- •Введение в Active Directory Введение в Active Directory
- •Новые возможности Active Directory Новые возможности Active Directory в Windows Server 2003 Service Pack 1 (sp1)
- •Новые возможности Active Directory в Windows Server 2003
- •Новые возможности Active Directory уровня домена и уровня леса
- •Сведения о безопасности для Active Directory Сведения о безопасности для Active Directory
- •Защита доступа к сети
- •Общее представление о службе Active Directory. Общее представление о службе Active Directory.
- •Защита Active Directory Защита Active Directory
- •Управление доступом в Active Directory Управление доступом в Active Directory
- •Дескрипторы безопасности
- •Наследование объектов
- •Проверка подлинности пользователя
- •Именование в Active Directory Именование в Active Directory
- •Учетные записи пользователей
- •Учетные записи компьютеров
- •Хранилище данных каталога Хранилище данных каталога
- •Квоты и разделы каталога
- •Протокол доступа к каталогам Протокол доступа к каталогам
- •Протокол ldap
- •Ldap и взаимодействие
- •Учетные записи пользователей и компьютеров Учетные записи пользователей и компьютеров
- •Учетные записи пользователей
- •Защита учетных записей пользователей
- •Параметры учетных записей
- •Учетные записи InetOrgPerson
- •Учетные записи компьютеров
- •Имена объектов Имена объектов
- •Подразделения Подразделения
- •Роли сервера Active Directory Роли сервера Active Directory
- •Рядовые серверы
- •Контроллеры домена
- •Клиенты Active Directory Клиенты Active Directory
- •Общее представление о доменах и лесах Общее представление о доменах и лесах
- •Контроллеры домена Контроллеры домена
- •Определение количества необходимых контроллеров домена
- •Физическая безопасность
- •Архивация контроллеров домена
- •Обновление контроллеров домена
- •Переименование контроллеров домена Переименование контроллеров домена
- •Подключение к контроллерам домена, работающим под управлением Windows 2000 Подключение к контроллерам домена, работающим под управлением Windows 2000
- •Домены Домены
- •Создание домена
- •Планирование нескольких доменов
- •Удаление домена
- •Доверительные отношения между доменами
- •Переименование доменов Переименование доменов
- •Изменение структуры леса
- •Функциональность домена и леса Функциональность домена и леса
- •Режимы работы домена
- •Режимы работы леса
- •Повышение режимов работы домена и леса Повышение режимов работы домена и леса
- •Разделы каталога приложений Разделы каталога приложений
- •Именование разделов каталога приложений
- •Репликация разделов каталога приложений
- •Домен ссылок дескрипторов безопасности
- •Разделы каталога приложений и понижение роли контроллера домена Разделы каталога приложений и понижение роли контроллера домена
- •Определение приложения, использующего раздел каталога приложений
- •Определение безопасности удаления последней реплики
- •Поиск средства удаления раздела, входящего в состав приложения
- •Удаление раздела каталога приложений с помощью специального средства или программы Ntdsutil
- •Управление разделами каталога приложений Управление разделами каталога приложений
- •Создание раздела каталога приложений
- •Удаление раздела каталога приложений
- •Добавление или удаление реплики раздела каталога приложений
- •Задание домена ссылок раздела каталога приложений
- •Задание задержки уведомления репликации
- •Просмотр сведений о разделе каталога приложений
- •Делегирование создания разделов каталога приложений
- •Роли хозяев операций Роли хозяев операций
- •Роли хозяина операций на уровне всего леса
- •Хозяин схемы
- •Хозяин именования домена
- •Роли хозяина операций на уровне всего домена
- •Хозяин rid
- •Хозяин эмулятора pdc
- •Хозяин инфраструктуры
- •Передача ролей хозяев операций Передача ролей хозяев операций
- •Действия при неполадках хозяина операций Действия при неполадках хозяина операций
- •Сбой хозяина схемы
- •Сбой хозяина именования доменов
- •Сбой хозяина rid
- •Сбой хозяина эмулятора pdc
- •Сбой хозяина инфраструктуры
- •Область действия группы Область действия группы
- •Когда следует использовать группы с локальной доменной областью действия
- •Когда следует использовать группы с глобальной областью действия
- •Когда следует использовать группы с универсальной областью действия
- •Изменение области действия группы
- •Группы на клиентских компьютерах и изолированные серверы
- •Типы группы Типы группы
- •Группы распространения
- •Группы безопасности
- •Преобразование групп безопасности и распространения
- •Группы по умолчанию Группы по умолчанию
