Principi konstruiranja Active Directory domena. Uvod u koncepte aktivnog imenika
Svaki korisnik početnik, suočen s kraticom AD, pita se što je to. Aktivni imenik? Active Directory je imenička usluga koju je razvio Microsoft za domenu Windows mreže. Uključeno u većinu operativnih sustava Windows poslužitelj, kao skup procesa i usluga. U početku se usluga bavila samo domenama. Međutim, počevši od Windows Servera 2008, AD je postao naziv za širok raspon usluga identiteta temeljenih na imeniku. To čini Active Directory za početnike boljim iskustvom učenja.
Osnovna definicija
Poslužitelj koji pokreće Active Directory Domain Directory Services naziva se kontroler domene. Autentificira i autorizira sve korisnike i računala u Windows mrežnoj domeni, dodjeljuje i provodi sigurnosna pravila za sva računala i instalira ili ažurira softver. Na primjer, kada se korisnik prijavi na računalo koje je pridruženo Windows domeni, Active Directory provjerava dostavljenu lozinku i utvrđuje je li subjekt administrator sustava ili običnog korisnika. Također omogućuje upravljanje i pohranjivanje informacija, pruža mehanizme provjere autentičnosti i autorizacije te uspostavlja okvir za implementaciju drugih povezanih usluga: usluge certifikata, federalne i lagane imeničke usluge i upravljanje pravima.
Active Directory koristi LDAP verzije 2 i 3, Microsoftovu verziju Kerberosa i DNS.
Active Directory - što je to? Jednostavnim riječima o kompleksu
Praćenje mrežnih podataka je dugotrajan zadatak. Čak i u male mreže Korisnici obično imaju poteškoća s pronalaženjem mrežnih datoteka i pisača. Bez neke vrste imenika ne može se upravljati srednjim do velikim mrežama i često se suočavaju s poteškoćama u pronalaženju resursa.
Prethodno Microsoftove verzije Windows je uključivao usluge za pomoć korisnicima i administratorima u pronalaženju podataka. Network Neighborhood je koristan u mnogim okruženjima, ali očiti nedostatak je nezgrapno sučelje i njegova nepredvidivost. WINS Manager i Server Manager mogu se koristiti za pregled popisa sustava, ali nisu bili dostupni krajnjim korisnicima. Administratori su koristili Upravitelj korisnika za dodavanje i uklanjanje podataka iz potpuno različite vrste mrežnog objekta. Utvrđeno je da su te aplikacije neučinkovite na velikim mrežama i postavile su pitanje zašto je tvrtkama potreban Active Directory?
Sam katalog u općem smislu, predstavlja puni popis objekti. telefonski imenik je vrsta imenika koji pohranjuje informacije o ljudima, tvrtkama i vladinim organizacijama, iObično bilježe imena, adrese i brojeve telefona. pitajući se Active Directory - što je to, jednostavnim riječima možemo reći da je ova tehnologija slična imeniku, ali je puno fleksibilnija. AD pohranjuje informacije o organizacijama, stranicama, sustavima, korisnicima, zajednički resursi i bilo koji drugi mrežni objekt.
Uvod u koncepte aktivnog imenika
Zašto je organizaciji potreban Active Directory? Kao što je spomenuto u uvodu u Active Directory, usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike objašnjava da ovo Omogućuje klijentima da pronađu objekte u svom imenskom prostoru. Ovaj t Pojam (koji se naziva i stablo konzole) odnosi se na područje u kojem se mrežna komponenta može nalaziti. Na primjer, sadržaj knjige stvara prostor imena u kojem se poglavlja mogu dodijeliti brojevima stranica.
DNS je stablo konzole koje razrješava imena hostova u IP adrese, kao što jeTelefonski imenici pružaju prostor imena za razrješavanje imena telefonskih brojeva. Kako se to događa u aktivnom imeniku? AD pruža stablo konzole za rješavanje imena mrežnih objekata u same objekte imože riješiti širok raspon entiteta, uključujući korisnike, sustave i usluge na mreži.
Objekti i atributi
Sve što Active Directory prati smatra se objektom. Jednostavnim riječima možemo reći da je ovo u Active Directory-u je svaki korisnik, sustav, resurs ili usluga. Uobičajeni izraz objekt koristi se jer je AD sposoban pratiti mnoge elemente, a mnogi objekti mogu dijeliti zajedničke atribute. Što to znači?
Atributi opisuju objekte u Active Directoryju, na primjer, svi korisnički objekti dijele atribute za pohranu korisničkog imena. To se također odnosi i na njihove opise. Sustavi su također objekti, ali imaju zaseban skup atributa koji uključuju naziv hosta, IP adresu i lokaciju.
Skup atributa dostupnih za bilo koji određeni tip objekta naziva se shema. To čini objektne klase različitima jedna od druge. Informacije o shemi zapravo su pohranjene u Active Directory. Da je ovo ponašanje sigurnosnog protokola vrlo važno pokazuje činjenica da dizajn omogućuje administratorima da dodaju atribute klasama objekata i distribuiraju ih preko mreže u sve kutove domene bez ponovnog pokretanja kontrolera domene.
LDAP spremnik i naziv
Kontejner je posebna vrsta objekta koji služi za organizaciju rada usluge. Ne predstavlja fizički entitet poput korisnika ili sustava. Umjesto toga, koristi se za grupiranje drugih elemenata. Objekti spremnika mogu se ugniježditi unutar drugih spremnika.
Svaki element u AD ima ime. To nisu oni na koje ste navikli, na primjer, Ivan ili Olga. Ovo su LDAP razlikovna imena. LDAP razlikovna imena su složena, ali vam omogućuju jedinstvenu identifikaciju bilo kojeg objekta unutar direktorija, bez obzira na njegovu vrstu.
Stablo pojmova i web stranica
Stablo pojmova koristi se za opisivanje skupa objekata u aktivnom imeniku. sta je ovo Jednostavnim riječima, ovo se može objasniti pomoću asocijacije stabla. Kada se spremnici i objekti kombiniraju hijerarhijski, oni teže formiranju grana - otuda i naziv. Srodan izraz je kontinuirano podstablo, koje se odnosi na neprekinuto glavno deblo stabla.
Nastavljajući metaforu, izraz "šuma" opisuje zbirku koja nije dio istog imenskog prostora, ali ima opća shema, konfiguracija i globalni katalog. Objekti u tim strukturama dostupni su svim korisnicima ako to sigurnost dopušta. Organizacije podijeljene u više domena trebaju grupirati stabla u jednu šumu.
Stranica je geografski položaj, definiran u Active Directory. Stranice odgovaraju logičkim IP podmrežama i kao takve ih aplikacije mogu koristiti za pronalaženje najbližeg poslužitelja na mreži. Korištenje informacija o web-mjestu iz Active Directoryja može znatno smanjiti promet na WAN-ovima.
Upravljanje aktivnim imenikom
Active Directory Users snap-in komponenta. Ovo je najprikladniji alat za administriranje Active Directorya. Izravno mu se može pristupiti iz programske grupe Administrativni alati u izborniku Start. Zamjenjuje i poboljšava Server Manager i User Manager iz Windows NT 4.0.
Sigurnost
Active Directory igra važnu ulogu u budućnosti Windows mreža. Administratori moraju moći zaštititi svoj imenik od napadača i korisnika dok delegiraju zadatke drugim administratorima. Sve je to moguće korištenjem sigurnosnog modela Active Directory, koji pridružuje popis kontrole pristupa (ACL) svakom spremniku i atributu objekta u imeniku.
