δίκτυο, προσδιορίζεται ένας τομέας ελέγχου, και ακόμη και με την επακόλουθη παρουσία άλλων τομέων, ο αρχικός εξακολουθεί να παραμένει "γονικός" - δηλαδή μόνο αυτός έχει πλήρη πρόσβαση στη διαχείριση πληροφοριών.

Πού αποθηκεύονται αυτά τα δεδομένα και τι διασφαλίζει την ύπαρξη τομέων; Για τη δημιουργία της υπηρεσίας καταλόγου Active Directory, χρησιμοποιούνται ελεγκτές. Συνήθως υπάρχουν δύο από αυτά - αν συμβεί κάτι σε έναν, οι πληροφορίες θα αποθηκευτούν στον δεύτερο ελεγκτή.

Μια άλλη επιλογή για τη χρήση της βάσης δεδομένων είναι εάν, για παράδειγμα, η εταιρεία σας συνεργάζεται με άλλη και πρέπει να ολοκληρώσετε ένα κοινό έργο. Σε αυτήν την περίπτωση, μη εξουσιοδοτημένα άτομα μπορεί να χρειαστούν πρόσβαση σε αρχεία τομέα και εδώ μπορείτε να δημιουργήσετε ένα είδος «σχέσης» μεταξύ δύο διαφορετικών «δασών», επιτρέποντας την πρόσβαση στις απαιτούμενες πληροφορίες χωρίς να διακινδυνεύσετε την ασφάλεια των υπόλοιπων δεδομένων.

Γενικά, η υπηρεσία καταλόγου Active Directory είναι ένα εργαλείο για τη δημιουργία μιας βάσης δεδομένων μέσα σε μια συγκεκριμένη δομή, ανεξάρτητα από το μέγεθός της. Οι χρήστες και όλος ο εξοπλισμός ενώνονται σε ένα «δάσος», δημιουργούνται τομείς και τοποθετούνται σε ελεγκτές.

Συνιστάται επίσης να διευκρινιστεί ότι οι υπηρεσίες μπορούν να λειτουργούν μόνο σε συσκευές με συστήματα διακομιστών Windows. Επιπλέον, δημιουργούνται 3-4 διακομιστές DNS στους ελεγκτές. Εξυπηρετούν την κύρια ζώνη του τομέα και αν αποτύχει ένας από αυτούς, άλλοι διακομιστές τον αντικαθιστούν.

Μετά από μια σύντομη επισκόπηση του Active Directory for Dummies, φυσικά σας ενδιαφέρει η ερώτηση - γιατί να αλλάξετε μια τοπική ομάδα για μια ολόκληρη βάση δεδομένων; Φυσικά, το πεδίο των δυνατοτήτων εδώ είναι πολλές φορές ευρύτερο και για να ανακαλύψουμε άλλες διαφορές μεταξύ αυτών των υπηρεσιών για τη διαχείριση συστήματος, ας ρίξουμε μια πιο προσεκτική ματιά στα πλεονεκτήματά τους.

Πλεονεκτήματα του Active Directory

Τα πλεονεκτήματα του Active Directory είναι:

  1. Χρήση ενός μόνο πόρου για έλεγχο ταυτότητας. Σε αυτήν την περίπτωση, πρέπει να προσθέσετε σε κάθε υπολογιστή όλους τους λογαριασμούς που απαιτούν πρόσβαση σε γενικές πληροφορίες. Όσο περισσότεροι χρήστες και εξοπλισμός υπάρχουν, τόσο πιο δύσκολος είναι ο συγχρονισμός αυτών των δεδομένων μεταξύ τους.

Έτσι, όταν χρησιμοποιείτε υπηρεσίες με βάση δεδομένων, οι λογαριασμοί αποθηκεύονται σε ένα σημείο και οι αλλαγές τίθενται σε ισχύ αμέσως σε όλους τους υπολογιστές.

Πως δουλεύει? Κάθε υπάλληλος, ερχόμενος στο γραφείο, εκκινεί το σύστημα και συνδέεται στον λογαριασμό του. Το αίτημα σύνδεσης θα υποβληθεί αυτόματα στον διακομιστή και μέσω αυτού θα πραγματοποιηθεί έλεγχος ταυτότητας.

Όσον αφορά μια συγκεκριμένη σειρά στην τήρηση αρχείων, μπορείτε πάντα να χωρίσετε τους χρήστες σε ομάδες - "Τμήμα Ανθρώπινου Δυναμικού" ή "Λογιστική".

Σε αυτήν την περίπτωση, είναι ακόμα πιο εύκολο να παρέχετε πρόσβαση σε πληροφορίες - εάν χρειάζεται να ανοίξετε έναν φάκελο για υπαλλήλους από ένα τμήμα, το κάνετε αυτό μέσω της βάσης δεδομένων. Μαζί αποκτούν πρόσβαση στον απαιτούμενο φάκελο με δεδομένα, ενώ για άλλους τα έγγραφα παραμένουν κλειστά.

  1. Έλεγχος σε κάθε συμμετέχοντα βάσης δεδομένων.

Εάν σε μια τοπική ομάδα κάθε μέλος είναι ανεξάρτητο και είναι δύσκολο να ελεγχθεί από άλλον υπολογιστή, τότε στους τομείς μπορείτε να ορίσετε ορισμένους κανόνες που συμμορφώνονται με την πολιτική της εταιρείας.

Ως διαχειριστής συστήματος, μπορείτε να ορίσετε ρυθμίσεις πρόσβασης και ρυθμίσεις ασφαλείας και, στη συνέχεια, να τις εφαρμόσετε σε κάθε ομάδα χρηστών. Φυσικά, ανάλογα με την ιεραρχία, σε ορισμένες ομάδες μπορεί να δοθούν πιο αυστηρές ρυθμίσεις, ενώ σε άλλες μπορεί να δοθεί πρόσβαση σε άλλα αρχεία και ενέργειες στο σύστημα.

Επιπλέον, όταν ένα νέο άτομο εγγραφεί στην εταιρεία, ο υπολογιστής του θα λάβει αμέσως το απαραίτητο σύνολο ρυθμίσεων, το οποίο περιλαμβάνει στοιχεία για εργασία.

  1. Ευελιξία στην εγκατάσταση λογισμικού.

Μιλώντας για στοιχεία, χρησιμοποιώντας την υπηρεσία καταλόγου Active Directory μπορείτε να εκχωρήσετε εκτυπωτές, να εγκαταστήσετε τα απαραίτητα προγράμματα για όλους τους υπαλλήλους ταυτόχρονα και να ορίσετε ρυθμίσεις απορρήτου. Γενικά, η δημιουργία μιας βάσης δεδομένων θα βελτιστοποιήσει σημαντικά την εργασία, θα παρακολουθεί την ασφάλεια και θα ενώσει τους χρήστες για μέγιστη απόδοση εργασίας.

Και εάν μια εταιρεία διαθέτει ξεχωριστό βοηθητικό πρόγραμμα ή ειδικές υπηρεσίες, μπορούν να συγχρονιστούν με τομείς και να απλοποιηθεί η πρόσβαση σε αυτούς. Πως? Εάν συνδυάσετε όλα τα προϊόντα που χρησιμοποιούνται στην εταιρεία, ο εργαζόμενος δεν θα χρειαστεί να εισάγει διαφορετικά στοιχεία σύνδεσης και κωδικούς πρόσβασης για να εισέλθει σε κάθε πρόγραμμα - αυτές οι πληροφορίες θα είναι κοινές.

Τώρα που τα πλεονεκτήματα και το νόημα της χρήσης της υπηρεσίας καταλόγου Active Directory έχουν γίνει ξεκάθαρα, ας δούμε τη διαδικασία εγκατάστασης αυτών των υπηρεσιών.

Χρησιμοποιούμε μια βάση δεδομένων στον Windows Server 2012

Η εγκατάσταση και η διαμόρφωση της υπηρεσίας καταλόγου Active Directory δεν είναι δύσκολη υπόθεση και είναι επίσης πιο εύκολη από ό,τι φαίνεται με την πρώτη ματιά.