- •Группы в контейнере Builtin
- •Группы в контейнере «Пользователи»
- •Вложенность групп Вложенность групп
- •Специальные удостоверения Специальные удостоверения
- •Где могут создаваться группы Где могут создаваться группы
- •Общее представление об отношениях доверия
- •Общее представление об отношениях доверия
- •Протоколы отношений доверия
- •Объекты доверенного домена
- •Типы доверия Типы доверия
- •Доверия по умолчанию
- •Другие доверия
- •Направление отношения доверия Направление отношения доверия
- •Одностороннее отношение доверия
- •Двустороннее отношение доверия
- •Транзитивность доверия Транзитивность доверия
- •Транзитивные доверительные отношения
- •Нетранзитивное доверительное отношение
- •Когда следует создавать внешнее доверие Когда следует создавать внешнее доверие
- •Защита внешних доверий
- •Как действует карантин фильтрации кодов безопасности
- •Общее представление об угрозе
- •Влияние карантина фильтрации кодов sid
- •Отключение карантина фильтрации sid
- •Разрешение прохождения отношений доверия лесов для журнала sid
- •Когда необходимо создавать сокращенное доверие Когда необходимо создавать сокращенное доверие
- •Использование одностороннего доверия
- •Использование двустороннего доверия
- •Когда необходимо создавать отношение доверия со сферой Когда необходимо создавать отношение доверия со сферой
- •Когда необходимо создавать доверие лесов Когда необходимо создавать доверие лесов
- •Использование одностороннего доверия лесов
- •Использование двустороннего доверия лесов
- •Доверия лесов Доверия лесов
- •Управление средой с несколькими лесами
- •Делегирование управления администрированием уровня леса
- •Синхронизация данных через леса
- •Доступ к ресурсам через домены Доступ к ресурсам через домены
- •Планирование стратегии управления доступом для нескольких доменов
- •Советы и рекомендации по контролю доступа к общим ресурсам доменов
- •Выборочная проверка подлинности между доменами, соединенными внешним доверием
- •Доступ к ресурсам через леса Доступ к ресурсам через леса
- •Подсказки по маршрутизации
- •Планирование стратегии управления доступом для нескольких лесов
- •Советы и рекомендации по использованию групп безопасности через леса
- •Выборочная проверка подлинности между лесами
- •Маршрутизация суффиксов имен между лесами Маршрутизация суффиксов имен между лесами
- •Обнаружение конфликтов
- •Использование сайтов
- •Использование подсетей для защиты сайтов
- •Принадлежность компьютеров к сайтам
- •Общее представление о сайтах и доменах
- •Общие сведения о репликации Общие сведения о репликации
- •Подготовка данных для репликации
- •Повышение эффективности репликации с сайтами
- •Определение топологии репликации
- •Улучшения репликации в семействе Windows Server 2003
- •Как работает репликация Как работает репликация
- •Передача данных репликации
- •Предотвращение ненужной репликации
- •Разрешение конфликтующих изменений
- •Улучшение эффективности репликации
- •Репликация в пределах сайта Репликация в пределах сайта
- •Построение топологии внутрисайтовой репликации
- •Определение времени выполнения внутрисайтовой репликации
- •Репликация между сайтами Репликация между сайтами
- •Построение топологии межсайтовой репликации
- •Определение времени выполнения межсайтовой репликации
- •Когда следует устанавливать одиночные или раздельные сайты Когда следует устанавливать одиночные или раздельные сайты
- •Почему важна пропускная способность
- •Когда следует устанавливать одиночный сайт
- •Когда следует устанавливать раздельные сайты
- •Пропускная способность Пропускная способность
- •Частота репликации
- •Доступность связи сайтов
- •Настройка мостов связей сайтов
- •Настройка основных серверов-плацдармов
- •Репликация глобального каталога Репликация глобального каталога
- •Добавление атрибутов
- •Запрет непредвиденного доступа к данным глобального каталога
- •Влияние универсальных групп на репликацию глобального каталога
- •Настройка глобального каталога Настройка глобального каталога
- •Глобальные каталоги и сайты Глобальные каталоги и сайты
- •Кэширование членства в универсальных группах
- •Интеграция с групповой политикой Интеграция с групповой политикой
- •Общее представление о схеме Общее представление о схеме
- •Как определяются объекты каталога
- •Как хранится схема
- •Кэш схемы
- •Обеспечение безопасности схемы
- •Классы и атрибуты схемы Классы и атрибуты схемы
- •Типы классов
- •Атрибуты
- •Однозначные и многозначные атрибуты
- •Индексированные атрибуты
- •Имена объектов схемы Имена объектов схемы
- •Отображаемого имени протокола ldap.