Visoka razina kontrole omogućuje administratoru da pruži individualni korisnici a grupe imaju različite razine dopuštenja za objekte i njihova svojstva. Oni čak mogu dodati atribute objektima i sakriti te atribute od određenih grupa korisnika. Na primjer, možete postaviti ACL tako da samo upravitelji mogu vidjeti kućne telefone drugih korisnika.
Delegirana uprava
Koncept koji je nov u sustavu Windows 2000 Server je delegirana administracija. To vam omogućuje dodjeljivanje zadataka drugim korisnicima bez dodjele dodatnih prava pristupa. Delegirana administracija može se dodijeliti kroz određene objekte ili kontinuirana podstabla direktorija. To je puno više učinkovita metoda davanje ovlasti nad mrežama.
U mjesto gdje se nekome dodjeljuju sva administratorska prava globalne domene, korisniku se mogu dati dopuštenja samo unutar određenog podstabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL svog spremnika. 
Pojam "fiducijarni odnos"
Pojam " odnos povjerenja" još uvijek se koriste, ali imaju drugačiju funkcionalnost. Ne postoji razlika između jednosmjernih i dvosmjernih trustova. Uostalom, svi odnosi povjerenja Active Directoryja su dvosmjerni. Štoviše, sve su tranzitivne. Dakle, ako domena A vjeruje domeni B i B vjeruje C, tada postoji automatski implicitni odnos povjerenja između domene A i domene C.
Revizija u Active Directoryju - što je to jednostavnim riječima? Ovo je sigurnosna značajka koja vam omogućuje da odredite tko pokušava pristupiti objektima i koliko je pokušaj uspješan.
Korištenje DNS-a (Domain Name System)
Sustav, inače poznat kao DNS, neophodan je za svaku organizaciju spojenu na Internet. DNS omogućuje razlučivanje imena između uobičajenih imena kao što je mspress.microsoft.com i neobrađenih IP adresa koje komponente koriste mrežni sloj za komunikaciju.
Active Directory u velikoj mjeri koristi DNS tehnologiju za traženje objekata. Ovo je značajna promjena u odnosu na prijašnje poslovanje Windows sustavi, koji zahtijevaju da se NetBIOS imena razriješe prema IP adresama i oslanjaju se na WINS ili druge NetBIOS tehnike razlučivanja imena.
Active Directory najbolje radi kada se koristi s DNS poslužiteljima koji rade pod sustavom Windows 2000. Microsoft je administratorima olakšao migraciju na DNS poslužitelje temeljene na sustavu Windows 2000 pružajući čarobnjake za migraciju koji administratora vode kroz proces.
Mogu se koristiti i drugi DNS poslužitelji. Međutim, to će od administratora zahtijevati da provedu više vremena upravljajući DNS bazama podataka. Koje su nijanse? Ako odlučite ne koristiti DNS poslužitelje sa sustavom Windows 2000, morate osigurati da su vaši DNS poslužitelji u skladu s novim DNS protokolom dinamičkog ažuriranja. Poslužitelji se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domene. Nezgodno je. Uostalom, eAko dinamičko ažuriranje nije podržano, morate ručno ažurirati baze podataka. 
Windows domene i internetske domene sada su potpuno kompatibilne. Na primjer, naziv kao što je mspress.microsoft.com identificirat će kontrolere domene Active Directory odgovorne za domenu, tako da svaki klijent s DNS pristupom može pronaći kontroler domene.Kupci mogu koristiti DNS rezoluciju za traženje bilo kojeg broja usluga jer poslužitelji Active Directory objavljuju popis adresa u DNS-u koristeći nove značajke dinamičkog ažuriranja. Ti su podaci definirani kao domena i objavljeni kroz zapise resursa usluge. SRV RR slijedite format usluga.protokol.domena.
Active Directory poslužitelji pružaju LDAP uslugu za hosting objekata, a LDAP koristi TCP kao temeljni protokol prijenosnog sloja. Stoga će klijent koji traži poslužitelj Active Directory u domeni mspress.microsoft.com tražiti DNS unos za ldap.tcp.mspress.microsoft.com.
Globalni katalog
Active Directory pruža globalni katalog (GC) ipruža jedan izvor za traženje bilo kojeg objekta na mreži organizacije.
Globalni katalog je usluga u sustavu Windows 2000 Server koja omogućuje korisnicima da pronađu sve objekte koji su podijeljeni. Ova funkcionalnost daleko nadmašuje aplikaciju Find Computer koja je uključena u program prethodne verzije Windows. Uostalom, korisnici mogu pretraživati bilo koji objekt u Active Directoryju: poslužitelje, pisače, korisnike i aplikacije.
Osnove aktivnog imenika
Servis Aktivni imenik
Proširiva i skalabilna imenička usluga Aktivan Imenik omogućuje vam učinkovito upravljanje mrežnim resursima.
Aktivan Imenik je hijerarhijski organizirano spremište podataka o mrežnim objektima, pružajući prikladna sredstva za pretraživanje i korištenje tih podataka. Računalo radi Aktivno Imenik, tzv kontroler domene . S Aktivni imenikGotovo svi administrativni poslovi su povezani.
Active Directory tehnologija temelji se na standardu internetski protokoli te pomaže u jasnom definiranju strukture mreže.
Active Directory i DNS
U Aktivan DirektorgKoristi se sustav imena domena.
DomenaIme Sustav (DNS) je standardna internetska usluga koja organizira grupe računala u domene.DNS domene imaju hijerarhijsku strukturu koja čini osnovu Interneta. Različite razine ove hijerarhije identificiraju računala, organizacijske domene i domene najviše razine. DNS također služi za rješavanje imena hostova, npr. z eta.webatwork.com na numeričke IP adrese, kao što je 192.168.19.2. Korištenjem DNS-a, hijerarhija domene Active Directory može se integrirati u internetski prostor ili ostaviti neovisnom i izoliranom od vanjskog pristupa.
Za pristup resursima u domena se primjenjuje puno imečvor, na primjer zeta.webatwork.com. Ovdjezeta- naziv pojedinačnog računala, webatwork - domena organizacije i com - vršna domena. Domene najviše razine čine temelj DNS hijerarhije i stoga se nazivaju korijenske domene (korijenske domene). Organizirani su geografski, s nazivima temeljenim na dvoslovnim kodovima država (ruza Rusiju), prema vrsti organizacije (stotine za komercijalne organizacije) i za predviđene svrhe ( mil za vojne organizacije).
Uobičajene domene, kao što je microsoft.com, nazivaju se roditelji (roditeljska domena) budući da čine temelj organizacijske strukture. Roditeljske domene mogu se podijeliti na poddomene različitih ogranaka ili udaljenih ogranaka. Na primjer, potpuna naziv računala V Microsoftov ured u Seattleu bi to moglo biti jacob.seattle.microsoft.com , Gdje jakob- naziv računala, sesve - poddomena, a microsoft.com je nadređena domena. Drugi naziv za poddomenu je dječja domena (domena djeteta).
Komponente Aktivan Imenik
Active Directory kombinira fizičku i logičku strukturu mrežnih komponenti. Logičke strukture Active Directory pomažu organizirati objekte imenika i upravljati mrežnim računima i dijeljenjima. Logička struktura uključuje sljedeće elemente:
organizacijska jedinica - podskupina računala, koja obično odražava strukturu poduzeća;
domena ( domena) - skupina računala koja dijele zajedničku katalošku bazu podataka;
stablo domene (domena drvo) - jedna ili više domena koje dijele susjedni prostor imena;
šuma domene - jedno ili više stabala koja dijele informacije direktorija.
Fizički elementi pomažu u planiranju stvarne strukture mreže. Na temelju fizičkih struktura formiraju se mrežne veze i fizičke granice mrežnih resursa. Fizička struktura uključuje sljedeće elemente:
podmreža ( podmreža) - mrežna grupa s određenim područjem IP adrese i mrežna maska;
web stranica ( mjesto) - jednu ili više podmreža. Stranica se koristi za konfiguriranje pristupa imeniku i za replikaciju.
