Введение в Active Directory

Аннотация
Определение и назначение служб каталогов, их основные функции и задачи.
Службы каталогов -

предвестники Microsoft Active Directory.
Ключевые преимущества службы Active Directory
Основные понятия службы каталогов
Архитектура Active Directory

Вне зависимости от
топологии сети компании
реальной инфраструктуры
организационной структуры географически распределенных филиалов
имеющейся в компании

разнородной информационной среды
существует общая методология развертывания и применения службы Active Directory.

Определение каталога и службы каталогов
Каталог (directory) — это информационный ресурс, используемый для

хранения информации о каком-либо объекте.
Например, телефонный справочник (каталог телефонных номеров) содержит информацию об абонентах телефонной сети.
В файловой системе каталоги хранят информацию о файлах
В распределенной вычислительной системе или в компьютерной сети общего пользования (например, Интернет) имеется множество объектов - серверы, базы данных, приложения, принтеры и др.
Пользователи хотят иметь доступ к каждому из таких объектов и работать с ними,
а администраторы - управлять правилами использования этих объектов

Слайд 7

Определение каталога и службы каталогов
Служба каталогов (directory service) - сетевая служба, которая

идентифицирует все ресурсы сети и делает их доступными пользователям.
Служба каталогов централизованно хранит всю информацию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами.
Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределенными ресурсами и позволяет им работать вместе

Слайд 8

Определение каталога и службы каталогов
Active Directory (AD) - служба каталогов, поставляемая с

Microsoft Windows начиная с Windows 2000 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации

Слайд 9

Альтернативы Active Directory
Active Directory - это не первая и не единственная

служба каталогов.
В современных сетях используется несколько служб каталогов и стандартов :
Х.500 и Directory Access Protocol (DAP).
X.500 - спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
Lightweight Directory Access Protocol (LDAP).
Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете;
Novell Directory Services (NDS).
Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500;
Windows NT и SAM.
Ядром Windows NT NOS (Network Operating System - сетевая операционная система) является база данных SAM (Security Accounts Management - управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.

Слайд 10

Active Directory
Служба Active Directory, в отличие от перечисленных служб каталогов, является

защищенной, распределенной, сегментированной и реплицируемой, что позволяет обеспечить следующие возможности:
упрощенное администрирование;
масштабируемость;
поддержку открытых стандартов;
поддержку стандартных форматов имен.

Слайд 11

Active Directory
С помощью Active Directory осуществляется
централизованное управление
пользователями,
группами,
общими папками
сетевыми ресурсами,
администрирование среды

пользователя и программного обеспечения средствами групповой политики.

Слайд 12

Назначение службы каталогов
Служба каталогов является как инструментом администрирования, так и инструментом пользователя

Пользователи и администраторы зачастую не знают точных имен объектов, которые им в данный момент требуются. Они могут знать один или несколько их признаков или атрибутов (attributes) и могут послать запрос (query) к каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с указанными в запросе

Слайд 13

Назначение службы каталогов

Слайд 14

Назначение службы каталогов
Служба каталогов позволяет
обеспечивать защиту информации от вмешательства посторонних лиц

в рамках, установленных администратором системы;
распространять каталог среди других компьютеров в сети;
проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.

Слайд 15

Назначение службы каталогов
По мере роста числа объектов в сети служба каталогов начинает

играть все более важную роль.
Можно сказать, что служба каталогов - это та основа, на которой строится вся работа крупной распределенной компьютерной системы.
В сложной сети служба каталогов должна обеспечивать эффективный способ управления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, принтерам, общим папкам и т. д

Слайд 16

Функции службы каталогов
Централизация
Масштабируемость
Стандартизация
Расширяемость
Разделение физической сети
Безопасность
Смысл централизации - уменьшение количества каталогов в сети.
Включение

информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи.
Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), которая нужна, когда возникает необходимость в поиске ресурсов.

Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, - то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.

Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам.
Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги.

Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге

Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов.
Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.

Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации.
Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.