Για να φορτώσετε υπηρεσίες, πρέπει πρώτα να κάνετε τα εξής:

  1. Αλλάξτε το όνομα του υπολογιστή: κάντε κλικ στο "Start", ανοίξτε τον Πίνακα Ελέγχου, επιλέξτε "System". Επιλέξτε «Αλλαγή ρυθμίσεων» και στις Ιδιότητες, απέναντι από τη γραμμή «Όνομα υπολογιστή», κάντε κλικ στο «Αλλαγή», εισάγετε μια νέα τιμή για τον κύριο υπολογιστή.
  2. Κάντε επανεκκίνηση του υπολογιστή σας όπως απαιτείται.
  3. Ορίστε τις ρυθμίσεις δικτύου ως εξής:
    • Μέσω του πίνακα ελέγχου, ανοίξτε το μενού με δίκτυα και κοινή χρήση.
    • Προσαρμόστε τις ρυθμίσεις του προσαρμογέα. Κάντε δεξί κλικ στο "Ιδιότητες" και ανοίξτε την καρτέλα "Δίκτυο".
    • Στο παράθυρο από τη λίστα, κάντε κλικ στον αριθμό πρωτοκόλλου Διαδικτύου 4 και ξανά κάντε κλικ στο "Ιδιότητες".
    • Εισαγάγετε τις απαιτούμενες ρυθμίσεις, για παράδειγμα: διεύθυνση IP - 192.168.10.252, μάσκα υποδικτύου - 255.255.255.0, κύρια πύλη - 192.168.10.1.
    • Στη γραμμή "Προτιμώμενος διακομιστής DNS", καθορίστε τη διεύθυνση του τοπικού διακομιστή, στο "Εναλλακτικό..." - άλλες διευθύνσεις διακομιστή DNS.
    • Αποθηκεύστε τις αλλαγές σας και κλείστε τα παράθυρα.

Ρυθμίστε τους ρόλους της υπηρεσίας καταλόγου Active Directory ως εξής:

  1. Μέσω της Έναρξης, ανοίξτε τη Διαχείριση διακομιστή.
  2. Από το μενού, επιλέξτε Προσθήκη ρόλων και δυνατοτήτων.
  3. Ο οδηγός θα ξεκινήσει, αλλά μπορείτε να παραλείψετε το πρώτο παράθυρο με μια περιγραφή.
  4. Ελέγξτε τη γραμμή "Εγκατάσταση ρόλων και στοιχείων", προχωρήστε περαιτέρω.
  5. Επιλέξτε τον υπολογιστή σας για να εγκαταστήσετε την υπηρεσία καταλόγου Active Directory σε αυτόν.
  6. Από τη λίστα, επιλέξτε τον ρόλο που πρέπει να φορτωθεί - στην περίπτωσή σας είναι "Υπηρεσίες τομέα Active Directory".
  7. Θα εμφανιστεί ένα μικρό παράθυρο που σας ζητά να κάνετε λήψη των στοιχείων που απαιτούνται για τις υπηρεσίες - αποδεχτείτε το.
  8. Στη συνέχεια, θα σας ζητηθεί να εγκαταστήσετε άλλα στοιχεία - εάν δεν τα χρειάζεστε, απλώς παραλείψτε αυτό το βήμα κάνοντας κλικ στο "Επόμενο".
  9. Ο οδηγός εγκατάστασης θα εμφανίσει ένα παράθυρο με περιγραφές των υπηρεσιών που εγκαθιστάτε - διαβάστε και προχωρήστε.
  10. Θα εμφανιστεί μια λίστα με τα στοιχεία που πρόκειται να εγκαταστήσουμε - ελέγξτε αν όλα είναι σωστά και εάν ναι, πατήστε το κατάλληλο κουμπί.
  11. Όταν ολοκληρωθεί η διαδικασία, κλείστε το παράθυρο.
  12. Αυτό είναι όλο - οι υπηρεσίες κατεβαίνουν στον υπολογιστή σας.

Ρύθμιση Active Directory

Για να διαμορφώσετε μια υπηρεσία τομέα, πρέπει να κάνετε τα εξής:

  • Εκκινήστε τον οδηγό εγκατάστασης με το ίδιο όνομα.
  • Κάντε κλικ στον κίτρινο δείκτη στο επάνω μέρος του παραθύρου και επιλέξτε "Προώθηση του διακομιστή σε ελεγκτή τομέα".
  • Κάντε κλικ στην προσθήκη ενός νέου δάσους και δημιουργήστε ένα όνομα για τον ριζικό τομέα και, στη συνέχεια, κάντε κλικ στο Επόμενο.
  • Καθορίστε τους τρόπους λειτουργίας του "δάσους" και του τομέα - τις περισσότερες φορές συμπίπτουν.
  • Δημιουργήστε έναν κωδικό πρόσβασης, αλλά φροντίστε να τον θυμάστε. Συνεχίστε περαιτέρω.
  • Μετά από αυτό, ενδέχεται να δείτε μια προειδοποίηση ότι ο τομέας δεν έχει εκχωρηθεί και μια προτροπή για έλεγχο του ονόματος τομέα - μπορείτε να παραλείψετε αυτά τα βήματα.
  • Στο επόμενο παράθυρο μπορείτε να αλλάξετε τη διαδρομή προς τους καταλόγους της βάσης δεδομένων - κάντε το εάν δεν σας ταιριάζουν.
  • Τώρα θα δείτε όλες τις επιλογές που πρόκειται να ορίσετε - ελέγξτε αν τις έχετε επιλέξει σωστά και προχωρήστε.
  • Η εφαρμογή θα ελέγξει εάν πληρούνται οι προϋποθέσεις και εάν δεν υπάρχουν σχόλια ή δεν είναι κρίσιμα, κάντε κλικ στο "Εγκατάσταση".
  • Αφού ολοκληρωθεί η εγκατάσταση, ο υπολογιστής θα επανεκκινήσει μόνος του.

Μπορεί επίσης να αναρωτιέστε πώς να προσθέσετε έναν χρήστη στη βάση δεδομένων. Για να το κάνετε αυτό, χρησιμοποιήστε το μενού "Χρήστες ή υπολογιστές της υπηρεσίας καταλόγου Active Directory", το οποίο θα βρείτε στην ενότητα "Διαχείριση" στον πίνακα ελέγχου ή χρησιμοποιήστε το μενού ρυθμίσεων της βάσης δεδομένων.

Για να προσθέσετε έναν νέο χρήστη, κάντε δεξί κλικ στο όνομα τομέα, επιλέξτε «Δημιουργία» και μετά «Διαίρεση». Θα εμφανιστεί ένα παράθυρο μπροστά σας όπου πρέπει να εισαγάγετε το όνομα του νέου τμήματος - χρησιμεύει ως φάκελος όπου μπορείτε να συλλέγετε χρήστες από διαφορετικά τμήματα. Με τον ίδιο τρόπο, αργότερα θα δημιουργήσετε πολλά ακόμη τμήματα και θα τοποθετήσετε σωστά όλους τους υπαλλήλους.

Στη συνέχεια, όταν δημιουργήσετε ένα όνομα τμήματος, κάντε δεξί κλικ πάνω του και επιλέξτε «Δημιουργία», μετά «Χρήστης». Τώρα το μόνο που μένει είναι να εισαγάγετε τα απαραίτητα δεδομένα και να ορίσετε τις ρυθμίσεις πρόσβασης για τον χρήστη.

Όταν δημιουργηθεί το νέο προφίλ, κάντε κλικ σε αυτό επιλέγοντας το μενού περιβάλλοντος και ανοίξτε τις "Ιδιότητες". Στην καρτέλα "Λογαριασμός", αφαιρέστε το πλαίσιο ελέγχου δίπλα στο "Αποκλεισμός...". Αυτό είναι όλο.

Το γενικό συμπέρασμα είναι ότι το Active Directory είναι ένα ισχυρό και χρήσιμο εργαλείο διαχείρισης συστήματος που θα βοηθήσει να ενωθούν όλοι οι υπολογιστές των εργαζομένων σε μια ομάδα. Χρησιμοποιώντας υπηρεσίες, μπορείτε να δημιουργήσετε μια ασφαλή βάση δεδομένων και να βελτιστοποιήσετε σημαντικά την εργασία και το συγχρονισμό των πληροφοριών μεταξύ όλων των χρηστών. Εάν η εταιρεία σας ή οποιοσδήποτε άλλος τόπος επιχείρησής σας είναι συνδεδεμένος με ηλεκτρονικούς υπολογιστές και δίκτυα, πρέπει να ενοποιήσετε τους λογαριασμούς και να παρακολουθείτε την εργασία και την εμπιστευτικότητα, η εγκατάσταση μιας βάσης δεδομένων που βασίζεται σε Active Directory θα είναι μια εξαιρετική λύση.

