Доменная модельWindows
Домен (Domain) является логическим объединением учетных записей компьютеров и пользователей. Для пользователей домен по своему назначению очень близок рабочей группе, и даже в сетевом окружении они выглядят одинаково. На приведенном ранее рисунке элементыStudиSurguявляются доменами, аMshome– рабочей группой. Отличие домена от рабочей группы состоит в том, что домен содержит единую базу учетных записей компьютеров и пользователей, которая хранится на компьютере, выполняющем рольконтроллера домена(DomainController). Назначением контроллера домена является хранение базы учетных записей для всего домена, а также обработка запросов пользователей на аутентификацию. После того, как пользователь был аутентифицирован контроллером домена, он получает доступ ко всем ресурсам домена, для которых ему разрешен доступ. Таким образом, при использовании модели домена пользователь проходит процедуру аутентификации только один раз, при входе в домен.
Использование модели домена не исключает возможности использования каждым компьютеров собственной базы учетных записей в том случае, например, когда нет доступных контроллеров домена или несправно сетевое соединение.
Обычно в домене создается несколько контроллеров домена (не менее двух). Это необходимо в целях:
надежного хранения базы учетных записей;
сохранения работоспособности домена в случае отказа одного из контроллеров;
повышения скорости обработки запросов на аутентификацию в случае большого количества пользователей.
Для выполнения аутентификации может использоваться любой доступный контроллер домена. Между контроллерами домена постоянно осуществляется репликация(копирование) базы учетных записей для того, чтобы все контроллеры содержали одну и ту же копию (реплику) базы со всеми изменениями.
Преимуществами использования модели домена являются:
централизованное хранение учетной информации, что облегчает процесс ее администрирования;
однократное прохождение процедуры аутентификации для доступа к ресурсам различных компьютеров, входящих в домен.
Службы каталога ntds и Active Directory
В случае использования модели домена база учетных записей, дополненная механизмами доступа к ней, носит название службы каталога (Directory Service). Таким образом, служба каталогов ОС хранит информацию об объектах системы безопасности и позволяет манипулировать ими. В сетях ОС Windowsслужба каталога реализуется на контроллере домена.
В контроллере домена на базе ОС Windows NT 4.0 Server служба каталога называется NTDS (NT Directory Service). Даная служба подходит для организации доменов, количество объектов в которых не превышало 100000. NTDS представляет собой плоскую модель доменов. У каждого домена свое уникальное имя, которое так же является плоским, например MY_DOMAIN. По умолчанию пользователи одного домена не имеют доступа к ресурсам другого домена. Для предоставления им такой возможности между доменами устанавливаются доверительные отношения. Эти отношения могут быть как односторонними (например, домен А доверяет домену Б, но не наоборот), так и двусторонними (оба домена доверяют друг другу). То, что доменная модель в NTDSявляется плоской, представляет собой существенное ограничение в случае использования множества доменов.
В ОС Windows2000ServerиWindows2003Serverпоявилась новая реализация службы каталога, которая называетсяActiveDirectory(AD). К основным отличиямActiveDirectoryотNTDSможно отнести:
Домены в ADорганизованы иерархически в виде дерева. Существует понятие родительского и дочернего домена.
Пространство имен в ADтак же является иерархическим, кроме того, оно может быть объединено с пространством имен Интренет, которое реализуется службойDNS(DomainNameSystem). Имя компьютера вADявляется составным, напримерstud-srv1.surgu.ru.
В качестве службы поиска сетевых ресурсов в ADтак же используется службаDNS.
В качестве протокола аутентификации используется более надежный Kerberos(вNTDSиспользовался протоколNTLM).
ADпозволяет централизованно администрировать не один домен (какNTDS) а целиком все дерево доменов, при этом гибко распределяя между ними права доступа и административные полномочия.