Средства Active Directory (стр. 3 из 3)
Если пользователь перемещается со своей рабочей станцией в новое
место, то при входе в сеть станция обращается к прежнему контролле-
ру домена. Только в этом случае он уже не является ближайшим, и со-
общает клиенту информацию о ближайшем узле. Эта информация мо-
жет быть использована клиентом для доступа к DNS и определения
адреса ближайшего контроллера домена.
Добавление домена - самая простая из перечисленных операций.
Домен можно подключить к дереву во время установки контроллера до-
мена. Все что для этого нужно сделать - указать существующий в Active
Directory домен в качестве родительского. При этом между доменами
будут установлены доверительные отношения Kerberos, что позволит
новому домену присоединиться к дереву.
Удаление домена не является удалением в полном смысле этого сло-
ва - домен просто исключается из дерева. Проделать эту операцию
можно в любое время. Но предварительно следует убедиться, что у ис-
ключаемого домена нет дочерних доменов - иначе доверительные
отношения дочернего домена окажутся разорванными, и он также бу-
дет исключен из дерева.
Любой объект в каталоге Active Directory может иметь несколько имен:
общее, относительное и т. п. Единственным всегда неизменным иден-
тификатором объекта является Глобальный уникальный идентифика-
тор GU1D (Globally Unique Identifier). GUID - это многозначное число,
создаваемое контроллерами домена. Алгоритм создания идентифика-
тора не допускает дублирования. Именно этот никогда не изменяемый
идентификатор может использоваться в Active Directory для того, что-
бы свободно переименовывать домены, как и любые объекты4.
GUID также позволяет перемещать домены в дереве или в лесу. Во
время частичного тиражирования в глобальный каталог заносится под-
множество свойств объекта. В это подмножество входит и GUID. Если
объект перемещен, то глобальный каталог может использовать GUID
для поиска объекта и его отличительного имени на основе нового от-
носительного ID и LDAP-пути к новому местоположению.
4 В Windows NT 5.0 скорее всего не будет реализован механизм переименова-
ния доменов, так как разработчики столкнулись с целым рядом непредви-
денных трудностей, преодоление которых перенесено к моменту выхода
Windows NT 6.0.
Включение домена в лес не сложнее подключения к дереву доменов
и рассматривалось ранее.
Если используется сервер динамического DNS Windows NT 5.0, то при
перемещении или переименовании домена средствами администриро-
вания автоматически выполняется коррекция записей в базе DNS. При
использовании UNIX DNS-сервера создается файл, в который заносят-
ся и подлежащие удалению, и новые записи. Дополнительно в Windows
NT Workstation 5.0 автоматически изменяются настройки TCP/IP, и вно-
сится новое имя домена.
Доступ к Active Directory
Теперь, имея общее представление о том, что же такое Active Directory,
поговорим о доступе к объектам в каталоге и управлении ими. Как уже
упоминалось, в каталоге содержится информация обо всех объектах
системы: дисках, устройствах, сетевых ресурсах, пользователях, груп-
пах, доменах и т. п. Доступ к этим объектам разделен на функциональ-
ные группы, для которых созданы слепки, используемые консолью уп-
равления ММС (Microsoft Management Console). Подробно ознакомить-
ся с использованием каждого из слепков можно и в главе б и других
главах, посвященных отдельным возможностям операционной систе-
мы. А сейчас рассмотрим лишь самые общие возможности доступа к
каталогу.
Управление узлами
Конфигурируя узлы, Вы управляете топологией тиражирования. Для
доступа к информации об узлах необходимо загрузить в ММС слепок
Microsoft Site Replication Manager. Соответствующее окно примет вид,
изображенный на рисунке. Загружая этот слепок впервые, Вы увидите
один узел, указанный во время установки операционной системы и имя
своего собственного компьютера в этом узле.
Окно Microsoft Management Console - Microsoft Site Replication
Manager
Для описания узла необходимо описать входящие в него подсети. Опи-
сание подсетей выполняется в формате www, xxx. yyy. zzz/mm, где первая
часть (до косой черты) - адрес подсети, a mm - число немаскируемых
разрядов, считая от начала. Например, 155.1-1.0/22. Все маскируемые
разряды должны быть равны 0.
Чтобы добавить новый узел, подведите мышь к папке Sites в левой ча-
сти окна, щелкните ее правой кнопкой и выберите из контекстного
меню команду New и подменю Site. В поле появившегося диалогового
окна укажите имя нового узла, включаемого в топологию тиражирования.
Схема: классы, атрибуты и их модификация
Для того, чтобы добраться до схемы, загрузите соответствующий сле-
пок ММС: в меню консоли управления выберите Console и дайте ко-
манду Add/Remove Snap-In. В появившемся окне щелкните Add и в
списке доступных слепков укажите Schema manager. Появится диало-
говое окно Microsoft Management Console.
Окно ММС с загруженным слепком Schema Manager
В правой части окна перечислены все классы ^атрибуты схемы. Каж-
дый класс в схеме представлен объектом, его определяющим. Объекты
являются экземплярами класса Class Schema.