Organizacijske podjele
Organizacijske jedinice (OU) su podskupine unutar domena koje često odražavaju funkcionalnu strukturu organizacije. OU-ovi su vrsta logičkih spremnika u kojima se nalaze računi, dionice i drugi OU-ovi. Na primjer, možete kreirati u domeni mikrosoft. com podjele Resursi, TO, Marketing. Ova se shema zatim može proširiti tako da sadrži podređene jedinice.
U OP se smiju smjestiti samo objekti iz nadređene domene. Na primjer, OU s domene Seattle.microsoft.com sadrže objekte samo s te domene. Dodajte objekte od tamomg. microsoft.com nije dopušten. OP su vrlo zgodni pri formiranju funkcionalnog ili poslovne strukture organizacije. Ali to nije jedini razlog njihove upotrebe.
OP-ovi vam omogućuju definiranje pravila grupe za mali skup resursa u domeni bez potrebe da ih primjenjujete na cijelu domenu. OP stvara kompaktne prikaze objekata direktorija u domeni kojima se lakše upravlja, što vam pomaže da učinkovitije upravljate resursima.
OP-ovi vam omogućuju delegiranje ovlasti i kontrolu administrativnog pristupa resursima domene, što pomaže u postavljanju ograničenja ovlasti administratora u domeni. Može se poslati korisniku A upravna ovlaštenja samo za jedan OP i istovremeno prenijeti administrativne ovlasti na korisnika B za sve OP-ove u domeni.
Domene
Domena Active Directory je grupa računala koja dijele zajedničku bazu podataka imenika. Nazivi domena Active Directory moraju biti jedinstveni. Na primjer, ne mogu postojati dvije domene microsoft.com, ali može postojati nadređena domena microsoft.com s podređenim domenama seattle.microsoft.com i my.microsoft.com. Ako je domena dio zatvorene mreže, naziv dodijeljen novoj domeni ne smije biti u sukobu s postojećim nazivima domena na toj mreži. Ako je domena dio globalnog interneta, tada njezin naziv ne bi trebao biti u sukobu s bilo kojim od postojećih naziva domena na internetu. Kako bi se osiguralo da su imena jedinstvena na Internetu, naziv nadređene domene mora biti registriran putem bilo koje ovlaštene organizacije za registraciju.
Svaka domena ima vlastitu sigurnosnu politiku i odnose povjerenja s drugim domenama. Često su domene raspoređene na nekoliko fizičkih lokacija, odnosno sastoje se od nekoliko stranica, a stranice kombiniraju nekoliko podmreža. Baza podataka imenika domene pohranjuje objekte koji definiraju račune za korisnike, grupe i računala, kao i zajedničke resurse kao što su pisači i mape.
Funkcije domene ograničene su i regulirane načinom njezina rada. Postoje četiri funkcionalna načina domene:
mješoviti način rada Windows 2000 (mješoviti način rada) - podržava kontrolere domene sa sustavom Windows NT 4.0, Wi ndows 2000 i Windows poslužitelj 2003;
Windows 2000 izvorni način rada - podržava kontrolere domene koji rade pod sustavom Windows 2000 i Windows poslužitelj 2003;
srednji način rada Windows poslužitelj 2003 ( privremeni način rada) - podržava rad kontrolera domene Windows NT 4.0 i Windows poslužitelj 2003;
način rada Windows Server 2003 - podržava kontrolere domene koji rade na Windows Serveru 2003.
Šume i drveće
Svaka domena Aktivan Imenik ima DNS- upišite ime Microsoft.com. Domene koje dijele podatke direktorija čine šumu. Imena šumskih domena u hijerarhiji DNS imena su nesusjedne(discontiguous) ili susjedni(granični).
Domene koje imaju kontinuiranu strukturu imenovanja nazivaju se stablo domene. Ako šumske domene imaju DNS nazive koji nisu susjedni, one tvore zasebna stabla domena u šumi. Šuma može uključivati jedno ili više stabala. Konzola se koristi za pristup strukturama domeneAktivan Imenik- domene i povjerenje (AktivanImenik Domenei povjerenja).
Funkcije šuma ograničene su i regulirane funkcionalnim režimom šume. Postoje tri takva načina:
Windows 2000 - podržava kontrolere domene koji rade pod Windows NT 4.0, Windows 2000 i Windows poslužitelj 2003;
srednji ( privremeni) Windows poslužitelj 2003 - podržava kontrolere domene koji rade pod Windows NT 4.0 i Windows Server 2003;
Windows Server 2003 - podržava kontrolere domene koji rade na Windows Serveru 2003.
Najnovije značajke Active Directoryja dostupne su u Windows način rada Server 2003: Ako sve domene u šumi rade u ovom načinu rada, možete uživati u poboljšanoj replikaciji globalnog kataloga i učinkovitijoj replikaciji podataka Active Directory. Također možete onemogućiti klase i atribute sheme, koristiti dinamičke pomoćne klase, preimenovati domene i stvoriti jednosmjerne, dvosmjerne i tranzitivne odnose povjerenja u šumi.
Mjesta i podmreže
Web stranica je grupa računala na jednoj ili više IP podmreža koja se koristi za planiranje fizičke strukture mreže. Planiranje web mjesta događa se neovisno o logičkoj strukturi domene. Active Directory vam omogućuje stvaranje više stranica u jednoj domeni ili jedne stranice koja obuhvaća više domena.
Za razliku od web-mjesta koja mogu obuhvaćati više opsega IP adresa, podmreže imaju definirani opseg IP adrese i mrežnu masku. Nazivi podmreža navedeni su u formatu mreža/bitmaska, na primjer 192.168.19.0/24, gdje mrežna adresa 192.168.19.0 i mrežna maska 255.255.255.0 kombiniraju se u naziv podmreže 192.168.19.0/24.
Računala se dodjeljuju stranicama na temelju njihove lokacije na podmreži ili skupu podmreža. Ako računala u podmrežama mogu komunicirati dovoljno velikim brzinama, nazivaju se dobro povezan (dobro povezan).
U idealnom slučaju, stranice se sastoje od dobro povezanih podmreža i računala. Ako je promet između podmreža i računala spor, možda ćete morati stvoriti više stranica. Dobra povezanost stranicama daje neke prednosti.
Kada se klijent prijavi u domenu, proces provjere autentičnosti prvo traži lokalni kontroler domene na klijentovoj stranici, što znači da se prvi postavljaju upiti lokalnim kontrolerima kada je to moguće, ograničavajući mrežni promet i ubrzavajući autentifikaciju.
Informacije iz imenika češće se repliciraju iznutra mjesta nego između stranice. Ovo smanjuje međumrežni promet uzrokovan replikacijom i osigurava da lokalni kontroleri domene brzo primaju ažurirane informacije.
Možete konfigurirati redoslijed kojim se podaci direktorija repliciraju pomoću linkovi na stranice (veze na stranice). Na primjer, definirajte mostobran poslužitelj (mostobran) za replikaciju između mjesta.
Najveći dio opterećenja od replikacije između stranica pasti će na ovaj namjenski poslužitelj, a ne na bilo koji dostupni poslužitelj stranice. Web stranice a podmreže su konfigurirane u konzoli Active Directory - stranice i usluge(Active Directory stranice i usluge).
Rad s domenama Aktivni imenik
Online Windows poslužitelj 2003 servis AktivanImenikkonfiguriran istovremeno sDNS. Međutim, domene Active Directory i DNS domene imaju različite svrhe. Domene Active Directory pomažu u upravljanju računima, resursima i sigurnošću.
