|
|
|
В рамках этой книги невозможно подробно рассмотреть все аспекты использования службы каталогов Active Directory и доменов Windows 2000, поэтому в данной и следующих двух главах изложены основные термины и принципы построения служб каталогов и, конкретно, Active Directory; без понимания этих принципов трудно воспринимать материал многих других глав и эффективно использовать системы Windows 2000 в сложной сетевой среде. Рассмотрены также некоторые вопросы развертывания доменов Windows 2000 и типовые операции администрирования Active Directory (создание объектов каталога, делегирование прав администрирования, управление доверительными отношениями и т. д.). Разобравшись с изложенными в упомянутых главах темами, читатель сможет правильно подойти к решению многочисленных вопросов, возникающих в процессе эксплуатации сетевой многодоменной среды Windows 2000.
Служба каталогов Active Directory является, без сомнения, одним из главных концептуальных новшеств системы Windows 2000 Server.
По своей сути, служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды. Можно вспомнить знакомый многим системный реестр Windows и базу данных Диспетчера безопасности учетных записей (SAm) Windows NT. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах и сведения о пользователях.
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
|
|
Единая регистрация в сети
;
Пользователи могут регистрироваться в сети
с одним
именем и паролем
и получать при этом доступ ко
всем
сетевым ресурсам (серверам, принтерам,
приложениям, файлам и т. д.) независимо от их расположения в сети.
|
|
|
Безопасность информации.
Средства аутентификации и управления доступом к ресурсам, встроенные
в службу Active Directory, обеспечивают централизованную защиту сети. Права
доступа можно определять не только для каждого
объекта
каталога,
но и каждого
свойства
(атрибута) объекта.
|
|
|
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети. |
|
|
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе. |
|
|
Гибкость изменений.
Служба
каталогов гибко следует за изменениями структуры компании или организации.
При этом реорганизация каталога не усложняется, а может и упроститься. Кроме
того, службу каталога можно связать с Интернетом для взаимодействия с деловыми
партнерами и поддержки электронной коммерции.
|
|
|
Интеграция с DNS.
Служба
Active Directory тесно связана с DNS. Этим достигается единство в именовании
ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение
пользовательской сети к Интернету.
|
|
|
Расширяемость каталога.
Администраторы
могут добавлять в схему каталога новые классы объектов или добавлять новые
атрибуты к существующим классам.
|
|
|
Масштабируемость.
Служба
Active Directory может охватывать как один домен, так и множество доменов,
один контроллер домена или множество контроллеров домена — т. е. она отвечает
требованиям сетей любого масштаба. Несколько доменов можно объединить в
дерево доменов, а несколько деревьев доменов можно связать в лес.
|
|
|
Репликация информации.
В
службе Active Directory используется репликация служебной информации в схеме
со
многими ведущими
(multi-master), что позволяет модифицировать
каталог на любом контроллере домена. Наличие в домене нескольких контроллеров
обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
|
|
|
Гибкость запросов к
каталогу.
Пользователи и администраторы сети могут быстро находить объекты в сети,
используя
свойства
объекта (например, имя пользователя или адрес
его электронной почты, тип принтера или его местоположение и т. п.). Это,
в частности, можно сделать при помощи команды
Пуск | Поиск
(Start
| Search), папку
Мое сетевое окружение
(my Network Places) или оснастку
Active Directory - пользователи и компьютеры
(Active Directory Users
and Computers). Оптимальность процедуры поиска достигается благодаря использованию
глобального каталога.
|
|
|
Стандартные интерфейсы.
Для
разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям
(средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования
(APi). Служба каталогов тесно связана с операционной системой что позволяет
избежать дублирования в прикладных программах функциональных возможностей
системы, например, средств безопасности.
|
|
|
|