logo
Администрирование сетей на платформе windows se

6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory

Служба каталогов Active Directory организована в виде иерархической структуры, построенной из различных компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП). Каждый из элементов логической структуры описан ниже.

Домен — логическая группа пользователей и компьютеров, которая поддерживает централизованное администрирование и управление безопасностью. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим доменом. Домен также является основной единицей для репликации — все контроллеры одного домена должны участвовать в репликации друг с другом. Домены в одном лесу имеют автоматически настроенные доверительные отношения, что позволяет пользователям из одного домена получать доступ к ресурсам в другом. Необходимо также знать, что можно создавать доверительные отношения с внешними доменами, не входящими в лес.

Д ерево является набором доменов, которые связаны отношениями "дочерний"/"родительский", а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского. Например, можно создать дочерний домен, называемый it, в домене company.com, тогда его полное имя будет it.company.com (рис. 6.33). Между доменами автоматически устанавливаются двухсторонние транзитивные доверительные отношения (домен it.company.com доверяет своему "родительскому" домену, который в свою очередь "доверяет" домену sales.company.com – таким образом, домен it.company.com доверяет домену sales.company.com, и наоборот). Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к ресурсам данного домена. Заметим, что домен it.company.com продолжает оставаться самостоятельным доменом, в том смысле, что он остается единицей для управления системой безопасности и процессом репликации. Поэтому, например, администраторы из домена sales.company.com не могут администрировать домен it.company.com до тех пор, пока им явно не будет дано такое право.

Рис. 6.33

Лес — это одно или несколько деревьев, которые разделяют общую схему, серверы Глобального каталога и конфигурационную информацию. В лесу все домены объединены транзитивными двухсторонними доверительными отношениями.

Каждая конкретная инсталляция Active Directory является лесом, даже если состоит всего из одного домена.

Организационное подразделение (ОП) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. ОП могут быть созданы для организации объектов в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в ОП, могут служить учетные записи пользователей, компьютеров, групп и т.д. Напомним, что ОП может содержать только объекты из того домена, в котором они расположены.

Подводя итог, можно сказать, что логическая структура Active Directory позволяет организовать ресурсы корпоративной сети таким образом, чтобы они отражали структуру самой компании.