Слайд 17

Основные задачи службы Active Directory
Хранить информацию об объектах сети и предоставлять эту

информацию пользователям и системным администраторам.
Позволять пользователям сети обращаться к общим ресурсам, единожды введя имя и пароль.
Представлять сеть в интуитивно понятном иерархическом виде и позволять централизованно управлять всеми объектами сети.
Повышать степень информационной безопасности за счет разграничения административных полномочий обслуживающего персонала и внедрения современных методов защиты информации.
Позволять спроектировать единую структуру каталога так, как это необходимо в организации, чтобы обеспечить прозрачное использование информационных ресурсов в рамках компании.

Слайд 18

Преимущества Active Directory
Служба каталогов Active Directory является службой, интегрированной с MS Windows

начиная с Windows 2000 Server.
Active Directory обеспечивает иерархическую структуру построения организации, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба позволяет использовать простые и интуитивно понятные имена объектов, которые в ней содержатся, при этом доступ к ней может быть осуществлен с помощью таких инструментов, как программа просмотра ресурсов Интернет.
Распределенные службы безопасности также используют Active Directory в качестве хранилища учетной информации.

Слайд 19

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
учетные записи пользователей,

групп и машин могут быть организованы в виде контейнеров каталога, называемых организационными подразделениями или просто подразделениями.
В домене может быть произвольное число подразделений, организованных в виде древовидного пространства имен.
Это пространство имен может быть выстроено в соответствии с подразделениями и отделами в организации.
Так же как и организационные подразделения, учетные записи пользователей являются объектами каталога и могут быть легко переименованы внутри дерева доменов при перемещении пользователей из одного отдела в другой;

Слайд 20

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
в каталоге Active

Directory поддерживается большое число объектов: размер одного домена не ограничивается производительностью сервера, хранящего учетные записи. Дерево связанных между собой доменов может поддерживать большие и сложные организационные структуры;

Слайд 21

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
администрирование учетной информации

расширено за счет использования графических средств управления Active Directory, а также за счет поддержки OLE в языках сценариев.
Общие задачи могут быть реализованы в виде сценариев, позволяющих автоматизировать администрирование;

Слайд 22

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
служба тиражирования каталогов

позволяет иметь несколько копий учетной информации, причем обновления этой информации могут выполняться в любой копии, а не только на выделенных первичных контроллерах домена.
Протокол LDAP и синхронизация каталогов позволяют обеспечивать механизмы связи каталога Windows с другими каталогами на предприятии;

Слайд 23

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
хранение учетной информации

в Active Directory означает, что пользователи и группы представлены в виде объектов каталога.
Права на чтение и запись могут быть предоставлены как по отношению ко всему объекту целиком, так и по отношению к отдельным его свойствам.
Администраторы могут точно определять, кто именно и какую именно информацию о пользователях может модифицировать.
Например, оператору телефонной службы может быть разрешено изменять информацию о телефонных номерах пользователей, но при этом он не будет обладать привилегиями системного оператора или администратора.

Слайд 24

Преимущества интеграции управления учетными записями со службой каталогов Active Directory
Если в компании-заказчике

заинтересованы в выполнении наиболее сильно интегрированной службы каталога для Windows Server 2003/2008, то Active Directory является логичным выбором.
Другая очень популярная причина, подталкивающая к реализации службы Active Directory, состоит в поддержке Microsoft Exchange Server (Exchange Server полагается на Active Directory для своей службы каталога, поэтому многие администраторы реализуют Active Directory, чтобы модернизироваться до Exchange Server)

Слайд 25

Несколько ключевых преимуществ службы Active Directory Windows Server 2003
Централизованный каталог
Active Directory является

