Средства Active Directory (стр. 1 из 3)

КОНТРОЛЬНАЯ РАБОТА

ПО ДИСЦИПЛИНЕ: Операционные системы, среды и оболочки.

НА ТЕМУ: Средства Active Directory

Что такое Active Directory

Служба каталогов Active Directory (AD) - сервис, интегрированный с
Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Доступ к ней возможен с помощью таких знакомых инструментов, как программа просмотра ресурсов Интернета.

AD не только позволяет выполнять различные административные задачи, но и является поставщиком различных услуг в системе. На приведенном ниже рисунке схематично изображены основные функции службы каталогов.

В Active Directory концепция пространства имен Интернета объединена с системными службами каталогов, что дает возможность единым образом управлять различными пространствами имен в гетерогенных

средах корпоративных сетей. В качестве основного в AD используется
легкий протокол доступа к каталогу LDAP (lightweight directory access
protocol), позволяющий действовать за рамками операционной систе-
мы, объединяя различные пространства имен. Active Directory может
включать в себя каталоги других приложений или сетевых операцион-
ных систем, а также управлять ими, что значительно снижает нагрузку
на администраторов и накладные расходы.

Каталог - поставщик услуг в системе

Active Directory не является каталогом Х.500, как иногда считают. Она
использует лишь информационную модель Х.500 (без избыточности,
присущей последнему), а в качестве протокола доступа - LDAP. В ре-
зультате достигается так необходимая в гетерогенных системах высо-
кая степень взаимодействия.

LDAP - стандартный протокол доступа к каталогам (RFC1777) - был
разработан как альтернатива протоколу доступа Х.500. В Active Directory
поддерживаются как LDAP v2, так и LDAP v3.

HTTP - стандартный протокол для отображения страниц Web. Active
Directory дает возможность просмотреть любой объект в виде страни-
цы Web. Расширения Internet Information Server, поставляемые совмес-
тно со службой каталога, преобразуют запросы к объектам каталога в
страницы HTML.

Active Directory позволяет централизовано администрировать все ре-
сурсы, любые произвольные объекты и сервисы: файлы, периферийные
устройства, базы данных, подключения к Web, учетные записи и др. В
качестве поискового сервиса используется DNS. Все объекты внутри
домена объединяются в организационные единицы (OU), составляю-
щие иерархичные структуры. В свою очередь, домены могут объеди-
няться в деревья.

Администрирование упростилось по сравнению с предыдущими вер-
сиями: больше нет первичного и резервных контроллеров домена. Все
контроллеры доменов, используемые службой каталогов, равноправны.
Изменения можно вносить на любом контроллере, а на остальные они
будут тиражироваться автоматически.

Еще одна особенность Active Directory - поддержка нескольких хра-
нилищ, в каждом из которых может находиться до 10 миллионов объек-
тов. Понятно, что при таких возможностях эта служба каталогов пре-
красно проявляет себя как в малых сетях, так и в больших системах.

Архитектура Active Directory

Основная структурная единица Active Directory - дерево доменов, свя-
занных доверительными отношениями друг с другом. Внутри каждого
домена может располагаться иерархия организационных единиц (OU).
Иерархия OU внутри одного домена никак не связана с иерархией OU
в других доменах. Наоборот, они полностью независимы.

Такая двухъярусная иерархичная структура предоставляет высокую сте-
пень свободы в администрировании деревьев доменов. Например, всем
деревом доменов целиком может управлять центральная служба инфор-
мационных технологий (ИТ), а во всех доменах будут созданы свои
собственные организационные единицы, где учтены как работники,
ответственные за локальную поддержку на местах, так и ресурсы, обес-
печивающие эту поддержку.

В каждом отдельном домене могут быть созданы дополнительные OU
для выполнения конкретных задач. Так в домене головного офиса - OU
отдела кадров и бухгалтерии, в филиалах - OU торговых представи-
тельств. При этом административные права для каждой из этих OU
могут делегироваться центральной службой ИТ сотрудникам упомяну-
тых групп. Последние же, будучи наделены административными пол-
номочиями только в рамках своих OU, никак не смогут помешать службе ИТ выполнять глобальное администрирование или вмешаться в де-
ятельность другой OU.

Архитектура Active Directory

Такая гибкость позволяет организовать каталог в точном соответствии
со структурой Вашего предприятия. Причем, возможно отразить как
централизованную, так и децентрализованную, а также некоторую сме-
шанную модель управления предприятием. Например, дерево доменов
может быть организовано по централизованной модели, а OU внутри
доменов - по децентрализованной.