Active Directory - Η επεκτάσιμη και επεκτάσιμη υπηρεσία καταλόγου Active Directory σάς επιτρέπει να διαχειρίζεστε αποτελεσματικά τους πόρους του δικτύου.
Ενεργό αρχείοείναι μια ιεραρχικά οργανωμένη αποθήκη δεδομένων σχετικά με αντικείμενα δικτύου, παρέχοντας βολικά μέσα αναζήτησης και χρήσης αυτών των δεδομένων. Ο υπολογιστής που εκτελεί την υπηρεσία καταλόγου Active Directory ονομάζεται ελεγκτής τομέα. Σχεδόν όλες οι διοικητικές εργασίες σχετίζονται με την υπηρεσία καταλόγου Active Directory.
Η τεχνολογία Active Directory βασίζεται σε τυπικά πρωτόκολλα Διαδικτύου και βοηθά στον ξεκάθαρο καθορισμό της δομής του δικτύου. Διαβάστε περισσότερα σχετικά με τον τρόπο ανάπτυξης ενός τομέα Active Directory από την αρχή εδώ.

Active Directory και DNS

Η υπηρεσία καταλόγου Active Directory χρησιμοποιεί το σύστημα ονομάτων τομέα.

Διαχείριση Active Directory

Χρησιμοποιώντας την υπηρεσία Active Directory, δημιουργούνται λογαριασμοί υπολογιστή, συνδέονται με τον τομέα και γίνεται διαχείριση υπολογιστών, ελεγκτών τομέα και οργανωτικών μονάδων (OU).

Παρέχονται εργαλεία διαχείρισης και υποστήριξης για τη διαχείριση του Active Directory. Τα εργαλεία που αναφέρονται παρακάτω υλοποιούνται επίσης ως συμπληρωματικά προγράμματα στην κονσόλα MMC (Microsoft Management Console):

  • Active Directory - χρήστες και υπολογιστές (Active Directory Users and Computers) σας επιτρέπει να διαχειρίζεστε χρήστες, ομάδες, υπολογιστές και οργανωτικές μονάδες (OU).
  • Η υπηρεσία καταλόγου Active Directory - τομείς και αξιοπιστίες (Τομείς και αξιοπιστίες της υπηρεσίας καταλόγου Active Directory) χρησιμοποιείται για εργασία με τομείς, δέντρα τομέων και δασικές δομές τομέων.
  • Το Active Directory Sites and Services σάς επιτρέπει να διαχειρίζεστε τοποθεσίες και υποδίκτυα.
  • Το σύνολο πολιτικής που προκύπτει χρησιμοποιείται για την προβολή της τρέχουσας πολιτικής ενός χρήστη ή συστήματος και για τον προγραμματισμό αλλαγών στην πολιτική.
  • Στον Microsoft Windows 2003 Server, μπορείτε να αποκτήσετε πρόσβαση σε αυτά τα συμπληρωματικά προγράμματα απευθείας από το μενού Εργαλεία διαχείρισης.

Ένα άλλο εργαλείο διαχείρισης, το συμπληρωματικό πρόγραμμα Active Directory Schema, σας επιτρέπει να διαχειρίζεστε και να τροποποιείτε το σχήμα καταλόγου.

Βοηθητικά προγράμματα γραμμής εντολών Active Directory

Για τη διαχείριση αντικειμένων της υπηρεσίας καταλόγου Active Directory, υπάρχουν εργαλεία γραμμής εντολών που σας επιτρέπουν να εκτελείτε ένα ευρύ φάσμα διαχειριστικών εργασιών:

  • DSADD - προσθέτει υπολογιστές, επαφές, ομάδες, OU και χρήστες στην υπηρεσία καταλόγου Active Directory.
  • DSGET - εμφανίζει ιδιότητες υπολογιστών, επαφών, ομάδων, OU, χρηστών, τοποθεσιών, υποδικτύων και διακομιστών που είναι εγγεγραμμένοι στην υπηρεσία καταλόγου Active Directory.
  • DSMOD - αλλάζει τις ιδιότητες των υπολογιστών, των επαφών, των ομάδων, των OP, των χρηστών και των διακομιστών που είναι εγγεγραμμένοι στην υπηρεσία καταλόγου Active Directory.
  • DSMOVE - Μετακινεί ένα μεμονωμένο αντικείμενο σε μια νέα θέση εντός ενός τομέα ή μετονομάζει το αντικείμενο χωρίς να το μετακινήσει.
  • DSQXJERY - αναζητά υπολογιστές, επαφές, ομάδες, OP, χρήστες, τοποθεσίες, υποδίκτυα και διακομιστές στην υπηρεσία καταλόγου Active Directory σύμφωνα με καθορισμένα κριτήρια.
  • DSRM - αφαιρεί ένα αντικείμενο από την υπηρεσία καταλόγου Active Directory.
  • NTDSUTIL - σας επιτρέπει να προβάλλετε πληροφορίες σχετικά με έναν ιστότοπο, έναν τομέα ή διακομιστή, να διαχειρίζεστε κύριες λειτουργίες και να διατηρείτε τη βάση δεδομένων Active Directory.

Ένα σύμπλεγμα δομών Active Directory ορίζει μια συλλογή από έναν ή περισσότερους τομείς που μοιράζονται το ίδιο σχήμα, διαμόρφωση και καθολικό κατάλογο. Επιπλέον, όλοι οι τομείς συμμετέχουν σε αμφίδρομες μεταβατικές σχέσεις εμπιστοσύνης. Ας δώσουμε προσοχή στους όρους που χρησιμοποιούνται στον ορισμό του δάσους.

  • Τομέα- ένας τομέας παρέχει έναν τρόπο οργάνωσης και προστασίας αντικειμένων, όπως χρήστες και υπολογιστές, που αποτελούν μέρος του ίδιου namespace..com είναι τομείς. Οι υπολογιστές σε κάθε τομέα μοιράζονται την ίδια διαμόρφωση τομέα και ενδέχεται να υπόκεινται σε πολιτικές και περιορισμούς που ορίζονται από τον διαχειριστή τομέα. Η χρήση τομέων διευκολύνει τη διατήρηση της ασφάλειας σε ολόκληρη την επιχείρηση.
  • Σχέδιο- Το σχήμα Active Directory είναι κοινόχρηστο από όλους τους τομείς μέσα στο σύμπλεγμα δομών. Ένα σχήμα είναι πληροφορίες διαμόρφωσης που ελέγχει τη δομή και τα περιεχόμενα ενός καταλόγου.
  • Διαμόρφωση- η διαμόρφωση ορίζει τη λογική δομή του δάσους, για παράδειγμα, τον αριθμό και τη διαμόρφωση των τοποθεσιών μέσα στο δάσος.
  • Παγκόσμιος κατάλογος- ο παγκόσμιος κατάλογος μπορεί να εκληφθεί ως κατάλογος για το δάσος. Ο παγκόσμιος κατάλογος περιέχει πληροφορίες για όλα τα δασικά αντικείμενα, συμπεριλαμβανομένων πληροφοριών σχετικά με τη θέση των αντικειμένων. Επιπλέον, ο παγκόσμιος κατάλογος περιέχει καθολικές πληροφορίες μέλους ομάδας.
  • Αυτοπεποίθηση- Η εμπιστοσύνη παρέχει τη δυνατότητα για διαφορετικούς τομείς να συνεργάζονται. Χωρίς εμπιστοσύνη, οι τομείς λειτουργούν ως ξεχωριστές οντότητες, πράγμα που σημαίνει ότι οι χρήστες στον τομέα Α δεν θα μπορούν να έχουν πρόσβαση σε πόρους στον τομέα Β. Εάν δημιουργηθεί μια σχέση εμπιστοσύνης μεταξύ τομέων έτσι ώστε ο τομέας Β να εμπιστεύεται τον τομέα Α, τότε οι χρήστες στον τομέα Α θα μπορούν να πρόσβαση σε πόρους στον τομέα Β, εάν έχουν τα κατάλληλα δικαιώματα.

Υπάρχουν τρεις κύριοι τύποι σχέσεων εμπιστοσύνης.