- •Обычное имя
- •Идентификатор объекта
- •Правила именования объектов схемы
- •Псевдонимы очереди сообщений
- •Деактивация класса или атрибута Деактивация класса или атрибута
- •Включение отключенного класса
- •Включение отключенного атрибута
- •Расширение схемы Расширение схемы
- •Перед расширением схемы
- •Как расширить схему
- •Использование проверочного леса
- •Использование мастера установки Active Directory Использование мастера установки Active Directory
- •Конфигурация dns
- •Поддержка имеющихся приложений
- •Создание дополнительного контроллера домена Создание дополнительных контроллеров домена
- •Использование носителя архива для создания дополнительных контроллеров домена
- •Создание нового дерева доменов Создание нового дерева доменов
- •Создание нового дочернего домена Создание нового дочернего домена
- •Создание нового леса Создание нового леса
- •Когда следует создавать новый лес
- •Роли хозяев операций в новом лесу
- •Добавление новых доменов в состав леса
- •Перед созданием нового леса
- •Обновление основного контроллера домена
- •Обновление всех оставшихся резервных контроллеров домена
- •Завершение обновления домена
- •Установка клиентского программного обеспечения Active Directory на устаревшие компьютеры клиентов
- •Обновление домена Windows 2000 Обновление домена Windows 2000
- •Преобразованные группы и Microsoft Exchange
- •Использование преобразованных групп на серверах под управлением Windows Server 2003
- •Администрирование Active Directory Администрирование Active Directory
- •Использование команды «Запуск от имени» Использование команды «Запуск от имени»
- •Использование сохраненных запросов Использование сохраненных запросов
- •Управление службой Active Directory из mmc Управление службой Active Directory из mmc
- •Настройка режима отображения данных в средствах администрирования и оснастках Active Directory
- •Использование оснастки «Active Directory - пользователи и компьютеры»
- •Запуск консолей mmc в Active Directory из командной строки
- •Управление Active Directory из командной строки Управление Active Directory из командной строки
- •Поиск данных каталога Поиск данных каталога
- •Ограничение доступа к данным каталога
- •Эффективные поисковые средства
- •Администрирование других доменов Администрирование других доменов
- •Делегирование администрирования Делегирование администрирования
- •Безопасное делегирование администрирования
- •Настройка консолей mmc для определенных групп
- •Использование групповой политики для публикации и назначения специальных консолей
- •Публикация ресурсов Публикация ресурсов
- •Публикация пользователей и компьютеров
- •Публикация общих принтеров
- •Публикация общих папок
- •Публикация служб
- •Категории данных службы
- •Характеристики данных служб
- •Задачи для выполнения на контроллере домена
- •Задачи для выполнения на серверах приложений
- •Средства поддержки Active Directory Средства поддержки Active Directory
- •Список и описание программ
- •Интерфейсы программирования Интерфейсы программирования
Категории данных службы
Данные о конфигурации и привязках – это два типа данных служб, которые часто публикуются с использованием Active Directory.
Данные о привязке позволяют клиентам подключаться к службам, не имеющим точно известных привязок и удовлетворяющим требованиям модели, ориентированной на службы. Публикация привязок для таких типов служб обеспечивает автоматическое подключение к службам. Ориентированные на компьютеры службы организуются по отдельности и не должны публиковаться в каталоге.
Сведения о конфигурации могут быть общими для приложений-клиентов. Публикация данного типа сведений позволяет распространять сведения о текущей конфигурации для данных приложений на все клиенты в домене. Доступ к сведениям о конфигурации осуществляется приложениями-клиентами по мере необходимости. Это облегчает настройку приложений для пользователей и предоставляет больше возможностей для управления приложениями.
