Що таке Active Directory і як встановити і налаштувати базу даних. Що таке Active Directory Active directory ліси та домени
Служба Active Directory-Розширювана та масштабована служба каталогів Active Directory (Активний каталог) дозволяє ефективно керувати мережевими ресурсами.
Active Directory- це ієрархічно організоване сховище даних про об'єкти мережі, що забезпечує зручні засоби для пошуку та використання цих даних. Комп'ютер, на якому працює Active Directory, називається контролером домену. З Active Directory пов'язані майже всі адміністративні завдання.
Технологія Active Directory заснована на стандартних Інтернет-протоколах і допомагає чітко визначати структуру мережі, детальніше як розгорнути з нуля домен Active Directory читайте тут.
Active Directory та DNS
У Active Directory використовується доменна система імен.
Адміністрація Active Directory
За допомогою служби Active Directory створюються облікові записи комп'ютерів, здійснюється підключення до домену, здійснюється управління комп'ютерами, контролерами домену та організаційними підрозділами (ОП).
Для керування Active Directory призначені засоби адміністрування та підтримки. Наведені нижче інструменти реалізовані і у вигляді оснасток консолі ММС (Microsoft Management Console):
- Active Directory - користувачі та комп'ютери (Active Directory Users and Computers) дозволяє керувати користувачами, групами, комп'ютерами та організаційними підрозділами (ОП);
- Active Directory - домени та довіра (Active Directory Domains and Trusts) служить для роботи з доменами, деревами доменів та лісами доменів;
- Active Directory - сайти та служби (Active Directory Sites and Services) дозволяє керувати сайтами та підмережами;
- Результуюча політика (Resultant Set of Policy) використовується для перегляду поточної політики користувача або системи та планування змін у політиці.
- У Microsoft Windows 2003 Server можна отримати доступ до цих оснасток безпосередньо з меню Administrative Tools.
Ще один засіб адміністрування – оснащення Схема Active Directory (Active Directory Schema) – дозволяє керувати та модифікувати схему каталогу.
Утиліти командного рядка Active Directory
Для управління об'єктами Active Directory існують засоби командного рядка, які дозволяють здійснювати широкий спектр адміністративних завдань:
- DSADD - додає до Active Directory комп'ютери, контакти, групи, ОП та користувачів.
- DSGET – відображає властивості комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів, зареєстрованих у Active Directory.
- DSMOD – змінює властивості комп'ютерів, контактів, груп, ОП, користувачів та серверів, зареєстрованих у Active Directory.
- DSMOVE – переміщує одиночний об'єкт у нове розташування в межах домену або перейменовує об'єкт без переміщення.
- DSQXJERY - здійснює пошук комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів в Active Directory за заданими критеріями.
- DSRM – видаляє об'єкт із Active Directory.
- NTDSUTIL - дозволяє переглядати інформацію про сайт, домен або сервер, керувати господарями операцій (operations masters) та обслуговувати базу даних Active Directory.
Ліс Active Directory визначає набір одного або декількох доменів, що використовують одні й ті самі схеми, конфігурацію та глобальний каталог. Крім того, всі домени беруть участь у двосторонніх транзитивних відносинах довіри. Звернімо увагу на терміни, що використовуються у визначенні лісу.
- Домен- домен надає спосіб організації та захисту об'єктів, наприклад, користувачів та комп'ютерів, які є частиною одного простору імен..com, є доменами. Комп'ютери в кожному домені використовують однакову конфігурацію домену і можуть бути об'єктом застосування політик та обмежень, які встановлює адміністратор домену. Використання доменів дозволяє спростити безпеку в масштабі підприємства.
- Схема- Схема Active Directory використовується спільно всіма доменами в межах лісу. Схема це конфігураційна інформація, яка керує структурою та вмістом каталогу.
- Конфігурація- конфігурація визначає логічну структуру лісу, наприклад, число та конфігурацію сайтів у межах лісу.
- Глобальний каталог- Світовий каталог можна сприймати у вигляді довідника для лісу. Глобальний каталог містить інформацію про всі об'єкти лісу, включаючи інформацію про розташування об'єктів. Окрім цього, глобальний каталог містить інформацію про членство в універсальних групах.
- Довіра- Довіра надає різним доменам можливість працювати разом. Без довіри домени працюють як окремі сутності, тобто користувачі з домену A не зможуть отримувати доступ до ресурсів домену B. Якщо ставлення довіри встановлюється між доменами таким чином, що домен B довіряє домену A, то користувачі домену A зможуть отримувати доступ до ресурсів домену B, якщо вони мають відповідні дозволи.
Існує три основні типи відносин довіри.
- Транзитивні- Транзитивні відносини довіри створюються автоматично між доменами одного лісу. Вони дозволяють користувачам будь-якого домену потенційно отримувати доступ до ресурсів будь-якого іншого домену цього лісу, якщо користувач має відповідні права доступу.
- Shortcut- це ставлення довіри між доменами одного лісу, які мають транзитивне відношення довіри. Таке ставлення довіри надає швидшу аутентифікацію та перевірку доступу до ресурсів між несусідними доменами лісу.
- Зовнішні- Зовнішні відносини довіри дозволяють доменам з різних лісів спільно використовувати ресурси. Такі відносини довіри не є транзитивними, тобто вони стосуються лише тих доменів, для яких вони створювалися.
З'ясувавши значення базових термінів, розглянемо приклад лісу. Далі представлений єдиний ліс, який містить два дерева доменів.
На малюнку показано чотири домени aw.net, west.aw.net, east.aw.net та person.net. Домени aw.net, west.aw.net та east.aw.net знаходяться в одному дереві доменів, оскільки вони використовують один простір імен (aw.net).
Домен person.net знаходиться в іншому дереві, оскільки він не є частиною простору імен aw.net. Зверніть увагу, що в межах домену east.aw.net (не підписаного) показані символи OU. OU – це організаційні підрозділи(organizational units), які розглядатимуться у черговій статті.
Стрілки на малюнку являють собою транзитивні відносини довіри, які автоматично створюються при початковому налаштуванні доменів у межах лісу. Зверніть увагу, що дочірні домени (east та west) домену aw.net не пов'язані безпосередньо з доменом person.net. Незважаючи на це, вони довіряють домену person.net.
Причиною довіри є довіра дочірніх доменів aw.net. Оскільки домен aw.net довіряє домену person.net, дочірні домени aw.net також довіряють домену person.net. Знаючи це, можна уявити домени Active Directory у вигляді маленьких дітей. Вони беззастережно вірять усьому, що кажуть батьки. Якщо батько повідомляє, що іншому домену можна довіряти, це саме так і є.
Але різниця між дітьми та дочірніми доменами полягає в тому, що дочірні домени завжди погоджуються і не питають батька.
Active Directory
Active Directory(«Активні директорії», AD) - LDAP-сумісна реалізація служби каталогів корпорації Microsoftдля операційних систем сімейства Windows NT. Active Directoryдозволяє адміністраторам використовувати групові політики для забезпечення однаковості налаштування користувача робочого середовища, розгортати програмне забезпечення на безлічі комп'ютерів через групові політикиабо за допомогою System Center Configuration Manager(раніше Microsoft Systems Management Server), встановлювати оновлення операційної системи, прикладного та серверного програмного забезпечення на всіх комп'ютерах у мережі, використовуючи Службу оновлення Windows Server . Active Directoryзберігає дані та налаштування середовища в централізованій базі даних. Мережі Active Directoryможуть бути різного розміру: від кількох десятків до кількох мільйонів об'єктів.