  • Μεταβατικός- Οι μεταβατικές σχέσεις εμπιστοσύνης δημιουργούνται αυτόματα μεταξύ τομέων του ίδιου δάσους. Επιτρέπουν στους χρήστες σε οποιονδήποτε τομέα να έχουν πιθανή πρόσβαση σε πόρους σε οποιονδήποτε άλλο τομέα σε αυτό το δάσος, εφόσον οι χρήστες έχουν τα κατάλληλα δικαιώματα πρόσβασης.
  • Συντομότερος τρόποςείναι μια εμπιστοσύνη μεταξύ τομέων στο ίδιο δάσος που έχουν ήδη μια μεταβατική εμπιστοσύνη. Αυτή η εμπιστοσύνη παρέχει ταχύτερο έλεγχο ταυτότητας και επαλήθευση της πρόσβασης σε πόρους μεταξύ μη γειτονικών δασικών τομέων.
  • Εξωτερικός- Τα εξωτερικά καταπιστεύματα επιτρέπουν σε τομείς από διαφορετικά δάση να μοιράζονται πόρους. Αυτά τα αξιοπιστία δεν είναι μεταβατικά, δηλαδή ισχύουν μόνο για τους τομείς για τους οποίους δημιουργήθηκαν.

Έχοντας διευκρινίσει την έννοια των βασικών όρων, ας εξετάσουμε το παράδειγμα ενός δάσους. Το παρακάτω είναι ένα ενιαίο δάσος που περιέχει δύο δέντρα τομέα.

Το σχήμα δείχνει τέσσερις τομείς aw.net, west.aw.net, east.aw.net και person.net. Οι τομείς aw.net, west.aw.net και east.aw.net βρίσκονται στο ίδιο δέντρο τομέα επειδή μοιράζονται τον ίδιο χώρο ονομάτων (aw.net).

Ο τομέας person.net βρίσκεται σε διαφορετικό δέντρο επειδή δεν αποτελεί μέρος του χώρου ονομάτων aw.net. Σημειώστε ότι στον τομέα east.aw.net (που δεν είναι υπογεγραμμένο) εμφανίζονται σύμβολα OU. OU είναι οργανωτικές μονάδες(οργανωτικές μονάδες), που θα συζητηθούν σε επόμενο άρθρο.

Τα βέλη στο σχήμα αντιπροσωπεύουν μεταβατικές αξιοπιστίες που δημιουργούνται αυτόματα όταν οι τομείς διαμορφώνονται αρχικά σε ένα δάσος. Λάβετε υπόψη ότι οι θυγατρικοί τομείς (ανατολικά και δυτικά) του τομέα aw.net δεν σχετίζονται άμεσα με τον τομέα person.net. Παρόλα αυτά, εμπιστεύονται τον τομέα person.net.

Ο λόγος εμπιστοσύνης είναι ότι οι θυγατρικοί τομείς εμπιστεύονται τον τομέα aw.net. Επειδή ο τομέας aw.net εμπιστεύεται τον τομέα person.net, οι θυγατρικοί τομείς του aw.net εμπιστεύονται επίσης τον τομέα person.net. Γνωρίζοντας αυτό, μπορείτε να σκεφτείτε τους τομείς Active Directory ως μικρά παιδιά. Πιστεύουν άνευ όρων ό,τι λένε οι γονείς τους. Εάν ένας γονέας πει ότι μπορεί να είναι αξιόπιστος ένας άλλος τομέας, τότε αυτό ακριβώς είναι.

Αλλά η διαφορά μεταξύ θυγατρικών και θυγατρικών τομέων είναι ότι οι θυγατρικοί τομείς συμφωνούν πάντα και δεν αμφισβητούν τον γονέα.

Πώς θα βοηθήσει Ενεργό αρχείοειδικοί;

Ακολουθεί μια μικρή λίστα με "καλούδια" που μπορείτε να αποκτήσετε με την ανάπτυξη της υπηρεσίας καταλόγου Active Directory:

  • μια βάση δεδομένων εγγραφής ενός χρήστη, η οποία αποθηκεύεται κεντρικά σε έναν ή περισσότερους διακομιστές· Έτσι, όταν ένας νέος υπάλληλος εμφανίζεται στο γραφείο, θα χρειαστεί μόνο να δημιουργήσετε έναν λογαριασμό για αυτόν στον διακομιστή και να υποδείξετε σε ποιους σταθμούς εργασίας μπορεί να έχει πρόσβαση.
  • Δεδομένου ότι όλοι οι πόροι τομέα είναι ευρετηριασμένοι, αυτό καθιστά δυνατή στους χρήστες την εύκολη και γρήγορη αναζήτηση. για παράδειγμα, εάν πρέπει να βρείτε έναν έγχρωμο εκτυπωτή σε ένα τμήμα.
  • Ο συνδυασμός εφαρμογής δικαιωμάτων NTFS, πολιτικών ομάδας και ανάθεσης ελέγχου θα σας επιτρέψει να ρυθμίσετε και να διανείμετε δικαιώματα μεταξύ των μελών τομέα.
  • Τα προφίλ χρηστών περιαγωγής καθιστούν δυνατή την αποθήκευση σημαντικών πληροφοριών και ρυθμίσεων διαμόρφωσης στο διακομιστή. Στην πραγματικότητα, εάν ένας χρήστης με προφίλ περιαγωγής σε έναν τομέα καθίσει να εργαστεί σε άλλον υπολογιστή και πληκτρολογήσει το όνομα χρήστη και τον κωδικό πρόσβασής του, θα δει την επιφάνεια εργασίας του με τις ρυθμίσεις που είναι εξοικειωμένοι.
  • χρησιμοποιώντας πολιτικές ομάδας, μπορείτε να αλλάξετε τις ρυθμίσεις των λειτουργικών συστημάτων χρήστη, από το να επιτρέπεται στον χρήστη να ορίζει ταπετσαρία στην επιφάνεια εργασίας έως τις ρυθμίσεις ασφαλείας, καθώς και να διανέμει λογισμικό μέσω του δικτύου, για παράδειγμα, πρόγραμμα-πελάτης Volume Shadow Copy κ.λπ.
  • Πολλά προγράμματα (διακομιστές μεσολάβησης, διακομιστές βάσεων δεδομένων κ.λπ.) που δεν παράγονται μόνο από τη Microsoft σήμερα έχουν μάθει να χρησιμοποιούν έλεγχο ταυτότητας τομέα, επομένως δεν χρειάζεται να δημιουργήσετε άλλη βάση δεδομένων χρηστών, αλλά μπορείτε να χρησιμοποιήσετε μια υπάρχουσα.
  • Η χρήση των Υπηρεσιών Απομακρυσμένης Εγκατάστασης διευκολύνει την εγκατάσταση συστημάτων σε σταθμούς εργασίας, αλλά, με τη σειρά του, λειτουργεί μόνο εάν υλοποιηθεί η υπηρεσία καταλόγου.

Και αυτό δεν είναι μια πλήρης λίστα δυνατοτήτων, αλλά περισσότερα για αυτό αργότερα. Τώρα θα προσπαθήσω να σας πω τη λογική της κατασκευής Ενεργό αρχείο, αλλά και πάλι αξίζει να μάθουμε από τι είναι φτιαγμένα τα αγόρια μας Ενεργό αρχείο- πρόκειται για Τομείς, Δέντρα, Δάση, Οργανωτικές Μονάδες, Ομάδες χρηστών και υπολογιστών.

Τομείς -Αυτή είναι η βασική λογική μονάδα κατασκευής. Σε σύγκριση με ομάδες εργασίας τομείς ADείναι ομάδες ασφαλείας που έχουν μια ενιαία βάση εγγραφής, ενώ οι ομάδες εργασίας είναι απλώς μια λογική συσχέτιση μηχανών. Το AD χρησιμοποιεί DNS (Διακομιστής ονομάτων τομέα) για υπηρεσίες ονομασίας και αναζήτησης, αντί για WINS (Υπηρεσία ονομάτων Διαδικτύου των Windows), όπως συνέβαινε σε προηγούμενες εκδόσεις του NT. Έτσι, τα ονόματα των υπολογιστών στον τομέα μοιάζουν, για παράδειγμα, με buh.work.com, όπου buh είναι το όνομα του υπολογιστή στον τομέα work.com (αν και αυτό δεν συμβαίνει πάντα).

