Что такое Active Directory Служба каталогов Active Directory (AD) - сервис, интегрированный с Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Доступ к ней возможен с помощью таких знакомых инструментов, как программа просмотра ресурсов Интернета. AD не только позволяет выполнять различные административные задачи, но и является поставщиком различных услуг в системе. На приведенном ниже рисунке схематично изображены основные функции службы каталогов. В Active Directory концепция пространства имен Интернета объединена с системными службами каталогов, что дает возможность единым образом управлять различными пространствами имен в гетерогенных средах корпоративных сетей. В качестве основного в AD используется легкий протокол доступа к каталогу LDAP (lightweight directory access protocol), позволяющий действовать за рамками операционной систе- мы, объединяя различные пространства имен. Active Directory может включать в себя каталоги других приложений или сетевых операцион- ных систем, а также управлять ими, что значительно снижает нагрузку на администраторов и накладные расходы.
Каталог - поставщик услуг в системе Active Directory не является каталогом Х.500, как иногда считают. Она использует лишь информационную модель Х.500 (без избыточности, присущей последнему), а в качестве протокола доступа - LDAP. В ре- зультате достигается так необходимая в гетерогенных системах высо- кая степень взаимодействия. LDAP - стандартный протокол доступа к каталогам (RFC1777) - был разработан как альтернатива протоколу доступа Х.500. В Active Directory поддерживаются как LDAP v2, так и LDAP v3. HTTP - стандартный протокол для отображения страниц Web. Active Directory дает возможность просмотреть любой объект в виде страни- цы Web. Расширения Internet Information Server, поставляемые совмес- тно со службой каталога, преобразуют запросы к объектам каталога в страницы HTML. Active Directory позволяет централизовано администрировать все ре- сурсы, любые произвольные объекты и сервисы: файлы, периферийные устройства, базы данных, подключения к Web, учетные записи и др. В качестве поискового сервиса используется DNS. Все объекты внутри домена объединяются в организационные единицы (OU), составляю- щие иерархичные структуры. В свою очередь, домены могут объеди- няться в деревья. Администрирование упростилось по сравнению с предыдущими вер- сиями: больше нет первичного и резервных контроллеров домена. Все контроллеры доменов, используемые службой каталогов, равноправны. Изменения можно вносить на любом контроллере, а на остальные они будут тиражироваться автоматически. Еще одна особенность Active Directory - поддержка нескольких хра- нилищ, в каждом из которых может находиться до 10 миллионов объек- тов. Понятно, что при таких возможностях эта служба каталогов пре- красно проявляет себя как в малых сетях, так и в больших системах. Архитектура Active Directory Основная структурная единица Active Directory - дерево доменов, свя- занных доверительными отношениями друг с другом. Внутри каждого домена может располагаться иерархия организационных единиц (OU). Иерархия OU внутри одного домена никак не связана с иерархией OU в других доменах. Наоборот, они полностью независимы. Такая двухъярусная иерархичная структура предоставляет высокую сте- пень свободы в администрировании деревьев доменов. Например, всем деревом доменов целиком может управлять центральная служба инфор- мационных технологий (ИТ), а во всех доменах будут созданы свои собственные организационные единицы, где учтены как работники, ответственные за локальную поддержку на местах, так и ресурсы, обес- печивающие эту поддержку. В каждом отдельном домене могут быть созданы дополнительные OU для выполнения конкретных задач. Так в домене головного офиса - OU отдела кадров и бухгалтерии, в филиалах - OU торговых представи- тельств. При этом административные права для каждой из этих OU могут делегироваться центральной службой ИТ сотрудникам упомяну- тых групп. Последние же, будучи наделены административными пол- номочиями только в рамках своих OU, никак не смогут помешать службе ИТ выполнять глобальное администрирование или вмешаться в де- ятельность другой OU.