Подання Active Directoryвідбулося в 1999 році, продукт був вперше випущений з Windows 2000 Server, а потім був модифікований та покращений при випуску Windows Server 2003. Згодом Active Directoryбув покращений у Windows Server 2003 R2, Windows Server 2008і Windows Server 2008 R2і перейменований на Active Directory Domain Services. Раніше служба каталогів називалася NT Directory Service (NTDS), цю назву досі можна зустріти в деяких файлах .
На відміну від версій Windowsдо Windows 2000, які використовували в основному протокол NetBIOSдля мережевої взаємодії, служба Active Directoryінтегрована з DNSі TCP/IP. Для стандартної аутентифікації використовується протокол Kerberos. Якщо клієнт або програма не підтримує автентифікацію Kerberos, використовується протокол NTLM .
Пристрій
Об'єкти
Active Directoryмає ієрархічну структуру, що складається з об'єктів. Об'єкти поділяються на три основні категорії: ресурси (наприклад, принтери), служби (наприклад, електронна пошта) та облікові записи користувачів та комп'ютерів. Active Directoryнадає інформацію про об'єкти, дозволяє організовувати об'єкти, керувати доступом до них, а також встановлює правила безпеки.
Об'єкти можуть бути вмістищами для інших об'єктів (групи безпеки та розповсюдження). Об'єкт унікально визначається своїм ім'ям та має набір атрибутів - характеристик та даних, які він може містити; останні, своєю чергою, залежить від типу об'єкта. Атрибути є складовою базою структури об'єкта та визначаються у схемі. Схема визначає, які типи об'єктів можуть існувати.
Сама схема складається із двох типів об'єктів: об'єкти класів схеми та об'єкти атрибутів схеми. Один об'єкт класу схеми визначає один тип об'єкта Active Directory(наприклад, об'єкт «Користувач»), а один об'єкт атрибуту схеми визначає атрибут, який може мати об'єкт.
Кожен об'єкт атрибута може бути використаний у різних об'єктах класів схеми. Ці об'єкти називаються об'єктами схеми (або метаданими) і дозволяють змінювати та доповнювати схему, коли це необхідно. Однак кожен об'єкт схеми є частиною визначень об'єктів Active Directoryтому відключення або зміна цих об'єктів можуть мати серйозні наслідки, оскільки в результаті цих дій буде змінена структура Active Directory. Зміна об'єкта схеми автоматично поширюється на Active Directory. Будучи одного разу створеним, об'єкт схеми не може бути вилучений, він може бути лише вимкнений. Зазвичай усі зміни схеми ретельно плануються.
Контейнераналогічний об'єктуу тому сенсі, що він також має атрибути і належить простору імен , але, на відміну об'єкта, контейнер не означає нічого конкретного: може містити групу об'єктів чи інші контейнери.
Структура
Верхнім рівнем структури є ліс - сукупність всіх об'єктів, атрибутів та правил (синтаксису атрибутів) у Active Directory. Ліс містить одне або кілька дерев, пов'язаних транзитивними відносинами довіри . Дерево містить один або кілька доменів, також пов'язаних з ієрархією транзитивними відносинами довіри. Домени ідентифікуються своїми структурами імен DNS – просторами імен.
Об'єкти в домені можуть бути згруповані у контейнери – підрозділи. Підрозділи дозволяють створювати ієрархію всередині домену, спрощують його адміністрування та дозволяють моделювати організаційну та/або географічну структури компанії в Active Directory. Підрозділи можуть утримувати інші підрозділи. Корпорація Microsoftрекомендує використовувати якнайменше доменів у Active Directory, а для структурування та політик використовувати підрозділи. Часто групові політики застосовують саме до підрозділів. Групові політики є об'єктами. Підрозділ є найнижчим рівнем, на якому можуть делегуватися адміністративні повноваження.
Іншим способом поділу Active Directoryє сайти які є способом фізичного (а не логічного) угруповання на основі сегментів мережі. Сайти поділяються на підключення по низькошвидкісних каналах (наприклад по каналах глобальних мереж, за допомогою віртуальних приватних мереж) і по високошвидкісних каналах (наприклад через локальну мережу). Сайт може містити один або кілька доменів, а домен може містити один або кілька веб-сайтів. При проектуванні Active Directoryважливо враховувати мережевий трафік, що створюється під час синхронізації даних між сайтами.
Ключовим рішенням при проектуванні Active Directoryє рішення про розподіл інформаційної інфраструктури на ієрархічні домени та підрозділи верхнього рівня. Типовими моделями, що використовуються для такого поділу, є моделі поділу за функціональними підрозділами компанії, за географічним розташуванням та за ролями в інформаційній інфраструктурі компанії. Часто використовують комбінації цих моделей.
Фізична структура та реплікація
Фізично інформація зберігається на одному або кількох рівнозначних контролерах доменів, що замінили використовувані в Windows NTосновний та резервні контролери домену, хоча для виконання деяких операцій зберігається і так званий сервер «операцій з одним головним сервером», який може емулювати головний контролер домену. Кожен контролер домену зберігає копію даних, призначену для читання та запису. Зміни, зроблені однією контролері, синхронізуються попри всі контролери домену при реплікації . Сервери, на яких сама служба Active Directoryне встановлено, але які при цьому входять до домену Active Directory, Називаються рядовими серверами.
Реплікація Active Directoryвиконується на запит. Служба Knowledge Consistency Checkerстворює топологію реплікації, яка використовує сайти, визначені у системі, керувати трафіком. Внутрішньосайтова реплікація виконується часто та автоматично за допомогою засобу перевірки узгодженості (повідомленням партнерів щодо реплікації про зміни). Реплікація між сайтами може бути налаштована для кожного каналу сайту (залежно від якості каналу) - різна оцінка (або вартість) може бути призначена кожному каналу (наприклад DS3, , ISDNі т. д.), і трафік реплікації буде обмежений, передаватися за розкладом та маршрутизуватися відповідно до призначеної оцінки каналу. Дані реплікації можуть транзитивно передаватися через кілька сайтів через мости зв'язку сайтів, якщо "оцінка" низька, хоча AD автоматично призначає нижчу оцінку зв'язків "сайт-сайт", ніж для транзитивних з'єднань. Реплікація сайт-сайт виконується серверами-плацдармами на кожному сайті, які потім реплікують зміни на кожен контролер домену свого сайту. Внутрішньодоменна реплікація відбувається за протоколом RPCза протоколом IP, міждоменна - може використовувати також протокол SMTP.
Якщо структура Active Directoryмістить кілька доменів, для вирішення задачі пошуку об'єктів використовується глобальний каталог: контролер домену, що містить усі об'єкти лісу, але з обмеженим набором атрибутів (неповна репліка). Каталог зберігається на вказаних серверах глобального каталогу та обслуговує міждоменні запити.
