- •12 Пара. Ad
- •Модели управления безопасностью:
- •Модель "Рабочая группа"
- •Доменная модель
- •Назначение службы каталогов Active Directory
- •Терминология
- •Домен Windows nt
- •Контроллер домена
- •Сервер глобального каталога
- •Организационные подразделения (оп)
- •Именование объектов
- •Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций (слайд №21) Логическая структура Active Directory
- •Физическая структура Active Directory
- •Роли хозяина операций
- •Репликация Репликация внутри сайта
- •Репликация между сайтами
- •Синхронная репликация
- •Асинхронная репликация
- •Функциональные уровни (режим работы) домена и леса
- •Возможности функциональных уровней доменов
- •Возможности функциональных уровней лесов
Организационные подразделения (оп)
(слайд №17)
Организационные подразделения (Organizational Units, OU) - контейнеры внутри AD, которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. ОП существуют только внутри доменов и могут объединять только объекты из своего домена. ОП могут быть вложенными друг в друга, что позволяет строить внутри домена сложную древовидную иерархию из контейнеров и осуществлять более гибкий административный контроль. Кроме того, ОП могут создаваться для отражения административной иерархии и организационной структуры компании.
(слайд №18)
Подводя итог, можно сказать, что логическая структура Active Directory позволяет организовать ресурсы корпоративной сети таким образом, чтобы они отражали структуру самой компании.
Именование объектов
(слайд №19)
В службе каталогов должен быть механизм именования объектов, позволяющий однозначно идентифицировать любой объект каталога. В каталогах на базе протокола LDAP для идентификации объекта в масштабе всего леса используется механизм отличительных имен (Distinguished Name, DN). В Active Directory учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя: "DC=ru, DC=company, CN=Users, CN=User".
Обозначения:
DC (Domain Component) - указатель на составную часть доменного имени;
OU (Organizational Unit) - указатель на организационное подразделение (ОП);
CN (Common Name) - указатель на общее имя.
Если отличительное имя однозначно определяет объект в масштабе всего леса, то для идентификации объекта относительно контейнера, в котором данный объект хранится, существует относительное отличительное имя (Relative Distinguished Name, RDN). Для пользователя User из предыдущего примера RDN-имя будет иметь вид "CN=User".
Кроме имен DN и RDN, используется основное имя объекта (User Principal Name, UPN). Оно имеет формат <имя субъекта>@<суффикс домена>. Для того же пользователя из примера основное имя будет выглядеть как User@company.ru.
Имена DN, RDN могут меняться, если объект перемещается из одного контейнера AD в другой. Для того чтобы не терять ссылки на объекты при их перемещении в лесу, всем объектам назначается глобально уникальный идентификатор (Globally Unique Identifier, GUID), представляющий собой 128-битное число.
(слайд №20)
Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций (слайд №21) Логическая структура Active Directory
Служба каталогов Active Directory организована в виде иерархической структуры, построенной из различных компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП). Каждый из элементов логической структуры описан выше.
Физическая структура Active Directory
Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.
Основные элементы физической структуры Active Directory - контроллеры домена и сайты.
Сайт - группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов - управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей. Понятие "быстрые коммуникации" очень относительное, оно зависит не только от качества линий связи, но и от объема данных, передаваемых по этим линиям. Считается, что быстрый канал - это не менее 128 Кбит/с (хотя Microsoft рекомендует считать быстрыми каналы с пропускной способностью не менее 512 Кбит/с).
Структура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут находиться несколько доменов (рис. 6.34).
(слайд №22)
Рис. 6.34.
Поскольку сайты соединяются друг с другом медленными линиями связи, механизмы репликации изменений в AD внутри сайта и между сайтами различные. Внутри сайта контроллеры домена соединены линиями с высокой пропускной способностью. Поэтому репликация между контроллерами производится каждые 5 минут, данные при передаче не сжимаются. Для репликации между сайтами кроме RPC может использоваться также протокол SMTP, данные при передаче сжимаются (в результате сетевой трафик составляет от 10 до 40% от первоначального значения), передача изменений происходит по определенному расписанию.
Кроме управления репликацией, сайты используются при аутентификации пользователей в домене. Процесс аутентификации может вызвать заметный трафик, особенно если в сети имеется большое количество пользователей (особенно в начале рабочего дня, когда пользователи включают компьютеры и регистрируются в домене). При входе пользователя в сеть его аутентификация осуществляется ближайшим контроллером домена. В процессе поиска "ближайшего" контроллера в первую очередь используется информация о сайте, к которому принадлежит компьютер, на котором регистрируется пользователь. Ближайшим считается контроллер, расположенный в том же сайте, что и регистрирующийся пользователь. Поэтому рекомендуется в каждом сайте установить как минимум один контроллер домена.
В самом начале создания леса автоматически создается сайт по умолчанию с именем Default-First-site-Name. В дальнейшем сетевой администратор должен сам планировать и создавать новые сайты и определять входящие в них подсети, а также перемещать в сайты соответствующие контроллеры доменов. При создания нового контроллера на основании выделенного ему IP-адреса служба каталога автоматически отнесет его к соответствующему сайту.