Служба active directory, active directory windows server

Главная/Windows - время для ШИНДОШС, Администрирование/Служба active directory, active directory windows server

Служба active directory, active directory windows server

Давайте постепенно будем разбирать такое понятие как ActiveDirectory(AD) или я буду писать АД что бы не менять раскладку клавиатуры, а то постоянно забываю переключатся. Итак, что такое ActiveDirectory?  Что бы понять это «понятие»,  и почему не только Микрософт но и другие производители операционных систем сделали такое же «фишку» в своих операционных системах(Макинтош использует «фишку»  Open Directory,  Novell  службу каталогов NDS), начнем с истории. Почему с истории, да потому что тогда станет ясно, что сама жизнь указала на создание такого механизма или лучше скажем так – «не от хорошей жизни»  специалисты создали такую «фишку». Я называю покаActiveDirectory«фишкой», так как предположим, что пока Вы, читатели,  не знаете что это за зверь такой ActiveDirectory. По ходу изложения мы будем излагаться все профессиональнее.

 

Предположим у нас три компа и один сервер. В дальнейшем,  что бы не забыть,  я буду обозначать компы  — ПК от словосочетания персональный компьютер или PC. Так вот,  у нас три компа, и три пользователя. Пока все нормально, но вот наша контора начала расширятся и набрали еще трех сотрудников, а комов пока не купили, экономят шефы. Итого у нас есть сеть из 3 ПК и 6 пользователей, которые пока работают попарно по двое на каждом ПК. Получится такая картина как на рисунке 1.

Рисунок 1.

 

То есть, при появление в компании новых сотрудников  и с учетом того что сотрудники будут строго работать только за тех ПК которых за ними укреплены то в этом случае администратор прописывает каждого сотрудника на свой ПК. Исходя из рисунка 1 сетевой администратор прописывает на ПК1 учетные записи для пользователей Вася и Катя, на ПК2 – Толю и Игоря, а на ПК3 – Ивана и Веру (как он это делает конкретно, мы рассмотрим позже). И еще ему надо прописать этих всех пользователей в количестве 6 штук на сервере что бы пользователи могли получить доступ к серверу базы данных.  Так что пока терпимо, так как пользователей не так уж и много.

То есть, при появление в компании новых сотрудников  и с учетом того что сотрудники будут строго работать только за тех ПК которых за ними укреплены то в этом случае администратор прописывает каждого сотрудника на свой ПК. Исходя из рисунка 1 сетевой администратор прописывает на ПК1 учетные записи для пользователей Вася и Катя, на ПК2 – Толю и Игоря, а на ПК3 – Ивана и Веру (как он это делает конкретно, мы рассмотрим позже). И еще ему надо прописать этих всех пользователей в количестве 6 штук на сервере что бы пользователи могли получить доступ к серверу базы данных.  Так что пока терпимо, так как пользователей не так уж и много.

 

И только прописал пользователей  админ, и сел попить пив….простите кофе после праведных трудов, как новое указание от «всевышних». Надо что бы не привязывать пользователей к строго определенному компьютеру, а позволить им работать за любым компьютером. И оплакивая свою несчастную жизнь админ понурив голову, идет и прописывает всех пользователей на всех компьютеров. И если раньше, когда за определенным компьютером работал определенный пользователь или пользователей, то исходя из нашей придуманной конторы на рисунке  1,  на каждом компьютере было по две учетные записи. То теперь на каждом компьютере должны быть по 6 прописанных пользователей.

Для тех кто не понимает что такое прописать пользователя – объясняю, вспомните если Вы конечно видели компьютеры, что иногда после того как вы включили компьютер, от Вас требуют какой-то «пароль», и Вы его спрашиваете у хозяина ПК и он «пароль» как правило  цифра 1 (это шутка, кто не понял, вернитесь после прочтения всех статьей и дико посмейтесь, над ламерами), и только после ввода пароля Вас пускают работать на компьютере. А требование ввести пароль не появляется при покупки компьютера, а специально прописывается сетевым администратором. И делается это для того что бы у каждого пользователя было свое собственное рабочее пространство, со своими «штучками» (под «штучками» пока что можете понимать какой фон рабочего стола у вас будет, какие программы будут доступны только вам и некому больше,и пока хватит) и еще это делается исхода из требований безопасности. И ХРАНЯТСЯ ВСЕ ЭТИ «пароли» ЛОКАЛЬНО, то есть на том ПК на котором они были прописаны (когда нет централизованного хранилища или AD, но об этом позже).  Только еще прошу запомнит что учетные записи еще называются «АКАУНТАМИ». Все!  — хватит для начала про учетные записи, так как я еще не сказал про «логин» и еще больше, Вас запутаю, но всему свое время и мы еще поговорим об Active Directory «по взрослому».

