Tw-city.info

IT Новости
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Active directory леса и домены

Active Directory простыми словами (База)

Чем поможет Active Directory специалистам?

приведу небольшой список «вкусняшек», которые можно получить развернув Active Directory:

  • единая база регистрации пользователей, которая хранится централизованно на одном либо нескольких серверах; таким образом, при появлении нового сотрудника в офисе вам нужно будет всего лишь завести ему учетную запись на сервере и указать, на какие рабочие станции он сможет получать доступ;
  • поскольку все ресурсы домена индексируются, это дает возможность простого и быстрого поиска для пользователей; например, если нужно найти цветной принтер в отделе;
  • совокупность применения разрешений NTFS, групповых политик и делегирования управления позволит вам тонко настроить и распределить права между участниками домена;
  • перемещаемые профили пользователей дают возможность хранить важную информацию и настройки конфигурации на сервере; фактически, если пользователь, обладающий перемещаемым профилем в домене, сядет работать за другой компьютер и введет свои имя пользователя и пароль, он увидит свой рабочий стол с привычными ему настройками;
  • с помощью групповых политик вы можете изменять настройки операционных систем пользователей, от разрешения пользователю устанавливать обои на рабочем столе до настроек безопасности, а также распространять по сети программное обеспечение, например, Volume Shadow Copy client и т. п.;
  • многие программы (прокси-серверы, серверы баз данныхи др.) не только производства Microsoft на сегодняшний день научились использовать доменную аутентификацию, таким образом, вам не придется создавать еще одну базу данных пользователей, а можно будет использовать уже существующую;
  • использование Remote Installation Services облегчает установку систем на рабочие места, но, в свою очередь, работает только при внедренной службе каталогов.

И Это далеко не полный список возможностей, но об этом позже. Сейчас я постараюсь расскажу саму логику построения Active Directory, но опять стоит выяснить из чего-же из чего-же сделаны наши мальчишьки строится Active Directory — это Домены, Деревья, Леса, Организационные единицы, Группы пользователей и компьютеров.

Домены — Это основная логическая единица построения. В сравнении с рабочими группами домены AD – это группы безопасности, имеющие единую базу регистрации, тогда как рабочие группы – это всего лишь логическое объединение машин. AD использует для именования и службы поиска DNS (Domain Name Server – сервер имен домена), а не WINS (Windows Internet Name Service – сервис имен Internet), как это было в ранних версиях NT. Таким образом, имена компьютеров в домене имеют вид, например, buh.work.com, где buh – имя компьютера в домене work.com (хотя это не всегда так).

Деревья — Это многодоменные структуры. Корнем такой структуры является главный домен, для которого вы создаете дочерние. Фактически Active Directory использует иерархическую систему построения, аналогичную структуре доменов в DNS.

Деревья как логическое построение используются, когда вам нужно разделить филиалы компании, например, по географическим признакам, либо из каких-то других организационных соображений.

AD помогает автоматически создавать доверительные отношения между каждым доменом и его дочерними доменами.

Таким образом, создание домена first.work.com ведет к автоматической организации двухсторонних доверительных отношений между родительским work.com и дочерним first.work.com (аналогично и для second.work.com). Поэтому с родительского домена могут применяться разрешения для дочернего, и наоборот. Нетрудно предположить, что и для дочерних доменов будут существовать доверительные отношения.

Еще одно свойство доверительных отношений – транзитивность. Получаем – для домена net.first.work.com создаются доверительные отношения с доменом work.com.

Лес — Так-же как и деревья это многодоменные структуры. Но лес – это объединение деревьев, имеющих разные корневые домены.

Предположим, вы решили иметь несколько доменов с именами work.com и home.net и создать для них дочерние домены, но из-за того, что tld (top level domain) не в вашем управлении, в этом случае вы можете организовать лес, выбрав один из доменов первого уровня корневым. Вся прелесть создания леса в этом случае – двухсторонние доверительные отношения между двумя этими доменами и их дочерними доменами.

