3. Логическая структура Active Directory. Организационное подразделение, дерево доменов, лес доменов.

Active Directory – служба каталога.

Active Directory представляет собой совокупность служб, обслуживающих обращения пользователей к каталогу. Каталог рассматривается как распределенная база данных, в которой хранятся сведения об объектах сети. Пользователь не может работать с каталогом напрямую, а взаимодействует с ним через целый ряд подсистем и механизмов, которые в совокупности называются службой каталога.

Служба каталога является хранилищем информации, которая используется для целей как доступа к информации об объектах (таких как пользователи, компьютеры, домены и т.д.), так и для обеспечения служб аутентификации (проверки подлинности) и безопасности. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Функции службы каталогов:

• организационное разделение каталога;

• позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды. (Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики);

• позволяют развёртывать ПО на множестве компьютеров;

• позволяет устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети;

• репликация каталога между распределенными участками;

Active Directory может рассматриваться как физическая и логическая структура, и эти структуры тесно взаимодействуют друг с другом. Логическая часть Active Directory включает в себя леса, деревья, домены, OU и глобальные каталоги.

Логическая структура Active Directory.

Active Directory (AD) имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например принтеры), службы (например, электронная почта) и люди (учётные записи пользователей и групп пользователей). Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Каждый объект представляет отдельную сущность — пользователя, компьютер, принтер, приложение или общую сетевую папку — и его атрибуты. Объект уникально идентифицируется своим именем и имеет набор атрибутов — характеристик и данных, которые объект может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базовой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать в AD.

Домен – основная логическая единица каталога. Группа компьютеров одной сети, имеющих единый центр (который называется контроллером домена), использующий единую базу пользователей (то есть учётные записи находятся не на каждом в отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему), единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим. Домен также является единицей для репликации – все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.

OU – организационная единица (подразделение) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. OU существуют только внутри доменов и могут объединять только объекты из своего домена. OU могут быть вложенными друг в друга, что позволяет осуществлять более гибкий административный контроль.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Дерево – является набором доменов, которые используют связанные (прилегающие) пространства имен. В данной конфигурации домены подпадают под взаимоотношение дети-родители, при котором дочерний домен получает имя от родительского. Например, я могу создать дочерний домен называемый Canada в домене company.com, тогда его полное имя будет – Canada.company.com. Дочерний домен автоматически получает двухсторонние транзитивные доверительные отношения с родительским доменом. Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к данному домену. Заметьте, что домен Canada.company.com продолжает оставаться отдельным доменом, что означает, что он остается единицей для целей безопасности и репликации. Поэтому администраторы из домена company.com не могут администрировать домен Canada.company.com до тех пор, пока им явно не будет дано такое право.

Лес – лес является наиболее крупной структурой в Active Directory и объединяют деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). Лес может состоять из произвольного количества деревьев домена. В лесе все деревья объединены транзитивными двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ.

Первое созданное в лесу доменов дерево является корневым деревом. Корневое дерево используется для ссылки на лес доменов. Первый, созданный в дереве домен называется корневым доменом дерева (tree root domain), который используется для ссылки на данное дерево. Совершенно очевидно, что корневой домен является определяющим для всего дерева.

Соответственно, первый домен, созданный в лесу доменов, называется корневым доменом леса (forest root domain). Корневой домен леса играет очень важную роль, связывая деревья, образующие лес доменов, воедино и поэтому не может быть удален. В частности, он хранит информацию о конфигурации леса и деревьях доменов, его образующих, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего вашего леса Active Directory.