Итак, вернемся к нашему админу. Он идет и прописывает на каждом ПК всех сотрудников конторы.  Тоже пока что не страшно. А вот уже начинаются «мраки». В нашу контору взяли на работу еще сотрудников, и купили еще серверов и кучу компьютеров. Смотрите рисунок 2.

Рисунок 2. 

И тут понял админ что ему «крышка». Как стольких прописать, настроить, разрешить, одним словом – как все это «блин» администрировать.  Решил сперва застрелится, что бы не мучится. Это же ад, а не работа.  Но перед смертью решил написать Билу Гейтцу письмо. Пусть и у него совесть помучается. Ну написал что так мол и так, когда было пару компов и пару пользователей, еще ничего, а когда сеть и количество пользователей в сети, а еще и количество серверов выросло то просто стало невозможно работать так как просто невозможно при таком стечении обстоятельств администрировать что либо вообще. Каждый пользователь грозится расправой когда в сотый раз на дню регистрируется на определенный сервер куда ему нужно, а так же что ничего не может найти в сети конторы. Шефы звереют от того что некоторые просматривают их любовную переписку. И так далее…(тут пропускаю). Так что прощай брат Бил..цема, цема и не поминай лихом админа Васю Пупкина. Получил Бил письмо по мылу, прочитал его, и так ему стало жалко админа Васю Пупкина, уронил слезу, и написал – продержись браток еще чуть, чуть. Всем Микрософтом выезжаем на помощь. И вот так появилось в помощь сетевым администраторов такой инструмент как ActiveDirectory.

То есть сама жизнь продиктовало необходимость в создание инструмента, который облегчало работу пользователей и сетевым администраторам в повседневной жизни.

После того как Бил помог Васи Пупкину,  акаунты (учетные записи) стали хранится централизовано, то есть в одном месте и отпало необходимость прописывать пользователей на каждом ПК и на каждом сервере в нашей сети, а пользователям достаточно один раз зарегистрироваться в сети и больше не надо регится на каждом сервере куда он хочет попасть.Красота. Да и вообще, все что есть у нас в сети ActiveDirectory хранит в одном месте, централизованно,а еще позволяет «пущать» и «не пущать» наглых пользователей куда попало, и позволяет так же управлять (администрировать)  всем что есть у нас в сети, не затрачивая дополнительные ресурсы, как в плане взятия на работу еще админов, так и в плане покупки дополнительных средств от сторонних производителей для администрирования сети и объектов находящихся в ней.

И вручил Бил от имени Мелкосовта персонально Васи такой инструмент как ActiveDirectory. И начал Вася с ним работать и увидел что это хорошо. И что у нас получилось с внедрением такого понятия как ActiveDirectory или как еще его называют – Службой каталогов. Смотрим рисунок 3.

Рисунок 3.

А теперь давайте поговорим по взрослому.

Каталог (directory) — называется совокупность информации об объектах, которые тем или иным способом связаны друг с другом.

То есть это какой-то информационный ресурс, используемый для хранения информации о каком-либо объекте. К примеру самый простой и исторический каталог,  это такая тетрадка в которой некий гражданин записывает своих должников. Или более современный пример — телефонный справочник содержащий  информацию об абонентах телефонной сети. В файловой системе каталоги (директории, папки)  хранят информацию о файлах, связанные между собой тем или иным способом, к примеру, все файлы из папки такой-то -это эротические рассказы.

В нашей сети в каталоге может храниться информация об объектах нашей сети. Это могут быть принтеры, компьютеры, пользователи, программные продукты и различные базы данных которые есть у нас в сети. Главная «фишка» или задача здесь в том, что бы предоставить пользователям возможность обнаружить (найти) эти объекты и использовать их, но под зорким глазом администратора, а не так как хотят пользователи.

Давайте разберем понятие объект. И рассмотрим это понятие именно в контексте сети.