Hijerarhija DNS domene prvenstveno je dizajnirana za razlučivanje imena.
Računala s operativnim sustavima Windows XP Professional i Windows 2000 mogu u potpunosti iskoristiti prednosti aktivnog imenika. Oni rade na mreži kao klijenti aktivnog imenika i imaju pristup tranzitivnim odnosima povjerenja koji postoje u stablu ili šumi domena. Ovi odnosi omogućuju ovlaštenim korisnicima pristup resursima u bilo kojoj domeni u šumi.
sustav Windows Server 2003 funkcionira kao kontroler domene ili kao poslužitelj član. Poslužitelji članovi postaju kontrolori nakon instaliranja Active Directoryja; kontroleri su degradirani na poslužitelje članove nakon uklanjanja Active Directoryja.
Izvode se oba procesaČarobnjak za instalaciju aktivnog imenika. U domeni može biti više kontrolera. Međusobno repliciraju podatke imenika pomoću modela replikacije s više glavnih, koji omogućuje svakom kontroleru da obradi promjene direktorija i zatim ih propagira drugim kontrolerima. Sa strukturom s više glavnih, svi kontroleri prema zadanim postavkama imaju jednaku odgovornost. Međutim, nekim kontrolerima domene možete dati prioritet nad drugima za određene zadatke, kao što je stvaranje poslužitelja mosta koji ima prioritet pri repliciranju podataka direktorija na druga mjesta.
Osim toga, neke je zadatke bolje obavljati na namjenskom poslužitelju. Poziva se poslužitelj koji obrađuje određenu vrstu zadatka majstor operacija (majstor operacija).
Računi se stvaraju za sva računala sa sustavom Windows 2000, Windows XP Professional i Windows Server 2003 koja su pridružena domeni i, kao i drugi resursi, pohranjuju se kao objekti aktivnog imenika. Računalni računi koriste se za kontrolu pristupa mreži i njenim resursima Prije nego što računalo može pristupiti domeni koristeći svoj račun, mora proći proceduru provjere autentičnosti.
Struktura imenika
Podaci imenika dostupni su korisnicima i računalima putem skladište podataka (pohrane podataka) i globalni imenici (globalnikatalozi). Iako većina značajkiAktivanImenikutječu na pohranu podataka, globalni katalozi (GC) nisu ništa manje važni jer služe za prijavu u sustav i traženje informacija. Ako GC nije dostupan, redovni korisnici se neće moći prijaviti na domenu. Jedini način da se zaobiđe ovaj uvjet je lokalno spremanje članstva u predmemoriju univerzalne grupe.
Pristup i distribucija podataka Active Directory omogućen je sredstvima protokoli za pristup imeniku (imenik pristupprotokoli) I replikacija (replikacija).
Replikacija je potrebna za distribuciju ažuriranih podataka kontrolerima. Glavna metoda za distribuciju ažuriranja je multi-master replikacija, ali neke promjene obrađuju samo specijalizirani kontroleri - majstori operacija (majstori operacija).
Način na koji se izvodi višeglavna replikacija u sustavu Windows Server 2003 također se promijenio uvođenjem odjeljci kataloga aplikacije (primjenaimenikpregrade). Preko njih administratori sustava mogu kreirati replikacijske particije u šumi domene, koje su logičke strukture koje se koriste za upravljanje replikacijom unutar šume domene. Na primjer, možete stvoriti particiju koja će upravljati replikacijom DNS informacija unutar domene. Ostali sustavi u domeni ne smiju replicirati DNS informacije.
Particije direktorija aplikacije mogu biti dijete domene, dijete druge particije aplikacije ili novo stablo u šumi domena. Replike particija mogu biti smještene na bilo kojem kontroleru domene Active Directory, uključujući globalne kataloge. Iako su particije direktorija aplikacija korisne u velikim domenama i šumama, one povećavaju troškove planiranja, administracije i održavanja.
Pohrana podataka
Repozitorij sadrži informacije o najvažnijim objektima imeničke usluge Active Directory - računima, zajedničkim resursima, OP i grupnim pravilima. Ponekad se jednostavno zove skladište podataka katalog (imenik). Na kontroleru domene, direktorij je pohranjen u datoteci NTDS.DIT čija se lokacija određuje kada se instalira Active Directory (ovo mora biti NTFS pogon). Neki podaci direktorija također se mogu pohraniti odvojeno od glavne pohrane, kao što su grupna pravila, skripte i druge informacije pohranjene u SYSVOL sistemskom dijeljenju.
Pružanje kataloških informacija dijeljenje nazvao objavljivanje (objaviti). Na primjer, kada se pisač otvori za korištenje na mreži, on se objavljuje; objavljene su informacije o dijeljenoj mapi, itd. Kontrolori domene repliciraju većinu promjena u pohrani na višeglavni način. Administrator u maloj ili srednjoj organizaciji rijetko upravlja replikacijom pohrane jer je automatska, ali se može konfigurirati tako da odgovara specifičnostima mrežne arhitekture.
Ne repliciraju se svi podaci imenika, samo:
Podaci o domeni - informacije o objektima u domeni, uključujući objekte računa, dijeljene resurse, OP i grupna pravila;
Podaci o konfiguraciji - informacije o topologiji direktorija: popis svih domena, stabala i šuma, kao i lokacija kontrolera i GC poslužitelja;
Schema data - podaci o svim objektima i tipovima podataka koji se mogu pohraniti u imenik; standard Windows dijagram Server 2003 definira objekte računa, objekte zajedničkih resursa i više, a može se proširiti definiranjem novih objekata i atributa ili dodavanjem atributa postojećim objektima.
Globalni katalog
Ako lokalno predmemoriranje članstva ne izvode se univerzalne grupe; prijava na mrežu se temelji na podacima o članstvu u univerzalna grupa, predviđeno Građanskim zakonikom.
Također pruža pretraživanje imenika u svim domenama u šumi. upravljač, igranje uloga GK poslužitelj pohranjuje punu repliku svih objekata direktorija u svojoj domeni i djelomičnu repliku objekata u drugim domenama šume.
Za prijavu i pretraživanje potrebno je samo nekoliko svojstava objekta, tako da se mogu koristiti djelomične replike. Za formiranje djelomične replike, replikacija zahtijeva prijenos manje podataka, što smanjuje mrežni promet.
Prema zadanim postavkama, prvi kontroler domene postaje glavni kontroler domene. Stoga, ako postoji samo jedan kontroler u domeni, tada su glavni poslužitelj domene i kontroler domene isti poslužitelj. Možete postaviti GC na drugi kontroler kako biste smanjili vrijeme potrebno za čekanje odgovora prilikom prijave i ubrzali pretraživanje. Preporuča se stvoriti jedan GC u svakoj domeni.
Postoji nekoliko načina za rješavanje ovog problema. Naravno, možete stvoriti GC poslužitelj na jednom od kontrolera domene u udaljenom uredu. Nedostatak ove metode je što povećava opterećenje GK poslužitelja, što može zahtijevati dodatne resurse i pažljivo planiranje vremena rada ovog poslužitelja.
Još jedno zaobilazno rješenje je lokalno predmemoriranje univerzalnih grupnih članstava. U tom slučaju bilo koji kontroler domene može servisirati zahtjeve za prijavu lokalno, bez kontaktiranja glavnog poslužitelja domene. To ubrzava proceduru prijave i olakšava situaciju u slučaju kvara GK servera. Osim toga, ovo smanjuje replikacijski promet.
