Средства Active Directory

       Схема: классы, атрибуты и их модификация

       Для того, чтобы добраться до схемы, загрузите  соответствующий сле- 
пок ММС: в меню консоли управления выберите Console и дайте ко- 
манду Add/Remove Snap-In. В появившемся окне щелкните Add и в 
списке доступных слепков укажите Schema manager. Появится диало- 
говое окно Microsoft Management Console.

       Окно  ММС с загруженным  слепком Schema Manager

       В правой части окна перечислены все  классы ^атрибуты схемы. Каж- 
дый класс в схеме представлен объектом, его определяющим. Объекты 
являются экземплярами класса Class Schema.

       Каждый  атрибут в схеме также представлен  объектом, определяющим 
этот атрибут. Объекты являются экземплярами класса Attribute Schema 
и могут иметь атрибуты, перечисленные в Приложении В. Атрибуты 
могут содержать данные, тип которых определяется синтаксисом. Для 
каждого атрибута возможен только один синтаксис, например, Integer,

       String, BOOL. Синтаксисы в Active Directory определены  Microsoft и не 
могут быть изменены, также невозможно добавлять новые. Синтакси- 
сы не представлены никакими объектами в каталоге. Создавая новый 
атрибут, необходимо определить его синтаксис.

       Некоторые характеристики объектов, определяющих классы, содержат- 
ся в парных атрибутах. Значения одного атрибута пары может быть 
изменено администратором, а другого - нет. Если имя атрибута начи- 
нается со слова System, то администраторы не могут его изменять. Это 
сделано с целью защиты системы и обеспечения ее работоспособнос- 
ти. Любопытно отметить, что это правило распространяется и на те 
классы, которые создали Вы сами. При создании класса можно назна- 
чить начальные значения атрибутов, но дальнейшая модификация си- 
стемных атрибутов невозможна.

       Прежде  чем добавлять или изменять классы, необходимо выполнить две 
процедуры: во-первых, внести в реестр дополнительное значение, от- 
сутствующее там по умолчанию; а во-вторых, - убедиться, что Ваш 
компьютер будет распознан остальными контроллерами домена как 
единственный, на котором допускается модификация схемы.

       Итак, в реестре надо выполнить следующее  добавление:

       Ветвь HKEY_LOCAL_MACHINE

       Ключ System\CurrentControlSet\Services\NTDS\Parameters 
Имя Schema Update Allowed 
Тип DWORD 
Значение Любое целое положительное число

       Целостность каталога требует, чтобы изменения  вносились только на 
одном компьютере в каждый момент времени с последующим тиражи- 
рованием их на другие контроллеры домена. В противном случае воз- 
можен конфликт между изменениями. Для предотвращения подобных 
конфликтов вводится понятие мастер схемы, обозначающее именно 
тот контроллер, на котором, и только на котором, возможна модифи- 
кация схемы. В принципе, таковым может быть назначен любой кон- 
троллер в домене, но по умолчанию мастером схемы становится пер- 
вый установленный контроллер домена. Процесс определения того, 
какой из компьютеров может выступать в этой роли называется опера- 
цией единственного плавающего мастера (floating single master opera- 
tion). Текущий мастер схемы отличается значением атрибута FSMO- 
Role-Owner для контейнера схемы (CN=schema, CN=configu ration, DC=...).

       Если  Ваш компьютер - единственный контроллер домена, то масте- 
ром схемы является именно он. Если в домене несколько контролле- 
ров, Вы можете принудительно потребовать от нужного контроллера 
стать мастером. Для этого к корневому DSE (объект с пустым DN) до- 
бавьте атрибут becomeSchemaMaster равный 1. Сервер пошлет текущему 
мастеру запрос на смену мастера и тот изменит атрибут FSMO-Role- 
Owner на имя контроллера, запросившего эту операцию, после чего

       передаст  ему новое значение атрибута, а  также перешлет на новый 
мастер сделанные ранее, и, возможно, оставшиеся незамеченными, из- 
менения. Тот примет эти изменения и станет новым мастером схемы.

       Active Directory поддерживает кэш схемы, повышающий быстродей- 
ствие приложений, часто обращающихся к каталогу. Кэш схемы явля- 
ется представлением классов и атрибутов схемы в оперативной памя- 
ти компьютера. Кэш загружается в память во время загрузки операци- 
онной системы. При внесении изменений в схему кэш, спустя некото- 
рое время, автоматически обновляется.

       Заключение

       Служба  каталогов Active Directory, сочетающая в себе открытые стан- 
дарты, простоту администрирования, глобальный каталог, возможность 
наращивания, средства тиражирования, распределенную систему безо- 
пасности и полную обратную совместимость с предыдущей службой 
каталогов - идеальная платформа для построения сетей для крупных 
предприятий и организаций, а также гетерогенных сетей.

       Эта служба каталогов, использующая лучшие из стандартов имен DNS 
и Х.500, LDAP, иные протоколы и богатый набор API, предоставляет гро- 
мадные возможности совместимости с другими системами. Active Direc- 
tory позволяет из одной точки управлять всеми ресурсами сети: файла- 
ми, периферийными устройствами, подключениями к хостам, базами 
данных, доступом к Web, пользователями, любыми произвольными объ- 
ектами, сервисами и сетевыми ресурсами. Поддерживаемый в ней 
иерархичный взгляд на систему, удобные средства администрирования 
и мощные механизмы поиска позволяют значительно снизить админи- 
стративные затраты.

       Таким образом, можно сделать вывод: появление Active Directory сни- 
мет последние ограничения на использование Windows NT в больших 
организационных структурах.

Список использованной литературы: 

1. Безопасность  сети на основе Microsoft® Windows  2000. Учебный курс MSCE.2001//Москва//«Русская Редакция».
2. В. Олифер  Н. Олифер. Сетевые операционные системы.2003//С. Петербург//Питер.
3. Подход профессионала Автор: Зубанов Ф. В. Год издания: 01.01.2002
4. Грег Тодд. Windows 2000 Datacenter Server //по материалам сайта http: www.citforum.ru
5. http://www.5ballov.ru
6. http://www.xserver.ru