Как уже упоминалось, внутри каждого домена - своя политика безо-
пасности (подробнее об этом - в главе 2). Этой политикой определя-
ются, в частности, требования к паролям, время жизни билетов Кег-
beros, блокировки учетных записей и т. д. При создании учетной запи-
си в домене для нее генерируется идентификатор безопасности (SID),
частью которого является идентификатор домена, выдавшего SID. Это
позволяет легко определять, какому домену принадлежит пользователь
или группа и каковы их права доступа к ресурсам. Таким образом, мож-
но говорить о физических границах безопасности домена, в рамках
которых и выполняется его администрирование.

Организационные единицы являются контейнерами, в которых могут
содержаться другие организационные единицы или объекты (пользо-
ватели, группы, принтеры или ресурсы распределенной файловой си-
стемы). Разрешение создавать объекты или изменять их атрибуты мо-
жет быть выдано отдельным пользователям или группам, что позволя-
ет более четко разделять административные полномочия.

Использование схемы

Определение схемы, данное при первом ознакомлении с этим терми-
ном, несколько расплывчато и, возможно, не дает общего понимания
ее назначения. В схеме задано, какие объекты и с какими свойствами
допустимы в каталоге. Во время установки Active Directory на первый
контроллер доменов в лесу, служба каталогов по умолчанию создает
схему, где содержатся все объекты и заданы свойства, необходимые для
нормального функционирования службы каталогов. Предусматривает-
ся также тиражирование каталога на все контроллеры домена, которые
будут включены в лес позднее.

Каталог содержит необходимую информацию о пользователях и объек-
тах данной организации. Такие свойства Active Directory, как отказоус-
тойчивость и расширяемость, позволяют использовать этот сервис в
различных приложениях, например, по учету кадров. Стандартно в
Active Directory уже определены такие атрибуты пользователя, как его
имя, фамилия, номера телефонов, название офиса, домашний адрес. Но
если понадобятся такие сведения, как зарплата сотрудника, его трудо-
вой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти
параметры можно задать дополнительно. Active Directory позволяет
'наращивать' схему, добавлять в нее новые свойства и классы на осно-
ве существующих и с наследованием их свойств.

Также можно задавать новые свойства, в том числе и существующим
классам. При этом все свойства можно разделить на обязательные и
возможные. Все обязательные свойства необходимо указывать при со-
здании объекта. Например объект 'пользователь' обязательно должен
иметь общее имя en (common name), пароль и SamAccountName (имя,
используемое для обратной совместимости с предыдущими версиями).

Возможные свойства можно и не указывать. Они лишь выполняют вспо-
могательные функции и могут быть полезны, например, для админис-
траторов или для других пользователей. Проиллюстрируем сказанное
на примере приложения по учету кадров. Всех сотрудников предприя-
тия можно условно разделить на две группы: постоянные и временные.
Для постоянных сотрудников целесообразно создать новый класс Full-
TimeEmp. В качестве возможных свойств этого класса можно добавить
в схему зарплату и семейное положение. При этом права на чтение и
изменение этих свойств будут иметь только сотрудники отдела кадров,
а на чтение - лишь сам сотрудник. Администраторы сети также не
имеют прав доступа к этим сведениям.

Понятно, что такая свобода модификации и наращивания каталога
должна опираться на мощные механизмы хранения и поиска инфор-
мации. В Active Directory таким механизмом хранения служит ESE (Exten-
sible Storage Engine) - улучшенная версия Jet-базы данных, использую-

щейся в Microsoft Exchange версий 4 и 5.х2. В новой базе может содер-
жаться до 17 терабайт данных, до 10 миллионов объектов.

Пример модификации схемы

Еще одна особенность ESE - там хранятся только реально используе-
мые значения свойств. Например, для объекта user определено по умол-
чанию порядка 50 свойств. Но если Вы описали только 4 (имя, фами-
лию, общее имя и пароль), то место для хранения будет отведено толь-
ко для этих атрибутов. По мере описания других атрибутов место для
них будет выделяться динамически.

ESE позволяет хранить свойства, имеющие несколько значений, напри-
мер, несколько телефонных номеров одного пользователя. При этом
совсем не надо создавать атрибуты каждого телефонного номера.

Подробнее о классах и атрибутах схемы, а также о том, как вносить в
нее изменения, мы поговорим в одном из следующих разделов этой
главы.