Active Directory и с чем его едят

29 апреля 2010

Версия для печати

Размер шрифта

Другие статьи раздела “Курсы”Английский, как язык мирового сообществаНавигаторы для водителяВыбираем страну для обучения в Европе

После сравнения сетевых моделей рабочей группы и домена понятно, что модель домена уместно выбирать для средних и больших сетей, в которых управление учетными данными пользователей средствами рабочей группы было бы бесконечно долгим и утомительным процессом.

Кроме более простого управления учетными записями модель домена предлагает еще и другие функции для управления различными объектами, встречающимися в сетях. Она дает администратору возможность автоматически устанавливать операционные системы и приложения на клиентских компьютерах, задавать единый уровень безопасности, регулировать права и привилегии каждого конкретного пользователя и делать все это, не вставая со своего рабочего места.
   
Собственно, домен — это база данных, содержащая сведения обо всех объектах, имеющих значение для функционирования сети: регистрационные данные пользователей и групп, учетные записи компьютеров, принтеров и других сетевых устройств. Таким образом, домен можно представить как логическую группу сетевых объектов. Управление доменом входит в администрирование windows 2003 server. Для абсолютного большинства объектов их физическое расположение безразлично, а для некоторых объектов атрибут расположения вообще не имеет смысла. Домен, или доменная база данных, — это не только собрание объектов (каталог). Эта база данных может также отвечать на вопросы (например, в каком отделе работает пользователь Иван Иванов), выполняя тем самым роль сервера каталога. В операционной системе Windows Server 2003 так же, как и в Windows 2000 Server, сервер каталога называется Active Directory, или активным каталогом. Active Directory (AD) — это иерархически организованное хранилище, которое предоставляет удобный доступ к сведениям о различных объектах сети, помогая пользователям и приложениям найти эти объекты. К тому же он проверяет, есть ли у пользователя, запросившего информацию, право на ее получение. Список пользовательских прав также находится в базе данных Active Directory.
  
Active Directory является LDAP - совместимой реализацией службы каталогов корпорации Майкрософт для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
  
Представление Active Directory состоялось в 1996 году, продукт был впервые выпущен с Windows 2000 Server, а затем был модифицирован и улучшен при выпуске сначала Windows Server 2003, затем Windows Server 2003 R2.
  
Компьютер, на котором работает сервер каталога, называется контроллером домена; иными словами, контроллер домена — это компьютер, на котором размещена вся база данных Active Directory. Все запросы к активному каталогу и вообще все запросы, касающиеся доступа к информации, хранящейся в домене, обрабатывает именно этот компьютер. Роль управления доменом - настолько важная в сети функция, что от нее напрямую зависит работа сети. Поэтому и доступ к контроллерам домена (DC, Domain Controller) разрешается с большей осторожностью, чем к остальным, а сами эти компьютеры имеют большую степень безопасности (как с точки зрения сетевого доступа, так и чисто физически) и оснащаются самым надежным оборудованием. В крупных сетях они никогда не выполняют дополнительных серверных функций (не бывают серверами печати, приложений, файловыми серверами и т.п.). Реализация доменной модели сети начинается с установки контроллера домена. Поскольку никакое оборудование не обладает стопроцентной гарантией, может случиться, что через некоторое время контроллер домена выйдет из строя. Тогда произойдет следующее: база данных Active Directory перестанет быть доступна, а это значит, что пользователи не смогут зарегистрироваться ни на одном из компьютеров домена. К таким неприятностям нужно готовиться еще на этапе планирования сети, и решением будет организация нескольких контроллеров домена. Учетная запись пользователя должна обеспечивать его работу во всем пространстве домена. Если в домене несколько контроллеров, то его учетные записи хранятся на нескольких компьютерах. При этом не возникает противоречия между ними. При установке второго контроллера домена не создается новой базы данных Active Directory, вместо этого на него копируется существующая база данных. Таким образом, каждый контроллер домена хранит одни и те же данные, включая учетные записи пользователей. Теперь, если один из контроллеров домена выйдет из строя, клиенты автоматически переключатся на другой, и это нисколько не помешает их работе.
  
