3.5. Основні концепції Active Directory
Active Directory – LDAP-сумісна реалізація інтелектуальної служби каталогів корпорації
Microsoft для операційних систем родини Windows NT. Active Directory дозволяє
адміністраторам використовувати групові політики (GPO) для забезпечення
подібного налаштування користувацького робочого середовища, розгортати ПЗ на
великій кількості комп’ютерів (через групові політики або за допомогою
Microsoft Systems Management Server 2003 (або System Center Configuration
Manager)), встановлювати оновлення ОС, прикладного та серверного ПЗ на всіх
комп’ютерах у мережі (із використанням Windows Server Update Services (WSUS);
Software Update Services (SUS) раніше). Active Directory зберігає дані і
налаштування середовища в централізованій базі даних. Мережі Active Directory
можуть бути різного розміру: від кількох сотень до кількох мільйонів об’єктів.
Презентація Active Directory відбулась в 1999
році, продукт був вперше випущений із Windows 2000 Server, а потім був
модифікований і покращений при випуску спочатку Windows Server 2003, а потім
Windows Server 2003 R2.
На відміну від версій Windows до Windows 2000,
котрі використовували в основному протокол NetBIOS для мережевої взаємодії,
служба Active Directory інтегрована з DNS та TCP/IP. DNS-сервер, що обслуговує
Active Directory, має бути сумісним з BIND версії 8.1.2 або пізнішої, сервер
має підтримувати записи типу SRV (RFC 2052) та протокол динамічних оновлень
(RFC 2136).
Структура
Об’єкти
Active Directory (AD) має ієрархічну структуру, що
складається з об’єктів. Об’єкти
поділяються на три основні категорії:
ü ресурси
(наприклад, принтери);
ü служби
(наприклад, електронна пошта);
ü люди (облікові записи користувачів і груп користувачів).
Active Directory виконує наступні функції:
ü надає інформацію
про об’єкти;
ü дозволяє
організовувати об’єкти;
ü дозволяє керувати
доступом до об’єктів;
ü встановлює
правила безпеки.
Об’єкти представляють собою окремі сутності
(користувача, комп’ютер, принтер, програму або спільну мережеву папку) і їх
атрибути. Об’єкти також можуть бути контейнерами для інших об’єктів. Об’єкт
унікально ідентифікується своїм ім’ям і має набір атрибутів:
ü характеристик;
ü даних, які об’єкт
може містити.
Дані, які об’єкт може містити, у свою чергу,
залежать від типу об’єкта. Атрибути є складовою базової структури об’єкта і
визначаються схемою Active Directory. Схема визначає, які типи об’єктів можуть
існувати в Active Directory.
Сама схема складається з двох типів об’єктів
схеми:
ü класів схеми;
ü атрибутів схеми.
Один клас
схеми визначає один тип об’єкта
Active Directory (наприклад, об’єкт «Користувач»), а один атрибут схеми визначає атрибут,
який об’єкт може мати.
Кожен атрибут
може бути використаний в декількох різних класах схеми. Ці об’єкти називаються об’єктами схеми (або метаданими) і
дозволяють змінювати і доповнювати схему,
коли це необхідно. Проте, кожен об’єкт схеми є частиною визначень об’єктів
Active Directory, тому деактивація або
зміна цих об’єктів можуть мати серйозні наслідки, тому що в результаті цих дій
буде змінена структура Active Directory. Зміна об’єкта схеми автоматично
поширюється в Active Directory. Будучи одного разу створеним, об’єкт схеми не може бути вилучений,
його може бути тільки активовано.
Зазвичай всі зміни схеми ретельно
плануються.
Контейнер аналогічний до об’єкта в тому сенсі, що він також
має атрибути та належить простору імен, але, на відміну від об’єкта, контейнер
не означає нічого конкретного: контейнер
може лише містити групу об’єктів або інші контейнери.
Ліси, дерева та
домени
Верхнім рівнем структури є ліс – сукупність всіх
об’єктів, атрибутів та правил (синтаксису атрибутів) в Active Directory. Ліс
містить одне або кілька дерев, пов’язаних транзитивними стосунками довіри. Дерево містить один або декілька доменів, також
зв’язаних в ієрархію транзитивними стосунками довіри. Домени ідентифікуються
своїми структурами імен DNS – просторами імен.
Об’єкти в домені можуть бути згруповані у
контейнери – підрозділи. Підрозділи дозволяють створювати ієрархію всередині
домену, спрощують його адміністрування і дозволяють моделювати організаційну
та/або географічну структури компанії в Active Directory. Підрозділи можуть
містити інші підрозділи. Корпорація Майкрософт рекомендує використовувати
якомога менше доменів в Active Directory, а для структурування AD і політик
використовувати підрозділи. Часто групові політики застосовуються саме до
підрозділів. Групові політики самі є об’єктами. Підрозділ є найнижчим рівнем,
на якому можуть делегуватися адміністративні повноваження.
Іншим способом поділу AD є «сайти», які є способом
фізичного (а не логічного) групування на основі підмереж IP. Сайти діляться на
ті, що мають підключення низькошвидкісними каналами (наприклад, каналами
глобальних мереж, за допомогою віртуальних приватних мереж), і тих, що підключені
до високошвидкісних каналів (наприклад, через локальну мережу). Сайт може
містити один або декілька доменів, а домен може містити один або кілька сайтів.
Під час проектування Active Directory важливо враховувати мережевий трафік, що
створюється при синхронізації даних AD між сайтами.
Ключовим рішенням під час проектування AD є
рішення щодо поділу інформаційної інфраструктури на ієрархічні домени та
підрозділи верхнього рівня. Типовими моделями, що використовуються для такого
поділу, є моделі поділу за функціональними підрозділами компанії, за
географічним розташуванням і за ролями в інформаційній інфраструктурі компанії.
Часто використовуються комбінації цих моделей.
У програмі Microsoft Integraton Services була анонсована підтримка відносин довіри між окремими лісами.