Οι ομάδες εργασίας χρησιμοποιούν ονόματα NetBIOS. Για να φιλοξενήσει μια δομή τομέα ΕΝΑ ΔΕίναι δυνατή η χρήση διακομιστή DNS που δεν ανήκει στη Microsoft. Αλλά πρέπει να είναι συμβατό με BIND 8.1.2 ή νεότερη έκδοση και να υποστηρίζει εγγραφές SRV() καθώς και το Πρωτόκολλο Δυναμικής Καταχώρησης (RFC 2136). Κάθε τομέας έχει τουλάχιστον έναν ελεγκτή τομέα που φιλοξενεί την κεντρική βάση δεδομένων.

Δέντρα -Αυτές είναι δομές πολλαπλών τομέων. Η ρίζα αυτής της δομής είναι ο κύριος τομέας για τον οποίο δημιουργείτε θυγατρικούς τομείς. Στην πραγματικότητα, η υπηρεσία καταλόγου Active Directory χρησιμοποιεί μια ιεραρχική δομή παρόμοια με τη δομή τομέα στο DNS.

Εάν έχουμε έναν τομέα τομέα work.com (τομέας πρώτου επιπέδου) και δημιουργήσουμε δύο θυγατρικούς τομείς για αυτόν first.work.com και second.work.com (εδώ ο πρώτος και ο δεύτερος είναι τομείς δεύτερου επιπέδου και όχι ένας υπολογιστής στον τομέα , όπως στην περίπτωση , που περιγράφεται παραπάνω), καταλήγουμε σε ένα δέντρο τομέα.

Τα δέντρα ως λογική δομή χρησιμοποιούνται όταν χρειάζεται να διαιρέσετε τα υποκαταστήματα μιας εταιρείας, για παράδειγμα, κατά γεωγραφία ή για κάποιους άλλους οργανωτικούς λόγους.

ΕΝΑ Δβοηθά στην αυτόματη δημιουργία σχέσεων εμπιστοσύνης μεταξύ κάθε τομέα και των θυγατρικών τομέων του.

Έτσι, η δημιουργία του τομέα first.work.com οδηγεί στην αυτόματη δημιουργία μιας αμφίδρομης σχέσης εμπιστοσύνης μεταξύ του γονικού work.com και του παιδιού first.work.com (ομοίως για το second.work.com). Επομένως, τα δικαιώματα μπορούν να εφαρμοστούν από τον γονικό τομέα στο παιδί και αντίστροφα. Δεν είναι δύσκολο να υποθέσουμε ότι θα υπάρχουν σχέσεις εμπιστοσύνης και για θυγατρικούς τομείς.

Μια άλλη ιδιότητα των σχέσεων εμπιστοσύνης είναι η μεταβατικότητα. Καταλαβαίνουμε ότι δημιουργείται μια σχέση εμπιστοσύνης για τον τομέα net.first.work.com με τον τομέα work.com.

δάσος -Ακριβώς όπως τα δέντρα, είναι δομές πολλαπλών τομέων. Αλλά δάσοςείναι μια ένωση δέντρων που έχουν διαφορετικούς τομείς ρίζας.

Ας υποθέσουμε ότι αποφασίζετε να έχετε πολλούς τομείς με το όνομα work.com και home.net και να δημιουργήσετε θυγατρικούς τομείς για αυτούς, αλλά επειδή ο tld (τομέας ανώτατου επιπέδου) δεν είναι υπό τον έλεγχό σας, σε αυτήν την περίπτωση μπορείτε να οργανώσετε ένα δάσος επιλέγοντας ένα από τα ριζικούς τομείς πρώτου επιπέδου. Η ομορφιά της δημιουργίας ενός δάσους σε αυτήν την περίπτωση είναι η αμφίδρομη σχέση εμπιστοσύνης μεταξύ αυτών των δύο τομέων και των θυγατρικών τους τομέων.

Ωστόσο, όταν εργάζεστε με δάση και δέντρα, πρέπει να θυμάστε τα εξής:

  • δεν μπορείτε να προσθέσετε έναν υπάρχοντα τομέα στο δέντρο
  • Δεν μπορείτε να συμπεριλάβετε ένα υπάρχον δέντρο στο δάσος
  • Μόλις τοποθετηθούν τομείς σε ένα δάσος, δεν μπορούν να μετακινηθούν σε άλλο δάσος
  • δεν μπορείτε να διαγράψετε έναν τομέα που έχει θυγατρικούς τομείς

Οργανωτικές μονάδες -Κατ 'αρχήν, μπορούν να ονομαστούν υποτομείς. σας επιτρέπει να ομαδοποιήσετε λογαριασμούς χρηστών, ομάδες χρηστών, υπολογιστές, κοινόχρηστους πόρους, εκτυπωτές και άλλες OU (Οργανιστικές μονάδες) σε έναν τομέα. Το πρακτικό όφελος από τη χρήση τους είναι η δυνατότητα ανάθεσης δικαιωμάτων για τη διαχείριση αυτών των μονάδων.

Με απλά λόγια, μπορείτε να ορίσετε έναν διαχειριστή σε έναν τομέα που μπορεί να διαχειριστεί το OU, αλλά δεν έχει δικαιώματα διαχείρισης ολόκληρου του τομέα.

Ένα σημαντικό χαρακτηριστικό των OU, σε αντίθεση με τις ομάδες, είναι η δυνατότητα εφαρμογής πολιτικών ομάδας σε αυτές. "Γιατί δεν μπορείτε να χωρίσετε τον αρχικό τομέα σε πολλούς τομείς αντί να χρησιμοποιήσετε ένα OU;" - εσύ ρωτάς.

Πολλοί ειδικοί συμβουλεύουν να έχετε έναν τομέα αν είναι δυνατόν. Ο λόγος για αυτό είναι η αποκέντρωση της διαχείρισης κατά τη δημιουργία ενός πρόσθετου τομέα, καθώς οι διαχειριστές κάθε τέτοιου τομέα λαμβάνουν απεριόριστο έλεγχο (να σας υπενθυμίσω ότι όταν εκχωρείτε δικαιώματα σε διαχειριστές OU, μπορείτε να περιορίσετε τη λειτουργικότητά τους).

Εκτός από αυτό, για να δημιουργήσετε έναν νέο τομέα (ακόμη και ένα θυγατρικό) θα χρειαστείτε έναν άλλο ελεγκτή. Εάν έχετε δύο ξεχωριστά τμήματα που συνδέονται με ένα αργό κανάλι επικοινωνίας, ενδέχεται να προκύψουν προβλήματα με την αναπαραγωγή. Σε αυτήν την περίπτωση, θα ήταν καταλληλότερο να υπάρχουν δύο τομείς.

Υπάρχει επίσης μια ακόμη απόχρωση της χρήσης πολιτικών ομάδας: οι πολιτικές που καθορίζουν τις ρυθμίσεις κωδικού πρόσβασης και τα κλείδωμα λογαριασμού μπορούν να εφαρμοστούν μόνο σε τομείς. Για τα OU, αυτές οι ρυθμίσεις πολιτικής αγνοούνται.

Ιστότοποι -Αυτός είναι ένας τρόπος για να διαχωρίσετε φυσικά μια υπηρεσία καταλόγου. Εξ ορισμού, ένας ιστότοπος είναι μια ομάδα υπολογιστών που συνδέονται με κανάλια γρήγορης μεταφοράς δεδομένων.

Εάν έχετε πολλά υποκαταστήματα σε διάφορα μέρη της χώρας, που συνδέονται με γραμμές επικοινωνίας χαμηλής ταχύτητας, τότε για κάθε υποκατάστημα μπορείτε να δημιουργήσετε τη δική σας ιστοσελίδα. Αυτό γίνεται για να αυξηθεί η αξιοπιστία της αναπαραγωγής καταλόγου.

