УМК Комп. сети ч.2 / ответы к вопросам / Основные концепции Active Directory

Основные концепции

Active Directory

Для организации доменов на базе систем Windows 2000 Server и Windows Server

2003 используется служба каталога Active Directory. Каждый контроллер до-

мена под управлением этих систем является сервером каталога Active Directory,

и службу Active Directory невозможно развернуть без создания доменной струк-

туры'. Поскольку понятия "домены Windows 2000/Server 2003" и "служба катало-

га Active Directory" тесно связаны, мы рассмотрим сначала возможности, орга-

низацию и использование службы Active Directory. Развертывание доменов на ее

основе подробно описывается в следующей главе.

Понятие службы каталога

и Active Directory

Объединение компьютеров в единую информационную сеть позволяет пользова-

телям совместно использовать общие ресурсы. Современные операционные сис-

темы, ориентированные на корпоративный рынок, используют для организации

ресурсов специальную сетевую службу, дающую клиентам возможность получе-

ния доступа к ресурсам сети без необходимости точного знания местоположе-

ния этих ресурсов. Речь идет о службе каталога (Directory Service). Каталог при

этом рассматривается как глобальное унифицированное хранилище информа-

ции об элементах сетевой инфраструктуры. Вся информация о компонентах се-

тевой инфраструктуры, в качестве которых могутвыступать пользователи, ре-

сурсы, сетевые службы и т. п., размещается в каталоге. Внутри каталога объекты

организуются либо в соответствии с физической, либо логической структурой

сети. В качестве аналогии можно провести параллель с библиотечным катало-

гом, содержащим упорядоченные сведения о книгах.

Автономная версия службы каталога — Active Directory/Application Mode — не входит в со-

став систем Windows Server 2003 и вышла летом 2003 года. Ее можно свободно загрузить

с веб-сайта Microsoft.

792 Часть V. Домены^ Active Directory

Ниже перечислены задачи, которые служба каталога позволяет решить админи-

стратору.

G Управление сетевыми ресурсами. Поскольку задача предоставления ресурсов

в общее пользование является основной, ради чего компьютеры объединяют-

ся в сеть, необходимо, чтобы пользователи получали доступ к требуемым ре-

сурсам наиболее эффективным способом. Служба каталога облегчает пользо-

вателям поиск нужных ресурсов, скрывая от них подробности реализации

механизма поиска. Пользователь формулирует запрос, а служба каталога ло-

кализует требуемый ресурс.

О Управление пользователями. Каждому пользователю поставлен в соответствие

определенный набор характеристик, позволяющий персонализировать его

деятельность в сети. Это дает возможность управлять доступом к сетевым ре-

сурсам на уровне пользователей. При этом служба каталога рассматривает

пользователей в качестве обыкновенных объектов каталога, что дает возмож-

ность организовывать их в соответствии со структурой сети (логической либо

физической).

G Управление приложениями. В зависимости от того, на решение каких кон-

кретно задач ориентируются пользователи, на их компьютерах может быть

развернуто различное программное обеспечение. В небольшой локальной се-

ти осуществление контроля используемого программного обеспечения не

требует от администратора особых усилий. В случае большой корпорации на

передний план выходит задача по централизованному управлению про-

граммным обеспечением, включая развертывание новых приложений и вы-

полнение обновления существующих.

О Управление службами. При построении сети администратору приходится также

решать вопросы, связанные с конкретным способом ее организации. Напри-

мер, при построении сети на основе протокола TCP/IP нужно решить, каким

образом будет осуществляться выделение IP-адресов. Необходимо разработать

соглашение о сетевых именах и организовать процесс их разрешения в соот-

ветствующие IP-адреса. Большинство сетевых служб может быть интегрирова-

но со службой каталога, что позволит более эффективно организовать функ-

ционирование этих служб.

Практически все производители корпоративных операционных систем предла-

гают потребителям свои реализации службы каталога. Компания Microsoft пред-

лагает свою версию службы каталога, названную Active Directory. Впервые эта

служба каталога была реализована в составе операционной системы Windows 2000

Server. Обновленная версия Active Directory включена в Windows Server 2003.