единственной централизованной службой каталога, которая может быть реализована в пределах предприятия. Это упрощает сетевое администрирование, поскольку администраторы не должны соединяться с несколькими каталогами, чтобы выполнять управление учетными записями. Другая выгода от применения централизованного каталога состоит в том, что он может также использоваться другими приложениями, такими как Exchange Server 2000. Это упрощает полное сетевое администрирование, так как используется единая служба каталога для всех приложений.
Единая регистрация.
После успешной идентификации пользователям будет предоставлен доступ ко всем сетевым ресурсам, для которых им было дано разрешение, без необходимости регистрироваться снова на различных серверах или доменах.
Делегированное администрирование.
Active Directory предоставляет администраторам возможность передавать административные права. Используя мастер Delegation Of Control Wizard (Делегирование управления) или устанавливая определенные разрешения на объекты Active Directory, администраторы могут предлагать тонко настроенные административные права. Например, можно назначить определенной учетной записи пользователя административное право сбрасывать пароли в домене, но не создавать, удалять или как-либо изменять пользовательский объект.
Интерфейс общего управления.
Есть несколько способов, которыми можно получить выгоду от интеграции между Active Directory и операционной системой. Один из путей состоит в использовании интерфейса общего управления - консоли управления Microsoft (ММС - Microsoft Management Console). При взаимодействии с Active Directory через графический интерфейс пользователя ММС все инструментальные средства управления дают согласующееся друг с другом впечатление и ощущение от их использования. Для Active Directory эти средства включают Active Directory Users And Computers (Active Directory: пользователи и компьютеры), Active Directory Domains And Trusts (Active Directory: домены и доверительные отношения) и Active Directory Sites And Services (Active Directory: сайты и службы). Оснастки ММС функционируют так же, как все другие средства администрирования Windows Server 2003, например оснастки DHCP и DNS

Слайд 26

Несколько ключевых преимуществ службы Active Directory Windows Server 2003
Интегрированная безопасность
Служба Active Directory

работает рука об руку с подсистемой безопасности Windows Server 2003 при аутентификации безопасных пользователей и обеспечении защиты общедоступных сетевых ресурсов. Сетевая защита в сети Windows Server 2003 начинается с аутентификации во время регистрации. Когда безопасный пользователь входит в домен Windows Server 2003, подсистема защиты вместе с Active Directory создает лексему доступа, которая содержит идентификатор защиты (SID - Security Identifier) учетной записи пользователя, а также идентификаторы SID всех групп, членом которых является данный пользователь. Идентификатор SID является атрибутом пользовательского объекта в Active Directory. Затем лексема доступа сравнивается с дескриптором защиты на ресурсе, и, если устанавливается соответствие, то пользователю предоставляется требуемый уровень доступа.
Масштабируемость.
Поскольку организация либо постепенно растет в процессе бизнеса, либо это происходит быстро, через ряд слияний с другими компаниями и в результате приобретений, служба Active Directory спроектирована масштабируемой, для того чтобы справляться с этим ростом. Можно расширить размер доменной модели или просто добавить больше серверов, чтобы приспособиться к потребностям увеличения объема. Любые изменения в инфраструктуре Active Directory должны быть тщательно реализованы в соответствии с проектом Active Directory, который предусматривает такой рост. Отдельный домен, представляющий самый маленький раздел инфраструктуры Active Directory, который может реплицироваться на единственный контроллер домена, может поддерживать более одного миллиона объектов, так что модель отдельного домена подходит даже для больших организаций.

Слайд 27

Основные понятия службы каталогов
Область действия (scope) AD
Может включать отдельные сетевые объекты (принтеры,

файлы, имена пользователей), серверы и домены в отдельной глобальной сети.
Active Directory может быть настроена на управление как отдельным компьютером, так и компьютерной сетью или группой сетей.

Слайд 28

Основные понятия службы каталогов
Active Directory, как и любая другая служба каталогов, является

прежде всего пространством имен.
Пространство имен - это такая ограниченная область, в которой может быть распознано данное имя.
Распознавание имени заключается в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует.

Слайд 29

Основные понятия службы каталогов Пространство имен

Слайд 30

Основные понятия службы каталогов
Объект - это непустой, именованный набор атрибутов, обозначающий нечто

конкретное, например пользователя, принтер или приложение.
Атрибуты содержат информацию, однозначно описывающую данный объект.
Атрибуты пользователя могут включать имя пользователя, его фамилию и адрес электронной почты

Слайд 31

Основные понятия службы каталогов
Контейнер аналогичен объекту в том смысле, что он также

имеет атрибуты и принадлежит пространству имен.
Однако, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры

Слайд 32

Основные понятия службы каталогов
Термин "дерево" используется для описания иерархии объектов и контейнеров.
Как

правило, конечными элементами дерева являются объекты. В узлах (точках ветвления) дерева располагаются контейнеры.