Umjesto povremenog ažuriranja cijele grupe na cijeloj mreži, dovoljno je ažurirati predmemorirane informacije o članstvu u univerzalnoj grupi. Prema zadanim postavkama, ažuriranje se odvija svakih osam sati na svakom kontroleru domene koji koristi predmemoriju lokalnog univerzalnog grupnog članstva.
Članstvo u univerzalna grupa pojedinačno za svako mjesto. Podsjetimo se da je stranica fizička struktura koja se sastoji od jedne ili više podmreža koje imaju pojedinačni skup IP adresa i mrežnu masku. Kontrolori domene Windows Server 2003 i GC kojem pristupaju moraju biti na istom mjestu. Ako postoji nekoliko stranica, morat ćete konfigurirati lokalno predmemoriranje na svakoj od njih. Osim toga, korisnici koji se prijavljuju na stranicu moraju biti dio domene Windows Server 2003 koja radi u šumskom načinu rada Windows Server 2003.
Replikacija u Active Directory
Imenik pohranjuje tri vrste informacija: podatke o domeni, podatke o shemi i podatke o konfiguraciji. Podaci domene repliciraju se na sve kontrolere domene. Svi kontroleri domene imaju jednaka prava, tj. sve promjene napravljene s bilo kojeg kontrolera domene replicirat će se na sve ostale kontrolere domene. Podaci o dizajnu i konfiguraciji repliciraju se na sve domene u stablu ili šumi. Osim toga, svi objekti pojedine domene i neka svojstva šumskih objekata repliciraju se u GC. To znači da kontroler domene pohranjuje i replicira shemu za stablo ili šumu, informacije o konfiguraciji za sve domene u stablu ili šumi i sve objekte direktorija i svojstva za vlastitu domenu.
Kontroler domene na kojem je pohranjen GC sadrži i replicira informacije o shemi za šumu, informacije o konfiguraciji za sve domene u šumi i ograničen skup svojstava za sve objekte direktorija u šumi (replicira se samo između GC poslužitelja), kao i sve objekte direktorija i svojstva za vašu domenu.
Da biste razumjeli bit replikacije, razmotrite ovaj scenarij za postavljanje nove mreže.
1. U domeni Instaliran je prvi kontroler. Ovaj poslužitelj je jedini kontroler domene. On je također GK poslužitelj. Replikacija se ne događa u takvoj mreži, budući da nema drugih kontrolera.
2. U domeni Instalira se drugi kontroler i počinje replikacija. Možete odrediti jedan kontroler kao glavni infrastrukturni, a drugi kao GC poslužitelj. Vlasnik infrastrukture prati i zahtijeva GL ažuriranja za promijenjene objekte. Oba ova kontrolera također repliciraju podatke o shemi i konfiguraciji.
3. U domeni I ugrađen je treći regulator koji nema glavnu upravljačku jedinicu. Glavni infrastrukturni nadzor nadzire ažuriranja GC-a, traži od njih promijenjene objekte, a zatim replicira promjene na treći kontroler domene. Sva tri kontrolera također repliciraju podatke o shemi i konfiguraciji.
4. Stvorena je nova domena B i dodani su joj kontroleri. GC poslužitelji u domeni A i domeni B repliciraju sve podatke o shemi i konfiguraciji, kao i podskup podataka domene iz svake domene. Replikacija unutar domene A nastavlja se kako je gore opisano, plus počinje replikacija unutar domene B.
AktivanImenik I LDAP
Lightweight Directory Access Protocol (LDAP) standardni je protokol za internetske veze u TCP/IP mrežama. LDAP je dizajniran posebno za pristup imeničkim uslugama uz minimalne troškove. LDAP također definira operacije koje se koriste za postavljanje upita i promjenu informacija direktorija.
Klijenti Active Directory koristi LDAP za komunikaciju s računalima koja koriste Active Directory kad god se prijave na mrežu ili traže zajedničke resurse. LDAP pojednostavljuje međusobno povezivanje imenika i migraciju na Active Directory iz drugih imeničkih usluga. Za poboljšanje kompatibilnosti možete koristiti sučelja Active Directory Services (AktivanImenik Servis- sučelja, ADSI).
Uloge voditelja operacija
Glavni operacija rukuje zadacima koji su nezgodni za izvođenje u modelu replikacije s više glavnih. Postoji pet uloga nadređenih operacija koje se mogu dodijeliti jednom ili više kontrolera domene. Neke uloge moraju biti jedinstvene na razini šume, dok druge moraju biti jedinstvene na razini domene. Sljedeće uloge moraju postojati u svakoj šumi aktivnog imenika:
Master sheme) - upravlja ažuriranjima i promjenama sheme imenika. Da biste ažurirali shemu direktorija, morate imati pristup glavnoj shemi. Da biste utvrdili koji je poslužitelj u dano vrijeme je vlasnik sheme u domeni, samo otvorite prozor naredbeni redak i unesite: dsquery server -imafsmo shema.
Majstor za imenovanje domena - upravlja dodavanjem i uklanjanjem domena u šumi. Da biste dodali ili uklonili domenu, potreban vam je pristup masteru za imenovanje domene. Da odredite koji je poslužitelj trenutno glavni za imenovanje domene, samo unesite u prozor naredbenog retka: dsquery server -imafsmo ime.
Ove uloge, zajedničke šumi kao cjelini, moraju biti jedinstvene za šumu.
Sljedeće uloge potrebne su u svakoj domeni Active Directory.
Relativni ID master - dodjeljuje relativne identifikatore kontrolerima domene. Svaki put kada stvorite korisnik, grupni objekt ili računalni kontroleri dodjeljuju objektu jedinstveni sigurnosni identifikator, koji se sastoji od sigurnosnog identifikatora domene i jedinstvenog identifikatora koji je dodijeljen od strane glavnog relativnih identifikatora. Da biste odredili koji je poslužitelj trenutno vlasnik relativnih identifikatora u domeni, samo unesite u prozor naredbenog retka: dsqueryposlužitelj -imafsmoosloboditi.
PDC emulator - U načinu rada mješovite ili srednje domene, djeluje kao Windows NT glavni kontroler domene. Provjerava autentičnost Windows NT prijava, obrađuje promjene lozinki i replicira ažuriranja na P DC. Da biste odredili koji je poslužitelj trenutno PDC emulator u domeni, samo unesite u prozor naredbenog retka dsquery poslužitelj - hasfsmo pdc.
Vlasnik infrastrukture majstorski ) - ažurira poveznice objekata uspoređujući svoje kataloške podatke s podacima GK. Ako su podaci zastarjeli, traži ažuriranja od GC-a i replicira ih na preostale kontrolere u domeni. Da biste utvrdili koji je poslužitelj trenutno vlasnik infrastrukture u domeni, samo u prozoru naredbenog retka i unesite dsqueryposlužitelj -hasfsmo infr.
Ove uloge, koje su zajedničke cijeloj domeni, moraju biti jedinstvene unutar domene. Drugim riječima, možete konfigurirati samo jedan master relativnog identiteta, jedan PDC emulator i jedan master infrastrukture po domeni.
Uloge voditelja operacija obično se dodjeljuju automatski, ali se mogu ponovno dodijeliti. Kada se instalira nova mreža, prvi kontroler domene prve domene preuzima sve uloge glavnog upravitelja operacija. Ako se kasnije u novom stablu stvori nova podređena domena ili korijenska domena, uloge gospodara operacija također se automatski dodjeljuju prvom kontroleru domene. U novoj šumi domene kontroloru domene dodijeljene su sve uloge gospodara operacija. Ako nova domena je kreiran u istoj šumi, njegovom kontroleru su dodijeljene uloge mastera relativnih identifikatora, emulator PDC i vlasnik infrastrukture. Uloge mastera sheme i mastera imenovanja domene ostaju s prvom domenom u šumi.