Αυτή η διαίρεση του AD δεν επηρεάζει τις αρχές της λογικής κατασκευής, επομένως, όπως ένας ιστότοπος μπορεί να περιέχει πολλούς τομείς, και αντίστροφα, ένας τομέας μπορεί να περιέχει πολλές τοποθεσίες. Αλλά υπάρχει μια παγίδα σε αυτήν την τοπολογία υπηρεσίας καταλόγου. Κατά κανόνα, το Διαδίκτυο χρησιμοποιείται για την επικοινωνία με υποκαταστήματα - ένα πολύ ανασφαλές περιβάλλον. Πολλές εταιρείες χρησιμοποιούν μέτρα ασφαλείας όπως τείχη προστασίας. Η υπηρεσία καταλόγου χρησιμοποιεί περίπου μιάμιση ντουζίνα θύρες και υπηρεσίες στην εργασία της, το άνοιγμα των οποίων για τη διέλευση της κυκλοφορίας AD μέσω του τείχους προστασίας θα την εκθέσει στην πραγματικότητα "εξωτερικά". Η λύση στο πρόβλημα είναι η χρήση της τεχνολογίας tunneling, καθώς και η παρουσία ενός ελεγκτή τομέα σε κάθε τοποθεσία για την επιτάχυνση της επεξεργασίας των αιτημάτων πελατών AD.

Παρουσιάζεται η λογική της ένθεσης των στοιχείων της υπηρεσίας καταλόγου. Μπορεί να φανεί ότι το δάσος περιέχει δύο δέντρα τομέων, στα οποία ο ριζικός τομέας του δέντρου, με τη σειρά του, μπορεί να περιέχει OU και ομάδες αντικειμένων, και επίσης να έχει θυγατρικούς τομείς (σε αυτήν την περίπτωση, ένας για τον καθένα). Οι θυγατρικοί τομείς μπορούν επίσης να περιέχουν ομάδες αντικειμένων και OU και να έχουν θυγατρικούς τομείς (δεν φαίνεται στο σχήμα). Και ούτω καθεξής. Επιτρέψτε μου να σας υπενθυμίσω ότι τα OU μπορούν να περιέχουν OU, αντικείμενα και ομάδες αντικειμένων και οι ομάδες μπορούν να περιέχουν άλλες ομάδες.

Ομάδες χρηστών και υπολογιστών -χρησιμοποιούνται για διοικητικούς σκοπούς και έχουν την ίδια σημασία όπως όταν χρησιμοποιούνται σε τοπικά μηχανήματα στο δίκτυο. Σε αντίθεση με τα OU, οι πολιτικές ομάδας δεν μπορούν να εφαρμοστούν σε ομάδες, αλλά η διαχείριση μπορεί να ανατεθεί σε αυτές. Εντός του συστήματος Active Directory, υπάρχουν δύο τύποι ομάδων: ομάδες ασφαλείας (χρησιμοποιούνται για τη διαφοροποίηση των δικαιωμάτων πρόσβασης σε αντικείμενα δικτύου) και ομάδες διανομής (χρησιμοποιούνται κυρίως για τη διανομή μηνυμάτων email, για παράδειγμα, στον Microsoft Exchange Server).

Χωρίζονται κατά εύρος:

  • καθολικές ομάδεςμπορεί να περιλαμβάνει χρήστες εντός του δάσους καθώς και άλλες καθολικές ομάδες ή παγκόσμιες ομάδες οποιουδήποτε τομέα στο δάσος
  • παγκόσμιες ομάδες τομέαμπορεί να περιλαμβάνει χρήστες τομέα και άλλες παγκόσμιες ομάδες του ίδιου τομέα
  • τοπικές ομάδες τομέαχρησιμοποιείται για τη διαφοροποίηση των δικαιωμάτων πρόσβασης, μπορεί να περιλαμβάνει χρήστες τομέα, καθώς και καθολικές ομάδες και παγκόσμιες ομάδες οποιουδήποτε τομέα στο δάσος
  • τοπικές ομάδες υπολογιστών– ομάδες που περιέχουν SAM (διαχειριστής λογαριασμού ασφαλείας) του τοπικού μηχανήματος. Το εύρος τους περιορίζεται μόνο σε ένα δεδομένο μηχάνημα, αλλά μπορούν να περιλαμβάνουν τοπικές ομάδες του τομέα στον οποίο βρίσκεται ο υπολογιστής, καθώς και καθολικές και καθολικές ομάδες του δικού τους τομέα ή άλλου τομέα που εμπιστεύονται. Για παράδειγμα, μπορείτε να συμπεριλάβετε έναν χρήστη από την ομάδα τοπικών χρηστών τομέα στην ομάδα διαχειριστών του τοπικού μηχανήματος, δίνοντάς του έτσι δικαιώματα διαχειριστή, αλλά μόνο για αυτόν τον υπολογιστή

Ενεργό αρχείο

Ενεργό αρχείο("Ενεργοί κατάλογοι", ΕΝΑ Δ) - LDAP-Συμβατή υλοποίηση της υπηρεσίας καταλόγου της εταιρείας Microsoftγια οικογενειακά λειτουργικά συστήματα Windows NT. Ενεργό αρχείοεπιτρέπει στους διαχειριστές να χρησιμοποιούν πολιτικές ομάδας για να διασφαλίζουν ομοιόμορφη διαμόρφωση του περιβάλλοντος εργασίας του χρήστη, να αναπτύσσουν λογισμικό σε πολλούς υπολογιστές μέσω πολιτικών ομάδας ή μέσω System Center Configuration Manager(προηγουμένως Διακομιστής διαχείρισης συστημάτων Microsoft), εγκαταστήστε ενημερώσεις λογισμικού λειτουργικού συστήματος, εφαρμογών και διακομιστή σε όλους τους υπολογιστές του δικτύου χρησιμοποιώντας την υπηρεσία ενημέρωσης Windows Server . Ενεργό αρχείοαποθηκεύει δεδομένα και ρυθμίσεις περιβάλλοντος σε μια κεντρική βάση δεδομένων. Δίκτυα Ενεργό αρχείομπορεί να είναι διαφορετικών μεγεθών: από πολλές δεκάδες έως πολλά εκατομμύρια αντικείμενα.

Εκτέλεση Ενεργό αρχείοπραγματοποιήθηκε το 1999, το προϊόν κυκλοφόρησε για πρώτη φορά με Windows 2000 Server, και αργότερα τροποποιήθηκε και βελτιώθηκε κατά την κυκλοφορία Windows Server 2003. Ακολούθως Ενεργό αρχείοέχει βελτιωθεί σε Windows Server 2003 R2, Windows Server 2008Και Windows Server 2008 R2και μετονομάστηκε σε Υπηρεσίες τομέα Active Directory. Η υπηρεσία καταλόγου κλήθηκε προηγουμένως Υπηρεσία καταλόγου NT (NTDS), αυτό το όνομα μπορεί ακόμα να βρεθεί σε ορισμένα εκτελέσιμα αρχεία.

Σε αντίθεση με τις εκδόσεις Windowsπριν Windows 2000, που χρησιμοποιούσε κυρίως το πρωτόκολλο NetBIOSγια δικτυακή επικοινωνία, υπηρεσία Ενεργό αρχείοενσωματωμένο με DNSΚαι TCP/IP. Το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας είναι Kerberos. Εάν ο πελάτης ή η εφαρμογή δεν υποστηρίζει έλεγχο ταυτότητας Kerberos, χρησιμοποιείται το πρωτόκολλο NTLM .

Συσκευή

Αντικείμενα

Ενεργό αρχείοέχει μια ιεραρχική δομή που αποτελείται από αντικείμενα. Τα αντικείμενα εμπίπτουν σε τρεις κύριες κατηγορίες: πόρους (όπως εκτυπωτές), υπηρεσίες (όπως email) και λογαριασμούς χρηστών και υπολογιστών. Ενεργό αρχείοπαρέχει πληροφορίες σχετικά με αντικείμενα, σας επιτρέπει να οργανώνετε αντικείμενα, να ελέγχετε την πρόσβαση σε αυτά και επίσης να καθορίζετε κανόνες ασφαλείας.

Τα αντικείμενα μπορούν να είναι κοντέινερ για άλλα αντικείμενα (ομάδες ασφαλείας και διανομής). Ένα αντικείμενο προσδιορίζεται μοναδικά από το όνομά του και έχει ένα σύνολο χαρακτηριστικών—χαρακτηριστικών και δεδομένων—που μπορεί να περιέχει. τα τελευταία, με τη σειρά τους, εξαρτώνται από τον τύπο του αντικειμένου. Τα χαρακτηριστικά αποτελούν τη βάση της δομής ενός αντικειμένου και ορίζονται στο σχήμα. Το σχήμα ορίζει ποιοι τύποι αντικειμένων μπορούν να υπάρχουν.