Однако при работе с лесами и деревьями необходимо помнить следующее:

  • нельзя добавить в дерево уже существующий домен
  • нельзя включить в лес уже существующее дерево
  • если домены помещены в лес, их невозможно переместить в другой лес
  • нельзя удалить домен, имеющий дочерние домены

Организационные единицы — впринципе можно назвать субдоменами. позволяют группировать в домене учетные записи пользователей, группы пользователей, компьютеры, разделяемые ресурсы, принтеры и другие OU (Организационные единицы). Практическая польза от их применения состоит в возможности делегирования прав для администрирования этих единиц.

Попросту говоря, Можно назначить администратора в домене, который сможет управлять OU, но не иметь прав для администрирования всего домена.

Важной особенностью OU в отличие от групп является возможность применения к ним групповых политик. «А почему нельзя разбить исходный домен на несколько доменов вместо использования OU?» – спросите вы.

Многие специалисты советуют иметь по возможности один домен. Причина этому – децентрализация администрирования при создании дополнительного домена, так как администраторы каждого такого домена получают неограниченный контроль (напомню, что при делегировании прав администраторам OU можно ограничивать их функционал).

В дополнение к этому для создания нового домена (даже дочернего) нужен будет еще один контроллер. Если же у вас есть два обособленных подразделения, соединенных медленным каналом связи, могут возникнуть проблемы с репликацией. В этом случае более уместным будет иметь два домена.

Также существует еще один нюанс применения групповых политик: политики, в которых определены настройки паролей и блокировки учетных записей могут применяться только для доменов. Для OU эти настройки политик игнорируются.

Сайты — Это способ физического разделения службы каталогов. По определению сайт – это группа компьютеров, соединенных быстрыми каналами передачи данных.

Такое разбиение AD не влияет на принципы логического построения, поэтому как сайт может содержать в себе несколько доменов, так и наоборот, домен может содержать несколько сайтов. Но такая топология службы каталогов таит в себе подвох. Как правило, для связи с филиалами используется Интернет – очень небезопасная среда. Многие компании используют средства защиты, например, брандмауэры. Служба каталогов в своей работе использует около полутора десятков портов и служб, открытие которых для прохождения трафика AD через брандмауэр, фактически выставит ее «наружу». Решением проблемы является использование технологии туннелирования, а также наличие в каждом сайте контроллера домена для ускорения обработки запросов клиентов AD.

Представлена логика вложенности составляющих службы каталогов. Видно, что лес содержит два дерева доменов, в которых корневой домен дерева, в свою очередь, может содержать OU и группы объектов, а также иметь дочерние домены (в данном случае их по одному у каждого). Дочерние домены также могут содержать группы объектов и OU и иметь дочерние домены (на рисунке их нет). И так далее. Напомню, что OU могут содержать OU, объекты и группы объектов, а группы могут содержать другие группы.

Группы пользователей и компьютеров — используются для административных целей и имеют такой же смысл, как и при использовании на локальных машинах в сети. В отличие от OU, к группам нельзя применять групповые политики, но для них можно делегировать управление. В рамках схемы Active Directory выделяют два вида групп: группы безопасности (применяются для разграничения прав доступа к объектам сети) и группы распространения (применяются в основном для рассылки почтовых сообщений, например, в сервере Microsoft Exchange Server).

Читать еще:  Контроллер домена 2020 поддержка ос

Они подразделяются по области действия:

  • универсальные группы могут включать в себя пользователей в рамках леса, а также другие универсальные группы или глобальные группы любого домена в лесу
  • глобальные группы домена могут включать в себя пользователей домена и другие глобальные группы этого же домена
  • локальные группы домена используются для разграничения прав доступа, могут включать в себя пользователей домена, а также универсальные группы и глобальные группы любого домена в лесу
  • локальные группы компьютеров – группы, которые содержит SAM (security account manager) локальной машины. Область их распространения ограничивается только данной машиной, но они могут включать в себя локальные группы домена, в котором находится компьютер, а также универсальные и глобальные группы своего домена или другого, которому они доверяют. Например, вы можете включить пользователя из доменной локальной группы Users в группу Administrators локальной машины, тем самым дав ему права администратора, но только для этого компьютера

Active Directory: леса и домены

Лес Active Directory определяет набор одного или нескольких доменов, использующих одни и те же схему, конфигурацию и глобальный каталог. Кроме этого, все домены участвуют в двусторонних транзитивных отношениях доверия. Обратим внимание на термины, которые используются в определении леса.