Объект – самостоятельная единица, которая представляет некий ресурс, существующий в сети (ПК, пользователи, ПО, …) со всеми его атрибутами.  Что такое атрибут? Представьте, что у нас есть автомобиль, так вот автомобиль это объект, а его цвет, мощность и прочие это атрибуты или свойства и характеристики, или у Вас жена, жена объект, а цвет волос, длина ног, объем груди и талии,  вредность, ревнивость, и прочие это атрибуты характеризующие жену как объект (Гы!). Но мы не будем пользоваться, когда будем говорить об объектах в большинстве случае словосочетанием «свойства и характеристики» а будем говорить – его атрибуты. К примеру у объекта нашей сети такой как «пользователь» имеются такие атрибуты как -фамилия, имя, логин, пароль, адрес электронной почты и другие. Смотрите рисунок 4.

Рисунок 4.

Служба каталогов — (directoryservice),  (на то и служба что бы служить, и приносить нам хоть какуЮту пользу), и посредством исправной службы обеспечивает хранение всей необходимой для применения объектов и управление ими информации в одном месте (централизованно), и благодаря этому процесс обнаружения и администрирования ресурсами сети упрощается. В отличие от каталога, служба каталогов одновременно две роли;

 

  • Источника информации;
  • Механизма, с помощью которого эта информация подготавливается для доступа со стороны пользователей.

 

Служба каталогов – нечто вроде основной панели управления сетевой операционной системы (центрального пульта). Или что бы было совсем понятно.

Служба каталогов — это такое программное обеспечение (ну такая программа) в составе сетевой операционной системы, которая хранит всю информацию об объектах сети, и которая позволяет обнаруживать эти объекты(ну там различные компы, принтеры, юзверей и прочие, что есть у нас в сети, а все, что есть у нас в сети,  мы рассматриваем как объекты), предоставлять их в распоряжение пользователям,  и управлять ими (администрировать). Понятно? Нет???? Садитесь! Молчать! Два бала! Кх..Кх …отвлекся….

То есть на вопрос – что такое служба каталогов? Вы бойко отвечайте – это такое ПО (программное обеспечение) которая …далее что то мямлите … не забывая вставлять слово «хранит», «обнаруживать», «делать доступным пользователям»….и ….словосочетание «управлять ими», то бишь объектами.

Контролер домена — это компьютер на котором установлено такое ПО как Active Directory.

Так вот, уже слово «фишка», которым мы пользовались в начале нашего трудного повествования обрела некий смысл, и теперь она предстала перд нами как «Служба Каталогов». Что бы не путаться что такое  «Служба каталогов»  и «ActiveDirectory» ,  то я напишу так, а вы запомните «навечно».

Служба каталогов ActiveDirectory это программное обеспечение написанное (разработанное) Микрософтом. То есть Мелкософт назвал «службу каталогов» именем «ActiveDirectory». Макинтош назвал свою службу каталогов  —  Open Directory, а Novell  — NDS. Ну, так окрестил свое детище Бил, правда по некоторым историческим данным он сперва хотел назвать «PupkinDirectory»,  но небезызвестный Вася был против (скромный блин). И скажу даже больше –Служба каталогов ActiveDirectory входит в состав таких сетевых операционных системах производства Микрософт как – WindowsServer 2000 и  WindowsServer 2003 и старше.

 

И получается после стелькой трескотни, в двух словах, что Active Directory содержит каталог, в котором хранится информация о наших сетевых ресурсах и службы которые  предоставляющие доступ к этой информации. Ну что то наподобие базы данных с информацией о сетевых ресурсах.

 

И еще хочу добавить такое «философское»  замечание. Почему «философское», да потому что в этой науке больше всего выражений типа «с одной стороны» а потом идет сразу добавление — «а с другой стороны» и в конце вообще не понятно, о какой «стороне»  идет речь вообще.

Так вот Служба каталогов  — это с одной стороны инструмент администрирования, а с другой средство взаимодействия конечного пользователя с системой.

Чем больше разрастается наша сеть, тем больше в ней объектов, которыми необходимо управлять, и тут без внедрения Службы Каталогов —  Active Directory не обойтись, что бы не уподобится Васи.

