Работа с доменами Active Directory

В сети Windows Server 2003 служба Active Directory настраива­ется одновременно с DNS. Тем не менее у доменов Active Directory и доменов DNS разное назначение. Домены Active Directory по­могают управлять учетными записями, ресурсами и защитой. Иерархия доменов DNS предназначена, главным образом, для разрешения имен.

Active Directory спроектирована для работы не только с Mic­rosoft Windows Server 2003, но и с Windows 95/98/NT/XP/2000. При установленном клиентском ПО системы Windows 95/98/ ХР/2000 работают в сети как клиенты Active Directory. Систе­мы Windows NT и другие версии Windows без клиентского ПО Active Directory работают в сети, как если бы они располагались в домене Windows NT, если этот домен настроен и его использование допускается функциональным режимом домена Active Di­rectory.

Использование Windows Server 2003, Windows xp и Windows 2000 с Active Directory

В полной мере воспользоваться преимуществами Active Directory способны компьютеры, работающие под управлением Windows XP Professional и Windows 2000. Они работают в сети как кли­енты Active Directory и им доступны транзитивные доверитель­ные отношения, существующие в дереве или лесу доменов. Тран­зитивное доверие устанавливается автоматически в соответствии со структурой леса и системой разрешений, определенных в нем. Эти отношения позволяют авторизованным пользователям по­лучать доступ к ресурсам в любом домене леса.

Система Windows Server 2003 функционирует как контрол­лер домена или как рядовой сервер. Рядовые серверы становятся контроллерами после установки Active Directory; контроллеры понижаются до рядовых серверов после удаления Active Direc­tory. Оба процесса выполняет мастер установки Active Directory.

В домене может быть несколько контроллеров. Они репли­цируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контрол­леру обрабатывать изменения каталога, а затем передавать их на другие контроллеры. Благодаря структуре с несколькими хозяе­вами все контроллеры по умолчанию обладают равной ответст­венностью. Впрочем, вы вправе предоставить некоторым контроллерам домена приоритет над другими в определенных зада­чах, например создать сервер-плацдарм, который обладает при­оритетом при репликации данных каталога на другие сайты. Кроме того, некоторые задачи лучше выполнять на выделенном сервере. Сервер, обрабатывающий специфический тип задач, на­зывается хозяином операций (operations master). Существует пять различных операций, которые назначают разным контроллерам домена (см. далее в этой главе).

Для всех компьютеров с Windows 2000, Windows XP Professional и Windows Server 2003, присоединенных к домену, создаются учет­ные записи, хранящиеся, подобно другим ресурсам, в виде объ­ектов Active Directory. Учетные записи компьютеров служат для управления доступом к сети и ее ресурсам. Прежде чем компью­тер получает доступ к домену по своей учетной записи, он в обя­зательном порядке проходит процедуру аутентификации.

Примечание В Windows Server 2003 для аутентификации пользователей и компьютеров используется глобальный каталог Active Directory. Если глобальный каталог недоступен, войти в домен могут только члены группы администраторов доме­на. Чтобы избежать подобной проблемы, воспользуйтесь воз­можностью локального кэширования членства в универсальных группах (см. далее в этой лекции).

Active Directory и Windows 9x

Компьютеры с Windows 95/98 работают с Active Directory дву­мя способами. В зависимости от конфигурации сети они полу­чают доступ к сети как часть домена Windows NT или как часть домена Active Directory.

Вход в сеть через домен Windows NT

Если в сети используются системы Windows 9x, но клиент Active Directory на них не установлен, эти системы получают доступ к сети как часть существующего домена Windows NT.

• Если Active Directory работает в смешанном режиме, в сети для осуществления входа в систему необходим эмулятор главного контроллера домена (primary domain controller, PDC) или ре­зервный контроллер домена (backup domain controller, BDC).

• Если, Active Directory работаете основном .режиме, для осу­ществления входа в систему требуется резервный контроллер домена.

• В рамках эмуляции домена Windows NT системы Windows 9x: могут обращаться только к ресурсам, доступным по односто­ронним доверительным отношениям Windows NT, которые должны быть явно заданы администратором. Это справедли­во для доступа и через контроллер Windows Server 2003, и че­рез резервный контроллер Windows NT.

Вход в сеть в качестве клиента Active Directory

Если Active Directory работает в основном режиме, системы Win­dows 9x могут получить доступ к сети как часть домена Active Directory. После установки клиентского ПО эти системы в пол­ной мере воспользуются особенностями Active Directory и транзитивными доверительными отношениями по всему дереву или лесу.

Установка клиента Active Directory

1. Войдите в систему на компьютере Windows 9x, который хо­тите настроить в качестве клиентами вставьте установочный компакт-диск Windows 2000 Server или Windows Server 2003.

2. Щелкните кнопку Пуск (Start) и выберите Выполнить (Run).

3. Введите E:\Clients\Win9X\Dsclient.exe, где Е — обозначение дисковода для компакт-дисков, и щелкните ОК.

4. В ходе выполнения программа записывает несколько файлов на компьютер клиента и запускает Мастер установки клиен­тов службы каталогов (Directory Service Client Setup Wizard). Прочтите текст в окне приветствия и щелкните Далее (Next).

5. Щелкните Далее (Next). Мастер определит конфигурацию системы и установит нужные файлы.

6. Щелкните Готово (Finish) и перезагрузите компьютер.

7. В панели управления дважды щелкните значок Сеть (Net­work).

8. На вкладке Конфигурация (Configuration), выделите прото­кол TCP/IP и щелкните кнопку Свойства (Properties). Убе­дитесь, что параметры TCP/IP позволяют подключиться к до­мену Active Directory.

9. На вкладке Идентификация (Identification) проверьте све­дения об имени компьютера и рабочей группе.

10. Если вы изменили параметры, компьютер, возможно, придет­ся перезагрузиться. После перезагрузки войдите в систему по учетной записи с правами доступа в домен Active Directory. Вы должны получить доступ к ресурсам домена.

Примечание Системы Windows 9x в роли клиентов не имеют учетных записей компьютеров и не отображаются в окне Се­тевое окружение (Network Neighborhood), но вы можете про­смотреть информацию об их сеансе связи. Запустите консоль Управление компьютером (Computer Management), раскройте узлы Служебные программы (System Tools), Общие папки (Shared Folders) и выберите Сеансы (Sessions) — отобразятся текущие сеансы связи пользователей и компьютеров.