Το ίδιο το σχήμα αποτελείται από δύο τύπους αντικειμένων: αντικείμενα κλάσης σχήματος και αντικείμενα χαρακτηριστικών σχήματος. Ένα αντικείμενο κλάσης σχήματος ορίζει έναν τύπο αντικειμένου Ενεργό αρχείο(όπως ένα αντικείμενο χρήστη) και ένα αντικείμενο χαρακτηριστικού σχήματος ορίζει το χαρακτηριστικό που μπορεί να έχει το αντικείμενο.

Κάθε αντικείμενο χαρακτηριστικών μπορεί να χρησιμοποιηθεί σε πολλά διαφορετικά αντικείμενα κλάσης σχήματος. Αυτά τα αντικείμενα ονομάζονται αντικείμενα σχήματος (ή μεταδεδομένα) και σας επιτρέπουν να αλλάξετε και να επεκτείνετε το σχήμα όπως απαιτείται. Ωστόσο, κάθε αντικείμενο σχήματος είναι μέρος των ορισμών των αντικειμένων Ενεργό αρχείο, επομένως η απενεργοποίηση ή η αλλαγή αυτών των αντικειμένων μπορεί να έχει σοβαρές συνέπειες, καθώς ως αποτέλεσμα αυτών των ενεργειών θα αλλάξει η δομή Ενεργό αρχείο. Οι αλλαγές σε ένα αντικείμενο σχήματος διαδίδονται αυτόματα σε Ενεργό αρχείο. Αφού δημιουργηθεί, ένα αντικείμενο σχήματος δεν μπορεί να διαγραφεί, μπορεί μόνο να απενεργοποιηθεί. Συνήθως, όλες οι αλλαγές σχήματος σχεδιάζονται προσεκτικά.

Δοχείοπαρόμοιος αντικείμενομε την έννοια ότι έχει επίσης ιδιότητες και ανήκει σε έναν χώρο ονομάτων, αλλά, σε αντίθεση με ένα αντικείμενο, ένα κοντέινερ δεν σημαίνει τίποτα συγκεκριμένο: μπορεί να περιέχει μια ομάδα αντικειμένων ή άλλα δοχεία.

Δομή

Το ανώτερο επίπεδο της δομής είναι το δάσος - η συλλογή όλων των αντικειμένων, χαρακτηριστικών και κανόνων (σύνταξη χαρακτηριστικών) στο Ενεργό αρχείο. Ένα δάσος περιέχει ένα ή περισσότερα δέντρα που συνδέονται με μεταβατικό σχέσεις εμπιστοσύνης . Το δέντρο περιέχει έναν ή περισσότερους τομείς, που συνδέονται επίσης σε μια ιεραρχία με μεταβατικές σχέσεις εμπιστοσύνης. Οι τομείς προσδιορίζονται από τις δομές ονομάτων DNS τους - τους χώρους ονομάτων.

Τα αντικείμενα σε έναν τομέα μπορούν να ομαδοποιηθούν σε κοντέινερ - διαιρέσεις. Τα τμήματα σάς επιτρέπουν να δημιουργήσετε μια ιεραρχία εντός ενός τομέα, να απλοποιήσετε τη διαχείρισή του και σας επιτρέπουν να μοντελοποιήσετε την οργανωτική και/ή γεωγραφική δομή μιας εταιρείας σε Ενεργό αρχείο. Τα τμήματα μπορεί να περιέχουν άλλα τμήματα. Εταιρεία Microsoftσυνιστά τη χρήση όσο το δυνατόν λιγότερων τομέων Ενεργό αρχείο, και χρησιμοποιήστε τμήματα για τη διάρθρωση και τις πολιτικές. Συχνά οι πολιτικές ομάδας εφαρμόζονται ειδικά σε τμήματα. Οι πολιτικές ομάδας είναι από μόνες τους αντικείμενα. Το τμήμα είναι το χαμηλότερο επίπεδο στο οποίο μπορεί να ανατεθεί η διοικητική εξουσία.

Ένας άλλος τρόπος διαίρεσης Ενεργό αρχείοείναι τοποθεσίες , που είναι μια μέθοδος φυσικής (και όχι λογικής) ομαδοποίησης που βασίζεται σε τμήματα δικτύου. Οι ιστότοποι χωρίζονται σε αυτούς που έχουν συνδέσεις μέσω καναλιών χαμηλής ταχύτητας (για παράδειγμα, μέσω καναλιών παγκόσμιου δικτύου, χρησιμοποιώντας εικονικά ιδιωτικά δίκτυα) και μέσω καναλιών υψηλής ταχύτητας (για παράδειγμα, μέσω τοπικού δικτύου). Ένας ιστότοπος μπορεί να περιέχει έναν ή περισσότερους τομείς και ένας τομέας μπορεί να περιέχει έναν ή περισσότερους ιστότοπους. Κατά το σχεδιασμό Ενεργό αρχείοΕίναι σημαντικό να λάβετε υπόψη την κίνηση δικτύου που δημιουργείται όταν τα δεδομένα συγχρονίζονται μεταξύ των τοποθεσιών.

Βασική απόφαση σχεδιασμού Ενεργό αρχείοείναι η απόφαση να χωριστεί η πληροφοριακή υποδομή σε ιεραρχικούς τομείς και μονάδες ανώτατου επιπέδου. Τα τυπικά μοντέλα που χρησιμοποιούνται για αυτόν τον διαχωρισμό είναι μοντέλα διαχωρισμού ανά λειτουργικά τμήματα της εταιρείας, κατά γεωγραφική θέση και ανά ρόλους στην υποδομή πληροφοριών της εταιρείας. Συχνά χρησιμοποιούνται συνδυασμοί αυτών των μοντέλων.

Φυσική δομή και αντιγραφή

Φυσικά, οι πληροφορίες αποθηκεύονται σε έναν ή περισσότερους ισοδύναμους ελεγκτές τομέα, αντικαθιστώντας αυτούς που χρησιμοποιούνται σε Windows NTελεγκτές πρωτεύοντος και εφεδρικού τομέα, αν και διατηρείται ένας αποκαλούμενος διακομιστής "single master operations" για ορισμένες λειτουργίες, οι οποίοι μπορούν να μιμηθούν έναν κύριο ελεγκτή τομέα. Κάθε ελεγκτής τομέα διατηρεί ένα αντίγραφο ανάγνωσης-εγγραφής των δεδομένων. Οι αλλαγές που γίνονται σε έναν ελεγκτή συγχρονίζονται με όλους τους ελεγκτές τομέα μέσω αναπαραγωγής. Διακομιστές στους οποίους η ίδια η υπηρεσία Ενεργό αρχείοδεν είναι εγκατεστημένα, αλλά αποτελούν μέρος του τομέα Ενεργό αρχείο, ονομάζονται διακομιστές μελών.

Αντιγραφή Ενεργό αρχείοπραγματοποιηθεί κατόπιν αιτήματος. Υπηρεσία Έλεγχος συνέπειας γνώσηςδημιουργεί μια τοπολογία αναπαραγωγής που χρησιμοποιεί τοποθεσίες που ορίζονται στο σύστημα για τον έλεγχο της κυκλοφορίας. Η ενδοδικτυακή αναπαραγωγή πραγματοποιείται συχνά και αυτόματα χρησιμοποιώντας έναν έλεγχο συνέπειας (ειδοποιώντας τους συνεργάτες αναπαραγωγής για αλλαγές). Η αναπαραγωγή μεταξύ τοποθεσιών μπορεί να διαμορφωθεί για κάθε κανάλι τοποθεσίας (ανάλογα με την ποιότητα του καναλιού) - μπορεί να εκχωρηθεί διαφορετική "βαθμολογία" (ή "κόστος") σε κάθε κανάλι (π.χ. DS3, , ISDNκ.λπ.), και η κυκλοφορία αναπαραγωγής θα περιοριστεί, θα προγραμματιστεί και θα δρομολογηθεί σύμφωνα με την εκχωρημένη εκτίμηση σύνδεσης. Τα δεδομένα αναπαραγωγής μπορούν να ρέουν μεταβατικά σε πολλούς ιστότοπους μέσω γεφυρών συνδέσμων ιστότοπου, εάν η "βαθμολογία" είναι χαμηλή, αν και η AD εκχωρεί αυτόματα χαμηλότερη βαθμολογία σε συνδέσμους ιστότοπου σε ιστότοπο παρά σε μεταβατικούς συνδέσμους. Η αναπαραγωγή από ιστότοπο σε ιστότοπο εκτελείται από διακομιστές προγεφύρωσης σε κάθε τοποθεσία, οι οποίοι στη συνέχεια αναπαράγουν αλλαγές σε κάθε ελεγκτή τομέα στον ιστότοπό του. Η αναπαραγωγή εντός τομέα ακολουθεί το πρωτόκολλο RPCσύμφωνα με το πρωτόκολλο IP, interdomain - μπορεί επίσης να χρησιμοποιήσει το πρωτόκολλο SMTP.

