Средства Active Directory

 
 
 
 

 КОНТРОЛЬНАЯ РАБОТА 

 ПО ДИСЦИПЛИНЕ: Операционные системы, среды и оболочки.

 НА ТЕМУ: Средства Active Directory 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

       Что такое Active Directory

       Служба каталогов Active Directory (AD) - сервис, интегрированный с 
Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Доступ к ней возможен с помощью таких знакомых инструментов, как программа просмотра ресурсов Интернета.

       AD не только позволяет выполнять  различные административные задачи, но и является поставщиком  различных услуг в системе. На приведенном ниже рисунке схематично изображены основные функции службы каталогов.

       В Active Directory концепция пространства имен Интернета объединена с системными службами каталогов, что дает возможность  единым образом управлять различными пространствами имен в гетерогенных

       средах  корпоративных сетей. В качестве основного в AD используется 
легкий протокол доступа к каталогу LDAP (lightweight directory access 
protocol), позволяющий действовать за рамками операционной систе- 
мы, объединяя различные пространства имен. Active Directory может 
включать в себя каталоги других приложений или сетевых операцион- 
ных систем, а также управлять ими, что значительно снижает нагрузку 
на администраторов и накладные расходы.

         

       Каталог - поставщик услуг  в системе

       Active Directory не является каталогом Х.500, как иногда считают. Она 
использует лишь информационную модель Х.500 (без избыточности, 
присущей последнему), а в качестве протокола доступа - LDAP. В ре- 
зультате достигается так необходимая в гетерогенных системах высо- 
кая степень взаимодействия.

       LDAP - стандартный протокол доступа  к каталогам (RFC1777) - был 
разработан как альтернатива протоколу доступа Х.500. В Active Directory 
поддерживаются как LDAP v2, так и LDAP v3.

       HTTP - стандартный протокол для отображения  страниц Web. Active 
Directory дает возможность просмотреть любой объект в виде страни- 
цы Web. Расширения Internet Information Server, поставляемые совмес- 
тно со службой каталога, преобразуют запросы к объектам каталога в 
страницы HTML.

       Active Directory позволяет централизовано  администрировать все ре- 
сурсы, любые произвольные объекты и сервисы: файлы, периферийные 
устройства, базы данных, подключения к Web, учетные записи и др. В 
качестве поискового сервиса используется DNS. Все объекты внутри 
домена объединяются в организационные единицы (OU), составляю- 
щие иерархичные структуры. В свою очередь, домены могут объеди- 
няться в деревья.

       Администрирование упростилось по сравнению с предыдущими вер- 
сиями: больше нет первичного и резервных контроллеров домена. Все 
контроллеры доменов, используемые службой каталогов, равноправны. 
Изменения можно вносить на любом контроллере, а на остальные они 
будут тиражироваться автоматически.

       Еще одна особенность Active Directory - поддержка  нескольких хра- 
нилищ, в каждом из которых может находиться до 10 миллионов объек- 
тов. Понятно, что при таких возможностях эта служба каталогов пре- 
красно проявляет себя как в малых сетях, так и в больших системах.

       Архитектура Active Directory

       Основная  структурная единица Active Directory - дерево доменов, свя- 
занных доверительными отношениями друг с другом. Внутри каждого 
домена может располагаться иерархия организационных единиц (OU). 
Иерархия OU внутри одного домена никак не связана с иерархией OU 
в других доменах. Наоборот, они полностью независимы.

       Такая двухъярусная иерархичная структура  предоставляет высокую сте- 
пень свободы в администрировании деревьев доменов. Например, всем 
деревом доменов целиком может управлять центральная служба инфор- 
мационных технологий (ИТ), а во всех доменах будут созданы свои 
собственные организационные единицы, где учтены как работники, 
ответственные за локальную поддержку на местах, так и ресурсы, обес- 
печивающие эту поддержку.

