2015-10-22
2456
ActiveDirectory («Активный каталог», AD) —(LDAP -совместимая) реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. ActiveDirectory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством SystemCenterConfigurationManager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления WindowsServer. ActiveDirectory хранит данные и настройки среды в централизованной базе данных. Сети ActiveDirectory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
System Center Configuration Manager (ранее Systems Management Server, SMS) — продукт для управления ИТ-инфраструктурой на основе Microsoft Windows и смежных устройств. ConfigurationManager предоставляет такие основные возможности: управление обновлениями, развёртывание ПО и операционных систем, интеграция с NAP, инвентаризация аппаратного и программного обеспечения, удалённое управление, управление виртуализированными и мобильными системами на базе Windows.
8.1 Служба каталогов Windows
Каталог (directory) – это хранимый набор сведений о взаимосвязанных объектах.
(средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах. Под ресурсами могут пониматься материальные ресурсы, персонал, сетевые ресурсы и т. д.)
Сетевой каталог – набор атрибутов (имен и адресов), используемых для поиска сведений об объектах каталога. Точно также служба каталогов однозначно идентифицирует и организует пользователей и ресурсы сети и обеспечивает к ним доступ.
Служба каталогов предоставляет средства для организации и облегчения доступа к ресурсам сетевых компьютерных систем. Она позволяет искать объекты по одному или нескольким атрибутам.
(Например, администратор может знать не точное имя объекта, а лишь один или несколько его атрибутов. Службы каталогов позволяют запросить список, отвечающих известным атрибутам, например, перечень цветных принтеров на третьем этаже.)
Служба каталогов применяется для:
─ Защиты объектов в базе данных каталога от вторжения извне или неуполномоченных пользователей интрасети;
─ Репликации каталогов на другие компьютеры в сети, для обеспечения доступа к нему других пользователей и отказоустойчивости;
─ Дробления каталога на несколько хранилищ, расположенных на разных компьютерах сети; это позволяет хранить крупные каталоги, содержащие много объектов.
(Служба каталога – это инструмент и администратора, и пользователя. По мере расширения сети требуется управлять все большим количеством ресурсов, и здесь служба каталогов незаменима.)
8.1 Рабочие группы и домены
Служба каталогов упорядочивает сетевые ресурсы и упрощает к ним доступ. Для облегчения доступа Windowsподдерживает два типа сетей: рабочие группы и домены.
8.1.1 Рабочая группа Windows
Рабочая группа (workgroup) – это логическая группировка объединенных в сеть компьютеров, предоставляющих доступ к ресурсам. Рабочую группу можно сравнивать с одноранговой сетью, так как все компьютеры в ней могут совместно обращаться к ресурсам без выделенного сервера (рис. 11.1). Каждый компьютер Windows Professional, входящий в рабочую группу, ведет свою БД безопасности для данного компьютера. Исходя из этого, администрирование учетных записей пользователей и доступа к ресурсам децентрализовано. Пользователь должен иметь учетную запись на каждом компьютере, к которому ему нужен доступ. Любые изменения учетных записей пользователя, например смену пароля или добавление новой учетной записи, нужно проделывать на каждом компьютере. Если забыть добавить новую учетную запись на одном из компьютеров, пользователь не получит доступ к его ресурсам.
Рабочие группы Windows обеспечивают следующие преимущества:
─ Для централизованного хранения БД безопасности не требуется компьютер с Windows Server;
─ Их просто создать, они не требуют такого детального планирования и администрирования, как домен;
─ Удобны для небольшого количества расположенных рядом компьютеров; в сетях, объединяющих более 10 компьютеров, рабочие группы не эффективны;
─ Удобны для небольших групп опытных пользователей, способных грамотно распределять ресурсы.
В рабочей группе компьютер с Windows Server называется изолированным сервером (stand-alone server).
Рис. 11.1 Рабочая группа Windows
8.1.2 Домен Windows
Это логическая группировка сетевых компьютеров с общей БД каталога, содержащей учетные записи пользователей и правила безопасности домена. В Windows эта БД называется каталогом и по сути является частью ActiveDirectory– службы каталогов Windows. В домене каталог хранится на контроллерах домена (рис. 11.2). Контроллер домена (domaincontroller) – это сервер, управляющий всеми действиями пользователей, связанными с безопасностью в домене, и обеспечивающий централизацию администрирования.
((В доменах Windows(NT)существует иерархия контроллеров домена: резервные (backupdomaincontroller, BDC) и главные (primarydomaincontrollers, PDCs).BWindows все контроллеры домена равноправны.))
((Домен не относится к конкретному расположению или конфигурации сети. Компьютеры в домене могут находится близко друг к другу в малой ЛВС или в разных уголках мира, соединяясь по линиям связи, включая аналоговые, ISDNили DSL.))
Рис. 11.2 Домен Windows
Домены Windows:
─ Предоставляют централизованное администрирование, поскольку информация о пользователях хранится централизованно;
─ Обеспечивают однократный вход в систему пользователей с получением доступа к разрешенным ресурсам, например, к файлам, сетевым принтерам и приложениям; пользователь, войдя в систему на одном компьютере, может работать с ресурсами на другом с учетом срока действия разрешения для данного компьютера;
─ Обеспечивают масштабирование, позволяя создавать очень большие сети.
8.2 Служба каталогов ActiveDirectory
Включена в Windows и обеспечивает централизованное управление сетью, позволяя легко добавлять, удалять и перемещать ресурсы, например, учетные записи пользователей, принтеры, серверы, БД, группы, компьютеры, политики безопасности, которые охраняться в каталоге в виде объектов.
ActiveDirectory иерархически организует ресурсы в домены – основной единице репликации и безопасности в сети Windows. Каждый домен включает один или несколько контроллеров, на которых хранится полная реплика (копия) каталога домена. Для упрощения администрирования все контроллеры домена в ActiveDirectory равноправны, поэтому изменения, выполняемые на любом контроллере, можно реплицировать на остальные.
8.2.1 Масштабируемость
В ActiveDirectory каталоги хранят информацию, используя разделы (partitions), которые логически делят каталог и обеспечивают хранение большого количества объектов. Это позволяет увеличивать его по мере роста предприятия – от нескольких сотен до миллионов объектов.
