34. Понятие Active Directory

Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами. Группа компьютеров, имеющая общий каталог и единую политику безопасности, называется доменом (domain). Каждый домен имеет один или несколько серверов, именуемых контроллерами домена (domain controller), на которых хранятся копии каталога. Перечислим основные преимущества, предоставляемые службой :

• централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;

• простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;

• обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;

• масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.

35. Структура каталога Active Directory

В ся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена. Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры. Логическая структура каталога Active Directory представлена на рис. 7.1. Цель такой структуризации – облегчение процесса администрирования. Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов. Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации. Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication). Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit. AD состоит из нескольких разделов:

• раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях и т. д.);

• раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;

• раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;

• раздел приложений – специальный раздел для хранения данных приложений, не относящихся к службе AD. По умолчанию здесь создается подраздел для службы DNS;

• раздел глобального каталога (global catalog partition).