43. Доменная модель.
Служба каталогов Active Directory является, без сомнения, одним из главных концептуальных новшеств системы Windows 2000 Server.
Active Directory (служба каталогов) — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды. Можно вспомнить знакомый многим системный реестр Windows и базу данных Диспетчера безопасности учетных записей (SAM) Windows NT. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах и сведения о пользователях.
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
| | Единая регистрация в сети ; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети. |
| | Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта. |
| | Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети. |
| | Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе. |
| | Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься. Кроме того, службу каталога можно связать с Интернетом для взаимодействия с деловыми партнерами и поддержки электронной коммерции. |
| | Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету. |
| | Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам. |
| | Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес. |
| | Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки. |
| | Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.). |
| | Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности. |
Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.
Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.
Для понимания структуры Active Directory рассмотрим сначала отличия Windows 2000 от предыдущих версий. Компьютеры на базе Windows 2000 по-прежнему объединяются в домены. Домены — это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. Однако, в отличие от Windows NT Server 4.0, где доменам давались простые строковые имена (имена NetBIOS), в среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). Так, домен MainOffice при обновлении может получить новое имя типа mainqfflce.company.com. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, — "стандартной", службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP)
Объекты и объектные классы
Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией. Термины "элемент" и "объект" часто используют как взаимозаменяемые, хотя объект — это нечто относящееся к физическому миру, а элемент — его представление в каталоге.
Каждый объект принадлежит по крайней мере к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. В качестве примера объектных классов можно привести два стандартных класса: person и domain. Среди множества атрибутов этих классов — cn (Common-Name), userPassword (User-Password) и dc (Domain-Component), url (WWW-Page-Other), соответственно. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, сn и dc), так и дополнительными (optional) (userPassword и url).
Помимо стандартных объектных классов можно описывать дополнительные классы, относящиеся к различным уровням (national и local).
Атрибуты и их типы
Каждый элемент каталога имеет атрибуты различных типов, характеризующих информацию, содержащуюся в этих атрибутах. Например, атрибут типа commonName представляет собой имя, идентифицирующее некоторый объект. Каждый атрибут может иметь одно или несколько значении.
Помимо атрибутов стандартных типов можно создавать и использовать дополнительные типы атрибутов.
Контейнер
Контейнер (container) — это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации — группировки — других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения (см. ниже раздел "Листья и контейнеры LDAP"), используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.
Информационное дерево каталога
Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева, (листья) представляют более простые объекты — пользователей, устройства, компьютеры.
Схема каталога
Схема каталога (Directory Schema) — это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.
Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.
Организация доменов: Лес и Деревья
База данных домена Windows 2000 может хранить значительно больше элементов, чем это было возможно в доменах Windows NT 4.0, поэтому организация, имеющая в своей сети множество доменов, теперь сможет объединить их в один домен. Однако в некоторых ситуациях даже одной организации полезно иметь несколько доменов. В подобных случаях Active Directory позволяет различным образом группировать домены (хотя такое решение не является обязательным).
Домены с непрерывными "смежными" DNS-именами могут быть объединены в дерево доменов (domain tree), или доменное дерево.
Какие преимущества дает объединение доменов в подобную иерархию? Появляется возможность поиска в корневом домене, при котором также проверяются элементы в дочерних доменах. Кроме того, наличие автоматически созданных двусторонних доверительных отношений между всеми доменами, входящими в дерево, значительно упрощает администрирование всей сети. Также можно группировать домены, не имеющие "смежных" DNS-имен. В результате этого возникнет лес (forest), состоящий из нескольких доменов и/или деревьев доменов. Как и в дереве доменов, все домены, входящие в лес, связаны между собой двусторонними доверительными отношениями, используют общую схему, конфигурацию и глобальный каталог. Главное различие между деревом доменов и лесом заключается в том, что все домены, входящие в дерево, должны иметь "смежные" DNS-имена, а для доменов, образующих лес, это не обязательно.
Доверительные отношения
Принципиальное отличие доменов Windows 2000 от доменов Windows NT 4.0 заключается в том, что все домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.
Службы DNS и Active Directory
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер "знает" свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.
Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:
| | Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен. |
| | Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 .Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS. |
| | Использование клиентами службы DNS при поиске контроллеров домена. |
Active Directory может использовать любую стандартную, законченную реализацию службы DNS: не обязательно задействовать DNS-сервер, входящий в Windows Server.
- Локальные сети эвм. Способы связи эвм между собой.
- Сети эвм. Классификация сетей.
- Локальные сети эвм. Физические стандарты каналов связи.