  • Домен — домен предоставляет способ организации и защиты объектов, например, пользователей и компьютеров, которые являются частью одного пространства имен. Например, windata.ru и ebay.com являются доменами. Компьютеры в каждом домене используют одинаковую конфигурацию домена и могут являться объектом применения политик и ограничений, устанавливаемых администратором домена. Использование доменов позволяет упростить обеспечение безопасности в масштабе предприятия.
  • Схема — схема Active Directory используется совместно всеми доменами в пределах леса. Схема это конфигурационная информация, которая управляет структурой и содержимым каталога.
  • Конфигурация — конфигурация определяет логическую структуру леса, например, число и конфигурацию сайтов в пределах леса.
  • Глобальный каталог — глобальный каталог можно воспринимать в виде справочника для леса. Глобальный каталог содержит информацию о всех объектах леса включая информацию о расположении объектов. Кроме этого, глобальный каталог содержит информацию о членстве в универсальных группах.
  • Доверие — доверие предоставляет различным доменам возможность работать вместе. Без доверия домены работают как отдельные сущности, то есть пользователи из домена A не смогут получать доступ к ресурсам в домене B. Если отношение доверия устанавливается между доменами таким образом, что домен B доверяет домену A, то пользователи домена A смогут получать доступ к ресурсам домена B, если у них есть соответствующие разрешения.

Существует три основных типа отношений доверия.

  • Транзитивные — транзитивные отношения доверия создаются автоматически между доменами одного леса. Они позволяют пользователям любого домена потенциально получать доступ к ресурсам любого другого домена этого леса, если у пользователей есть соответствующие права доступа.
  • Shortcut — это отношение доверия между доменами одного леса, которые уже имеют транзитивное отношение доверия. Такое отношение доверия предоставляет более быструю аутентификацию и проверку доступа к ресурсам между несоседними доменами леса.
  • Внешние — внешние отношения доверия позволяют доменам из различных лесов совместно использовать ресурсы. Такие отношения доверия не являются транзитивными, то есть они относятся только к тем доменам, для которых они создавались.

Выяснив значение базовых терминов, рассмотрим пример леса. Далее представлен единый лес, который содержит два дерева доменов.

На рисунке показаны четыре домена aw.net, west.aw.net, east.aw.net и person.net. Домены aw.net, west.aw.net и east.aw.net находятся в одном дереве доменов, так как они используют одно пространство имен (aw.net).

Домен person.net находится в другом дереве, так как он не является частью пространства имен aw.net. Обратите внимание, что в пределах домена east.aw.net (который не подписан) показаны символы OU. OU – это организационные подразделения (organizational units), которые будут рассматриваться в очередной статье.

Стрелки на рисунке представляют транзитивные отношения доверия, которые автоматически создаются при первоначальной настройке доменов в пределах леса. Обратите внимание, что дочерние домены (east и west) домена aw.net не связаны непосредственно с доменом person.net. Несмотря на это они доверяют домену person.net.

Причиной доверия является доверие дочерних доменов домену aw.net. Так как домен aw.net доверяет домену person.net, дочерние домены aw.net тоже доверяют домену person.net. Зная это, можно представить домены Active Directory в виде маленьких детей. Они безоговорочно верят всему, что говорят родители. Если родитель сообщает, что другому домену можно доверять, значит это именно так и есть.

Но разница между детьми и дочерними доменами заключается в том, что дочерние домены всегда соглашаются и не задают вопросов родителю.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Службы каталогов. Часть 3 — Структура Active Directory

Службы каталогов. Часть 3 — Структура Active Directory

  • Автор: Уваров А.С.
  • 25.10.2011

Active Directory, пожалуй, самая распространенная и популярная на сегодня служба каталогов. Мы решили немного отступить от обычного формата изложения материала об AD и простым, понятным языком рассказать о довольно сложных вещах, намеренно упростив некоторые моменты. На начальном этапе гораздо важнее иметь цельное представление о предмете и на этом фундаменте углублять свои знания, чем пытаться разобраться в каше из малопонятных вещей.