Концептуально эти версии практически не отличаются, поэтому чаще всего

можно говорить о доменах Active Directory, подразумевая их реализацию на базе

систем Windows 2000 Server и/или Windows Server 2003. Особенности или улуч-

шения версии Windows Server 2003 оговариваются в книге особо.

Служба каталога Active Directory базируется на открытых стандартах.

Информационная модель Active Directory

Объекты и дерево каталога

Основным структурным компонентом каталога является элемент (entry), кото-

рый в терминологии Active Directory называется объектом (object). Объекты

являются фундаментальными единицами, которыми манипулирует служба ката-

лога. При этом каждый объект характеризует некоторую отдельную сущность

(например, принтер, компьютер, совместно используемую папку или пользо-

вателя).

Выделяют объекты двух типов — контейнерного и неконтейнерного. Объекты

контейнерного типа способны выступать в качестве родительских объектов и

могут быть использованы для размещения других объектов. Напрашивается ана-

логия с папками файловой системы, в которых могут быть размещены файлы и

другие папки. Объекты контейнерного типа используются для организации объ-

ектов по какому-либо признаку. Например, все объекты, ассоциированные

с пользователями, размещаются внутри объекта контейнерного типа. Объекты,

ассоциированные с компьютерами, размещаются в другом объекте контейнерно-

го типа. Такой подход позволяет упорядочить объекты и облегчить управление

ими.

Множество объектов,содержащихся во множестве вложенных контейнеров, ор-

ганизовано в иерархическую структуру, которая в терминологии Х.500 называет-

ся информационным деревом каталога (Directory Information Tree, DIT). Листьями

этого дерева всегда выступают объекты не контейнерного типа, в то время как

в качестве узлов дерева (node) выступают объекты контейнерного типа.

Каждую ветку дерева, вместе со всей совокупностью порожденных ею веток,

можно рассматривать по отдельности как самостоятельное дерево. Такая сово-

купность называется прилегающим поддеревом (contiguous subtree). Можно пред-

ставить пространство имен каталога в виде множества прилегающих поддеревьев.

Фрагменты, представляющие собой законченные и непрерывные прилегающие

поддеревья, называются контекстами имен (naming context). Самый верхний

элемент в иерархии объектов каталога в терминологии Х.500 называют корнем

дерева. Роль корня информационного дерева каталога в спецификации Х.500

играет объект rootDSE.

Атрибуты

Каждый объект каталога состоит из набора атрибутов (attributes), каждый из

которых содержит частичку информации, характеризующей объект, Так, напри-

мер, в качестве атрибутов экземпляра класса "пользователь" могут выступать

имяи фамилия пользователя, а также имя сопоставленной ему учетной записи.

В документации Microsoft часто называет атрибутами свойства (properties) объ-

екта. Атрибуты могут быть обязательными (mandatory) или необязательными

(optional). Значения обязательных атрибутов должны быть явно определены в

процессе создания объекта.

С каждым атрибутом в схеме связано понятие синтаксиса (syntax), который, по

своей сути, является характеристикой атрибута. Синтаксис определяет тип зна-

чения атрибута (число, строка), порядок следования байтов и правила сравне-

ния (matching rules), используемые для сравнения атрибутов данного типа.

Служба каталога Active Directory допускает добавление описаний новых атрибу-

тов и изменение существующих. Однако добавление новых синтаксисов, так же

как и изменение существующих, запрещается. Определяя новый атрибут, адми-

нистратор может только выбрать необходимый синтаксис из списка уже сущест-

вующих.

Схема каталога

Определения всех классов объектов, а также совокупность правил, позволяющих

управлять структурой каталога и его содержимым, хранятся в специальной

иерархической структуре, которая называется схемой каталога (schema). Чтобы

создать в каталоге объект новоготипа, необходимо, прежде всего, добавить в

схему определение нового класса объектов. При этом принято говорить о рас-

ширении (extending) схемы. Возможность расширения схемы фактически озна-

чает расширяемость каталога путем его адаптации для хранения новых типов

объектов.