Каждый атрибут в схеме также представлен объектом, определяющим
этот атрибут. Объекты являются экземплярами класса Attribute Schema
и могут иметь атрибуты, перечисленные в Приложении В. Атрибуты
могут содержать данные, тип которых определяется синтаксисом. Для
каждого атрибута возможен только один синтаксис, например, Integer,
String, BOOL. Синтаксисы в Active Directory определены Microsoft и не
могут быть изменены, также невозможно добавлять новые. Синтакси-
сы не представлены никакими объектами в каталоге. Создавая новый
атрибут, необходимо определить его синтаксис.
Некоторые характеристики объектов, определяющих классы, содержат-
ся в парных атрибутах. Значения одного атрибута пары может быть
изменено администратором, а другого - нет. Если имя атрибута начи-
нается со слова System, то администраторы не могут его изменять. Это
сделано с целью защиты системы и обеспечения ее работоспособнос-
ти. Любопытно отметить, что это правило распространяется и на те
классы, которые создали Вы сами. При создании класса можно назна-
чить начальные значения атрибутов, но дальнейшая модификация си-
стемных атрибутов невозможна.
Прежде чем добавлять или изменять классы, необходимо выполнить две
процедуры: во-первых, внести в реестр дополнительное значение, от-
сутствующее там по умолчанию; а во-вторых, - убедиться, что Ваш
компьютер будет распознан остальными контроллерами домена как
единственный, на котором допускается модификация схемы.
Итак, в реестре надо выполнить следующее добавление:
Ветвь HKEY_LOCAL_MACHINE
Ключ System\CurrentControlSet\Services\NTDS\Parameters
Имя Schema Update Allowed
Тип DWORD
Значение Любое целое положительное число
Целостность каталога требует, чтобы изменения вносились только на
одном компьютере в каждый момент времени с последующим тиражи-
рованием их на другие контроллеры домена. В противном случае воз-
можен конфликт между изменениями. Для предотвращения подобных
конфликтов вводится понятие мастер схемы, обозначающее именно
тот контроллер, на котором, и только на котором, возможна модифи-
кация схемы. В принципе, таковым может быть назначен любой кон-
троллер в домене, но по умолчанию мастером схемы становится пер-
вый установленный контроллер домена. Процесс определения того,
какой из компьютеров может выступать в этой роли называется опера-
цией единственного плавающего мастера (floating single master opera-
tion). Текущий мастер схемы отличается значением атрибута FSMO-
Role-Owner для контейнера схемы (CN=schema, CN=configu ration, DC=...).
Если Ваш компьютер - единственный контроллер домена, то масте-
ром схемы является именно он. Если в домене несколько контролле-
ров, Вы можете принудительно потребовать от нужного контроллера
стать мастером. Для этого к корневому DSE (объект с пустым DN) до-
бавьте атрибут becomeSchemaMaster равный 1. Сервер пошлет текущему
мастеру запрос на смену мастера и тот изменит атрибут FSMO-Role-
Owner на имя контроллера, запросившего эту операцию, после чего
передаст ему новое значение атрибута, а также перешлет на новый
мастер сделанные ранее, и, возможно, оставшиеся незамеченными, из-
менения. Тот примет эти изменения и станет новым мастером схемы.
Active Directory поддерживает кэш схемы, повышающий быстродей-
ствие приложений, часто обращающихся к каталогу. Кэш схемы явля-
ется представлением классов и атрибутов схемы в оперативной памя-
ти компьютера. Кэш загружается в память во время загрузки операци-
онной системы. При внесении изменений в схему кэш, спустя некото-
рое время, автоматически обновляется.
Заключение
Служба каталогов Active Directory, сочетающая в себе открытые стан-
дарты, простоту администрирования, глобальный каталог, возможность
наращивания, средства тиражирования, распределенную систему безо-
пасности и полную обратную совместимость с предыдущей службой
каталогов - идеальная платформа для построения сетей для крупных
предприятий и организаций, а также гетерогенных сетей.
Эта служба каталогов, использующая лучшие из стандартов имен DNS
и Х.500, LDAP, иные протоколы и богатый набор API, предоставляет гро-
мадные возможности совместимости с другими системами. Active Direc-
tory позволяет из одной точки управлять всеми ресурсами сети: файла-
ми, периферийными устройствами, подключениями к хостам, базами
данных, доступом к Web, пользователями, любыми произвольными объ-
ектами, сервисами и сетевыми ресурсами. Поддерживаемый в ней
иерархичный взгляд на систему, удобные средства администрирования
и мощные механизмы поиска позволяют значительно снизить админи-
стративные затраты.
Таким образом, можно сделать вывод: появление Active Directory сни-
мет последние ограничения на использование Windows NT в больших
организационных структурах.
Список использованной литературы:
1. Безопасность сети на основе Microsoft® Windows 2000. Учебный курс MSCE.2001//Москва//«Русская Редакция».
2. В. Олифер Н. Олифер. Сетевые операционные системы.2003//С. Петербург//Питер.
3. Подход профессионала Автор: Зубанов Ф. В. Год издания: 01.01.2002
4. Грег Тодд. Windows 2000 Datacenter Server //по материалам сайта http: www.citforum.ru
5. http://www.5ballov.ru
6. http://www.xserver.ru