Active Directory — сложный программный продукт, способный удовлетворить потребности как небольших фирм, так и крупных корпораций, и кажущаяся простота освоения не должна создавать ложного впечатления, что изучение продукта можно ограничить «методом научного тыка» а возникающие проблемы решать по мере их поступления.

Да, AD имеет низкий порог вхождения, что позволяет за полчаса методом Next -> Next -> Finish получить вполне работоспособный результат не имея никаких специфических знаний в данной области. Многие материалы для начинающих освещают именно практическую сторону развертывания AD, оставляя без внимания более общие и сложные вещи, как не нужные на данном этапе. Возможно это так, администратору небольшой фирмы нет дела до лесов и доменных деревьев, но по мере роста IT-инфраструктуры эти вопросы появятся на повестке дня и окажется что текущая схема каталога, построенная по принципу «что вижу, о том и пою», не позволяет «малой кровью» провести необходимые изменения и в ряде случаев бывает проще создать инфраструктуру заново.

Поэтому мы считаем, что структуре AD следует уделить самое пристальное внимание и уже с учетом полученных знаний подходить к проектированию службы каталогов на вашем предприятии, ведь видя картину в целом окажется что дремучий лес не настолько уж и дремуч, а решения будут учитывать как текущие, так и будущие задачи с пониманием зачем и почему нужно делать именно так, а не иначе.

Высшим уровнем логической иерархии службы каталогов является лес, лесом называется полностью самостоятельная организации Active Directory, имеющая определенный набор атрибутов и являющаяся периметром безопасности организации. В состав леса могут входить как один, так и несколько доменов. Все объекты создаваемые внутри леса имеют общий набор атрибутов, например объект пользователя содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и т.д., изменяя этот набор мы меняем его для всех объектов леса. Этот набор называется схемой AD, которая описывает все объекты которые мы можем создать и их структуру, схема общая для всего леса.

Читать еще:  Установка второго контроллера домена

Чаще всего в пределах одной организации достаточно одного леса, создание схемы с несколькими лесами может понадобиться когда в состав фирмы входят организации имеющие низкий уровень доверия между собой и имеющие абсолютно различные направления деятельности, в каждой из которых свой IT-персонал и своя инфраструктура. Это позволяет надежно изолировать организации друг от друга, оставляя свободу действий внутри каждой из них.

Основой структуры каталога является домен, это административная единица внутри которой действуют свои правила и политики, домен представляет собой еще одну границу безопасности и репликации. Если границу леса можно сравнить с государственной границей, то границы домена представляют границы административных единиц, любой пользователь любого домена может получить доступ к любому объекту другого домена если, конечно, имеет на это права. Репликация (синхронизация каталога между контроллерами домена) также ограничена границами домена, это значит что записи об объектах этого домена будут храниться только в его пределах и не будут доступны администратору другого домена. Это позволяет разграничить полномочия IT-персонала: каждый отдел отвечает за свой домен и ошибки администратора одного из доменов не приведут к выходу из строя всей сети.

Рассмотрим схему AD гипотетической организации. Сначала, когда фирма была небольшая в лесу существовал единственный домен domain.org, который содержал в себе все объекты предприятия: пользователей, группы, сервера, компьютеры, ресурсы.

Постепенно фирма развивается и возникает необходимость выделить отдельно региональные подразделения, допустим российское и украинское, текущее подразделение будет выполнять административные функции и также должно управляться отдельно. Нет проблем, создаем еще два домена: ru.domain.org и ua.domain.org, которые имеют с корневым доменом общее пространство имен, получившая схема носит название дерева доменов. В свою очередь в пространстве имен региональных доменов можно создать домены для более мелких подразделений, например spb.ru.domain.org.

