Доверительные отношения

Для объединения объектов, хранящихся в разных доменов должны существовать определенные связи – доверительные отношения.

Механизм установленных доверительных отношений позволяет организовать процесс аутентификации объектов и субъектов системы.

Выделяют два типа доверительных отношений:

§ Односторонние доверительные отношения

§ Двусторонние доверительные отношения

Контроллеры домена

Контроллеры домена в доменах Windows отвечают за аутентификацию пользователей и содержат фрагмент каталога.

Некоторые операции могут выполняться только одним контроллером. Эти операции называются операции с одним исполнителем (flexiblesingle-masteroperations – FSMO).

Контроллеры доменов могут выполнять специализированные роли:

1. Роли, требующие уникальности в пределах всего леса доменов:

- Исполнитель роли владельца доменных имен

- Исполнитель роли владельца схемы

2. Роли, требующие уникальности в пределах домена:

- Исполнитель роли владельца идентификаторов

- Исполнитель роли эмулятора основного контроллера домена

- Исполнитель роли владельца инфраструктуры каталога.

По умолчанию все данные роли возлагаются на первый контроллер домена, установленный в лесе.

Процесс принудительной передачи функций специализированной роли другому контроллеру называется захватом роли.

Разделы каталога

В рамках каталога ActiveDirectory выделяется несколько крупных фрагментов каталога – разделов каталога, представляющих законченные непрерывные поддеревья (контексты имен):

§ Доменный раздел каталога

§ Раздел схемы каталога

§ Раздел конфигурации

§ Разделы приложений

§ Раздел глобального каталога