Характеристики данных служб
Данные служб, которые публикуются в каталоге, наиболее эффективны, если они имеют следующие характеристики:
Полезность для многих клиентов. Сведения, которые полезны небольшому числу клиентов или полезны только в некоторых областях сети, публиковать не следует. Если сведения используются редко, то ресурсы сети тратятся впустую, так как данные сведения публикуются на каждом контроллере домена.
Относительная стабильность и неизменность. При этом могут быть исключения из данного правила, обычно это используется только для публикации сведений о службе, которая изменяется менее часто, чем один раз за два интервала репликации. Для внутрисайтовой репликации максимальный период репликации составляет 15 минут, а для межсайтовой репликации он настраивается в зависимости от интервала репликации связи сайтов, используемой для репликации. Свойства объекта, изменяющиеся более часто, создают избыточные требования к ресурсам сети. Значения свойства могут быть устаревшими, пока обновления не опубликованы, это может продолжаться в течение максимального периода репликации. В результате, наличие устаревших свойств в течение данного периода времени не должно создавать неприемлемых условий. Например, некоторые сетевые службы каждый раз при запуске выбирают для использования правильный TCP-порт. После выбора порта служба предоставляет Active Directory обновленные сведения, которые хранятся как точка подключения службы. Клиенты получают доступ к точке подключения службы, когда им необходимо использовать данную службу, но если новая точка подключения не была реплицирована на момент запроса клиента, он получит устаревшие сведения о порте, которые сделают службу временно недоступной.
Правильно заданные, корректные свойства. Сведения, имеющие согласованную форму, облегчают использование их службами. Сведения должны быть относительно небольшого размера.
Управление разделами COM+ в Active Directory
Управление разделами COM+ в Active Directory
Разделы COM+, хранящиеся в Active Directory, служат для сопоставления локального раздела COM+, в котором непосредственно хранится приложение COM+, определенным пользователям или подразделениям данного предприятия. Приложения COM+ являются группами компонентов COM, разработанных для совместного использования в составе служб COM+, таких как очереди, безопасность на основе ролей и т. п.
Существует два типа разделов COM+: разделы COM+, хранящиеся в Active Directory, и локальные разделы COM+, хранящиеся на серверах приложений. Используя разделы COM+, хранящиеся в Active Directory, можно назначать пользователей домена и целые подразделения приложениям, хранящимся в локальных разделах COM+. Локальные разделы COM+ являются контейнерами приложений, служащими для управления несколькими экземплярами приложений COM+ на одном сервере приложений.
В локальном разделе COM+ может храниться только один экземпляр приложения. Другими словами, если необходимо создать две или более версий одного приложения (AppX 1.0 и AppX 2.0), доступные пользователям домена, следует создать два отдельных локальных раздела COM+ на одном сервере приложений и связать их с двумя разными разделами COM+ в Active Directory. Дополнительные сведения о связывании разделов COM+ см. в разделе Управление наборами разделов COM+ в Active Directory.
Каждый раздел COM+ настраивается и управляется отдельно в соответствии с требованиями его пользователей.
Примечание
Получение разделов COM+ из Active Directory невозможно на контроллерах домена, работающих под управлением Windows 2000.
Управление наборами разделов COM+ в Active Directory
Управление наборами разделов COM+ в Active Directory
Наборы разделов COM+, хранящиеся в Active Directory, могут содержать один или несколько разделов COM+ и служат для назначения одного или нескольких приложений, расположенных на сервере приложений, пользователям домена или подразделениям. Дополнительные сведения о разделах COM+ см. в разделе Управление разделами COM+ в Active Directory.
Каждый набор разделов COM+ определяет разделы COM+, к которым разрешен доступ пользователю домена.
Наборы разделов COM+ позволяют как администраторам, так и программистам приложений пользоваться следующими преимуществами:
предоставление определенному набору пользователей доступа к определенному набору приложений, что значительно упрощает администрирование распределенных приложений;
применение политик безопасности к пользователям домена и подразделениям внутри каждого набора разделов.
Прежде чем назначать наборы разделов COM+, необходимо сначала логически сгруппировать один или несколько разделов COM+ в один набор разделов COM+. Когда набор разделов COM+ определен, можно предоставлять приложения для доступа в пределах домена, сопоставляя наборы разделов COM+ пользователям домена или подразделениям. Для этого необходимо выполнить соответствующие задачи как на контроллере домена, где хранится Active Directory, так и на сервере приложений, где установлено приложение COM+.