Компоненты Active Directory

Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют следующие компоненты Active Directory: домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физически­ми подсетями) и контроллерами доменов. В Active Directory логичес­кая структура полностью отделена от физической.

Логическая структура

В Active Directory ресурсы организованы в логическую структуру, от­ражающую структуру вашей организации. Это позволяет находить ресурс по его имени, а не физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей. На рис. 2-2 показаны вза­имоотношения компонентов Active Directory.

Домен

Основным элементом логической структуры в Active Directory являет­ся домен, способный содержать миллионы объектов. В домене хранят­ся объекты, которые считаются «интересными» для сети. «Интересные» объекты — это то, в чем члены сетевого сообщества нуждаются для сво­ей работы: принтеры, документы, адреса электронной почты, базы дан­ных, пользователи, распределенные компоненты и прочие ресурсы. Active Directory может состоять из одного или более доменов.

Объединение объектов в один или более доменов позволяет отра­зить в сети организационную структуру компании. Общие характе­ристики доменов таковы:

• все сетевые объекты существуют в пределах домена, а каждый до­мен хранит информацию только о тех объектах, которые содер­жит. Теоретически каталог домена может содержать до 10 милли­онов объектов, но фактически — это около 1 миллиона объектов на домен;

• домен обеспечивает безопасность. В списках управления доступом (access control lists, ACL) определяется доступ к объектам домена. В них заданы разрешения для пользователей, которые могут полу­чить доступ к объекту, и указан тип этого доступа. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и другие объекты Active Directory. В разных доменах никакие пара­метры безопасности, например административные права, полити­ки безопасности, списки управления доступом, не пересекаются между собой. Администратор домена имеет абсолютное право ус­танавливать политики только внутри данного домена.

Организационное подразделение

Организационное подразделение (ОП) — это контейнер, используе­мый для объединения объектов домена в логические административ­ные группы, отражающие деятельность или бизнес-структуру органи­зации. Организационное подразделение (ОП) может содержать объек­ты, например учетные записи пользователей, группы, компьютеры, принтеры, приложения, совместно используемые файловые ресурсы, а также другие ОП из того же домена. Иерархия ОП одного домена не зависит от иерархической структуры другого домена, а каждый домен может иметь свою собственную структуру ОП.

ОП представляют собой средства выполнения административных задач, поскольку являются объектами наименьшего масштаба, кото­рым разрешается делегировать административные полномочия, то есть администрирование пользователей и ресурсов.

На рис. 2-3 видно, что домен domain.com содержит три ОП: US, Orders и Disp. Летом количество заказов на отгрузку увеличивается, поэтому руководство решило нанять дополнительного администра­тора для отдела заказов. Он должен иметь права только для создания учетных записей пользователей, а также для предоставления пользо­вателям доступа к файлам отдела и сетевым принтерам. Вместо со­здания другого домена этот запрос можно удовлетворить, передав но­вому администратору соответствующие права доступа в ОП Orders.

Рис. 2-3. Использование ОП для выполнения административных задач

Если в дальнейшем от нового администратора потребуют созда­вать учетные записи пользователей в ОП US, Orders и Disp, ему мож­но предоставить соответствующие права отдельно в каждом ОП. Од­нако лучше всего предоставить ему полномочия в ОП US, чтобы они были унаследованы в ОП Orders и Disp. По определению, в Active Directory все дочерние объекты (Orders и Disp) наследуют разреше­ния от своих объектов-родителей (US). Предоставление полномочий на высшем уровне с использованием возможностей их наследования облегчают жизнь администратору.

Дерево

Дерево (tree) — это группа, или иерархически упорядоченная сово­купность из одного или более доменов Windows 2000, созданная пу­тем добавления одного или более дочерних доменов к уже существу­ющему родительскому домену. Все домены в дереве используют свя­занное пространство имен и иерархическую структуру именования.

Подробнее пространства имен описаны в следующем занятии. Харак­теристики деревьев таковы:

• согласно стандартам доменной системы имен (Domain Name System, DNS), доменным именем дочернего домена будет объединение его относительного имени и имени родительского домена. На рис. 2-4 microsoft.com является родительским доменом, а us.microsoft.com и uk.microsoft.com — его дочерними доменами. У uk.microsoft.com имеется дочерний домен sls.uk.microsoft.com;

• все домены в пределах одного дерева совместно используют об­щую схему, которая служит формальным определением всех ти­пов объектов, находящихся в Вашем распоряжении при разверты­вании Active Directory;

• все домены в пределах одного дерева совместно используют об­щий глобальный каталог, который служит центральным хранили­щем информации об объектах в дереве. Подробнее глобальный каталог рассматривается в следующем занятии.