Можливість операцій з одним комп'ютером дозволяє обробляти запити, коли реплікація з кількома комп'ютерами неприпустима. Є п'ять типів таких операцій: емуляція головного контролера домену (PDC-емулятор), головний комп'ютер відносного ідентифікатора (майстер відносних ідентифікаторів або RID-майстер), головний комп'ютер інфраструктури (майстер інфраструктури), головний комп'ютер схеми (майстер схеми) та головний комп'ютер іменування домену (Майстер іменування доменів). Перші три ролі унікальні у межах домену, останні дві – унікальні у межах всього лісу.
Базу Active Directoryможна поділити на три логічні сховища або "розділу". Схема є шаблоном для Active Directoryі визначає всі типи об'єктів, їх класи та атрибути, синтаксис атрибутів (всі дерева знаходяться в одному лісі, тому що вони мають одну схему). Конфігурація є структурою лісу та дерев Active Directory. Домен зберігає всю інформацію про об'єкти, створені в цьому домені. Перші два сховища реплікуються на всі контролери доменів у лісі, третій розділ повністю реплікується між репліками контролерів у межах кожного домену та частково – на сервері глобального каталогу.
Найменування
Active Directoryпідтримує такі формати іменування об'єктів: універсальні імена типу UNC, URLі LDAP URL. Версія LDAPформату іменування X.500 використовується всередині Active Directory.
Кожен об'єкт має ім'я, що різниться (англ. distinguished name, DN). Наприклад, об'єкт принтера з ім'ям HPLaser3у підрозділі «Маркетинг» і в домені foo.org матиме наступне ім'я, що розрізняється: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org , де CN - це спільне ім'я, OU - розділ, DC - клас об'єкта домену. Різні імена можуть мати набагато більше частин, ніж чотири частини в цьому прикладі. Об'єкти також мають канонічні імена. Це різні імена, записані у зворотному порядку, без ідентифікаторів і з використанням косих характеристик як роздільників: foo.org/Маркетинг/HPLaser3 . Щоб визначити об'єкт усередині його контейнера, використовується відносне різне ім'я : CN = HPLaser3. Кожен об'єкт також має глобально унікальний ідентифікатор ( GUID) - унікальний і незмінний 128-бітний рядок, який використовується в Active Directoryдля пошуку та реплікації. Певні об'єкти також мають ім'я учасника-користувача ( UPN, відповідно до RFC 822) у форматі об'єкт @ домен.
Інтеграція з UNIX
Різні рівні взаємодії з Active Directoryможуть бути реалізовані в більшості UNIX-подібних операційних систем за допомогою відповідних стандартів LDAPклієнтів, але такі системи, як правило, не сприймають більшу частину атрибутів, асоційованих з компонентами Windows, наприклад групові політики та підтримку односторонніх довіреностей.
Сторонні постачальники пропонують інтеграцію Active Directoryна платформах UNIX, включаючи UNIX, Linux, Mac OS Xта ряд додатків на базі Java, з пакетом продуктів:
Додавання до схеми, що постачаються з Windows Server 2003 R2включають атрибути, які досить тісно пов'язані з RFC 2307 щоб використовуватися в загальному випадку. Базові реалізації RFC 2307, nss_ldap та pam_ldap, запропоновані PADL.comбезпосередньо підтримують ці атрибути. Стандартна схема для членства групи відповідає RFC 2307bis (пропонованого) . Windows Server 2003 R2включає Консоль керування Microsoft для створення та редагування атрибутів.
Альтернативним варіантом є використання іншої служби каталогів, наприклад 389 Directory Server(раніше Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 XML Enabled Directoryабо Sun Java System Directory Serverвід Sun Microsystems, що виконує двосторонню синхронізацію з Active Directoryреалізуючи таким чином «відбиту» інтеграцію, коли клієнти UNIXі Linuxаутентифікуються FDS, а клієнти Windowsаутентифікуються Active Directory. Іншим варіантом є використання OpenLDAPз можливістю напівпрозорого перекриття, що розширює елементи віддаленого сервера LDAPдодатковими атрибутами, що зберігаються в локальній базі даних.
Active Directoryавтоматизуються за допомогою Powershell .
Література
- Ренд Морімото, Кентон Гардіньєр, Майкл Ноел, Джо Кока Microsoft Exchange Server 2003. Повне керівництво = Microsoft Exchange Server 2003 Unleashed. – М.: «Вільямс», 2006. – С. 1024. – ISBN 0-672-32581-0
Див. також
Посилання
Примітки
| Компоненти Microsoft Windows | |
|---|---|
| Основні | |
| Служби управління |
|
| Програми |
Контакти DVD Maker Факси та сканування Internet ExplorerЖурнал Екранна лупа Media Center Медіапрогравач Windows Програма спільної праці Центр пристроїв Windows Mobile Центр мобільностіЕкранний диктор Paint Редактор особистих символів Віддалений помічник Розпізнавання мови WordPad Блокнот Бічна панель ЗвукозаписКалендар Калькулятор Ножиці Пошта Таблиця символів Історичні: Movie Maker NetMeeting Outlook Express Диспетчер програм Диспетчер файлів Фотоальбом |
| Ігри | |
| Ядро ОС | |
| Служби | |
| Файлові системи |
|
| Сервер |
Active Directory Служби розгортання Служба реплікації файлів DNS Домени Перенаправлення папок Hyper-V IIS Media Services MSMQ Захист доступу до мережі (NAP) Служби друку для UNIX Віддалений різницевий стиск Служби віддаленої установки Служба управління правами Профілі користувачів, що переміщуються SharePoint Диспетчер системних ресурсів Видаленний робочий стіл WSUS Групова політика Координатор розподілених транзакцій |
| Архітектура | |
| Безпека | |
| Сумісність | |
| Microsoft | ||
|---|---|---|
| ПЗ | ||
| Серверне ПЗ | ||
| Технології | ||
| Інтернет | ||
| Ігри | ||
| Апаратне забезпечення |
||
| Освіта | ||
| Ліцензування | ||
| Підрозділи | ||
Будь-який початківець, стикаючись з абревіатурою AD, ставить питання, що таке Active Directory? Active Directory – це служба каталогів, розроблена Microsoft для доменних. мереж Windows. Входить у більшість операційних систем Windows Server, як набір процесів та сервісів. Спочатку служба займалася лише доменами. Однак, починаючи з Windows Server 2008, AD стала найменуванням для широкого спектру служб, пов'язаних із ідентифікацією, що базуються на каталогах. Це робить Active Directory для початківців більш оптимальним для вивчення.
Базове визначення
Сервер, на якому працюють доменні служби каталогів Active Directory, називається контролером домену. Він автентифікує та авторизує всіх користувачів та комп'ютери в мережному домені Windows, призначаючи та застосовуючи політику безпеки для всіх ПК, а також встановлюючи або оновлюючи програмне забезпечення. Наприклад, коли користувач входить до комп'ютера, включеного в домен Windows, Active Directory перевіряє наданий пароль і визначає, чи є об'єкт системним адміністратором або звичайним користувачем. Також він дозволяє керувати та зберігати інформацію, надає механізми автентифікації та авторизації та встановлює структуру для розгортання інших пов'язаних сервісів: служби сертифікації, федеративні та полегшені служби каталогів та управління правами.
У Active Directory використовуються протоколи LDAP версії 2 та 3, версія Kerberos від Microsoft та DNS.
Active Directory – що це? Простими словами про складне
Відстеження даних мережі – трудомістке завдання. Навіть у невеликих мережах користувачі, як правило, мають труднощі з пошуком мережевих файлів і принтерів. Без будь-якого каталогу середніми та великими мережами неможливо керувати, і часто доводиться стикатися з труднощами при пошуку ресурсів.