Характеристики служб Active Directory

 

  • Централизованное хранение данных. Все данные относящиеся к Active Directory хранятся в распределенном репозитарии что предполагает возможность доступа из любого места. Наличие единого репозитария хранилища данных сокращает издержки, связанные с администрированием и дублирование данных. Т есть храня все данные о наших объектах в одном месте (это место и есть каталог Active Directory) то нам и проще администрировать, и проще предоставлять пользователям доступ к ресурсам нашей сети. Можно добавить что появляется одна точка входа (читай регистрируются один раз и все) для пользователей (ПК , приложений) если нам что то нужно в сети.
  • Масштабируемость.  Active Directory позволяет масштабировать каталог (изменять, увеличивать) в соответствии с требованием нашей сети, путем конфигурирования доменов и деревьев, а так же позволяет добавлять новые контролеры доменов, количество объектов в составе одного домена могут исчисляться миллионами. Если другими словами то Active Directory обладает такими механизмами которые позволяют разбить этот репозитарий (читай базу данных) на разделы и при этом не потерять контроль над этой базой из-за ее большого размера,а так же ее централизацию (то есть хранить все в одном месте).
  • Расширяемость. Структура базы данных (схема) Active Directory позволяет вносить в нее специальные типы данных, которых по умолчанию в нее нет. Эти типы данных определяют сами администраторы сети, если они ему так нужны.
  • Управляемость. В отличие от Windows NT в Active Directory построена на иерархической структуре объектов. Такое построение упрощает администрирование разрешений и других настройках безопасности, во -вторых позволяет пользователям найти сетевые ресурсы (папки, файлы, принтеры,…) легче.
  • Интеграция с системой доменных имен DNS. Active Directory обращается в своей работе к DNS. С помощью DNS клиенты определяют местоположение контролеров домена. При использовании собственной службы DNS Active Directory позволяет хранить первичные зоны непосредственно в Active Directory и их репликация среди других контролеров домена.
  • Администрирование на основе политик. Политики в Active Directory определяют что разрешено пользователям и компьютерам в рамках нашей сети (еще говорится сайта — но об этом чуть позже), домена или подразделения.
  • Возможность взаимодействия с другими службами каталогов. Active Directory построена на стандартных протоколах доступа к каталогам. Как понимать это предложение. А так перед тем как обратится к каталогам происходит такой ритуал в котором и обращающий и тот к кому обратился договариваются о способе взаимодействия. Договариваются посредством протоколов. Ну почти как мы посредством языка. Если язык один и тот же и (к примеру русский,то при желании можно договорится). Active Directory общается посредством так названого протокола — облегченный протокол службы каталогов (Lightweight Directory Access Protocol, LDAP). И любая другая служба каталогов которая поддерживает такой протокол может свободно договорится с Active Directory о взаимодействии между ними.

 

В Windows Server 2003 протокол LDAP подписывается и шифруется.

Учитывая все сказанное давайте уточним еще раз что нам дает применение службы каталогов Active Directory:

 

  • Позволяет хранить информацию о всех объектах нашей сети в одном месте, а также предоставляет пользователям и системным администраторам возможность пользоваться этой информацией.
  • Создает удобство в работе пользователей так как необходимо только один раз зарегистрироваться в системе, введя логин и пароль и в зависимости от тех разрешение которые вам прописал системный администратор получаете этот доступ к необходимым ресурсам.
  • Создает удобство в работе администратора так как он получает инструмент который состоит из одной панели управления.
  • Повышает степень безопасности путем определения разрешений на доступ к объектам в зависимости к какой группе или организационной единице принадлежит пользователь, а так же делегирования полномочий с разной степенью допуска системным администраторам.
  • Позволяет так спроектировать структуру Active Directory как нам необходимо исходя из требований нашей конторы.

 

Ну пока думаю что достаточно. Есть пункты которые вам прочитавшие до этого места еще непонятны, и вам представляются только как набор слов. Не расстраиваться, в последующих статьях я с вами все постепенно разберем и то что пока непонятно станет ясно.

Мы уже с вами начали переходить с «фишек» на нормальные термины и понятия которые используются в службе каталогов Active Directory. Но к сожалению то что мы с вами рассмотрели еще не сфффЁ. Давайте перечислим их еще раз, по взрослому, так как эти очень важные понятия а так же добавим новые понятия.

Каталог (directory) — называется совокупность информации об объектах, которые тем или иным способом связаны друг с другом.

Или

Каталог  — это информационный ресурс, используемый для хранения информации о каком-либо объекте или объектах.

