Active Directory

Доменные контроллеры доменов

Домены являются основными элементами логической структуры, запросы справочной службы обрабатываются на серверах контроллеров доменов, Domain Controllers, DC. В каждом домене присутствует хотя бы один контроллер, поддерживающий доменную базу данных и процедуру аутентификации пользователей.

В каждом домене может присутствовать 1 или более резервный контроллер, Backup Domain Controller, BDK – он снижает нагрузку с основного и становится основным в случае поломки. Местоположение каждого контроллера выбирается администратором при проектировании сети для приближения информации к источникам запроса. Любой компьютер может быть подсоединен только к одному домену. Решение о количестве и типе доменов принимается исходя из функции доменов:

1. Домен – единица администрирования и при его создании права и разрешения пользователей и администраторов распространяются только на этот домен.

2. Домен – граница безопасности, многие параметры политики безопасности действуют только в пределах домена.

3. Домен – единица репликации, т.е. определяет часть сети, в пределах которой происходит репликация её базы данных.

4. Каждый домен Active Directory является доменом ДНС имен.

2010.11.16

Сайты

Сайт – это элемент физической структуры компьютерной сети, представляющий её часть, характеризующийся хорошей связностью. Хорошая связность означает высокоскоростные связи внутри сайта и более медленные с внешними объектами. Как правило, сайт это набор ip подсетей. Сайты назначаются администратором во время установки справочной службы. Информация о сайтах используется для оптимизации репликации, оценки пропускной способности между двумя любыми компьютерами сети. В один сайт могут входить компьютеры разных доменов и наоборот.

Объекты

Информация в справочной базе данных Active Directory представлена в виде иерархически организованного набора объектов, пользователей, компьютеров и т.д. Объекты могут создаваться автоматически или вручную. Любой объект уникально идентифицируется именем и представляет собой набор атрибутов, свойственных его классу. Класс объекта – это формальное описание множества объектов, со сходной природой и свойствами. Атрибуты объекта могут быть обязательными и необязательными, часть их значений устанавливается по умолчанию.

Глобальный каталог.

Выполняет задачи поиска данных по аутентификации и авторизации пользователей. Для каждого объекта в глобальном каталоге представлена краткая версия включающая отличительное имя.

Distinguished Name(DN)

Которое однозначно в пределах всей сети идентифицирует весь объект. Как правило, для хранения глобального каталога выделяется по крайней мере один контроллер на каждый сайт, который называется сервером глобального каталога. Пользователь может обратиться к объекту по его краткому имени, автоматически заполняемому для отличительного или по значению атрибута. Информация в глобальном каталоге позволяет определить DNS имя контроллера объекта. Поддерживается концепция Global Login. Глобальная аутентификация пользователя. Означает, что войдя в любой домен, пользователь аутентифицируется по всей сети.

Иерархическая структура Active Directory.

Основные элементы иерархии – домены и организационные единицы. Иерархия орг. Единиц образуется внутри домена. Это специфический объект --- представляющий собой группу объектов, объединённых по тем или иным свойствам. Могут формироваться по территориальному, организационным и другим признакам. Являются контейнерами.

company

pc

user

pc

user

Data server

moscow

tver

Деревья позволяют проводить групповые операции над объектами. На более высоком уровне домены образуют дерево доменов.

Корневой домен

Доверительные отношения

Каждое дерево доменов образует пространство имён.

Company

research

PIR

Academic

PR

FIN

Production

Пределами домена ограничиваются действия политики паролей, политики блокировки учетных записей и в каждую из них включены группы по администрированию. Между каждым новым доменом и его родителем устанавливаются доверительные отношения. Это означает, передачу доменного справочника потомкам в глобальный каталог родительского домена, после чего он становится общим для всего дерева. Первая версия глобального каталога создаётся автоматически во время установки первого контроллера в первом домене. Доверительные отношения позволяют получать доступ к ресурсам другого домена и администрировать один домен из другого. Доверительные отношения являются двусторонними и транзитивными. В Active Directory оба деревья разные домены и никак не связанны между собой. Несколько деревьев доменов объединяются в лес доменов. Все домены леса связаны такими же доверительными отношениями и имеют общий глобальный каталог.

Тут схема…

Корневые домены деревьев леса находятся на разных уровнях иерархии. Корнем леса считается домен, созданный раньше по времени. Только в нём находятся встроенные группы пользователей с правами администрирования леса. Деревья леса равноправны и имеют независимое пространство имён. Для крупных организаций может использоваться модель множественных лесов. В этом случае отношение между доменами разных лесов устанавливается и контролируется администратором. Пространство имён --- соответствует стандарту LDAP.

Пространство имён – множество имён однозначно соответствующих всем объектам. По стандарту имя представляет собой последовательность имён всех компонентов иерархий лежащих на пути от объекта до корня дерева. Компоненты полного имени объекта имеют разную природу и явно указываются при его записи.

DC – Domain Component

OU – Organization Unit

CN – Common Name

DC=ru/DC=comp/DC=research/DC=ucod/DC=users/CN=Ivanov

Acadresearch.comз

.Контроллер домена --- могут отличаться набором предоставляемых услуг. Для того чтобы пользователи могли обратиться к контролерам с необходимыми им сервисами, сервисы регистрируются в системе DNS. В ряде случаев по DNS запору могут быть возвращены ip адреса нескольких контроллеров.

2010-11-23