Попередні версії Microsoft Windows включала служби, які допомагають користувачам та адміністраторам знаходити дані. Мережеве оточення корисне у багатьох середовищах, але явним недоліком є незручний інтерфейс та його непередбачуваність. WINS Manager і Server Manager можуть використовуватися для перегляду списку систем, але вони не були доступні для кінцевих користувачів. Адміністратори використовували User Manager для додавання та видалення даних зовсім іншого типу мережного об'єкта. Ці програми виявилися неефективними для роботи у великих мережах та викликали питання, навіщо в компанії Active Directory?
Каталог, у найзагальнішому сенсі, є повний списокоб'єктів. Телефонна книга— це тип каталогу, в якому зберігається інформація про людей, підприємства та урядові організації, тазазвичай в них записують імена, адреси та номери телефонів.Задаючись питанням, Active Directory - що це, простими словами можна сказати, що ця технологія схожа на довідник, але є набагато більш гнучкою. AD зберігає інформацію про організації, сайти, системи, користувачів, загальні ресурси та будь-який інший мережевий об'єкт.
Введення в основні поняття Active Directory
Для чого організації потрібна Active Directory? Як уже згадувалося у вступі до Active Directory, служба зберігає інформацію про мережеві компоненти.У посібнику «Active Directory для початківців» йдеться про те, що це дозволяє клієнтам знаходити об'єкти у своєму просторі імен.Цей т Ермін (також званий деревом консолі) відноситься до області, в якій може розташовуватися мережевий компонент. Наприклад, зміст книги створює простір імен, у якому розділи можуть бути співвіднесені до номерів сторінок.
DNS - це дерево консолі, яке дозволяє імена вузлів IP-адрес, як телефонні книги надають простір імен для дозволу імен для телефонних номерів.А як це відбувається у Active Directory? AD надає дерево консолі для дозволу імен мережевих об'єктів самим об'єктам таможе дозволити широкий спектр об'єктів, включаючи користувачів, системи та служби в мережі.
Об'єкти та атрибути
Все, що відстежує Active Directory, є об'єктом.Можна сказати простими словами, що це в Active Directory є будь-який користувач, система, ресурс чи служба. Загальний об'єкт термінів використовується, оскільки AD може відстежувати безліч елементів, а багато об'єктів можуть спільно використовувати загальні атрибути. Що це означає?
Атрибути описують об'єкти в активний каталог Active Directory, наприклад, всі об'єкти користувача спільно використовують атрибути для зберігання імені користувача. Це стосується їх описи. Системи також є об'єктами, але у них є окремий набір атрибутів, який включає ім'я хоста, IP-адресу та розташування.
Набір атрибутів, доступних будь-якого конкретного типу об'єкта, називається схемою. Вона робить класи об'єктів відмінними один від одного. Інформація про схему фактично зберігається у Active Directory. Що така поведінка протоколу безпеки дуже важлива, говорить той факт, що схема дозволяє адміністраторам додавати атрибути до класів об'єктів і розподіляти їх по мережі в усіх куточках домену без перезапуску будь-яких контролерів домену.
Контейнер та ім'я LDAP
Контейнер - це особливий тип об'єкта, який використовується для роботи служби. Він не є фізичним об'єктом, як користувач або система. Натомість він використовується для групування інших елементів. Контейнерні об'єкти можуть бути вкладені в інші контейнери.
У кожного елемента AD є ім'я. Це не ті, до яких ви звикли, наприклад, Іван чи Ольга. Це відмінні імена LDAP. Різні імена LDAP складні, але вони дозволяють ідентифікувати будь-який об'єкт усередині каталогу однозначно, незалежно від його типу.
Дерево термінів та сайт
Дерево термінів використовується для опису набору об'єктів у Active Directory. Що це? Простими словами це можна пояснити за допомогою деревоподібної асоціації. Коли контейнери та об'єкти об'єднані ієрархічно, вони мають тенденцію формувати гілки – звідси й назва. Пов'язаним терміном є безперервне піддерево, яке відноситься до нерозривного основного стовбура дерева.
Продовжуючи метафорію, термін «ліс» визначає сукупність, яка є частиною однієї й тієї ж простору імен, але має загальну схему, конфігурацію і світовий каталог. Об'єкти в цих структурах доступні для всіх користувачів, якщо це дозволяє безпеку. Організації, поділені на кілька доменів, повинні групувати дерева в один ліс.
Сайт — це географічне розташування, визначене Active Directory. Сайти відповідають логічним IP-підмережам і, як такі, можуть використовуватись додатками для пошуку найближчого сервера в мережі. Використання інформації з Active Directory може значно знизити трафік у глобальних мережах.
Управління Active Directory
Компонент оснащення Active Directory – користувачі. Це найзручніший інструмент для адміністрування Active Directory. Він безпосередньо доступний із групи програм «Адміністрування» у меню «Пуск». Він замінює та покращує роботу диспетчера сервера та диспетчера користувачів з Windows NT 4.0.
Безпека
Active Directory відіграє у майбутньому мереж Windows. Адміністратори повинні мати можливість захищати свій каталог від зловмисників та користувачів, одночасно делегуючи завдання іншим адміністраторам. Все це можливо за допомогою моделі безпеки Active Directory, яка пов'язує список керування доступом (ACL) з кожним атрибутом контейнера та об'єкта в каталозі.
Високий рівень контролю дозволяє адміністратору надавати окремим користувачам та групам різні рівні дозволів для об'єктів та їх властивостей. Вони можуть навіть додавати атрибути до об'єктів та приховувати ці атрибути від певних груп користувачів. Наприклад, можна встановити ACL, щоб тільки менеджери могли переглядати домашні телефони інших користувачів.
Делеговане адміністрування
Концепцією, новою для Windows 2000 Server є делеговане адміністрування. Це дозволяє призначати завдання іншим користувачам без надання додаткових прав доступу. Делеговане адміністрування може бути призначене через певні об'єкти або безперервні піддерев'я каталогу. Це набагато більше ефективний методнадання повноважень по мережах.
У місце призначення будь-кому всіх глобальних прав адміністратора домену, користувачеві можуть бути надані дозволи тільки в рамках певного піддерева. Active Directory підтримує успадкування, тому будь-які нові об'єкти успадковують ACL свого контейнера. 
Термін «довірчі відносини»
Термін «довірчі відносини», як і раніше, використовується, але мають різну функціональність. Немає різниці між односторонніми і двосторонніми трастами. Адже всі довірчі відносини Active Directory двонаправлені. Крім того, всі вони транзитивні. Отже, якщо домен A довіряє домену B, B довіряє C, тоді існує автоматичні неявні довірчі відносини між доменом A і доменом C.
Аудит у Active Directory - що це простими словами? Це функція безпеки, яка дозволяє визначити, хто намагається отримати доступ до об'єктів, а також наскільки ця спроба успішна.
Використання DNS (Domain Name System)
Система по-іншому DNS необхідна для будь-якої організації, підключеної до Інтернету. DNS надає дозвіл імен між загальними іменами, такими як mspress.microsoft.com, та необроблені IP-адреси, які використовують компоненти мережного рівня для зв'язку.