       В каждом отдельном домене могут быть созданы дополнительные OU 
для выполнения конкретных задач. Так в домене головного офиса - OU 
отдела кадров и бухгалтерии, в филиалах - OU торговых представи- 
тельств. При этом административные права для каждой из этих OU 
могут делегироваться центральной службой ИТ сотрудникам упомяну- 
тых групп. Последние же, будучи наделены административными пол- 
номочиями только в рамках своих OU, никак не смогут помешать службе ИТ выполнять глобальное администрирование или вмешаться в де- 
ятельность другой OU.

         

       Архитектура Active Directory

       Такая гибкость позволяет организовать каталог  в точном соответствии 
со структурой Вашего предприятия. Причем, возможно отразить как 
централизованную, так и децентрализованную, а также некоторую сме- 
шанную модель управления предприятием. Например, дерево доменов 
может быть организовано по централизованной модели, а OU внутри 
доменов - по децентрализованной.

       Как уже упоминалось, внутри каждого  домена - своя политика безо- 
пасности (подробнее об этом - в главе 2). Этой политикой определя- 
ются, в частности, требования к паролям, время жизни билетов Кег- 
beros, блокировки учетных записей и т. д. При создании учетной запи- 
си в домене для нее генерируется идентификатор безопасности (SID), 
частью которого является идентификатор домена, выдавшего SID. Это 
позволяет легко определять, какому домену принадлежит пользователь 
или группа и каковы их права доступа к ресурсам. Таким образом, мож- 
но говорить о физических границах безопасности домена, в рамках 
которых и выполняется его администрирование.

       Организационные единицы являются контейнерами, в  которых могут 
содержаться другие организационные единицы или объекты (пользо- 
ватели, группы, принтеры или ресурсы распределенной файловой си- 
стемы). Разрешение создавать объекты или изменять их атрибуты мо- 
жет быть выдано отдельным пользователям или группам, что позволя- 
ет более четко разделять административные полномочия.

       Использование схемы

       Определение схемы, данное при первом ознакомлении с этим терми- 
ном, несколько расплывчато и, возможно, не дает общего понимания 
ее назначения. В схеме задано, какие объекты и с какими свойствами 
допустимы в каталоге. Во время установки Active Directory на первый 
контроллер доменов в лесу, служба каталогов по умолчанию создает 
схему, где содержатся все объекты и заданы свойства, необходимые для 
нормального функционирования службы каталогов. Предусматривает- 
ся также тиражирование каталога на все контроллеры домена, которые 
будут включены в лес позднее.

       Каталог содержит необходимую информацию о  пользователях и объек- 
тах данной организации. Такие свойства Active Directory, как отказоус- 
тойчивость и расширяемость, позволяют использовать этот сервис в 
различных приложениях, например, по учету кадров. Стандартно в 
Active Directory уже определены такие атрибуты пользователя, как его 
имя, фамилия, номера телефонов, название офиса, домашний адрес. Но 
если понадобятся такие сведения, как зарплата сотрудника, его трудо- 
вой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти 
параметры можно задать дополнительно. Active Directory позволяет 
'наращивать' схему, добавлять в нее новые свойства и классы на осно- 
ве существующих и с наследованием их свойств.

       Также можно задавать новые свойства, в  том числе и существующим 
классам. При этом все свойства можно разделить на обязательные и 
возможные. Все обязательные свойства необходимо указывать при со- 
здании объекта. Например объект 'пользователь' обязательно должен 
иметь общее имя en (common name), пароль и SamAccountName (имя, 
используемое для обратной совместимости с предыдущими версиями).