Не существует более эффективная, чем домен, сетевая модель. Но к некоторым сетям предъявляются требования, которым не может удовлетворить один домен. Дело даже не в том, что максимальное количество объектов в активном каталоге ограничено: в ограничение в несколько миллионов объектов не вписаться трудно. Это ведь не домен операционной системы Windows NT 4.0, в котором могло находиться не более сорока тысяч объектов. Домен Windows Server 2003 можно считать практически безразмерным. Но обстоятельства, при которых уместной или неизбежной будет организация еще одного домена, существуют. Вот несколько примеров:

• Административное решение. Технических причин в этом случае нет, но требование руководства предприятия выполнять нужно.
• Разные требования к безопасности в разных подразделениях. Например, если руководство требует, чтобы у пользователей из отдела разработки пароль был не короче 10 символов, а у всех остальных — не короче 8 символов, то эти требования в пределах одного домена выполнить невозможно. Придется выделять разработчиков во второй домен.
• Разные подразделения должны быть представлены в Интернете под разными именами. Один домен не может иметь нескольких имен.
• Перегрузка линий связи. Когда в домене создается новый объект (например, учетная запись пользователя), то он копируется на все контроллеры домена. Например: если на предприятии два подразделения, связанные между собой медленной и ненадежной линией, то не стоит загружать эту линию еще и копированием содержимого активного каталога: здесь уместно выделить эти подразделения в отдельные домены. 

На практике можно встретить окружение, в распоряжении которого имеется несколько доменов. Речь идет о заграничных отделениях компаний или об очень больших предприятиях. Однако если предприятие не соответствует какой-либо из вышеописанных ситуаций, то нам будет хватать и одного домена.
  
Допустим к примеру у нас есть предприятие с несколькими доменами, есть две возможности их логической организации. Первая из них называется деревом доменов. Она характеризуется тем, что домены, входящие в дерево, образуют единое пространство имен (рис.1). Это значит, что имена объектов должны быть уникальными в пределах всего дерева. Достигается эта уникальность тем, что полное имя подчиненного домена (europe.microsoft.com) складывается из его собственного имени (europe) и имени вышестоящего домена (microsoft.com). Имя домена высшего уровня (корневого домена) входит в имена всех поддоменов. На количество доменов, образующих дерево, ограничений нет. Домены могут быть связаны друг с другом доверительными отношениями. Доверительные отношения означают следующее: пользователь, имеющий учетную запись в домене-доверенном, автоматически получает доступ к разделяемым ресурсам домена-доверителя. Отношение доверия транзитивно: если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С.
  
При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Новый домен, организуемый в рамках дерева, автоматически вступает в доверительные отношения со старыми, причем эти отношения двунаправленные: если домен А доверяет домену В, то домен В доверяет домену А. Таким образом, пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева.
  
Другая модель логической организации доменов — лес. Начнем с примера. Пусть компания Study, имеющая свой домен study.local, приобрела компанию Instrument, также имеющую свой домен instrument.ru. В ходе слияния фирм требуется объединить два имеющихся домена в одну структуру для удобства управления ими, но имена всех сетевых объектов желательно сохранить: этого требуют, например, используемые в компаниях приложения. Сохранить имена, объединив домены в дерево, невозможно: у них нет общего корня. Решением будет создание леса, то есть набора из одного или нескольких деревьев, не образующих единого пространства имен. Все деревья леса связаны двусторонними транзитивными доверительными отношениями. Главное различие между деревом доменов и лесом заключается в том, что все домены, входящие в дерево, должны иметь общий корневой домен, а для доменов, образующих лес, это необязательно. Нужно добавить, что подобно тому, как количество доменов в дереве не ограничено, не ограничено и количество деревьев в лесу.