- •Лабораторная работа № 1
- •Раздел1. Консоль Microsoft Management Console (mmc)
- •Интерфейс пользователя консоли ммс
- •Введение в Active Directory
- •Знакомство с Active Directory
- •Компоненты Active Directory
- •Концепции работы Active Directory
- •Планирование внедрения Active Directory
- •Рис 4-1. Деление фирмы Microsoft по функциональному и географическому признакам
- •Планирование доменного пространства имен
- •Оптимизация трафика регистрации рабочей станции
- •Установка Active Directory
- •Режимы домена
- •Удаление Active Directory с контроллера домена
- •Задание 1: просмотрите домен из окна My Network Places
- •Задание 2: просмотрите домен с помощью Active Directory Users And Computers
- •Задание 3: протестируйте службу dns с помощью консоли dns
- •Роли хозяина операций
- •Определение хозяина относительных идентификаторов, эмулятора рос и хозяина инфраструктуры
- •Определение хозяина именования доменов
- •Определение хозяина схемы
- •Передача роли хозяина относительных идентификаторов, эмулятора pdc или хозяина инфраструктуры
- •Передача роли хозяина именования доменов
- •Передача роли хозяина схемы
- •Внедрение структуры оп
- •Создание оп
- •Настройка свойств оп
- •Задание 4: создайте оп
Компоненты Active Directory
Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют следующие компоненты Active Directory: домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физическими подсетями) и контроллерами доменов. В Active Directory логическая структура полностью отделена от физической.
Логическая структура
В Active Directory ресурсы организованы в логическую структуру, отражающую структуру вашей организации. Это позволяет находить ресурс по его имени, а не физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей. На рис. 2-2 показаны взаимоотношения компонентов Active Directory.
Домен
Основным элементом логической структуры в Active Directory является домен, способный содержать миллионы объектов. В домене хранятся объекты, которые считаются «интересными» для сети. «Интересные» объекты — это то, в чем члены сетевого сообщества нуждаются для своей работы: принтеры, документы, адреса электронной почты, базы данных, пользователи, распределенные компоненты и прочие ресурсы. Active Directory может состоять из одного или более доменов.
Объединение объектов в один или более доменов позволяет отразить в сети организационную структуру компании. Общие характеристики доменов таковы:
• все сетевые объекты существуют в пределах домена, а каждый домен хранит информацию только о тех объектах, которые содержит. Теоретически каталог домена может содержать до 10 миллионов объектов, но фактически — это около 1 миллиона объектов на домен;
• домен обеспечивает безопасность. В списках управления доступом (access control lists, ACL) определяется доступ к объектам домена. В них заданы разрешения для пользователей, которые могут получить доступ к объекту, и указан тип этого доступа. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и другие объекты Active Directory. В разных доменах никакие параметры безопасности, например административные права, политики безопасности, списки управления доступом, не пересекаются между собой. Администратор домена имеет абсолютное право устанавливать политики только внутри данного домена.
Организационное подразделение
Организационное подразделение (ОП) — это контейнер, используемый для объединения объектов домена в логические административные группы, отражающие деятельность или бизнес-структуру организации. Организационное подразделение (ОП) может содержать объекты, например учетные записи пользователей, группы, компьютеры, принтеры, приложения, совместно используемые файловые ресурсы, а также другие ОП из того же домена. Иерархия ОП одного домена не зависит от иерархической структуры другого домена, а каждый домен может иметь свою собственную структуру ОП.
ОП представляют собой средства выполнения административных задач, поскольку являются объектами наименьшего масштаба, которым разрешается делегировать административные полномочия, то есть администрирование пользователей и ресурсов.
На рис. 2-3 видно, что домен domain.com содержит три ОП: US, Orders и Disp. Летом количество заказов на отгрузку увеличивается, поэтому руководство решило нанять дополнительного администратора для отдела заказов. Он должен иметь права только для создания учетных записей пользователей, а также для предоставления пользователям доступа к файлам отдела и сетевым принтерам. Вместо создания другого домена этот запрос можно удовлетворить, передав новому администратору соответствующие права доступа в ОП Orders.
Рис. 2-3. Использование ОП для выполнения административных задач
Если в дальнейшем от нового администратора потребуют создавать учетные записи пользователей в ОП US, Orders и Disp, ему можно предоставить соответствующие права отдельно в каждом ОП. Однако лучше всего предоставить ему полномочия в ОП US, чтобы они были унаследованы в ОП Orders и Disp. По определению, в Active Directory все дочерние объекты (Orders и Disp) наследуют разрешения от своих объектов-родителей (US). Предоставление полномочий на высшем уровне с использованием возможностей их наследования облегчают жизнь администратору.
Дерево
Дерево (tree) — это группа, или иерархически упорядоченная совокупность из одного или более доменов Windows 2000, созданная путем добавления одного или более дочерних доменов к уже существующему родительскому домену. Все домены в дереве используют связанное пространство имен и иерархическую структуру именования.