       Возможные свойства можно и не указывать. Они  лишь выполняют вспо- 
могательные функции и могут быть полезны, например, для админис- 
траторов или для других пользователей. Проиллюстрируем сказанное 
на примере приложения по учету кадров. Всех сотрудников предприя- 
тия можно условно разделить на две группы: постоянные и временные. 
Для постоянных сотрудников целесообразно создать новый класс Full- 
TimeEmp. В качестве возможных свойств этого класса можно добавить 
в схему зарплату и семейное положение. При этом права на чтение и 
изменение этих свойств будут иметь только сотрудники отдела кадров, 
а на чтение - лишь сам сотрудник. Администраторы сети также не 
имеют прав доступа к этим сведениям.

       Понятно, что такая свобода модификации  и наращивания каталога 
должна опираться на мощные механизмы хранения и поиска инфор- 
мации. В Active Directory таким механизмом хранения служит ESE (Exten- 
sible Storage Engine) - улучшенная версия Jet-базы данных, использую-

       щейся в Microsoft Exchange версий 4 и 5.х2. В новой  базе может содер- 
жаться до 17 терабайт данных, до 10 миллионов объектов.

         

       Пример  модификации схемы

       Еще одна особенность ESE - там хранятся только реально используе- 
мые значения свойств. Например, для объекта user определено по умол- 
чанию порядка 50 свойств. Но если Вы описали только 4 (имя, фами- 
лию, общее имя и пароль), то место для хранения будет отведено толь- 
ко для этих атрибутов. По мере описания других атрибутов место для 
них будет выделяться динамически.

       ESE позволяет хранить свойства, имеющие несколько значений, напри- 
мер, несколько телефонных номеров одного пользователя. При этом 
совсем не надо создавать атрибуты каждого телефонного номера.

       Подробнее о классах и атрибутах схемы, а также о том, как вносить в 
нее изменения, мы поговорим в одном из следующих разделов этой 
главы.  
 

       Система именований

       Одна  из задач службы каталогов Active Directory - обеспечить одно- 
типный взгляд на сети независимо от того, сколько и каких про- 
странств имен и каталогов в них используется. Вы можете включать в

       2 В будущих версиях Microsoft Exchange механизм  базы данных будет таким же, как и в Active Directory.

       AD, а затем организовывать каталоги, независимо от их расположения 
и использующих их операционных систем.

       Другая  важная особенность Active Directory - избыточная поддержка 
нескольких стандартных систем именований. В качестве собственной 
системы имен в AD применяется DNS (Domain Name System); в то же 
время она может использовать LDAP или HTTP для обмена информа- 
цией с приложениями или иными каталогами.

       Поддержка DNS

       В Active Directory объединены лучшие возможности  Х.500 и сервиса 
обнаружения DNS . DNS - сервис, наиболее часто используемый как в 
Интернете, так и в интрасетях. Он с успехом применяется для преоб- 
разования имени в IP-адрес как в масштабах Интернета, так и в неболь- 
ших сетях.

         

       DNS как поисковая  служба Windows NT

       Active Directory использует DNS в качестве своего  поискового сервиса. 
Имя домена в AD - не что иное,-как полностью определенное имя DNS. 
Например, fyodor.ru может быть как доменом DNS, так и доменом 
Windows NT. (Вспомните, что в предыдущих версиях Windows NT имя 
домена было NetBIOS-именем.) Указывая имя FyodorZ@microsoft.com, 
можно в равной степени рассматривать его и как почтовый адрес в 
Интернете, и как имя пользователя в домене Windows NT. На рисунке 
видно, что домены Windows NT могут размещаться в Интернете или 
интрасетях так же, как и любые иные ресурсы - посредством DNS.

       Традиционно DNS был присущ один недостаток - статичность  базы, 
что вело к необходимости обновлять данные и тиражировать измене- 
ния на другие серверы DNS вручную. В Windows NT 4.0 было реализо-

       вано  решение, объединяющее сервис DNS с сервисом WINS и позволяв- 
шее динамически обновлять базу имен. Кроме того, в состав операци- 
онной системы был включен графический инструмент для админист- 
рирования DNS, что позволяло легко освоить эту 'науку' даже неиску- 
шенным пользователям.