Следует запомнить одну важную вещь: все домены в лесу равноправны и автономны, вне зависимости от их положения в дереве. Это значит, что домены вида ru.domain.org, хоть и входят в адресное пространство domain.org, никоим образом от него не зависят, никаких настроек и политик не наследуют и администраторы корневого домена не имеют доступа к управлению поддоменами.

Что дает выделение подразделений в отдельные домены? Прежде всего безопасность, пользователи имеют доступ только к ресурсам своего домена, учетные записи хранятся только на «своих» контроллерах, администраторы могут настраивать политики не оглядываясь на другие отделы и подразделения и, в тоже время, не опасаясь что неудачные эксперименты другого IT-отдела приведут к неработоспособности сети.

Со временем в организации появляется подразделение не связанное с основным видом деятельности, например своя транспортная компания или служба техподдержки, которая обслуживает как предприятие, так и сторонних клиентов. Для нее создается отдельный домен в отдельном пространстве имен office.com, точно также мы можем выделить в отдельный домен некую структурную единицу данного подразделения, например ou.office.com. Таким образом мы создадим новое дерево доменов в текущем лесу.

Почему новое дерево? Просто так удобнее, иной вид деятельности, иное пространство имен. Как мы уже говорили, расположение домена в лесу никак не влияет на его настройки и взаимодействие с другими доменами, поэтому строить одно разветвленное дерево доменов или несколько отдельных вопрос сугубо организационный, обычно структура дерева повторяет структуру компании.

Разобравшись с доменами, перейдем к более глобальным вещам, а именно к глобальному каталогу. Глобальный каталог предназначен для обработки запросов информацией о которых не обладает контроллер домена, например при обращении к ресурсам другого домена или универсальным ресурсам. Глобальный каталог содержит полную копию объектов своего домена и частичную копию объектов всех остальных доменов, какие именно атрибуты объектов включаются в глобальный каталог определяется схемой AD.

Одна из основных функций глобального каталога — поиск объектов, позволяя производить поиск в рамках леса максимально быстро и с минимальным трафиком. Допустим пользователь Иванов Иван из домена office.com ищет компьютер sales1 входящий в домен ua.domain.org, при обычном поиске пришлось бы последовательно опрашивать контроллеры доменов, пока один из них не вернул бы необходимую информацию, реально достаточно одного запроса к глобальному каталогу.

Вторая роль глобального каталога — проверка подлинности пользователя при входе, если контроллер домена не располагает сведениями об учетной записи, например при входе в систему физически находясь в другом домене. Реально глобальный каталог используется при любом входе пользователя в домен и при его недоступности вход будет невозможен.

Почему? Потому что глобальный каталог хранит сведения об универсальных группах, в которые могут входить любые учетные записи леса и разрешения которым могут быть назначены для любого домена. Это важно для работы таких сервисов как Exchange, который при отказе глобального каталога просто перестанет работать. Глобальным каталогом может быть любой контроллер домена или несколько, рекомендуется иметь, как минимум один глобальный каталог в каждом домене, это позволяет снизить трафик между доменами и повысить отказоустойчивость и автономность доменов (пропала связь, отказал сервер и т.д. и т.п.)

Кроме глобального каталога существуют роли называемые мастерами (хозяевами) операций, которые отслеживают уникальность критически важных объектов AD. Например, сразу два администратора решат создать домены с одинаковым именем или внести изменения в схему. Поэтому в каждом лесу существует только один контроллер с ролью хозяина операций и при его недоступности соответствующие действия будут невозможны. Всего существует пять ролей FSMO (flexible single master operation): две для леса и три для каждого домена, сейчас мы не будем их подробно рассматривать, это тематика отдельной статьи, просто коротко перечислим выполняемые ими функции:

  • Хозяин именования домена — отслеживает уникальность имен доменов в лесу.
  • Хозяин схемы — здесь также все понятно из названия.
  • Хозяин инфраструктуры — обеспечивает информацию об объектах другого домена в локальных группах своего домена.
  • Хозяин RID — осуществляет выдачу уникальных идентификаторов безопасности (SID), да это те самые записи вида S-1-5-21-165875785-1005667432-441284377-1023.
  • Эмулятор PDC — нужен в первую очередь для клиентов ниже Windows 2000, отслеживает блокировки пользователей при ошибках паролей и является эталоном времени домена.