Active Directory широко використовує технологію DNS для пошуку об'єктів. Це суттєва зміна порівняно з попередніми операційними системами Windows, які вимагають, щоб імена NetBIOS були дозволені IP-адресами, і покладаються на WINS або іншу техніку роздільної здатності імен NetBIOS.
Active Directory працює найкраще при використанні з DNS-серверами під керуванням Windows 2000. Microsoft спростила для адміністраторів перехід на DNS-сервери під керуванням Windows 2000 шляхом надання міграційних майстрів, які управляють адміністратором через цей процес.
Можна використовувати інші DNS-сервери. Однак адміністратори повинні витрачати більше часу на керування базами даних DNS. У чому нюанси? Якщо ви вирішите не використовувати DNS-сервери під керуванням Windows 2000, ви повинні переконатися, що ваші DNS-сервери відповідають новому протоколу динамічного оновлення DNS. Сервери покладаються на динамічне оновлення своїх записів, щоб знайти контролери домену. Це не зручно. Адже, еЯкщо динамічне оновлення не підтримується, оновлювати бази даних доводиться вручну. 
Домени Windows та інтернет-домени тепер повністю сумісні. Наприклад, ім'я, таке як mspress.microsoft.com, визначатиме контролери домену Active Directory, відповідальні за домен, тому будь-який клієнт з доступом DNS може знайти контролер домену.Клієнти можуть використовувати дозвіл DNS для пошуку будь-якої кількості послуг, оскільки сервери Active Directory публікують список адрес DNS за допомогою нових функцій динамічного оновлення. Ці дані визначаються як домен та публікуються через записи ресурсів служби. SRV RR слідують формату service.protocol.domain.
Сервери Active Directory надають службу LDAP для розміщення об'єкта, а LDAP використовує TCP як базовий протокол транспортного рівня. Тому клієнт, який шукає сервер Active Directory у домені mspress.microsoft.com, шукатиме запис DNSдля ldap.tcp.mspress.microsoft.com.
Глобальний каталог
Active Directory надає глобальний каталог (GC) танадає єдине джерело для пошуку будь-якого об'єкта у мережі організації.
Глобальний каталог - це сервіс у Windows 2000 Server, який дозволяє користувачам знаходити будь-які об'єкти, яким було надано доступ. Ця функціональність набагато перевершує можливості програми FindКомп'ютер, включений в попередні версії Windows. Адже користувачі можуть шукати будь-який об'єкт у Active Directory: сервери, принтери, користувачів та програми.
Основні поняття Active Directory
Служба Active Directory
Розширювана та масштабована служба каталогів Active Directory (Активний каталог)дозволяє ефективно керувати мережевими ресурсами.
Active Directory - це ієрархічно організоване сховище даних про об'єкти мережі, що забезпечує зручні засоби для пошуку та використання цих даних. Комп'ютер, на якому працює Active Directory, називається контролером домену . З Active Directoryпов'язані майже всі адміністративні завдання.
Технологія Active Directory заснована на стандартних Інтернет - протоколита допомагає чітко визначати структуру мережі.
Active Directory та DNS
У Active Directoryвикористовується доменна система імен.
DomenName System, (DNS) - стандартна служба Інтернету, яка організує групи комп'ютерів у домени.Домени DNS мають ієрархічну структуру, яка є основою Інтернету. Різні рівні цієї ієрархії ідентифікують комп'ютери, домени організацій та домени верхнього рівня. DNS також служить для перетворення імен вузлів, наприклад z eta.webatwork.com, у чисельні IP-адреси, наприклад, 192.168.19.2. Засобами DNS ієрархію доменів Active Directory можна вписати в простір Інтернету або залишити самостійною та ізольованою від зовнішнього доступу.
Для доступу до ресурсів у в домені застосовується повне ім'я вузла, наприклад zeta.webatwork.com. Тутzeta- ім'я індивідуального комп'ютера, webatwork - домен організації, а com - домен верхнього рівня. Домени верхнього рівня складають фундамент ієрархії DNS і тому називаються кореневі домени (root domains). Вони організовані географічно, з назвами на основі дволітерних кодів країн (ruдля Росії), за типом організації (сотдля комерційних організацій) та за призначенням ( mil для військових організацій).
Звичайні домени, наприклад, microsoft.com, називаються батьківськими (parent domain), оскільки вони утворюють основу організаційної структури. Батьківські домени можна розділити на піддомени різних відділень або віддалених філій. Наприклад, повне ім'я комп'ютера в офісі Microsoft у Сіетлі може бути jacob.seattle.microsoft.com , де jacob- ім'я комп'ютера, sealtle - піддомен , а microsoft.com – батьківський домен. Інша назва піддомена - дочірній домен (child domain).
Компоненти Active Directory
Active Directory поєднує фізичну та логічну структуру для компонентів мережі. Логічні структури Active Directory допомагають організовувати об'єкти каталогу та керувати мережевими обліковими записами та спільними ресурсами. До логічної структури належать такі елементи:
організаційний підрозділ (organizational unit) - підгрупа комп'ютерів, як правило, відображає структуру компанії;
домен ( domain) - Група комп'ютерів, що спільно використовують загальну БД каталогу;
дерево доменів (domain tree) - один або кілька доменів, які спільно використовують безперервний простір імен;
ліс доменів (domain forest) - одне або кілька дерев, які спільно використовують інформацію каталогу.
Фізичні елементи допомагають планувати реальну структуру мережі. На підставі фізичних структур формуються мережеві зв'язки та фізичні кордони мережевих ресурсів. До фізичної структури належать такі елементи:
підсіти ( subnet) - мережна група із заданою областю IP-адреста мережевою маскою;
сайт ( site) - Одна або кілька підмереж. Сайт використовується для налаштування доступу до каталогу та для реплікації.
Організаційні підрозділи
Організаційні підрозділи (ОП) - це підгрупи у доменах, які найчастіше відбивають функціональну структуру організації. ВП є свого роду логічні контейнери, в яких розміщуються облікові записи, загальні ресурси та інші ВП. Наприклад, можна створити в домені microsoft. comпідрозділи Resourses, IT, Marketing. Потім цю схему можна розширити, щоб утримувала дочірні підрозділи.
У ВП дозволяється розміщувати об'єкти лише з батьківського домену. Наприклад, ОС домену Seattle.microsoft.com містить об'єкти лише цього домену. Додавати туди об'єкти зmy. microsoft.com не можна. ОП дуже зручні при формуванні функціональної або бізнес - структуриорганізації.Але це не єдина причина їхнього застосування.
ОП дозволяють визначати групову політику для невеликого набору ресурсів домену, не застосовуючи її до всього домену. За допомогою ОП створюються компактні та більш керовані уявлення об'єктів каталогу в домені, що допомагає ефективніше керувати ресурсами.
ОП дозволяють делегувати повноваження та контролювати адміністративний доступ до ресурсів домену, що допомагає задавати межі повноважень адміністраторів у домені. Можна передати користувачу адміністративні повноваження тільки для одного ОП і в той же час передати користувачу адміністративні повноваження для всіх ОП в домені.