Учетная запись пользователя (акаунт) — состоит из имени пользователя (логин) и пароля (пассФВорд) (например pupkin и пароль «d345rtНfa»). Не имея эти данные нельзя войти в сеть или работать на компе. Первый раз при входе в сеть пароль вам сообщит администратор и в зависимости от того как он настроим работу с паролем в Active Directory (мы это рассмотрим позже) вы можете сразу его сменить на ваш пароль который кроме вас никто не знает. Сетевой администратор очень МОГУЩЕСТВЕННЫЙ ЧЕЛОВЕК и он может изменить любые настройки вашей учетной записи, поэтому с ним надо дружит и почитать его…

Служба каталогов (directory service) — сетевая служба, которая идентифицирует все ресурсы сети и делает их доступными пользователям.

Или

Служба каталогов  —  программное обеспечение  в составе сетевой операционной системы, которая хранит всю информацию об объектах сети, и которая позволяет обнаруживать поддерживать и администрировать эти объекты.

Контролер домена — это компьютер на котором установлено Active Directory.

В сети у нас может быть несколько контролеров домена. Все контролеры домена (по умолчанию) в сети равны между собой, то есть нет главного контролера домена и подчерненного (при репликации с несколькими хозяевами). Контролер домена обслуживает только тот домен в котором он находится.

Объект – это самостоятельная единица, которая представляет некий ресурс, существующий в сети. Объекты характеризуются атрибутами.

Контейнер —  Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имен. Однако, в отличие от объекта, контейнерне обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Пожалуй это все что мы постигли из описанного выше. Теперь давайте введем еще и другие термины и понятия которые нам будут необходимы для того что бы понять сердце Windows Server 2003 а именно службу каталога Active Directory.

Еще в Active Directory предусмотрено ряд компонентов, помогающих выстроить структуру каталога в соответствии с нашими потребностями и делятся эти компоненты на логические и  физические компоненты. Рисунок 5.

Рисунок 5.

Логические деление производится на такие компонентами как домены, подразделения (OU organizational unit), деревьями и лесами. Физические делятся на контролеры домена и сайты. Логические и физические компоненты разделены.

Логические структуры

Логическая структура Active Directory по сути представляет собой контейнеры, которые используются для хранения объектов службы каталога (разделов каталога, доменов и лесов) на предприятии. Что бы это понять проще так и представляйте себе некий контейнер в котором хранится все остальное, в том числе и другие контейнеры, ну что то наподобие матрешки.Логическая структура иди группировка позволяет отыскивать сетевые ресурсы по именам, не запоминая их физическое местоположение. Исходя из того что все ресурсы сети группируются по логическому принципу физическая структура сети не видна пользователям. Отношения между доменами, подразделениями и лесами отражено на рисунке 6.

Рисунок 6 

Домены

Домены это базовые элементы, логической структуры службы каталога Active Directory. Устанавливая Active Directory вы хотите этого или нет, сразу создаете домен. Количество объектов входящих в домен может исчисляться миллионами.

Домены — это объединения компьютеров, коллективно управляемых с помощью контроллеров домена, т. е. систем Windows Server 2003, регулирующих доступ к сети, базе данных каталога и общим ресурсам.

Все сетевые объекты (принтеры, общие папки, компы, приложения и т. д…) существуют в границах того или иного домена. Каждый домен хранит информацию только о своем самом себе то есть только о объектах хранящихся в данном домене.

Active Directory может содержать от одного до большого количества доменов. Иногда домены проектируются в зависимости от физического местоположения. То есть к примеру если у нашего предприятия есть центральный офис и еще несколько филиалов к примеру на южном полюсе (где не жарко) и в Бразилии (где много Абизьян) то у нас будут три домена разделенные по физическому (в данном случае географическому) местоположению.

Общие характеристики для всех доменов таковы:

 

  • Все объекты сети существуют в рамках того домена в котором они были включены.
  • Границами домена определяются границы безопасности.

 

Доступ к объектам домена осуществляется в базе так названых «списками управления доступом» (ACL — access control list) в которых содержатся информация о разрешениях на каждый объект домена. Эти разрешения определяют, к примеру, каким пользователям разрешен доступ к конкретному объекту в сети и какие права  каждого пользователя на данный объект.

Все настройки безопасности и политики (о политиках поговорим дальше) распространяются строго в границах домена. У администратора есть неограниченные права  в границах домена.

Домены еще характеризуются режимом работы. Режим работы домена (domain functional level). В Windows 2000 Server он называется режимом домена (domain mode).   Эти режимы работы домена позволяют Active Directory работать с доменами которые созданы в других операционных системах таких как Windows 2000 Server и Windows NT 4. Короче, они, режимы работы домена, созданы для совместной работы и совместимости предыдущих  доменов созданных в  перечисленные операционные системы с  доменами созданные в Active Directory Windows 2003 Server. Рисунок 7.

