Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.

Логическая структура каталога Active Directory представлена на рис. 7.1. Цель такой структуризации – облегчение процесса администрирования.

Рис. 7.1. Логическая структура Active Directory

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов. Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2).

Рис. 7.2. Физическая структура Active Directory

Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.

Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).

Рис. 7.3. Связь логической и физической структур

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

• раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);

• раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;

• раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;

• раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;

• раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

• раздел домена реплицируется между контроллерами одного домена;

• разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

• репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.