2020-04-12
95
Как и большая часть справочных служб Active Directory компании Microsoft используется для решения задач аутентификации и авторизации пользователей сети.
Домены Active Directory
Домены являются основными элементами логической структуры Active Directory. В каждом из доменов реализуется централизованная справочная служба. Будучи связаны логически, службы доменов образуют распределенную справочную службу сети.
Справочная служба построена по архитектуре клиент-сервер. Клиентские компоненты, устанавливаемые на всех компьютерах сети, передают запросы к серверам справочной службы, которые в Active Directory называются контроллерами домена (Domain Controllers, DC). В каждом домене должен присутствовать хотя бы один контроллер домена. Он поддерживает доменную базу данных, то есть БД о пользователях и ресурсах того домена, в котором установлен этот контроллер. Контроллер домена также занимается аутентификацией пользователей при их логическом входе.
Местоположение каждого контроллера домена администратор выбирает в ходе проектирования сети. Географическое разнесение серверов позволяет обеспечить приближенность информации к источникам запросов. Любой компьютер в сети, будь то контроллер домена, рядовой сервер или рабочая станция, может быть присоединен только к одному домену.
Решение о том, на сколько доменов разделить сеть, принимается с учетом различных факторов. Прежде всего, учитывается, что домен является единицей администрирования. По умолчанию при создании домена права и разрешения, которыми наделяются администраторы и пользователи, распространяются только на этот домен. А для того чтобы пользователь (в том числе администратор) одного домена мог получить доступ к ресурсам другого домена, должны быть выполнены дополнительные административные действия. Таким образом, разделение сети на домены является наиболее надежным и наиболее естественным способом разделения зон ответственности между несколькими администраторами.
Для повышения надежности и производительности в домене устанавливается несколько равнозначных контроллеров домена, которые поддерживают несколько идентичных копий доменной базы данных. Процедура динамического копирования всех изменений, происходящих на каждом из контроллеров, на все оставшиеся контроллеры домена называется репликацией. Таким образом, домен является единицей репликации, то есть определяет часть сети, в пределах которой происходит репликация базы данных домена.
Каждый домен Active Directory является также доменом DNS-имен.
Объекты
Информация в справочной базе данных Active Directory представлена в виде иерархически организованного набора объектов, соответствующих пользователям, группам пользователей, компьютерам, принтерам, разделяемым папкам, элементам структуры (доменам и организационным единицам), конфигурационным параметрам и другим сетевым ресурсам. Объекты могут создаваться как «вручную» администратором, который использует для этой цели диалоговые средства Active Directory, так и автоматически службой Active Directory.
Объект уникально идентифицируется своим именем и представляет собой набор значений атрибутов, которые свойственны данному классу объектов.
Класс объектов — это формальное описание множества объектов, имеющих сходную природу и вследствие этого характеризуемых одним и тем же набором обязательных и необязательных атрибутов.
Соотношение между классом объектов и объектом примерно такое же, как между переменной и ее значением. Атрибуты, определенные для класса объектов, принимают разные значения для разных объектов.
Из определения класса объектов следует, что объекты, содержащие информацию о компьютерах, относятся к одному классу объектов, а объекты, представляющие принтеры, — к другому. Рассмотрим, например, стандартный для Active Directory класс объектов user. С этим классом объектов связан обширный набор атрибутов, которыми может быть представлена информация о пользователях. В число семи обязательных атрибутов объектов этого класса входит, в частности, каноническое имя пользователя, а номер телефона является примером одного из 250 возможных необязательных атрибутов.
Когда администратор регистрирует нового пользователя, в базе данных Active Directory для этого пользователя создается учетная запись (объект), в которой для всех обязательных и для некоторых необязательных атрибутов устанавливаются определенные значения. Например, регистрируя в качестве пользователя некую Полину, администратор определяет значение канонического имени пользователя (обязательного атрибута) — Polina, и значение номера телефона (необязательного атрибута) — 22345777. Таким образом, появляется новый объект класса user.
Глобальный каталог
Задача распределенной справочной службы состоит в предоставлении клиентам контролируемого доступа ко всем объектам сети, даже если источник запроса и запрашиваемый ресурс находятся в разных доменах.
Для решения этой задачи используется глобальный каталог. Как было сказано ранее в глобальном каталоге каждый объект представлен в виде «усеченной» версии, которая, как минимум, должна содержать атрибут, указывающий на местонахождение полной версии объекта. Такого рода атрибутом для большинства объектов Active Directory является отличительное имя (Distinguished Name, DN ), которое однозначно в пределах всей сети идентифицирует объект. Это имя подобно полному составному символьному имени файла в иерархической файловой системе, только в нем вместо имен каталогов указываются имена доменов и других узлов иерархической структуры базы данных объектов. Средства пользовательского интерфейса позволяют пользователю обращаться к объекту по его краткому имени — относительному отличительному имени. В этом случае служба Active Directory сама дополняет его до полного имени, используя контекстную информацию. Аналогично поиску файлов в файловой системе, поиск объекта может осуществляться и по значению какого-либо его атрибута. Например, чтобы найти объект класса user, клиент справочной службы может указать каноническое имя пользователя или адрес его электронной почты, а при поиске принтера — его тип. В этом случае Active Directory может вернуть клиенту информацию о нескольких объектах, каждый из которых удовлетворяет запросу, давая возможность пользователю самостоятельно выбрать интересующий его объект. Информация в главном каталоге позволяет определить DNS-имя контроллера, в котором хранится объект. На основании этого имени система DNS определяет IP-адрес контроллера, после чего задачу доступа к требуемому объекту можно считать решенной.
Глобальный каталога используется также для решения еще одной важнейшей задачи справочной службы — глобальной аутентификации и авторизации [2] пользователей. Слово «глобальная» в данном случае означает, что пользователь при определенных условиях может выполнять логический вход в сеть с любого компьютера любого домена сети. Такая принципиальная возможность появляется благодаря тому, что в глобальном каталоге хранится информация об универсальных группах пользователей, в которые могут включаться члены разных доменов. Например, если сотруднику некоторого предприятия в Томске, оказавшемуся в командировке в барнаульском отделении, потребовалось выполнить некоторую работу на компьютере, то он может войти в сеть с любого компьютера сети предприятия в Барнауле независимо от того, относятся ли сети в Томске и Барнауле к одному и тому же домену или нет. Набрав идентификатор и пароль, полученные при регистрации от администратора в томском отделении, командированный сотрудник получает доступ к ресурсам сети в соответствии с теми же правами и разрешениями, которые он имел, входя в сеть со своего рабочего компьютера в Томске.