Рисунок 7.

Режимы работы домена мы можем изменят, но об этом чуть позже. В реальной жизни вам, как системному админу предстоит создать такую структуру домена которая удовлетворяет или должна удовлетворять потребностям вашего предприятия.

 

Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса. Корневой домен является отправной точкой для пространства имен Active Directory. Например, первый домен в организации «рога и копыта» (RK) будет   — rk.com. Первый домен может быть назначенным (dedicated) или неназначенным (non-dedicated) корневым доменом. Назначенный корневой домен, называемый пустым корнем, является пустым доменом-заменителем, предназначенным для запуска Active Directory. Этот домен не будет содержать никаких реальных учетных записей пользователя (группы) и использоваться для назначения доступа к ресурсам. Единственные учетные записи, которые содержатся в назначенном корневом домене — это учетные записи пользователей и групп, заданных по умолчанию, таких как учетная запись Administrator (Администратор) и глобальная группа Domain Admins (Администраторы домена). Неназначенный корневой домен — это домен, в котором создаются учетные записи фактических пользователей и групп. Причины выбора назначенного или неназначенного корневого домена леса обсудим позже.

Остальные домены на предприятии существуют или как равные по положению (peers) по отношению к корневому домену, или как дочерние домены. Равные по положению домены находятся на том же иерархическом уровне, что и корневой домен. На рисунке 6 показана модель доменов. Простите слегка неудачный рисунок 6 но перерисовывать не буду так как и так будет понятно. Домены — «домен1» справа и «домен1» слева равных по положению. А домен — «домен2» и «домен n» дочерние по отношению к вышестоящему домену(домен1 в нашем рисунке) .

Выше мы начали использовать такой термин как «общее пространство имен». Что бы понять проще что такое «общее пространство имен» попробуем привести пример и на основе примера понять этот термин и еще иерархию доменов. И напишем так:

— все домены, устанавливаемые после корневого домена, становятся дочерними доменами. Дочерние домены используют одно и то же «пространство имен» Active Directory совместно с родительским доменом которому админ задает ему его имя (или произвольно или исходя из требований предприятия). Например, если первый домен в организации «рога и копыта» назван rk.com, то дочерний домен в этой структуре, допустим находящимся в Антарктиде может называться antarctida.rk.com. Если организация «рога и копыта»  достаточно большая, то могут потребоваться дополнительные дочерние домены, например, создать отдельный дочерний домен по сбору рогов (что в изобилии в Антарктики у участников различных экспедиций так как жены у них допустим в Европе), тогда мы сохраняя общее пространство имен создаем новый домен roga.arctida.rk.com.  На рисунке 8 показана родительско-дочерняя иерархия домена для организации rk.

Рисунок 8.

Как можно увидеть из рисунка все созданные домены несут в название разделенные точкой, название домена от которого они происходят или «рождены», то есть сохраняется преемственность через использование имени домина от которого они происходит. Поэтому мы говорим что  «общее пространство имен» сохраняется. 

Пространство имен — это область, в которой может быть распознано данное имя (то есть данное имя приобретает какой-то смысл).

Распознавание непосредственно имени состоит в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует. Типичный пример — ведомость зарплаты в которая содержится  пространство имен (фамилий), в которой именам (фамилиям)  сопоставлены соответствующие суммы зарплаты. Файловая система образует пространство имен, в котором каждое  имя файла сопоставлено конкретному файлу.  В семье, допустим все дети Ивана Васильевича будут Васильевичами с сохранением фамилии, допустим Пупкин, что говорит нам что сохраняется  «общее пространство имен»….. Не взирая на «кто папа» на само деле…Гы…Когда одна из дочек выйдет замуж она перейдет в другой домен и пространство имен изменится (это если она возьмет фамилию мужа).

И еще запомните что домены в Active Directory не совсем то же самое что и домены интернета. Так как скажем «интернетовский» домен – поддерево в пространстве доменных имен. Имя домена (в интернете) отражает положение и путь к сетевому устройству в системе DNS, а домен Active Directory это группа компов, подчиненные и управляемые Active Directory.