Ako u domeni postoji samo jedan kontroler, on obavlja sve uloge glavnog upravitelja operacija. Ako postoji samo jedno mjesto na mreži, standardna lokacija mastera operacija je optimalna. Ali dok dodajete kontrolore domene i domene, ponekad morate premjestiti uloge nadređenih operacija na druge kontrolore domene.
Ako u domeni postoje dva ili više kontrolera domene, preporuča se da dva kontrolera domene budu konfigurirana da služe kao glavne uloge operacija. Na primjer, odredite jedan kontroler domene kao primarnog vlasnika operacija, a drugi kao rezervni, koji će biti potreban ako glavni zakaže.
administracija Aktivni imenik
CPomoću servisa Active Directory kreiraju se računi računala, povezuju se s domenom te se upravlja računalima, kontrolerima domene i organizacijskim jedinicama (OU).
Alati za administraciju i podršku dostupni su za upravljanje Active Directoryjem. Dolje navedeni alati također su implementirani kao dodaci MMC konzole (Microsoft UpravljanjeKonzola):
Active Directory - Korisnici i računala (Active Directory Korisnici i Računala) omogućuje vam upravljanje korisnicima, grupama, računalima i organizacijskim jedinicama (OU);
Aktivan Imenik- domene i povjerenje ( Aktivan Imenik Domenei Zaklade ) služi za rad s domenama, domenskim stablima i domenskim šumama;
Active Directory - stranice Iusluge (Active Directory stranice i usluge) omogućuje vam upravljanje stranicama i podmrežama;
Rezultat politika (Rezultirajući skup pravila) koristi se za pregled trenutne politike korisnika ili sustava i za planiranje promjena politike.
U U sustavu Microsoft Windows 2003 Server ovim dodacima možete pristupiti izravno iz izbornika Administrativni alati.
Drugi administrativni alat je snap-in Shema AktivanImenik (Aktivan Imenik Shema) - omogućuje vam upravljanje i izmjenu sheme imenika.
Uslužni programi naredbenog retka Aktivan Imenik
Za upravljanje objektima Aktivan Imenik Postoje alati naredbenog retka koji vam omogućuju obavljanje širokog spektra administrativnih zadataka:
DSADD - dodaje na Aktivan Imenik računala, kontakti, grupe, OP i korisnici.
DSGET - prikazuje svojstva računala, kontakata, grupa, OP-ova, korisnika, web-mjesta, podmreža i poslužitelja registriranih u Aktivan Imenik.
DSMOD - mijenja svojstva računala, kontakata, grupa, OP-ova, korisnika i poslužitelja registriranih u Aktivan Imenik.
DSMIJENI - Premješta jedan objekt na novu lokaciju unutar domene ili preimenuje objekt bez pomicanja.
DSQXJERY - traži računala, kontakte, grupe, OP-ove, korisnike, stranice, podmreže i poslužitelje u Aktivan Imenik prema određenim kriterijima.
DSRM - uklanja predmet iz Aktivan Imenik.
NTDSUTIL - omogućuje pregled informacija o web mjestu, domeni ili poslužitelju, upravljanje majstori operacija (operacije gospodari) i održavati bazu podatakaAktivan Imenik.
Active Directory - Proširiva i skalabilna usluga imenika Active Directory omogućuje vam učinkovito upravljanje mrežnim resursima.
Aktivni imenik je hijerarhijski organizirano spremište podataka o mrežnim objektima, pružajući prikladna sredstva za pretraživanje i korištenje tih podataka. Računalo koje pokreće Active Directory naziva se kontroler domene. Gotovo svi administrativni zadaci povezani su s Active Directoryjem.
Tehnologija Active Directory temelji se na standardnim internetskim protokolima i pomaže u jasnom definiranju strukture mreže; pročitajte više o tome kako implementirati domenu Active Directory od nule ovdje.
Active Directory i DNS
Active Directory koristi sustav naziva domena.
Pomoću servisa Active Directory kreiraju se računalni računi, povezuju se s domenom te se upravlja računalima, kontrolerima domena i organizacijskim jedinicama (OU).
Alati za administraciju i podršku dostupni su za upravljanje Active Directoryjem. Alati navedeni u nastavku također su implementirani kao dodaci u MMC konzoli (Microsoft Management Console):
Active Directory Users and Computers omogućuje vam upravljanje korisnicima, grupama, računalima i organizacijskim jedinicama (OU);
Active Directory - domene i povjerenja (Active Directory Domains and Trusts) koristi se za rad s domenama, domenskim stablima i domenskim šumama;
Web stranice i usluge aktivnog imenika omogućuju vam upravljanje stranicama i podmrežama;
Rezultirajući skup pravila koristi se za pregled trenutne politike korisnika ili sustava i za planiranje promjena politike.
U sustavu Microsoft Windows 2003 Server ovim dodacima možete pristupiti izravno iz izbornika Administrativni alati.
Drugi administrativni alat, Active Directory Schema snap-in, omogućuje vam upravljanje i izmjenu sheme imenika.
Za upravljanje objektima Active Directory, postoje alati naredbenog retka koji vam omogućuju izvođenje širokog raspona administrativnih zadataka:
DSADD - dodaje računala, kontakte, grupe, OU i korisnike u Active Directory.
DSGET - prikazuje svojstva računala, kontakata, grupa, OU-ova, korisnika, stranica, podmreža i poslužitelja registriranih u Active Directory.
DSMOD - mijenja svojstva računala, kontakata, grupa, OP-ova, korisnika i poslužitelja registriranih u Active Directory.
DSMOVE - Premješta jedan objekt na novu lokaciju unutar domene ili preimenuje objekt bez pomicanja.
DSQXJERY - traži računala, kontakte, grupe, OP-ove, korisnike, stranice, podmreže i poslužitelje u Active Directory-u prema određenim kriterijima.
DSRM - uklanja objekt iz aktivnog imenika.
NTDSUTIL - omogućuje pregled informacija o stranici, domeni ili poslužitelju, upravljanje glavnim operacijama i održavanje baze podataka Active Directory.
Windows mrežni administratori ne mogu izbjeći upoznavanje s . Ovaj pregledni članak usredotočit će se na to što je Active Directory i s čime se koristi.
Dakle, Active Directory je Microsoftova implementacija imeničke usluge. U ovom slučaju imenička usluga znači programski paket koji pomaže administrator sustava rad s mrežnim resursima kao što su dijeljene mape, poslužitelji, radne stanice, pisači, korisnici i grupe.
Active Directory ima hijerarhijsku strukturu koja se sastoji od objekata. Svi objekti su podijeljeni u tri glavne kategorije.
- Korisnički i računalni računi;
- Resursi (na primjer, pisači);
- Usluge (npr e-mail).
Svaki objekt ima jedinstveno ime i niz karakteristika. Objekti se mogu grupirati.
Korisnička svojstva Active Directory ima šumsku strukturu. Šuma ima nekoliko stabala koja sadrže domene. Domene pak sadrže gore navedene objekte.
Struktura aktivnog imenika Obično su objekti u domeni grupirani u organizacijske jedinice. Divizije služe za izgradnju hijerarhije unutar domene (organizacije, teritorijalne divizije, odjeli itd.). Ovo je posebno važno za organizacije koje su geografski raštrkane. Prilikom izgradnje strukture preporuča se stvoriti što je moguće manje domena, stvarajući, ako je potrebno, zasebne podjele. Na njima ima smisla primijeniti grupna pravila.
Svojstva radne stanice Drugi način strukturiranja Active Directory je stranice. Stranice su metoda fizičkog, a ne logičkog grupiranja na temelju mrežnih segmenata.
