Компоненты Active Directory
Однако смежная структура имен необязательна. В этом случае, если у корпорации есть подразделения, работающие независимо друг от друга и использующие различные схемы именования, их доменные деревья могут быть объединены в лес.
Деревья в лесу обеспечивают доступ к одинаковой схеме и правилам совместной работы объектов. Все домены леса имеют единый глобальный каталог и конфигурационный контроллер.
Домены в дереве связываются друг с другом, используя двусторонние транзитивные доверительные отношения по протоколу Kerberos. Транзитивное доверие означает, что если домен А доверяет домену В и домен В доверяет домену С, то домен А доверяет домену С. Поэтому присоединенный к дереву домен сразу вступает в доверительные отношения с каждым
деревом домена. |
Операционные сист |
61 |
|
емы
Компоненты Active Directory
Пользовательские учетные записи и группы, определенные в доверяемом домене, могут получать права и полномочия в доверяющем домене, даже если их нет в его каталоге.
Каждый домен включает один или несколько контроллеров, на которых хранится полная реплика (копия) каталога домена.
Для упрощения администрирования все контроллеры домена равноправны. Поэтому изменения, выполненные на любом контроллере домена, можно реплицировать на другие контроллеры.
Операционные сист |
62 |
емы |
|
Лес доменов
доверие
доверие
microsoft.com
Общий глобальный
каталог
seattle.microsoft.com miami.microsoft.com
доверие
Леса различаются по:
-одному или более набору деревьев;
-несвязанному пространству имен между
деревьями; - доверительным отношениям между этими деревьями;
- общей схеме; - способности отображать любой объект в списке глобального каталога.
доверие
доверие msnbc.com 
ns.msnbc.com ms.msnbc.com
доверие |
|
Доверительные отношения: |
- |
односторонние (явное доверие); |
- |
двусторонние - транзитивные |
|
(полное доверие). |
|
Операционные сист |
63 |
емы |
|
Управление доменами, ОП, пользователями и компьютерами
Для доступа к доменным структурам в ОС Windows 2000/2003 предназначена консоль Active Directory - домены и доверие. Для каждого корневого домена отображаются отдельные записи.
64
Управление доменами, ОП, пользователями и компьютерами
В доменах корпораций выделяются организационные подразделения (ОП) - это подгруппы, которые часто отображают функциональную структуру организации.
ОП являются своего рода логическими контейнерами, в которых размещаются учетные записи, общие ресурсы и другие ОП (дочерние).
Для каждого ОП можно определить свою групповую политику, не применяя ее ко всему домену.
Кроме того, ОП позволяет делегировать административные полномочия пользователям, ответственным за использование ресурсов данного ОП.
Организационные подразделения представлены в виде папок в консоли Active Directory - пользователи и компьютеры.
Операционные сист |
65 |
емы |
|
Управление доменами, ОП, пользователями и компьютерами
емы
Управление доменами, ОП, пользователями и компьютерами
Планирование сайта производится независимо от логической структуры домена. AD позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов.
Нет также связи между диапазоном IP-адресов сайта и пространством имени домена. Компьютеры приписываются к сайтам в зависимости от местоположения в подсети или в наборе подсетей.
Если компьютеры в подсетях способны взаимодействовать на достаточно высоких скоростях, их называют хорошо связанными.
В идеале сайты состоят из хорошо связанных подсетей и компьютеров. Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.
Операционные сист |
67 |
емы |
|
Управление доменами, ОП, пользователями и компьютерами
Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой трафик и ускоряет аутентификацию.
Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию.
Имеется возможность настройки порядка репликации данных каталога, используя связи сайтов.
Например, определить сервер-плацдарм для репликации между сайтами. Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на
любой доступный сервер сайта.
Операционные сист 68
емы
Управление доменами, ОП, пользователями и компьютерами
Сайты и подсети настраиваются в консоли Active Directory - сайты и службы.
Операционные сист |
69 |
емы |
|
5.7.3. Контроллеры домена и сайты
1. Поиск контроллера домена через DNS
Рабочая станция
DNS - сервер |
LDAP - сервер |
|
|
||
2. Адрес контроллера |
Хранилище данных |
|
(data stores) - файл |
||
домена |
||
NTDS.DIT и |
||
|
||
|
глобальные каталоги |
|
|
(global catalogs) |
3. Доступ к данным каталога при помощи LDAP
4. Данные |
Контроллер домена |
каталога |
NTDS.DIT СОДЕРЖИТ: 1. Данные домена – информация об объектах домена (учетные записи, общие ресурсы, ОП, групповые политики). 2. Данные конфигурации (топология каталога, список лесов, деревьев, контроллеров и серверов ГК). 3. Данные схемы - информация об объектах и типов данных, которые могут храниться в каталоге.
Операционные сист |
70 |
емы |
|