Создавая иерархию доменов в дереве, Вы можете поддерживать должный уровень безопасности и регулировать административные полномочия в пределах ОП либо в пределах целого домена. Предос­тавив пользователю полномочия на ОП, эти разрешения вы сможете распространить вниз по дереву. Такую структуру дерева легко адап­тировать к организационным изменениям в компании.

Лес

Лес (forest) — это группа, или иерархически упорядоченная совокуп­ность, из одного или более отдельных и полностью независимых до­менных деревьев. Деревья обладают следующими характеристиками:

Рис. 2-4. Дерево доменов

• у всех деревьев в лесе общая схема;

• у всех деревьев в лесе разные структуры именования, соответству­ющие своим доменам;

• все домены в лесе используют общий глобальный каталог;

• домены в лесе функционируют независимо друг от друга, однако лес допускает обмен данными в масштабе всей организации;

• между доменами и деревьями доменов существуют двусторонние доверительные отношения.

На рис. 2-5 лес образован из деревьев microsoft.com и msn.com. Пространство имен связано только в пределах каждого дерева.

microsoft.com

Физическая структура

Физические компоненты Active Directory — это узлы и контроллеры домена. Эти компоненты применяются для разработки структуры ка­талога, отражающей физическую структуру вашей организации.

Сайт

Сайт (site) — это объединение одной или более подсетей IP для со­здания максимально возможного ограничения сетевого трафика, вы­соконадежным каналом связи с высокой пропускной способностью. Как правило, границы узла совпадают с границами ЛВС. Когда Вы группируете подсети, следует объединять только те из них, которые между собой связаны быстрыми, дешевыми и надежными сетевыми соединениями. Быстрым считается соединение, обеспечивающее про­пускную способность не менее 512 кбит/с, впрочем зачастую доста­точно и 128 кбит/с.

В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что ком­пьютеры и пользователи сгруппированы в домены и ОП, а не в сай-

ты. Сайты содержат лишь объекты компьютеров и соединений, нуж­ные для настройки межсайтовой репликации.

Примечание Один домен может охватывать несколько географичес­ких сайтов, а один сайт может содержать учетные записи пользовате­лей и компьютеры из многих доменов.

Контроллеры домена

Контроллер домена — это компьютер с Windows 2000 Server, храня­щий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену. Ниже перечислены функции контроллеров домена:

• каждый контроллер домена хранит полную копию всей информа­ции Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена;

• все контроллеры в домене автоматически реплицируют между со­бой все объекты в домене. При внесении в Active Directory каких-либо изменений они на самом деле производятся на одном из кон­троллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего доме­на. Задавая частоту репликаций и количество данных, которое Windows 2000 будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена;

• важные обновления, например отключение учетной записи пользо­вателя, контроллеры домена реплицируют немедленно;

• Active Directory использует репликацию с несколькими хозяевами (multimaster replicaton), в котором ни один из контроллеров доме­на не является главным. Все контроллеры равноправны, и каж­дый из них содержит копию базы данных каталога, в которую раз­решается вносить изменения. В короткие периоды времени ин­формация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом;

• наличие в домене нескольких контроллеров обеспечивает отказо­устойчивость. Если один из контроллеров домена недоступен, дру­гой будет выполнять все необходимые операции, например запи­сывать изменения в Active Directory;

• контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Резюме

В этом занятии вы узнали, что объект — это отдельный именованный набор атрибутов, которым представлен сетевой ресурс Active Directory. Атрибуты объекта описывают характеристики определенного ресурса в каталоге. В Active Directory объекты можно организовать в классы, которые служат логическими определениями объектов. Схема Active Directory содержит формальное определение содержания и структуры каталога, в том числе все атрибуты и классы объектов.

Также Active Directory предлагает метод проектирования структу­ры каталога, отвечающей потребностям и структуре конкретной орга­низации. Логическая структура иерархии домена в Active Directory полностью отделена от физической структуры.

Логическое объединение ресурсов в Active Directory позволяет ис­кать ресурс по его имени, а не по физическому расположению. Клю­чевым элементом логической структуры в Active Directory является домен, который хранит информацию только о тех объектах, которые он содержит. Организационное подразделение (ОП) — это контей­нер, используемый для организации объектов в логические админис­тративные группы. Деревом называется иерархически упорядоченное объединение одного или более доменов Windows 2000, которые ис­пользуют связанное пространство имен, а лесом — иерархически упо­рядоченное объединение одного или более деревьев, которые образу­ют раздельное пространство имен.

Физическая структура Active Directory основана на сайтах и кон­троллерах домена. Сайт — это группировка одной или более подсетей IP, объединенных высокоскоростными каналами связи. Контролле­ром домена называется компьютер с Windows 2000 Server, хранящий реплику каталога домена.