Хозяин именования домена и хозяин схемы одни на весь лес, остальные роли FSMO приходятся по одной на каждый домен. Отказ ролей FSMO не приводит к неработоспособности домена, однако делает невозможным многие операции, фактически переводя домен в режим «только чтение».

На этом мы закончим наш сегодняшний рассказ. Несмотря на то, что затронутая тема весьма обширна, для понимания структуры приведенных знаний вполне достаточно и, на наш взгляд, не стоит излишне усложнять начальную модель. Более подробно об элементах AD мы поговорим позже, когда будем рассматривать конкретные решения.

Дерево в лесу, а лес в глобальном каталоге AD

Освоить реализованный в Windows 2000 глобальный каталог (Global Catalog, GC) для Active Directory (AD) не так-то просто, поскольку он служит сразу нескольким целям, имеет множество свойств и способен содержать различные виды данных. Чтобы научиться работать с ним, прежде всего нужно понять, что такое «лес» (forest). Лес представляет собой набор из одного или нескольких деревьев AD, которые уравнены в правах и связаны двухсторонними доверительными отношениями с корневыми доменами каждого из деревьев. Все деревья одного леса имеют общую схему данных, настройку и глобальный каталог.

Читать еще:  Wordpad как сделать альбомный лист

Каждый контроллер домена хранит в лесу три крупных раздела каталога, в которые можно вносить изменения.

 Раздел каталога домена (Domain directory partition). Многим знакома консоль AD Users and Computers Tool. Эта MMC-консоль как раз и работает с разделом каталога домена, который обычно включает в себя компьютеры, группы и прочие объекты, относящиеся к конкретному домену Windows 2000.

 Раздел каталога схемы (Schema directory partition). Этот раздел содержит контейнер Schema, в котором хранятся определения классов и атрибутов для всевозможных существующих и несуществующих на данный момент объектов AD. Его можно внимательно исследовать с помощью редактора AD Schema Editor.

 Раздел каталога настройки (Configuration directory partition). В этом разделе хранятся объекты для настройки всего леса — например, информация о сайтах, службах и разделах каталогов. Для просмотра содержимого контейнера Configuration следует воспользоваться редактором Интерфейса служб AD (Active Directory Services Interfaces Edit, ADSI Edit), который входит в набор средств поддержки (Support Tools) Windows 2000.

В Windows 2000 в роли сервера глобального каталога выступает контроллер домена, хранящий все три изменяемых раздела, а также частичные копии (но только для чтения) всех остальных разделов каталога домена, входящих в лес. Дополнительные разделы каталога не хранятся целиком, поскольку они, хотя и содержат все объекты каталога, имеют весьма ограниченный набор атрибутов этих объектов. Глобальный каталог автоматически создается службой репликации AD. При этом первый контроллер домена в лесу автоматически назначается сервером глобального каталога. При необходимости сервером глобального каталога мог быть назначен любой из доменов. Сервер настраивается на вкладке AD Sites and Services окна свойств NTDS Settings.

Все три раздела каталога размещаются на сервере глобального каталога в единой базе данных ntds.dit вне зависимости от того, являются они полными или частичными разделами. Для атрибутов глобального каталога не требуется отдельное хранилище, поскольку глобальный каталог воспринимает их как дополнительную информацию из базы данных контроллера домена. При добавлении в лес нового домена AD автоматически сохраняет информацию о нем в разделе каталога настройки, который поступает на сервер глобального каталога (и на все остальные контроллеры домена) при очередной репликации информации всего леса.

Поскольку глобальный каталог хранит каждый объект леса, разработчики могут использовать этот каталог для поиска любого объекта без обращения к разным серверам. Например, при запросе домена, компьютера или IP-адреса на порт 389 (порт по умолчанию протокола LDAP) поиск выполняется только в одном разделе каталога домена. Если в этом разделе каталога (а также в разделах каталога схемы и настройки) объект найти не удается, запрос переадресуется наиболее подходящему домену, который может содержать запрашиваемый объект. LDAP-вызов может занять довольно длительное время.

