Доверительные отношения

Домены

Имя

Дерево

Контейнер

Объект

Пространство имен

Область действия

Область действия (scope) Active Directory достаточно обширна. Она может включать отдельные сетевые объекты (принтеры, файлы, имена пользователей), серверы и домены в отдельной глобальной сети. Она может также охватывать несколько объединенных сетей. Некоторые из рассматриваемых ниже терминов относятся к группе сетей, поэтому важно помнить, что Active Directory может быть настроена на управление как отдельным компьютером, так и компьютерной сетью или группой сетей.

Active Directory, как и любая другая служба каталогов, является прежде всего пространством имен. Пространство имен — это такая ограниченная область, в которой может быть распознано данное имя. Распознавание имени заключается в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует. Например, телефонный справочник представляет собой пространство имен, в котором именам телефонных абонентов могут быть поставлены в соответствие телефонные номера. Файловая система Windows образует пространство имен, в котором имя файла может быть поставлено в соответствие конкретному файлу.

Active Directory образует пространство имен, в котором имя объекта в каталоге может быть поставлено в соответствие самому этому объекту.

Объект — это непустой, именованный набор атрибутов, обозначающий нечто конкретное, например пользователя, принтер или приложение. Атрибуты содержат информацию, однозначно описывающую данный объект. Атрибуты пользователя могут включать имя пользователя, его фамилию и адрес электронной почты.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имен. Однако, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Термин «дерево» используется в данном документе для описания иерархии объектов и контейнеров. Как правило, конечными элементами дерева являются объекты. В узлах (точках ветвления) дерева располагаются контейнеры. Дерево отражает взаимосвязь между объектами или указывает путь от одного объекта к другому. Простой каталог представляет собой контейнер. Компьютерная сеть или домен тоже являются контейнерами. Непрерывным поддеревом называют любую непрерывную часть дерева, включающую все элементы каждого входящего в нее контейнера.

Служба Active Directory допускает существование двух типов имен, используемых для идентификации объектов:

• Уникальное имя. Каждый объект в Active Directory имеет уникальное имя (Distinguished Name, DN). Это имя содержит указание на домен, в котором находится объект, и полный путь в иерархической структуре контейнеров, который приводит к данному объекту. Типичным уникальным именем (DN) является имя: /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith. Это имя обозначает объект типа «пользователь»с именем «James Smith», находящийся в домене Microsoft.com.
• Относительное имя. Относительное уникальное имя объекта (Relative Distinguished Name, RDN) — это та часть имени, которая сама является частью атрибута объекта. В приведенном выше примере RDN-именем объекта «James Smith»служит групповое имя (CN) CN=James Smith. RDN-именем родительского объекта является имя CN=Users.

Контексты имен (сегменты, разделы)

Active Directory может состоять из одного или нескольких контекстов имен или сегментов (разделов). Контекстом имен может быть любое непрерывное поддерево каталога. Контексты имен являются единицами репликации.

В Active Directory каждый сервер всегда содержит не менее трех контекстов имен:

• логическую структуру;
• конфигурацию (топологию репликации и соответствующие метаданные);
• один или несколько пользовательских контекстов имен (поддеревья, содержащие объединенные в каталог объекты).

Домен — это единая область, в пределах которой обеспечивается безопасность данных в компьютерной сети под управлением ОС Windows[2]. Active Directory состоит из одного или нескольких доменов. Применительно к отдельной рабочей станции доменом является сама станция. Границы одного домена могут охватывать более чем одно физическое устройство. Каждый домен может иметь свои правила защиты информации и правила взаимодействия с другими доменами. Если несколько доменов связаны друг с другом доверительными отношениями и имеют единую логическую структуру, конфигурацию и глобальный каталог, то говорят о дереве доменов.

Поскольку домены разграничивают зоны безопасности, специальный механизм, называемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)].

Windows Server 2003 поддерживает шесть типов доверительных отношений:

• Доверие к родительскому и дочернему доменам. Active Directory автоматически выстраивает транзитивные двусторонние доверительные отношения между родительскими и дочерними доменами в дереве доменов. При создании дочернего домена доверительные отношения автоматически формируются между дочерним доменом и его родителем. Эти отношения двусторонние. Доверие также является транзитивным, т. е. контроллеры доверяемого домена пересылают запросы на аутентификацию контроллерам доверяющих доменов.
• Доверие к корневому домену дерева. Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу. Это резко упрощает управление доменами по сравнению с тем, что было в версиях Windows, предшествовавших Windows 2000. Больше не нужно конфигурировать отдельные односторонние доверительные отношения между доменами.
• Доверие к внешнему домену. Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие, которое является односторонним.
• Доверие к сокращению. Доверие к сокращению — это способ создания прямых доверительных отношений между двумя доменами, которые могут быть уже связаны цепочкой транзитивных доверий, но нуждаются в более оперативном реагировании на запросы друг от друга.
• Доверие к сфере. Доверие к сфере служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может быть транзитивным или нетранзитивным, одно- или двусторонним.
• Доверие к лесу. Доверие к лесу упрощает управление несколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user IDentification, ID), что и в его собственном лесу.