Домени
Домен Active Directory - це група комп'ютерів, що спільно використовують загальну БД каталогу. Імена доменів Active Directory мають бути унікальними. Наприклад, не може бути двох доменів microsoft.com, але може бути батьківський домен microsoft.com з дочірніми доменами seattle.microsoft.com та my.microsoft.com. Якщо домен є частиною закритої мережі, ім'я, присвоєне новому домену, не повинно конфліктувати з жодним із існуючих доменів у цій мережі. Якщо домен - частина глобальної мережіІнтернет, його ім'я не повинно конфліктувати з жодним з існуючих імен доменів в Інтернеті. Щоб гарантувати унікальність імен в Інтернеті, ім'я батьківського домену необхідно зареєструвати через будь-яку повноважну реєстраційну організацію.
У кожному домені діють власні політики безпеки та довірчі стосунки з іншими доменами. Найчастіше домени розподіляються по кількох фізичних розташуваннях, тобто складаються з кількох сайтів, а сайти об'єднують кілька підмереж. У БД каталогу домену зберігаються об'єкти, які визначають облікові записи для користувачів, груп та комп'ютерів, а також загальні ресурси, наприклад, принтери та папки.
Функції домену обмежуються та регулюються режимом його функціонування. Існує чотири функціональні режими доменів:
змішаний режим Windows 2000 (mixed mode) - підтримує контролери доменів, які працюють під керуванням Windows NT 4.0, Wi ndows 2000 та Windows Server 2003;
основний режим Windows 2000 (native mode) - підтримує контролери доменів, що працюють під керуванням Windows 2000 та Windows Server 2003;
проміжний режим Windows Server 2003 ( interim mode) - підтримує контролери доменів, які працюють під керуванням Windows NT 4.0 та Windows Server 2003;
режим Windows Server 2003 - підтримує контролери доменів, які працюють під керуванням Windows Server 2003.
Ліси та дерева
Кожен домен Active Directoryмає DNS-ім'ям типу microsoft.com. Домени, що спільно використовують дані каталогу, утворюють ліс (forest). Імена доменів лісу в ієрархії імен DNS бувають несуміжними(discontiguous) або суміжними(Contiguous).
Домени, що мають суміжну структуру імен, називають деревом доменів. Якщо домени лісу мають несумісні DNS-імена, вони утворюють окремі дерева доменів у лісі. До лісу можна включити одне чи кілька дерев. Для доступу до доменних структур призначена консоль.Active Directory- домени та довіра (ActiveDirectory Domainsand Trusts).
Функції лісів обмежуються та регулюються функціональним режимом лісу. Таких режимів три:
Windows 2000 - підтримує контролери доменів, які працюють під керуванням Windows NT 4.0, Windows 2000 та Windows Server 2003;
проміжний ( interim) Windows Server 2003 - підтримує контролери доменів, які працюють під керуванням Windows NT 4.0 та Windows Server 2003;
Windows Server 2003 - підтримує контролери доменів, які працюють під керуванням Windows Server 2003.
Найсучасніші функції Active Directory доступні в режимі Windows Server 2003. Якщо всі домени лісу працюють у цьому режимі, можна скористатися покращеною реплікацією (тиражуванням) глобальних каталогів та більш ефективною реплікацією даних Active Directory . Також є можливість відключати класи та атрибути схеми, використовувати динамічні допоміжні класи, перейменовувати домени та створювати у лісі односторонні, двосторонні та транзитивні довірчі відносини.
Сайти та підмережі
Сайт - Це група комп'ютерів в одній або декількох IP-підмережах, яка використовується для планування фізичної структури мережі. Планування сайту відбувається незалежно від логічної структури домену. Active Directory дозволяє створити безліч сайтів в одному домені або один сайт, що охоплює багато доменів.
На відміну від сайтів, здатних охоплювати безліч областей IP-адрес, підмережі мають задану область IP-адрес і мережевої маскою. Імена підмереж указуються у форматі мережа/бітова маска, наприклад 192.168.19.0/24, де мережна адреса 192.168.19.0 та мережева маска 255.255.255.0 скомбіновані в ім'я підмережі 192.168.19.0/24.
Комп'ютери приписуються до сайтів залежно від розташування в підмережі або набору підмереж. Якщо комп'ютери в підмережах здатні взаємодіяти на досить високих швидкостях, їх називають добре пов'язаними (well connected).
В ідеалі сайти складаються з добре пов'язаних підмереж та комп'ютерів, Якщо швидкість обміну між підмережами і комп'ютерами низька, може знадобитися створити кілька сайтів. Гарний зв'язок дає сайтам деякі переваги.
Коли клієнт входить у домен, у процесі аутентифікації спочатку проводиться пошук локального контролера домену на сайті клієнта, т. е. наскільки можна першими опитуються локальні контролери, що обмежує мережевий трафік і прискорює аутентифікацію.
Інформація каталогу реплікується частіше всередині сайтів, ніж між сайтами. Це знижує міжмережевий трафік, викликаний реплікацією, і гарантує, що локальні контролери доменів швидко отримають оновлену інформацію.
Можна настроїти порядок реплікації даних каталогу за допомогою зв'язку сайтів (site links). Наприклад, визначити сервер-плацдарм (bridgehead) для реплікації між сайтами.
Основна частина навантаження від реплікації між сайтами ляже на цей спеціалізований сервер, а не будь-який доступний сервер сайту. Сайтита підмережі налаштовуються в консолі Active Directory -сайти та служби(Active Directory Sites and Services).
Робота з доменами Active Directory
В мережі Windows Server 2003 служба ActiveDirectoryналаштовується одночасно зDNS. Проте домени Active Directory та домени DNS мають різне призначення. Домени Active Directory допомагають керувати обліковими записами, ресурсами та захистом.
Ієрархія доменів DNS призначена головним чином для дозволу імен.
Повною мірою скористатися перевагами Active Directory здатні комп'ютери, які працюють під керуванням Windows XP Professional і Windows 2000. Вони працюють у мережі як клієнти Active Directory та їм доступні транзитивні довірчі відносини, що існують у дереві або лісі доменів. Ці відносини дозволяють авторизованим користувачам отримувати доступ до ресурсів у будь-якому домені лісу.
Система Windows Server 2003 працює як контролер домену або як рядовий сервер. Рядові сервери стають контролерами після встановлення Active Directory; контролери знижуються до рядових серверів після видалення Active Directory.
Обидва процеси виконуємайстер установки Active Directory. У домені може бути кілька контролерів. Вони реплікують між собою дані каталогу моделі реплікації з кількома господарями, яка дозволяє кожному контролеру обробляти зміни каталогу, та був передавати їх у інші контролери. Завдяки структурі з кількома господарями всі контролери за умовчанням мають рівну відповідальність. Втім, можна надати деяким контролерам домену пріоритет над іншими у певних завданнях, наприклад, створити сервер-плацдарм, який має пріоритет при реплікації даних каталогу на інші сайти.
Крім того, деякі завдання краще виконувати на виділеному сервері. Сервер, що обробляє специфічний тип завдань, називається господарем операцій (Operations master).
Для всіх комп'ютерів з Windows 2000, Windows XP Professional і Windows Server 2003, приєднаних до домену, створюються облікові записи, що зберігаються, подібно до інших ресурсів, у вигляді об'єктів Active Directory . Облікові записи комп'ютерів служать для керування доступом до мережі та її ресурсів, перш ніж комп'ютер отримує доступ до домену по своїй облікового запису, він обов'язково проходить процедуру аутентифікації.