Αν η δομή Ενεργό αρχείοπεριέχει πολλούς τομείς, χρησιμοποιείται για την επίλυση του προβλήματος της αναζήτησης αντικειμένων παγκόσμιος κατάλογος: Ένας ελεγκτής τομέα που περιέχει όλα τα αντικείμενα στο δάσος, αλλά με ένα περιορισμένο σύνολο χαρακτηριστικών (ένα μερικό αντίγραφο). Ο κατάλογος αποθηκεύεται σε καθορισμένους διακομιστές καθολικού καταλόγου και εξυπηρετεί αιτήματα μεταξύ τομέων.

Η δυνατότητα ενός κεντρικού υπολογιστή επιτρέπει την επεξεργασία αιτημάτων όταν δεν είναι δυνατή η αναπαραγωγή πολλαπλών κεντρικών υπολογιστών. Υπάρχουν πέντε τύποι τέτοιων λειτουργιών: εξομοίωση κύριου ελεγκτή τομέα (εξομοιωτής PDC), κύριος σχετικός αναγνωριστικός κύριος (σχετικός κύριος αναγνωριστικός ή κύριος RID), κύριος υποδομής (κύριος φορέας υποδομής), κύριος φορέας (κύριο σχήματος) και κύριος τομέας ονομασίας τομέα. (τομέας μάγος ονομασίας). Οι τρεις πρώτοι ρόλοι είναι μοναδικοί εντός του τομέα, οι δύο τελευταίοι είναι μοναδικοί σε ολόκληρο το δάσος.

Βάση Ενεργό αρχείομπορεί να χωριστεί σε τρία λογικά καταστήματα ή "partitions". Το διάγραμμα είναι ένα πρότυπο για Ενεργό αρχείοκαι ορίζει όλους τους τύπους αντικειμένων, τις κλάσεις και τα χαρακτηριστικά τους, τη σύνταξη χαρακτηριστικών (όλα τα δέντρα βρίσκονται στο ίδιο δάσος επειδή έχουν το ίδιο σχήμα). Η διαμόρφωση είναι η δομή του δάσους και των δέντρων Ενεργό αρχείο. Ένας τομέας αποθηκεύει όλες τις πληροφορίες σχετικά με αντικείμενα που δημιουργήθηκαν σε αυτόν τον τομέα. Οι δύο πρώτοι χώροι αποθήκευσης αναπαράγονται σε όλους τους ελεγκτές τομέα στο σύμπλεγμα δομών, το τρίτο διαμέρισμα αναπαράγεται πλήρως μεταξύ ελεγκτών αντιγράφων σε κάθε τομέα και εν μέρει αναπαράγεται σε διακομιστές καθολικού καταλόγου.

Ονομασία

Ενεργό αρχείουποστηρίζει τις ακόλουθες μορφές ονομασίας αντικειμένων: ονόματα γενικών τύπων UNC, URLΚαι URL LDAP. Εκδοχή LDAPΜορφή ονομασίας X.500 που χρησιμοποιείται εσωτερικά Ενεργό αρχείο.

Κάθε αντικείμενο έχει διακεκριμένο όνομα (Αγγλικά) διακεκριμένο όνομα, DN) . Για παράδειγμα, ένα αντικείμενο εκτυπωτή με όνομα HPLaser3στο Marketing OU και στον τομέα foo.org θα έχει το ακόλουθο διακριτικό όνομα: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , όπου CN είναι το κοινό όνομα, OU είναι η ενότητα, DC είναι ο τομέας κλάση αντικειμένου. Τα διακεκριμένα ονόματα μπορεί να έχουν πολλά περισσότερα μέρη από τα τέσσερα μέρη σε αυτό το παράδειγμα. Τα αντικείμενα έχουν επίσης κανονικά ονόματα. Αυτά είναι διακριτικά ονόματα γραμμένα με αντίστροφη σειρά, χωρίς αναγνωριστικά και χρησιμοποιώντας καθέτους προς τα εμπρός ως οριοθέτες: foo.org/Marketing/HPLaser3. Για να ορίσετε ένα αντικείμενο μέσα στο κοντέινερ του, χρησιμοποιήστε σχετικό διακεκριμένο όνομα : CN=HPLaser3 . Κάθε αντικείμενο έχει επίσης ένα παγκοσμίως μοναδικό αναγνωριστικό ( ΟΔΗΓΟΣ) είναι μια μοναδική και αμετάβλητη συμβολοσειρά 128-bit που χρησιμοποιείται σε Ενεργό αρχείογια αναζήτηση και αναπαραγωγή. Ορισμένα αντικείμενα έχουν επίσης UPN ( UPN, σύμφωνα με RFC 822) στη μορφή object@domain.

Ενσωμάτωση UNIX

Διάφορα επίπεδα αλληλεπίδρασης με Ενεργό αρχείομπορεί να εφαρμοστεί στα περισσότερα UNIX-όπως λειτουργικά συστήματα μέσω συμβατών με τα πρότυπα LDAPπελάτες, αλλά τέτοια συστήματα, κατά κανόνα, δεν αντιλαμβάνονται τα περισσότερα από τα χαρακτηριστικά που σχετίζονται με τα στοιχεία Windows, όπως πολιτικές ομάδας και υποστήριξη μονόδρομων εξουσιοδοτήσεων.

Τρίτοι προμηθευτές προσφέρουν ενσωματώσεις Ενεργό αρχείοσε πλατφόρμες UNIX, συμπεριλαμβανομένου UNIX, Linux, Mac OS Xκαι μια σειρά από εφαρμογές που βασίζονται σε Ιάβα, με πακέτο προϊόντων:

Οι προσθήκες σχήματος περιλαμβάνονται με Windows Server 2003 R2περιλαμβάνει χαρακτηριστικά που σχετίζονται αρκετά στενά με το RFC 2307 ώστε να χρησιμοποιούνται γενικά. Βασικές υλοποιήσεις των RFC 2307, nss_ldap και pam_ldap, που προτείνονται PADL.com, υποστηρίζουν άμεσα αυτά τα χαρακτηριστικά. Το τυπικό σχήμα για την ιδιότητα μέλους ομάδας ακολουθεί το RFC 2307bis (προτεινόμενο). Windows Server 2003 R2περιλαμβάνει την Κονσόλα διαχείρισης της Microsoft για τη δημιουργία και την επεξεργασία χαρακτηριστικών.

Μια εναλλακτική επιλογή είναι να χρησιμοποιήσετε μια άλλη υπηρεσία καταλόγου, όπως π.χ Διακομιστής καταλόγου 389(προηγουμένως Διακομιστής καταλόγου Fedora, FDS), eB2Bcom ViewDS v7.1 Κατάλογος με δυνατότητα XMLή Διακομιστής καταλόγου συστήματος Sun Javaαπό Sun Microsystems, το οποίο εκτελεί αμφίδρομο συγχρονισμό με Ενεργό αρχείο, πραγματοποιώντας έτσι την «αντανακλαστική» ολοκλήρωση όταν οι πελάτες UNIXΚαι Linuxείναι πιστοποιημένα FDSκαι πελάτες Windowsείναι πιστοποιημένα Ενεργό αρχείο. Μια άλλη επιλογή είναι να χρησιμοποιήσετε OpenLDAPμε δυνατότητα ημιδιαφανούς επικάλυψης που επεκτείνει τα στοιχεία απομακρυσμένου διακομιστή LDAPπρόσθετα χαρακτηριστικά που είναι αποθηκευμένα στην τοπική βάση δεδομένων.

Ενεργό αρχείοαυτοματοποιούνται χρησιμοποιώντας Powershell .

Βιβλιογραφία

  • Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Πλήρης Οδηγός = Microsoft Exchange Server 2003 Unleashed. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0

δείτε επίσης

Συνδέσεις

Σημειώσεις

Σχετικές δημοσιεύσεις