Информация схемы также хранится в виде объектов двух классов: схемы классов

(Class schema) и схемы атрибутов (Attribute schema). Схема классов объединяет

классы, определяющие типы объектов. В схеме атрибутов описываются атрибу-

ты, которые могут быть определены для объектов каталога. Для каждого класса

объектов в схеме определяются:

G перечень атрибутов, которые обязательно должны быть определены для эк-

земпляров указанного класса;

О перечень атрибутов, которые могут быть определены для экземпляров данно-

го класса;

П совокупность правил, определяющих возможных объектов-родителей и объ-

ектов-потомков.

Схемы именования объектов

в Active Directory

Протокол LDAP предполагает единственный способ идентификации объектов

в каталоге посредством отличительных имен. Однако служба каталога Active

Directory позволяет использовать целый ряд дополнительных схем именования,

каждая из которых применяется в определенных ситуациях.

Основные имена субъектов безопасности

Механизм основных имен (Security Principal Name, SPN) реализует способ имено-

вания объектов каталога, рассматриваемых подсистемой безопасности Windows

Server 2003 в качестве своих субъектов. Основное имя субъекта системы без-

опасности определяется в качестве одного из атрибутов объекта каталога и име-

ет следующий формат:

<имя_субъекта>@<суффикс_основного__имени>

В качестве суффикса основного имени может выступать DNS-имя текущего или

корневого домена. Возможно также применение альтернативных суффиксов,

например, iex@ayan.ru или kaizer@khsu. Используемый для образования основ-

ного имени суффикс должен удовлетворять правилам построения доменных

имен.

Применительно к объектам, ассоциированным с пользователями, следует гово-

рить об основном имени пользователя (User Principal Name, UPN). Основное имя

позволяет упростить процесс регистрациипользователей в сети на компьютерах,

принадлежащих к различным доменам. Основное имя уникально в пределах ле-

са доменов, поэтому для регистрации от пользователя не требуется указания до-

мена, к которому он принадлежит. Ниже приводится пример основного имени

пользователя:

lex@ayan.ru

Другой плюс использования основных имен для идентификации объектов за-

ключается в том, что основное имя никоим образом не связано с его отличи-

тельным именем. Вследствие этого основное имя не меняется даже в случае пе-

ремещения объекта в рамках каталога.

Полные доменные имена

Полное доменное имя (Fully Qualified Domain Name, FQDN) используется для

однозначной идентификации объектов в пространстве доменных имен. Полное

доменное имя образуется в соответствии с соглашениями о доменных именах.

В рамках службы каталога механизм полных доменных имен используется для

идентификации доменов и принадлежащих им компьютеров. Применительно

к компьютеру полное доменное имя состоит из имени компьютера и имени до-

мена. Ниже приводится пример полного доменного имени для компьютера root,

являющегося частью домена khsu.ru:

root.khsu.ru

Глобально уникальные идентификаторы

Отличительное имя однозначно определяет объект в каталоге. Однако переме-

щение объекта или его переименование (равно как и переименование любого из

контейнеров, внутри которых данный объект содержится) приводит к измене-

нию его отличительного имени. Это может привести к неправильной работе

приложений, использующих отличительные имена для уникальной идентифика-

ции объектов. Задача уникальной и однозначной идентификации объекта может

быть решена посредством введения специального атрибута, значение которого

не менялось бы при переименовании или перемещении объекта. В службе ката-

лога Active Directory обеспечение уникальности объектов достигается с по-

мощью глобально уникального идентификатора (Global Unique Identifier, GUID),

представляющего собой 128-разрядное число.

Глобально уникальный идентификатор генерируется непосредственно в момент

создания объекта в каталоге и является одним из обязательных атрибутов, кото-

рый не может быть изменен ни при каких обстоятельствах. В случае изменения

отличительного имени глобально уникальный идентификатор остается неизмен-

ным, определяя конкретный объект каталога. Это свойство глобальныхиденти-

фикаторов можно использовать при разработке приложений, работающих с объ-

ектами каталога.

__