Структура каталогу
Дані каталогу надаються користувачам та комп'ютерам через сховище даних (data stores) та глобальні каталоги (globalcatalogs). Хоча більшість функційActiveDirectoryторкаються сховища даних, глобальні каталоги (ГК) не менш важливі, оскільки використовуються для входу в систему та пошуку інформації. Якщо ГК недоступний, звичайні користувачі не зможуть увійти до домену.Єдиний спосіб обійти цю умову - локальне кешування членства в універсальні групи.
Доступ та розповсюдження даних Active Directory забезпечуються засобами протоколів доступу до каталогу (Directory accessprotocols) та реплікації (replication).
Реплікація необхідна поширення оновлених даних на контролери. Головний метод поширення оновлень – реплікація з кількома господарями, але деякі зміни обробляються лише спеціалізованими контролерами. господарями операцій (Operations masters).
Спосіб виконання реплікації з кількома господарями у Windows Server 2003 також змінився завдяки появі розділів каталогу додатків (applicationdirectorypartitions). За допомогою їх системні адміністратори можуть створювати в лісі доменів розділи реплікації, які є логічні структури, використовувані керувати реплікацією не більше лісу доменів. Наприклад, можна створити розділ, який знатиме реплікацією інформації DNS у межах домену. Іншим системам домену заборонено реплікацію інформації DNS.
Розділи каталогу додатків можуть бути дочірнім елементомдомену, дочірній елемент іншого прикладного розділу або нове дерево в лісі доменів. Репліки розділів дозволяється розміщувати на будь-якому контролері домену Active Directory, включаючи глобальні каталоги. Хоча розділи каталогу додатків корисні у великих доменах та лісах, вони збільшують витрати на планування, адміністрування та супровід.
Сховище даних
Сховище містить відомості про найважливіші об'єкти служби каталогів Active Directory - облікові записи, загальні ресурси, ОП та групові політики. Іноді сховище даних називають просто каталогом (Directory). На контролері домену каталог зберігається у файлі NTDS.DIT, розташування якого визначається під час встановлення Active Directory (це обов'язково має бути диск NTFS). Деякі дані каталогу можна зберігати окремо від основного сховища, наприклад, групові політики, сценарії та іншу інформацію, записану в загальному системному ресурсі SYSVOL.
Надання інформації каталогу у спільне користування називають публікацією (Publish). Наприклад, відкриваючи принтер для використання у мережі, його публікують; публікується інформація про спільну папку тощо. Контролери доменів реплікують більшість змін у сховищі за схемою з кількома господарями. Адміністратор невеликого або середнього розміру організації рідко керує реплікацією сховища, оскільки вона здійснюється автоматично, але її можна налаштувати відповідно до специфіки архітектури мережі.
Реплікуються не всі дані каталогу, а лише:
Дані домену - інформація про об'єкти в домені, включаючи об'єкти облікових записів, загальних ресурсів, ОП та групових політик;
Дані конфігурації - відомості про топологію каталогу: список усіх доменів, дерев та лісів, а також розташування контролерів та серверів ГК;
Дані схеми - інформація про всі об'єкти та типи даних, які можуть зберігатися в каталозі; Стандартна схема Windows Server 2003 описує об'єкти облікових записів, об'єкти загальних ресурсів та ін., її можна розширити, визначивши нові об'єкти та атрибути або додавши атрибути для існуючих об'єктів.
Глобальний каталог
Якщо локальне кешування членства в Універсальних групах не проводиться, вхід до мережі здійснюється на основі інформації про членство в універсальній групі, наданій ЦК.
Він також забезпечує пошук у каталозі по всіх доменів лісу. Контролер, виконує рольсервера ГК, зберігає повну репліку всіх об'єктів каталогу свого домену та часткову репліку об'єктів інших доменів лісу.
Для входу в систему та пошуку потрібні лише деякі властивості об'єктів, тому можливе використання часткових реплік. Для формування часткової репліки при реплікації потрібно передати менше даних, що знижує мережевий трафік.
За промовчанням сервером ГК стає перший контролер домену. Тому, якщо в домені тільки один контролер, то сервер ГК і контролер домену - той самий сервер. Можна розмістити ГК на іншому контролері, щоб скоротити час очікування відповіді під час входу до системи та прискорити пошук. Рекомендується створити по одному ГК у кожному сайті домену.
Є кілька способів вирішення цієї проблеми. Зрозуміло, можна створити сервер ГК одному з контролерів домену у віддаленому офісі. Недолік цього способу - збільшення навантаження на сервер ГК, що може вимагати додаткових ресурсів та ретельного планування часу роботи цього сервера.
Інший спосіб вирішення проблеми – локальне кешування членства в універсальних групах. У цьому будь-який контролер домену може обслуговувати запити на вхід у систему локально, не звертаючись до сервера ГК. Це прискорює процедуру входу в систему та полегшує ситуацію у разі виходу сервера ДК з ладу. Крім того, при цьому знижується трафік реплікації.
Замість того, щоб періодично оновлювати весь ГК по всій мережі, достатньо оновлювати інформацію в кеші про членство в універсальній групі. За промовчанням оновлення відбувається кожні 8:00 на кожному контролері домену, в якому використовується локальне кешування членства в універсальній групі.
Членство у Універсальній групі індивідуально для кожного сайту. Нагадаємо, що сайт - це фізична структура, що складається з однієї або декількох підмереж, що мають індивідуальний набір IP-адрес та мережну маску. Контролери домену Windows Server 2003 та ГК, до якого вони звертаються, повинні перебувати в одному сайті. Якщо є кілька сайтів, доведеться налаштувати локальне кешування на кожному з них. Крім того, користувачі, які входять до сайту, повинні бути частиною домену Windows Server 2003, який працює в режимі лісу Windows Server 2003.
Реплікація у Active Directory
У каталозі зберігаються відомості трьох типів: дані домену, дані схеми та дані конфігурації. Дані домену реплікуються на всі контролери домену. Усі контролери домену рівноправні, тобто. всі зміни, що вносяться з будь-якого контролера домену, будуть репліковані на всі інші контролери домену Схема і дані конфігурації реплікуються на всі домени дерева або лісу. Крім того, всі об'єкти індивідуального домену та частина властивостей об'єктів лісу реплікуються у ЦК. Це означає, що контролер домену зберігає та реплікує схему для дерева чи лісу, інформацію про конфігурацію для всіх доменів дерева чи лісу та всі об'єкти каталогу та властивості для власного домену.
Контролер домену, на якому зберігається ГК, містить і реплікує інформацію схеми для лісу, інформацію про конфігурацію для всіх доменів лісу та обмежений набір властивостей для всіх об'єктів каталогу в лісі (він реплікується тільки між серверами ГК), а також всі об'єкти каталогу та властивості для свого домену.
Щоб зрозуміти суть реплікації, розглянемо такий сценарій налаштування нової мережі.
1. У домені А встановлений перший контролер. Цей сервер – єдиний контролер домену. Він є і сервером ГК. Реплікація у такій мережі не відбувається, оскільки немає інших контролерів.
2. У домені А встановлюється другий контролер і починається реплікація. Можна призначити один контролер власником інфраструктури, а інший - сервером ЦК. Хазяїн інфраструктури стежить за оновленнями ЦК та запитує їх для змінених об'єктів. Обидва ці контролери також реплікують дані схеми та конфігурації.