Подразделения (OU-организационные единицы) 

 

Подразделения  (OU organiziational unit) представляют из себя контейнеры, содержащих в себя как другие контейнеры так и объекты сети. OU служат для создания иерархической структуры в пределах домена или скажем проще для приведения в какой то логический порядок, систематизации объектов сети, то есть скажем еще проще — позволяет разложить все «по полочкам» исходя из необходимости или вернее этот порядок нам нужно привести в соответствии с нашим предприятием (чуть позже это станет еще понятнее).  Подразделения так же позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена, что дает возможность делегировать административные полномочия  в домене другим пользователям или администраторам. До появления Active Directory в теперешнем представлении,  домен был  наименьшей единицей или наименьшим контейнером, которому могли быть назначены административные разрешения.

На рисунке 9 показана гипотетическая компания в России «Рога и Копыта» которая имеет филиал в Антарктиде и занимается отпиливанием и сбором рогов у Антарктидских членов различных экспедиции. Компания родилась из того что рога у членов экспедиции особенно хорошо растут так как они в экспедиции по году и больше, а  жены одни дома и это приносит хорошую прибыль компании. В России, в центральном офисе находятся два подразделения. Первое «Администрация» (ну там директор и секретарши разные) а так же отдел по «сбору информации о женах», для передачи информации сотрудникам из Антарктиды, что бы он не искали и ждали,  а сразу знали у кого из членов различных экспедиций пилить рога, что сразу увеличивает производительность сотрудников (пильщиков рогов) из Антарктиды. В Антарктиде у компании есть такие отделы как производство, который занимается изготовлением из рогов художественных подделок. Производство основана в Антарктике потому что вес подделок меньше чем вес рогов непосредственно что уменьшает транспортные расходы. Также там находится художественный отдел, занимающийся разработкой новых форм изделий а также отдел бухгалтерии ведущий счет спиленным рогам и конечного продукта, и отдел непосредственно пильщиков рогов.  Вам как администратору сети необходимо было создать адекватную структуру подразделений (OU) которая соответствовало потребностям конторы «Рога и Копыта». И в конечном счете вы создали такую структуру подразделений (OU) которое по вашему мнению соответствует и отвечает требованиям конторы. Рисунок 9.

Рисунок 9

Здесь мы не будем обсуждать правильно или нет вы создали свои OU а просто показали что в OU «Антарктида» входят два OU «Производство»   и «Художественный». А соответственно в OU «Производство» входит OU «Бухгалтерия», а в OU «Художественный» OU «Отпильщики Рогов».  То есть можно говорит что одни OU вложены в другие. Что касается правильного построения логики Active Directory содержащих эти OU, с учетом нашей компании, то мы поговорим отдельно и исправим ошибки.

 

Так как подразделение или OU -организационные единицы  являются контейнерами, то естественно в него можно помещать и другие  объекты. Эти объекты которые можно поместить в контейнере «подразделение» (OU), следующие:

 

  • компьютеры;
  • контакты;
  • группы;
  • принтеры;
  • пользователи;
  • общедоступные папки;
  • организационные единицы.

 

Подразделение или организационные единицы OU используются для группировки объектов в административных целях (ну что бы нам было понятнее, а главное удобнее работать). Они могут делегировать (передавать) административные права и управлять группой объектов как отдельным подразделением.

 

Например, мы можем передать пользователю или другому помощнику сетевого администратора  права на выполнение административных задач в определенной OU. Это могут быть права высокого уровня, когда пользователь имеет полный контроль над подразделением, или очень ограниченные и специфические (например, только возможность сбрасывания паролей пользователей в этом подразделении). Пользователь, который имеет административные права на доступ к организационной единице, по умолчанию не имеет никаких административных прав вне этой OU.

Организационные единицы позволяют создать гибкую структуру назначения прав на доступ к объектам внутри OU. Прав на доступ к объектам называются «разрешениями«. Сама организационная единица OU имеет список управления доступом (ACL — Access Control List), в котором можно назначать права на доступ к этой OU. Каждый объект в OU и каждый атрибут объекта имеет ACL-список. Это означает, что вы можете очень точно контролировать административные права, данные кому-либо в этом подразделении. Например, вы можете дать группе «AdvansUser» (Продвинутые Пользователи) право изменять пароли пользователей в этой OU, не при этом не изменяя любые другие свойства учетных записей пользователя если даже они захотят этого сделать. Можно дать отделу Human Resources (Отдел кадров) право изменять личную информацию, касающуюся любой учетной записи пользователя в любом OU, но не давать им никаких прав на другие объекты.