- 4. Локальные сети эвм. Понятие о топологии сети.
- 5. Локальные сети эвм. Шинная топологии, достоинства и недостатки.
- 6. Локальные сети эвм. Звездообразная и кольцевая топологии, достоинства и недостатки.
- 1 Звезда
- 2 Кольцо
- 3 Общая шина
- 4 Иерархическая топология
- 7. Windows xp - современное средство построения одноранговых лвс
- Использование Мастера настройки сети
- Конфигурирование сети вручную
- 8. Основные протоколы логического уровня в современных сетевых ос
- 9. Кабельные системы сетей эвм. Коаксиальные кабели и витая пара.
- Кабели на основе неэкранированной витой пары
- Кабели на основе экранированной витой пары
- Коаксиальные кабели
- Вопрос №12 Программные средства лвс. Сетевые операционные системы Сетевые операционные системы Структура сетевой операционной системы
- Одноранговые сетевые ос и ос с выделенными серверами
- Ос для рабочих групп и ос для сетей масштаба предприятия
- Обзор сетевых операционных систем
- Протокол sap и Novell Directory Services
- 14. Сетевая ос windows 2000/nt. Структура, протоколы, основные характеристики.
- Билет 15. Классификация современных сетей передачи и обработки информации. Классификация вычислительных сетей
- Конфигурация вычислительной сети и методы доступа Топология вычислительной сети
- Виды топологий
- Общая шина
- Классификация сетей по территориальному признаку. Примеры сетей.
- Сеть internet - объединение общемировых сетей передачи информации.
- 18. Internet - принципы построения.
- 19. Протокол tcp/ip основа построения internet.
- 20. Логическая структура лвс. Одно и двух ранговые лвс.
- 22. Логическая структура лвс. Файловые серверы и серверы приложений.
- 23. Протоколы http и ftp - основные средства нижнего уровня в www.
- Служба организации электронной почты (источник - конспект лекций)
- 26. Понятие сети, ресурсы, их использование
- Понятие сети
- Ресурсы
- Ресурсы, их использование
- 27. Файл-серверная и клиент-серверная технологии
- Файл-серверная технология
- Технология клиент-сервер
- Недостатки Клиент-серверной архитектуры
- 28. Программные средства сетевого доступа к данным (sql-серверы и т.П.)
- 29. Сетевая архитектура. Физическая и логическая топология
- Виды топологий
- Сетевые карты
- Вопрос № 31 Сетевое оборудование. Коммутаторы, концентраторы, маршрутизаторы, мосты и т.П.
- 32. Модель взаимодействия открытых систем (osi)
- 33. Сетевые протоколы
- 34 Протоколы tcp/ip.
- Основы tcp/ip
- Краткое описание протоколов семейства tcp/ip с расшифровкой аббревиатур
- Архитектура tcp/ip
- Уровни сетей и протоколы tcp/ip
- Краткое заключение
- 35: Маршрутизация tcp/ip, локальные и глобальные ip-адреса Типы адресов: физический (mac-адрес), сетевой (ip-адрес) и символьный (dns-имя)
- Отображение физических адресов на ip-адреса: протоколы arp и rarp
- 36. Понятие сокета
- Обзор сокетов
- 38. Сетевое программное обеспечение лвс и компоненты лвс
- Основные компоненты
- Рабочие станции
- Сетевые адаптеры
- Файловые серверы
- Сетевые операционные системы
- Сетевое программное обеспечение
- 39. Сеть из двух компьютеров
- 40. Сети Windows nt/2000. Понятие сервера и рабочей станции.
- 41. Базовый состав сетевого по Windows.
- 41.1 Состав сетевого клиентского по
- 41.2 Краткое описание утилит
- 41.3 Утилиты для диагностики tcp/ip соединений
- 43. Доменная модель.
- 44. Учетные записи и группы пользователей
- 45. Функции администратора Windows nt
- 46. Защита сетевых ресурсов с помощью прав доступа.
- 47. Понятие файловой системы.
- 48. Защита ресурсов с помощью разрешений ntfs.
- 49. Технология ethernet
- 50. Понятие о службах dns, wins, dhcp.
- 51. Пример сети небольшого предприятия.
- 52. Технология token ring
- Параметры и настройка подключения к Интернет
- 55. Методы поиска информации в Интернет
- Структура поисковых сервисов Интернета. Поисковые машины и каталоги
- Метапоисковые системы
- Типы файлов, используемых в Интернет
- Почта. РорЗ/smtp и http доступ к почте
- Html и создание сайтов