При запросе на порт 3268 (порт глобального каталога по умолчанию) поиск проводится по всем разделам каталога леса. Другими словами, запрос обрабатывает сервер глобального каталога. Поиск в глобальном каталоге может дать искомый результат об объектах из любого домена без необходимости обращения к серверу соответствующего домена. Это очень важно для разработчиков, которые работают с лесами AD, разбросанными по всему миру.

Тим Хакэби — Разработчик программ и президент InterKnowlogy. Работал в Microsoft в группе разработки Site Server 3.0 . Является соавтором нескольких книг, в том числе «Beginning Site Server» (Wrox), часто выступает на конференциях. С ним можно связаться по адресу: timehuck@interknowlogy.com.

Поделитесь материалом с коллегами и друзьями

Active Directory. Структура хранилища

У многих, кто впервые сталкивается с Active Directory возникает вопрос “что это такое”. Ответим на этот вопрос, а также разберемся с терминологией и структурой хранилища.

Терминология

Компьютер, выполняющий одну или несколько ролей в домене.

Сервер, на котором расположен каталог. Задача контроллера — обслуживание запросов пользователей к каталогу. Также, контроллер домена может выступать в качестве одной из FSMO-ролей (Владелец схемы, владелец доменных имен и прочее)

Минимальная структурная единица Active Directory (состоит из пользователей, принтеров, компьютеров и прочих ресурсов)

Иерархическая система доменов с единым корнем — корневой домен.

Множество деревьев доменов, находящихся в различной форме доверительных отношений.

Что же такое AD?

Зачастую технология Active Directory используется системными администраторами для хранения и организации объектов сети в защищенную логическую иерархическую структуру, например, пользователей, принтеров, компьютеров, внешних хранилищ и прочих ресурсов.

Домены и леса — основа логической структуры. Для обеспечения независимости данных и сервисов (но не их изоляция), а также оптимизации и репликации, домены можно структурировать в деревья, а затем и в леса. Разделение логических структур от физических может улучшить управляемость системы, снизив затраты на администрирование. Это связано с тем, что на изменения в физическом устройстве не влияют на логическую структуру. В свою очередь, логическая структура используется для контроля к блокам данных.

Хранимые в AD данные могут поступать из различных источников. Для поддержания целостности хранящейся информации, большое количество различных источников данных, а также множество их различных типов, требуют от Active Directory использования некого стандартизированного механизма хранения.

Для хранения информации, объекты в AD используют каталоги. Все объекты определены в схеме. Определения объектов содержат информацию, такую как тип данных и синтаксис. Данную информацию использует каталог, чтобы гарантировать достоверность хранения. Данные сохраняются в каталоге только после определения в схеме. По умолчанию, схема содержит все определения и описания объектов, необходимые для корректной работы AD.

При доступе к каталогу через логическую структуру, состоящую из доменов и леса, реализация каталога происходит через физическую структуру, которая состоит из базы данных. База данных хранится на всех контроллерах домена леса.

Хранилище AD обрабатывает весь доступ к базе данных. В свою очередь, хранилище данных состоит из физических файлов и служб, которые управляют правами доступа, процессами чтения и записи данных внутри БД на жестком диске каждого контроллера.

Архитектура хранилища и структура Active Directory

Домены и леса

Организационные единицы (OU — Organization Unit), домены и леса являются основными элементами логической структуры AD. Лес определяет единый каталог и обозначает границу безопасности. Домены входят в состав Лесов.

DNS

DNS применяется для разрешения имен в иерархической архитектуре, которую использует AD.

СХЕМА (SCHEMA)

Схема содержит определения объектов, которые используются для их создания, хранящихся в каталоге.

ХРАНИЛИЩЕ ДАННЫХ (DATA STORE)

Хранилище данных является частью каталога, который управляет хранением и извлечением данных на каждом контроллере домена.

Более подробно вы можете ознакомиться с материалами на официальном сайте.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×