Архитектура Active Directory Такая гибкость позволяет организовать каталог в точном соответствии со структурой Вашего предприятия. Причем, возможно отразить как централизованную, так и децентрализованную, а также некоторую сме- шанную модель управления предприятием. Например, дерево доменов может быть организовано по централизованной модели, а OU внутри доменов - по децентрализованной. Как уже упоминалось, внутри каждого домена - своя политика безо- пасности (подробнее об этом - в главе 2). Этой политикой определя- ются, в частности, требования к паролям, время жизни билетов Кег- beros, блокировки учетных записей и т. д. При создании учетной запи- си в домене для нее генерируется идентификатор безопасности (SID), частью которого является идентификатор домена, выдавшего SID. Это позволяет легко определять, какому домену принадлежит пользователь или группа и каковы их права доступа к ресурсам. Таким образом, мож- но говорить о физических границах безопасности домена, в рамках которых и выполняется его администрирование. Организационные единицы являются контейнерами, в которых могут содержаться другие организационные единицы или объекты (пользо- ватели, группы, принтеры или ресурсы распределенной файловой си- стемы). Разрешение создавать объекты или изменять их атрибуты мо- жет быть выдано отдельным пользователям или группам, что позволя- ет более четко разделять административные полномочия. Использование схемы Определение схемы, данное при первом ознакомлении с этим терми- ном, несколько расплывчато и, возможно, не дает общего понимания ее назначения. В схеме задано, какие объекты и с какими свойствами допустимы в каталоге. Во время установки Active Directory на первый контроллер доменов в лесу, служба каталогов по умолчанию создает схему, где содержатся все объекты и заданы свойства, необходимые для нормального функционирования службы каталогов. Предусматривает- ся также тиражирование каталога на все контроллеры домена, которые будут включены в лес позднее. Каталог содержит необходимую информацию о пользователях и объек- тах данной организации. Такие свойства Active Directory, как отказоус- тойчивость и расширяемость, позволяют использовать этот сервис в различных приложениях, например, по учету кадров. Стандартно в Active Directory уже определены такие атрибуты пользователя, как его имя, фамилия, номера телефонов, название офиса, домашний адрес. Но если понадобятся такие сведения, как зарплата сотрудника, его трудо- вой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти параметры можно задать дополнительно. Active Directory позволяет 'наращивать' схему, добавлять в нее новые свойства и классы на осно- ве существующих и с наследованием их свойств. Также можно задавать новые свойства, в том числе и существующим классам. При этом все свойства можно разделить на обязательные и возможные. Все обязательные свойства необходимо указывать при со- здании объекта. Например объект 'пользователь' обязательно должен иметь общее имя en (common name), пароль и SamAccountName (имя, используемое для обратной совместимости с предыдущими версиями). Возможные свойства можно и не указывать. Они лишь выполняют вспо- могательные функции и могут быть полезны, например, для админис- траторов или для других пользователей. Проиллюстрируем сказанное на примере приложения по учету кадров. Всех сотрудников предприя- тия можно условно разделить на две группы: постоянные и временные. Для постоянных сотрудников целесообразно создать новый класс Full- TimeEmp. В качестве возможных свойств этого класса можно добавить в схему зарплату и семейное положение. При этом права на чтение и изменение этих свойств будут иметь только сотрудники отдела кадров, а на чтение - лишь сам сотрудник. Администраторы сети также не имеют прав доступа к этим сведениям. Понятно, что такая свобода модификации и наращивания каталога должна опираться на мощные механизмы хранения и поиска инфор- мации. В Active Directory таким механизмом хранения служит ESE (Exten- sible Storage Engine) - улучшенная версия Jet-базы данных, использую- щейся в Microsoft Exchange версий 4 и 5.х2. В новой базе может содер- жаться до 17 терабайт данных, до 10 миллионов объектов.
Пример модификации схемы Еще одна особенность ESE - там хранятся только реально используе- мые значения свойств. Например, для объекта user определено по умол- чанию порядка 50 свойств. Но если Вы описали только 4 (имя, фами- лию, общее имя и пароль), то место для хранения будет отведено толь- ко для этих атрибутов. По мере описания других атрибутов место для них будет выделяться динамически. ESE позволяет хранить свойства, имеющие несколько значений, напри- мер, несколько телефонных номеров одного пользователя. При этом совсем не надо создавать атрибуты каждого телефонного номера. Подробнее о классах и атрибутах схемы, а также о том, как вносить в нее изменения, мы поговорим в одном из следующих разделов этой главы.
Рефераты по информатикеЧто такое Active Directory Служба каталогов Active Directory (AD) - сервис, интегрированный с Windows NT Server. Она обеспечивает иерархический вид
Оценок: 300 (Средняя 5 из 5)
Специалисты RetsCorp работают в digital-сфере более 7 лет. За это время мы разработали более 500+ успешных проектов. Основываясь на своем опыте и знании рынка, мы с уверенностью можем сказать, что будет работать, а что — нет. Заказывая создание лендинга для бизнеса в нашей студии, вы получаете работающие решения, необходимые именно вашему бизнесу.
Сотрудничая с нами, вы будете не клиентом, а нашим партнером. Благодаря этому мы будем развивать ваш бизнес как собственный. Мы так же как и вы заинтересованы в успехе проекта, поскольку ваша успешность будет нашей рекламой.