Для объединения объектов, хранящихся в разных доменов должны существовать определенные связи – доверительные отношения.
Механизм установленных доверительных отношений позволяет организовать процесс аутентификации объектов и субъектов системы.
Выделяют два типа доверительных отношений:
§ Односторонние доверительные отношения
§ Двусторонние доверительные отношения
Контроллеры домена
Контроллеры домена в доменах Windows отвечают за аутентификацию пользователей и содержат фрагмент каталога.
Некоторые операции могут выполняться только одним контроллером. Эти операции называются операции с одним исполнителем (flexiblesingle-masteroperations – FSMO).
Контроллеры доменов могут выполнять специализированные роли:
1. Роли, требующие уникальности в пределах всего леса доменов:
- Исполнитель роли владельца доменных имен
- Исполнитель роли владельца схемы
2. Роли, требующие уникальности в пределах домена:
- Исполнитель роли владельца идентификаторов
- Исполнитель роли эмулятора основного контроллера домена
|
|
- Исполнитель роли владельца инфраструктуры каталога.
По умолчанию все данные роли возлагаются на первый контроллер домена, установленный в лесе.
Процесс принудительной передачи функций специализированной роли другому контроллеру называется захватом роли.
Разделы каталога
В рамках каталога ActiveDirectory выделяется несколько крупных фрагментов каталога – разделов каталога, представляющих законченные непрерывные поддеревья (контексты имен):
§ Доменный раздел каталога
§ Раздел схемы каталога
§ Раздел конфигурации
§ Разделы приложений
§ Раздел глобального каталога