Kao što je već spomenuto, svaki objekt u Active Directoryju ima jedinstveno ime. Na primjer, pisač HPLaserJet4350dtn, koji se nalazi u diviziji Odvjetnici i u domeni primer.ru imat će ime CN=HPLaserJet4350dtn,OU=Odvjetnici,DC=primer,DC=ru. CN je uobičajeno ime OU- podjela, DC— klasa objekta domene. Ime objekta može imati puno više dijelova nego u ovom primjeru.
Drugi oblik pisanja naziva objekta izgleda ovako: primer.ru/Lawyers/HPLaserJet4350dtn. Također, svaki objekt ima globalno jedinstveni identifikator ( GUID) je jedinstveni i nepromjenjivi 128-bitni niz koji se koristi u Active Directory za pretraživanje i replikaciju. Neki objekti imaju i UPN ( UPN) u formatu objekt@domena.
Ovdje opći podaci o tome što je Active Directory i zašto su potrebni u lokalnim mrežama Temeljen na sustavu Windows. Konačno, ima smisla reći da administrator ima mogućnost daljinskog rada s Active Directoryjem Fondovi udaljena administracija poslužitelj za Windows 7 (KB958830)(preuzimanje) I Alati za udaljenu administraciju poslužitelja za Windows 8.1 (KB2693643) (preuzimanje).
Aktivni imenik
Aktivni imenik(“Aktivni direktoriji”, OGLAS) - LDAP-Kompatibilna implementacija imeničke usluge korporacije Microsoft za obiteljske operativne sustave Windows NT. Aktivni imenik omogućuje administratorima korištenje grupnih pravila kako bi se osigurala jedinstvena konfiguracija korisničkog radnog okruženja, implementacija softvera na više računala putem grupnih pravila ili putem System Center Configuration Manager(prethodno Microsoft Systems Management Server), instalirajte ažuriranja operativnog sustava, aplikacije i softvera poslužitelja na svim računalima na mreži koristeći uslugu ažuriranja Windows poslužitelj . Aktivni imenik pohranjuje podatke i postavke okoline u centraliziranu bazu podataka. mreže Aktivni imenik mogu biti različitih veličina: od nekoliko desetaka do nekoliko milijuna objekata.
Performanse Aktivni imenik koji se dogodio 1999., proizvod je prvi put pušten s Windows 2000 poslužitelj, a kasnije je modificiran i poboljšan nakon izdavanja Windows Server 2003. Naknadno Aktivni imenik je poboljšan u Windows Server 2003 R2, Windows Server 2008 I Windows Server 2008 R2 i preimenovan u Usluge domene Active Directory. Prethodno je pozvana imenička služba NT Directory Service (NTDS), ovo se ime još uvijek može pronaći u nekim izvršnim datotekama.
Za razliku od verzija Windows do Windows 2000, koji je uglavnom koristio protokol NetBIOS za mrežnu komunikaciju, servis Aktivni imenik integrirano sa DNS I TCP/IP. Za autentifikaciju se koristi zadani protokol Kerberos. Ako klijent ili aplikacija ne podržavaju autentifikaciju Kerberos, koristi se protokol NTLM .
Uređaj
Predmeti
Aktivni imenik ima hijerarhijsku strukturu koja se sastoji od objekata. Objekti spadaju u tri glavne kategorije: resursi (kao što su pisači), usluge (kao što je e-pošta) i računi korisnika i računala. Aktivni imenik pruža informacije o objektima, omogućuje organiziranje objekata, kontrolu pristupa njima, a također uspostavlja sigurnosna pravila.
Objekti mogu biti spremnici za druge objekte (sigurnosne i distribucijske grupe). Objekt je jedinstveno identificiran svojim imenom i ima skup atributa—karakteristike i podatke—koje može sadržavati; potonji pak ovise o vrsti objekta. Atributi čine osnovu strukture objekta i definirani su u shemi. Shema definira koje vrste objekata mogu postojati.
Sama shema sastoji se od dvije vrste objekata: objekata klase sheme i objekata atributa sheme. Jedan objekt klase sheme definira jedan tip objekta Aktivni imenik(kao što je objekt User), a jedan objekt atributa sheme definira atribut koji objekt može imati.
Svaki objekt atributa može se koristiti u nekoliko različitih objekata klase sheme. Ti se objekti nazivaju objekti sheme (ili metapodaci) i omogućuju vam da promijenite i proširite shemu prema potrebi. Međutim, svaki objekt sheme dio je definicije objekta Aktivni imenik, stoga onemogućavanje ili mijenjanje ovih objekata može imati ozbiljne posljedice, jer će se kao rezultat tih radnji struktura promijeniti Aktivni imenik. Promjene objekta sheme automatski se prenose na Aktivni imenik. Jednom stvoreni objekt sheme ne može se izbrisati, može se samo onemogućiti. Obično se sve promjene sheme pažljivo planiraju.
Kontejner sličan objekt u smislu da također ima atribute i pripada prostoru imena, ali, za razliku od objekta, spremnik ne predstavlja ništa specifično: može sadržavati grupu objekata ili druge spremnike.
Struktura
Najviša razina strukture je šuma - skup svih objekata, atributa i pravila (sintaksa atributa) u Aktivni imenik. Šuma sadrži jedno ili više stabala povezanih tranzitivnošću odnosi povjerenja . Stablo sadrži jednu ili više domena, također povezanih u hijerarhiju tranzitivnim odnosima povjerenja. Domene se identificiraju svojim DNS imenskim strukturama - imenskim prostorima.
Objekti u domeni mogu se grupirati u spremnike - odjele. Divizije vam omogućuju stvaranje hijerarhije unutar domene, pojednostavljuju njezinu administraciju i omogućuju modeliranje organizacijske i/ili geografske strukture tvrtke u Aktivni imenik. Divizije mogu sadržavati druge divizije. Korporacija Microsoft preporučuje korištenje što manje domena u Aktivni imenik, te koristiti podjele za strukturiranje i politike. Često se grupna pravila primjenjuju posebno na odjele. Politike grupe su same po sebi objekti. Podjela je najviše niska razina, na koje se mogu prenijeti upravne ovlasti.
Drugi način podjele Aktivni imenik su stranice , koji su metoda fizičkog (a ne logičkog) grupiranja na temelju mrežnih segmenata. Stranice se dijele na one koje imaju veze putem kanala niske brzine (na primjer, putem kanala globalne mreže, korištenjem virtualnih privatnih mreža) i putem kanala velike brzine (na primjer, putem lokalne mreže). Web stranica može sadržavati jednu ili više domena, a domena može sadržavati jednu ili više web stranica. Prilikom projektiranja Aktivni imenik Važno je uzeti u obzir mrežni promet koji se stvara kada se podaci sinkroniziraju između stranica.
Ključna dizajnerska odluka Aktivni imenik je odluka da se informacijska infrastruktura podijeli na hijerarhijske domene i jedinice najviše razine. Tipični modeli koji se koriste za takvu podjelu su modeli podjele po funkcionalnim podjelama poduzeća, po geografskom položaju i po ulogama u informacijska infrastruktura poduzeća. Često se koriste kombinacije ovih modela.
Fizička struktura i replikacija
Fizički, informacije se pohranjuju na jednom ili više ekvivalentnih kontrolera domene, zamjenjujući one koji se koriste u Windows NT primarne i pomoćne kontrolere domene, iako se za neke operacije zadržava takozvani poslužitelj "single master operations", koji može oponašati primarni kontroler domene. Svaki kontroler domene održava kopiju podataka za čitanje i pisanje. Promjene napravljene na jednom kontroleru sinkroniziraju se sa svim kontrolerima domene putem replikacije. Serveri na kojima se sama usluga Aktivni imenik nisu instalirani, ali su dio domene Aktivni imenik, nazivaju se poslužitelji članovi.