3. У домені А встановлюється третій контролер, у якому немає ГК. Хазяїн інфраструктури слідкує за оновленнями ЦК, запитує їх для змінених об'єктів, а потім реплікує зміни на третій контролер домену. Всі три контролери також реплікують дані схеми та конфігурації.
4. Створюється новий домен Б, до нього додаються контролери. Сервери ДК в домені А та домені Б реплікують всі дані схеми та конфігурації, а також підмножина даних домену з кожного домену. Реплікація в домені А продовжується, як описано вище, плюс починається реплікація всередині домену Б.
ActiveDirectoryі LDAP
Спрощений протокол доступу до каталогів (Lightweight Directory Access Protocol, LDAP) - стандартний протокол Інтернет-з'єднань у мережах TCP/IP. LDAP спроектований спеціально для доступу до служб каталогів із мінімальними витратами. У LDAP також визначено операції, які використовуються для запиту та зміни інформації каталогу.
Клієнти Active Directory застосовують LDAP для зв'язку з комп'ютерами, на яких працює Active Directory, при кожному вході в мережу або пошуку спільних ресурсів. LDAP спрощує взаємозв'язок каталогів та перехід на Active Directory з інших служб каталогів. Для підвищення сумісності можна використовувати інтерфейси служб Active Directory (ActiveDirectory Service- Interfaces, ADSI).
Ролі господаря операцій
Господар операцій вирішує завдання, які незручно виконувати моделі реплікації з кількома господарями. Існує п'ять ролей господаря операцій, які можна призначити одному чи декільком контролерам доменів. Одні ролі мають бути унікальні лише на рівні лісу, іншим достатньо рівня домену. У кожному лісі Active Directory повинні існувати такі ролі:
Господар схеми (schema master) - керує оновленнями та змінами схеми каталогу. Для оновлення схеми каталогу потрібний доступ до власника схеми. Щоб визначити, який сервер у даний часє господарем схеми в домені, достатньо відкрити вікно командного рядка та ввести: dsquery server -hasfsmo schema.
Господар іменування доменів (domain naming master) - керує додаванням та видаленням доменів у лісі. Щоб додати або видалити домен, потрібен доступ до власника домену. Щоб визначити, який сервер є господарем іменування доменів, достатньо у вікні командного рядка ввести: dsquery server -hasfsmo name.
Ці ролі, спільні для всього лісу загалом, мають бути в ньому унікальними.
У кожному домені Active Directory обов'язково існують такі ролі.
Господар відносних ідентифікаторів (relative ID master) - Виділяє відносні ідентифікатори контролерам доменів. Щоразу під час створення об'єкта користувача, групи або комп'ютера контролери призначають об'єкту унікальний ідентифікатор безпеки, що складається з ідентифікатора безпеки домену та унікального ідентифікатора, який був виділений власником відносних ідентифікаторів. Щоб визначити, який сервер на даний час є господарем відносних ідентифікаторів в домені, достатньо у вікні командного рядка: dsqueryserver -hasfsmorid.
Емулятор PDC (PDC emulator) - у змішаному чи проміжному режимі домену діє як головний контролер домену Windows NT. Він аутентифікує вхід у Windows NT, обробляє зміни пароля та реплікує оновлення на PDC. Щоб визначити, який сервер на даний час є емулятором PDC в домені, достатньо у вікні командного рядка. dsquery server - hasfsmo pdc.
Господар інфраструктури (infrastructure master ) - оновлює посилання на об'єкти, порівнюючи дані свого каталогу з даними ГК. Якщо дані застаріли, він вимагає з ГК оновлення та реплікує їх на інші контролери в домені. Щоб визначити, який сервер є господарем інфраструктури в домені, достатньо у вікні командного рядка і ввести dsqueryserver-hasfsmo infr.
Ці ролі, спільні для всього домену, мають бути в ньому унікальними. Іншими словами, можна налаштувати лише один господар відносних ідентифікаторів, один емулятор PDC та один господар інфраструктури для кожного домену.
Зазвичай ролі господаря операцій призначаються автоматично, але можна перепризначити. Під час встановлення нової мережі всі ролі господарів операцій отримує перший контролер першого домену. Якщо пізніше буде створено новий дочірній домен або кореневий домен у новому дереві, ролі господаря операцій також автоматично призначаються першому контролеру домену. У новому лісі доменів контролеру домену призначаються всі ролі господаря операцій. Якщо новий домен створюється у тому лісі, його контролеру призначаються ролі господаря відносних ідентифікаторів, емулятора РDС та господаря інфраструктури. Ролі господаря схеми та господаря іменування доменів залишаються у першого домену лісу.
Якщо в домені лише один контролер, він виконує всі ролі господарів операцій. Якщо в мережі один сайт, стандартне розташування господарів операцій є оптимальним. Але в міру додавання контролерів домену та доменів іноді потрібно перемістити ролі господарів операцій на інші контролери доменів.
Якщо в домені два або більше контролерів, рекомендується налаштувати два контролери домену для виконання ролей господаря операцій. Наприклад, призначити один контролер домену основним господарем операцій, а інший - запасним, який знадобиться при відмові основного.
Адміністрація Active Directory
CЗа допомогою служби Active Directory створюються облікові записи комп'ютерів, здійснюється підключення їх до домену, здійснюється управління комп'ютерами, контролерами домену та організаційними підрозділами (ОП).
Для керування Active Directory призначені засоби адміністрування та підтримки. Наведені нижче інструменти реалізовані і у вигляді оснасток консолі ММС (Microsoft ManagementConsole):
Active Directory - користувачі та комп'ютери (Active Directory Users and Комп'ютери) дозволяє керувати користувачами, групами, комп'ютерами та організаційними підрозділами (ОП);
Active Directory- домени та довіра ( Active Directory Domainsand Trusts ) служить до роботи з доменами, деревами доменів і лісами доменів;
Active Directory - сайти іслужби (Active Directory Sites and Services) дозволяє керувати сайтами та підмережами;
Результуюча політика (Resultant Set of Policy) використовується для перегляду поточної політики користувача або системи та для планування змін у політиці.
У Microsoft Windows 2003 Server можна отримати доступ до цих оснасток безпосередньо з меню Administrative Tools.
Ще один засіб адміністрування – оснащення Схема ActiveDirectory (Active Directory Schema) - дозволяє керувати та модифікувати схему каталогу.
Утиліти командного рядка Active Directory
Для керування об'єктами Active Directoryіснують засоби командного рядка, які дозволяють здійснювати широкий спектр адміністративних завдань:
DSADD - додає в Active Directoryкомп'ютери, контакти, групи, ВП та користувачів.
DSGET - відображає властивості комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів, зареєстрованих у Active Directory.
DSMOD - змінює властивості комп'ютерів, контактів, груп, ОП, користувачів та серверів, зареєстрованих у Active Directory.
DSMOVE - переміщує одиночний об'єкт у нове розташування у межах домену або перейменовує об'єкт без переміщення.
DSQXJERY - здійснює пошук комп'ютерів, контактів, груп, ВП, користувачів, сайтів, підмереж та серверів у Active Directoryза заданими критеріями.
DSRM - видаляє об'єкт із Active Directory.
NTDSUTIL - дозволяє переглядати інформацію про сайт, домен або сервер, керувати господарями операцій (operations masters) та обслуговувати базу данихActive Directory.
