2020-04-12
235
Домены являются более независимыми структурными единицами, чем организационные единицы внутри домена. В частности, именно пределами домена, а не OU, ограничиваются действие политики паролей (password policies), устанавливающей длину и другие параметры паролей пользователей, и действие политики блокировки учетных записей (account lockout policies), определяющей функции администратора в тех случаях, когда пользователь забыл или не смог правильно набрать свой пароль и его учетная запись была заблокирована. Разграничение функций по администрированию на уровне доменов происходит очень естественно благодаря тому, что каждый домен имеет встроенные группы Administrators и Server Operators, членам которых разрешено совместно использовать папки и форматировать диски только на контроллерах своего домена.
Такие свойства доменов делают привлекательной идею представления сети в виде нескольких доменов. Наиболее часто используемой многодоменной структуройявляется дерево доменов (рис. 5.10).
Рис. 5.10. Дерево доменов
|
|
|
На рисунке показано трехуровневое дерево доменов. Каждый домен условно изображен в виде треугольника. Упорядочение доменов по уровням иерархии происходит аналогично упорядочиванию каталогов файловой системы. Первый по времени создания домен становится корнем дерева. Для следующего создаваемого домена, называемого потомком, корневой домен является родительским и т. д. Иерархические отношения между доменами выражаются в том числе и в их именовании. Корневому домену при его создании присваивается DNS-имя, пусть это будет, например, company.ru (рис. 5.11). Все домены-потомки получают «в наследство» имя родительского домена, которое добавляется к их собственным именам, образуя DNS-имена следующего уровня.
Между каждым новым доменом-потомком и его родительским доменом автоматически устанавливаются так называемые доверительные отношения. Установление доверительных отношений включает передачу части доменного справочника присоединяемого домена в глобальный каталог родительского домена, после чего он становится общим для всего дерева доменов. Глобальный каталог создается автоматически во время установки первого контроллера в первом домене сети. Первоначально в главном каталоге размещается полная копия всех объектов, относящихся к этому первому домену. В результате создания новых доменов к главному каталогу прибавляются частичные копии баз данных каждого из этих доменов. Эти копии содержат атрибуты объектов, позволяющие определить местонахождение соответствующих объектов, а значит, дающие пользователям возможность получать доступ к объектам не только своих, но и других доменов.
|
|
|
Для обеспечения безопасности в процедуру установления доверительных отношений вовлечена система аутентификации Kerberos[3].
Установление доверительных отношений между двумя доменами дает возможность:
· пользователю (или группе пользователей) одного домена получать доступк ресурсам другого домена (это означает, что нет необходимости создавать две учетные записи в этих двух доменах для одного и того же пользователя);
· администрировать один домен из другого домена, для чего необходимо включить в группу пользователей, наделенную правами администрирования домена, пользователей из другого домена.
В Active Directory доверительные отношения, устанавливаемые по умолчанию между родительским доменом и доменом-потомком, являются транзитивными и двусторонними.
Отношения транзитивны, если из того, что А доверяет В, а В доверяет С, автоматически следует, что А доверяет С. Отношения являются двусторонними, если из того, что А доверяет В, следует, что В доверяет А.
Отсюда следует, что все домены дерева связаны друг с другом двусторонними транзитивными доверительными отношениями.
Active Directory может иметь и более сложную доменную структуру, состоящую из нескольких деревьев, называемую лесом (рис. 5.12). Все домены леса так же, как и домены дерева, связаны двусторонними транзитивными доверительными отношениями, то есть имеют общий глобальный каталог. Следовательно, пользователи сети, имеющей доменную структуру в виде леса, могут быть наделены правом доступа к любым ресурсам любого домена.
Рис. 5.12. Лес доменов
Еше одной доменной структурой, используемой в Active Directory, является модель множественных лесов. Эта модель может оказаться полезной для крупных транснациональных корпораций, образованных в результате слияния нескольких предприятий, а также в случаях, когда организация представляет собой объединение нескольких крупных и достаточно независимых подразделений. Являясь наиболее децентрализованной структурой, модель множественных лесов состоит из нескольких изначально совершенно не связанных между собой лесов. Между доменами разных лесов могут быть установлены контролируемые администратором доверительные отношения, однако это происходит не автоматически, как при построении деревьев и лесов, а в результате некоторых дополнительных действий администратора.
Контроллеры доменов Active Directory могут отличаться друг от друга набором предоставляемых услуг. Для того чтобы пользователи и приложения могли находить именно те контроллеры, на которых установлены необходимые им сервисные программные модули, контроллеры регистрируют имена своих сервисов в системе DNS, которая по запросам клиентов сообщает им о местонахождении (IP-адресах) серверов и сервисных программ Active Directory. В некоторых случаях система DNS может вернуть IP-адреса нескольких контроллеров, предоставляющих эту услугу. Используя дополнительную информацию о месте расположения контроллеров, клиентская станция выбирает ближайший к ней контроллер.
Контрольные вопросы:
1. Определите основную цель службы каталогов.
2. Кто является клиентами справочной службы?
3. Перечислите типы справочной службы.
4. Каким методом можно смягчить недостатки централизованной модели?
5. Поясните механизм работы глобального каталога распределенной модели.
6. Зарисуйте схему распределения справочной службы