 

Еще одной важной функцией OU является объединение объектов в группы так, чтобы этими объектами можно было одинаково управлять. К примеру  группировка объектов в административных целях является ситуация, когда пользователи нуждается в одинаковой стандартной конфигурации рабочего стола компьютера и одинаковом наборе приложений. В этом случае пользователи объединяются в одну OU, и используется групповая политика (group policy) для конфигурирования рабочего стола и управления инсталляцией приложений. Не пугайтесь раньше времени, если пока что не понятно, мы все это обсудим позже.

Деревья

Если несколько доменов используют общие пространство имен Active Directory то в таком случае говорится о дереве Active Directory.

Деревом (tree) называется группировка или иерархическая структура одного или нескольких доменов использующая общие пространство имен Active Directory.

Формируется дерево путем введения нескольких дочерних доменов в состав родительского или корневого домена. Рисунок 10.

 

Рисунок 10.

Иерархичность структуры имен как вы видите из рисунка 10 сохраняется путем добавление нового имени в иерархии имен путем разделения от корневого имени через точку. Если у нас корневой домен rk.com то дочерние домены второго уровня в данном случае (только в данном) сохраняют общие пространство имени и добавляют новое имя через точку. У нас домены второго уровня по отношению к корневому домену rk.com будут дочерние доменыarctida.rk.com и office.rk.com. А домен третьего уровня в нашей иерархии с соблюдением пространства имен будет домен roga.arctida.rk.com. Повторяюсь — уровни доменов в данном случае взяты по отношению к корневому доменуrk.com. Когда поговорим о DNS то тогда станет понятнее иерархия доменов вообще. А пока мы берем за отсчет корневой домен. Но тем не менее должен сказать что все имена формируются согласно стандарту DNS и согласно этому стандарту доменное имя дочернего домена формируется как относительное имя разделенная точкой от родительского домена.

Создание в рамках дерева иерархической структуры позволяет нам поддерживать на должном уровне безопасность и выполнять административные функции по управлению доменов в масштабе как подразделения как и отдельного домена входящий в дерево. Дерево легко подается модификации. То есть если наша фирма изменила как — то свою структуру или допустим расширилась то мы легко можем внести соответствующие изменения в структуре дерева.

Леса

Лесом (forest) — называют несколько деревьев принадлежащих одному предприятию или фирме, или сформулируем более академически.

Лесом — называется группировка или иерархическая система, состоящая из одного или нескольких полностью независимых друг от друга деревьев доменов.

После того как мы уже знаем что такое дерево можем понять такое выражение. Имена в иерархии имен DNS бывают (а именно DNS определяет стандарт имен) бывают  смежными (contiguous) или несмежными (discontiguous). То есть если мы имеем дерево то имена смежные и прорастают от одного корня (родителя). Если лес то имена несмежные. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory.

Перечислим характеристики леса.

 

  • Все домены в составе леса построены на основе общей схемы. (Слово «схема» пока понимайте как построены одинаково т.е. по умолчанию, к понятию схема мы вернемся потом, пока оставим ее в покое что бы не запутается окончательно).
  • Общая конфигурация доверительных отношений. Все домены в лесу автоматически сконфигурированы так, чтобы доверять всем другим доменам леса. Более подробно о доверительных отношениях чуть позже. Все домены леса связаны неявными двухсторонними транзитивными отношениями.
  • Структура имен деревьев леса различаются в соответствие с доменами.
  • Домены в составе леса функционируют независимо друг от друга, но в то же время лес позволяет обменивается информацией между любыми доменами (в независимо от дерева в котором он состоит) в пределах всей организации которой принадлежит лес.

 

Пример леса на рисунке 11. Пусть наша фирма или предприятие «Рога и Копыта» разбогатела и приобрела фирму «Хвосты и Уши» у которой было сове дерево доменов. Что бы не ломать дерево администраторы решили новое дерево ввести в состав леса. И теперь у предприятия «Рога и копыта» лес состоящий из двух деревьев с родительскими доменами rk.com и xu.com

Рисунок 11.

Там на рисунке написано репликация. Привыкайте к этому слову, потом о нем поговорим.

Теперь как и в случае с доменом лес так же имеет свои режимы работы. Это связано с тем что бы обеспечит совместимость между различными Active Directory от прошлых сетевых операционных систем такие как NT4, 2000 и 2003. Режимы работы представлены на рисунке 12.

Рисунок 12.

About the Author:

Комментарии:

Оставить комментарий