Подробнее пространства имен описаны в следующем занятии. Характеристики деревьев таковы:
• согласно стандартам доменной системы имен (Domain Name System, DNS), доменным именем дочернего домена будет объединение его относительного имени и имени родительского домена. На рис. 2-4 microsoft.com является родительским доменом, а us.microsoft.com и uk.microsoft.com — его дочерними доменами. У uk.microsoft.com имеется дочерний домен sls.uk.microsoft.com;
• все домены в пределах одного дерева совместно используют общую схему, которая служит формальным определением всех типов объектов, находящихся в Вашем распоряжении при развертывании Active Directory;
• все домены в пределах одного дерева совместно используют общий глобальный каталог, который служит центральным хранилищем информации об объектах в дереве. Подробнее глобальный каталог рассматривается в следующем занятии.
Создавая иерархию доменов в дереве, Вы можете поддерживать должный уровень безопасности и регулировать административные полномочия в пределах ОП либо в пределах целого домена. Предоставив пользователю полномочия на ОП, эти разрешения вы сможете распространить вниз по дереву. Такую структуру дерева легко адаптировать к организационным изменениям в компании.
Лес
Лес (forest) — это группа, или иерархически упорядоченная совокупность, из одного или более отдельных и полностью независимых доменных деревьев. Деревья обладают следующими характеристиками:
Рис. 2-4. Дерево доменов
• у всех деревьев в лесе общая схема;
• у всех деревьев в лесе разные структуры именования, соответствующие своим доменам;
• все домены в лесе используют общий глобальный каталог;
• домены в лесе функционируют независимо друг от друга, однако лес допускает обмен данными в масштабе всей организации;
• между доменами и деревьями доменов существуют двусторонние доверительные отношения.
На рис. 2-5 лес образован из деревьев microsoft.com и msn.com. Пространство имен связано только в пределах каждого дерева.
microsoft.com
Физическая структура
Физические компоненты Active Directory — это узлы и контроллеры домена. Эти компоненты применяются для разработки структуры каталога, отражающей физическую структуру вашей организации.
Сайт
Сайт (site) — это объединение одной или более подсетей IP для создания максимально возможного ограничения сетевого трафика, высоконадежным каналом связи с высокой пропускной способностью. Как правило, границы узла совпадают с границами ЛВС. Когда Вы группируете подсети, следует объединять только те из них, которые между собой связаны быстрыми, дешевыми и надежными сетевыми соединениями. Быстрым считается соединение, обеспечивающее пропускную способность не менее 512 кбит/с, впрочем зачастую достаточно и 128 кбит/с.
В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры и пользователи сгруппированы в домены и ОП, а не в сай-
ты. Сайты содержат лишь объекты компьютеров и соединений, нужные для настройки межсайтовой репликации.
Примечание Один домен может охватывать несколько географических сайтов, а один сайт может содержать учетные записи пользователей и компьютеры из многих доменов.
Контроллеры домена
Контроллер домена — это компьютер с Windows 2000 Server, хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену. Ниже перечислены функции контроллеров домена:
• каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена;
• все контроллеры в домене автоматически реплицируют между собой все объекты в домене. При внесении в Active Directory каких-либо изменений они на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликаций и количество данных, которое Windows 2000 будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена;
• важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно;
• Active Directory использует репликацию с несколькими хозяевами (multimaster replicaton), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом;
• наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory;
• контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.
Резюме
В этом занятии вы узнали, что объект — это отдельный именованный набор атрибутов, которым представлен сетевой ресурс Active Directory. Атрибуты объекта описывают характеристики определенного ресурса в каталоге. В Active Directory объекты можно организовать в классы, которые служат логическими определениями объектов. Схема Active Directory содержит формальное определение содержания и структуры каталога, в том числе все атрибуты и классы объектов.
Также Active Directory предлагает метод проектирования структуры каталога, отвечающей потребностям и структуре конкретной организации. Логическая структура иерархии домена в Active Directory полностью отделена от физической структуры.
Логическое объединение ресурсов в Active Directory позволяет искать ресурс по его имени, а не по физическому расположению. Ключевым элементом логической структуры в Active Directory является домен, который хранит информацию только о тех объектах, которые он содержит. Организационное подразделение (ОП) — это контейнер, используемый для организации объектов в логические административные группы. Деревом называется иерархически упорядоченное объединение одного или более доменов Windows 2000, которые используют связанное пространство имен, а лесом — иерархически упорядоченное объединение одного или более деревьев, которые образуют раздельное пространство имен.
Физическая структура Active Directory основана на сайтах и контроллерах домена. Сайт — это группировка одной или более подсетей IP, объединенных высокоскоростными каналами связи. Контроллером домена называется компьютер с Windows 2000 Server, хранящий реплику каталога домена.