Replikacija Aktivni imenik izvodi se na zahtjev. Servis Alat za provjeru dosljednosti znanja stvara topologiju replikacije koja koristi stranice definirane u sustavu za kontrolu prometa. Intrasite replikacija događa se često i automatski pomoću alata za provjeru dosljednosti (obavještavanje partnera replikacije o promjenama). Replikacija između stranica može se konfigurirati za svaki kanal stranice (ovisno o kvaliteti kanala) - svakom kanalu može se dodijeliti različita "ocjena" (ili "trošak") (npr. DS3, , ISDN itd.), a promet replikacije bit će ograničen, zakazan i usmjeren prema procjeni dodijeljene veze. Podaci o replikaciji mogu tranzitivno teći preko više stranica preko mostova veza na stranicu ako je "rezultat" nizak, iako AD automatski dodjeljuje nižu ocjenu vezama između stranica i stranica nego tranzitivnim vezama. Replikaciju mjesta na mjesto izvode poslužitelji mosta na svakom mjestu, koji zatim repliciraju promjene na svakom kontroleru domene na svom mjestu. Replikacija unutar domene slijedi protokol RPC prema protokolu IP, interdomain - također može koristiti protokol SMTP.
Ako struktura Aktivni imenik sadrži nekoliko domena, koristi se za rješavanje problema traženja objekata globalni katalog: Kontroler domene koji sadrži sve objekte u šumi, ali s ograničenim skupom atributa (djelomična replika). Katalog je pohranjen na određenim poslužiteljima globalnog kataloga i služi zahtjevima među domenama.
Sposobnost jednog hosta omogućuje obradu zahtjeva kada replikacija više hostova nije moguća. Postoji pet vrsta takvih operacija: emulacija glavnog kontrolera domene (PDC emulator), glavno računalo relativni identifikator (master relativnog identifikatora ili RID master), host infrastrukture (master infrastrukture), host sheme (master sheme) i host za imenovanje domene (master imenovanja domene). Prve tri uloge su jedinstvene unutar domene, posljednje dvije su jedinstvene unutar cijele šume.
Baza Aktivni imenik može se podijeliti u tri logička spremišta ili "particije". Dijagram je predložak za Aktivni imenik i definira sve tipove objekata, njihove klase i atribute, sintaksu atributa (sva su stabla u istoj šumi jer imaju istu shemu). Konfiguracija je struktura šume i drveća Aktivni imenik. Domena pohranjuje sve informacije o objektima stvorenim u toj domeni. Prve dvije trgovine su replicirane na sve kontrolere domene u šumi, treća particija je u potpunosti replicirana između kontrolera replika unutar svake domene i djelomično replicirana na poslužitelje globalnog kataloga.
Imenovanje
Aktivni imenik podržava sljedeće formate imenovanja objekata: generička imena tipova UNC, URL I LDAP URL. Verzija LDAP X.500 format naziva koji se koristi interno Aktivni imenik.
Svaki objekt ima istaknuto ime (Engleski) istaknuto ime, DN) . Na primjer, objekt pisača pod nazivom HPLaser3 u Marketing OU iu domeni foo.org imat će sljedeće razlikovno ime: CN=HPLaser3,OU=Marketing,DC=foo,DC=org, gdje je CN uobičajeno ime, OU je odjeljak, DC je domena klasa objekta. Razlikovna imena mogu imati puno više dijelova od četiri dijela u ovom primjeru. Objekti također imaju kanonska imena. Ovo su istaknuta imena napisana obrnutim redoslijedom, bez identifikatora i korištenjem kose crte kao graničnika: foo.org/Marketing/HPLaser3. Da biste definirali objekt unutar njegovog spremnika, koristite relativno istaknuto ime : CN=HPLaser3 . Svaki objekt također ima globalno jedinstveni identifikator ( GUID) je jedinstveni i nepromjenjivi 128-bitni niz koji se koristi u Aktivni imenik za pretraživanje i replikaciju. Određeni objekti također imaju UPN ( UPN, u skladu s RFC 822) u formatu objekt@domena.
UNIX integracija
Razne razine interakcije sa Aktivni imenik može se implementirati u većini UNIX operativni sustavi poput standarda LDAP klijentima, ali takvi sustavi u pravilu ne percipiraju većinu atributa povezanih s komponentama Windows, kao što su grupna pravila i podrška za jednosmjerne punomoći.
Dobavljači trećih strana nude integracije Aktivni imenik na platformama UNIX, uključujući UNIX, Linux, Mac OS X te brojne aplikacije temeljene na Java, uz paket proizvoda:
Dodaci shemi uključeni uz Windows Server 2003 R2 uključuju atribute koji su dovoljno blisko povezani s RFC 2307 da bi se općenito mogli koristiti. Osnovne implementacije RFC 2307, nss_ldap i pam_ldap, predložene PADL.com, izravno podržavaju ove atribute. Standardna shema za članstvo u grupi slijedi RFC 2307bis (predloženo). Windows Server 2003 R2 uključuje Microsoft Management Console za stvaranje i uređivanje atributa.
Alternativa je korištenje druge usluge imenika, kao što je 389 Imenički poslužitelj(prethodno Fedora imenički poslužitelj, FDS), eB2Bcom ViewDS v7.1 Imenik omogućen za XML ili Sun Java System Directory Server iz Sun Microsystems, koji obavlja dvosmjernu sinkronizaciju sa Aktivni imenik, čime se ostvaruje „odražena” integracija kada klijenti UNIX I Linux su ovjereni FDS, i klijentima Windows su ovjereni Aktivni imenik. Druga mogućnost je korištenje OpenLDAP s mogućnošću prozirnog prekrivanja koji proširuje elemente udaljenog poslužitelja LDAP dodatni atributi pohranjeni u lokalnoj bazi podataka.
Aktivni imenik koriste se automatizirano Powershell .
Književnost
- Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Kompletan vodič = Microsoft Exchange Server 2003 Unleashed. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0
Vidi također
Linkovi
Bilješke
| Komponente sustava Microsoft Windows | |
|---|---|
| Osnovno | |
| Usluge upravljanje |
|
| Prijave |
DVD Maker Kontakti Faksiranje i skeniranje Internet ExplorerČasopis Povećalo Medijski centar Windows Media Player Program suradnja Centar Windows uređaji Mobilni Centar mobilnosti Narator Paint Osobni uređivač simbola Daljinska pomoć Prepoznavanje govora WordPad Bilježnica Bočna traka Snimanje zvuka Kalendar Kalkulator Škare pošta Tablica simbola Povijesni: Movie Maker NetMeeting Outlook Express Voditelj programa Upravitelj datoteka Foto album |
| Igre | |
| OS kernel | |
| Usluge | |
| File sustava |
|
| poslužitelj |
Aktivni imenik Usluge implementacije Usluga replikacije datoteka DNS domene Preusmjeravanje mape Hyper-V IIS medijske usluge MSMQ Zaštita pristupa mreži (NAP) Usluge ispisa za UNIX Daljinska diferencijalna kompresija Usluge daljinske instalacije Usluga upravljanja pravima Roaming korisničkih profila SharePoint Dispečer resursi sustava Udaljena radna površina WSUS Pravila grupe Koordinator distribuiranih transakcija |
| Arhitektura | |
| Sigurnost | |
| Kompatibilnost | |
| Microsoft | ||
|---|---|---|
| PO | ||
| Poslužiteljski softver | ||
| Tehnologije | ||
| Internet | ||
| Igre | ||
| Hardver sigurnosti |
||
| Obrazovanje | ||
| Licenciranje | ||
| Divizije | ||