Слайд 33

Основные понятия службы каталогов
Дерево отражает взаимосвязь между объектами или указывает путь от

одного объекта к другому.
Простой каталог представляет собой контейнер.
Компьютерная сеть или домен тоже являются контейнерами.
Непрерывным поддеревом называют любую непрерывную часть дерева, включающую все элементы каждого входящего в нее контейнера

Слайд 34

Основные понятия службы каталогов
Служба Active Directory допускает существование двух типов имен, используемых

для идентификации объектов:
Уникальное имя. Каждый объект в Active Directory имеет уникальное имя (Distinguished Name, DN).
Относительное имя. Относительное уникальное имя объекта (Relative Distinguished Name, RDN)

Слайд 35

Основные понятия службы каталогов
Уникальное имя. Каждый объект в Active Directory имеет уникальное

имя (Distinguished Name, DN).
Это имя содержит указание на домен, в котором находится объект, и полный путь в иерархической структуре контейнеров, который приводит к данному объекту.
Типичным уникальным именем (DN) является имя: /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith. Это имя обозначает объект типа "пользователь"с именем "James Smith", находящийся в домене Microsoft.com.

Слайд 36

Основные понятия службы каталогов
Относительное имя.
Относительное уникальное имя объекта (Relative Distinguished Name, RDN)

- это та часть имени, которая сама является частью атрибута объекта.
В приведенном выше примере RDN-именем объекта "James Smith"служит групповое имя (CN) CN=James Smith.
RDN-именем родительского объекта является имя CN=Users

Слайд 37

Основные понятия службы каталогов
Microsoft.com
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith
Distinguished Name, DN (Уникальное имя)

Слайд 38

Основные понятия службы каталогов
Active Directory может состоять из одного или нескольких контекстов

имен или сегментов (разделов).
Контекстом имен может быть любое непрерывное поддерево каталога.
Контексты имен являются единицами репликации.
В Active Directory каждый сервер всегда содержит не менее трех контекстов имен:
логическую структуру;
конфигурацию (топологию репликации и соответствующие метаданные);
один или несколько пользовательских контекстов имен (поддеревья, содержащие объединенные в каталог объекты).

Слайд 39

Основные понятия службы каталогов
Домен - это единая область, в пределах которой обеспечивается

безопасность данных в компьютерной сети под управлением ОС Windows
(Более подробно – см. документацию по ОС Windows).

Слайд 40

Основные понятия службы каталогов
Active Directory состоит из одного или нескольких доменов.
Применительно к

отдельной рабочей станции доменом является сама станция. Границы одного домена могут охватывать более чем одно физическое устройство.

Слайд 41

Основные понятия службы каталогов
Каждый домен может иметь свои правила защиты информации и

правила взаимодействия с другими доменами.
Если несколько доменов связаны друг с другом доверительными отношениями и имеют единую логическую структуру, конфигурацию и глобальный каталог, то говорят о дереве доменов.

Слайд 42

Основные понятия службы каталогов
Поскольку домены разграничивают зоны безопасности, специальный механизм, называемый доверительными

отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)]
Windows Server 2003 поддерживает шесть типов доверительных отношений:
Доверие к родительскому и дочернему доменам
Доверие к корневому домену дерева
Доверие к внешнему домену
Доверие к сокращению
Доверие к сфере
Доверие к лесу

Слайд 43

Основные понятия службы каталогов Доверительные отношения
Доверие к родительскому и дочернему доменам
Active Directory автоматически

выстраивает транзитивные двусторонние доверительные отношения между родительскими и дочерними доменами в дереве доменов.
При создании дочернего домена доверительные отношения автоматически формируются между дочерним доменом и его родителем.
Эти отношения двусторонние.
Доверие также является транзитивным, т. е. контроллеры доверяемого домена пересылают запросы на аутентификацию контроллерам доверяющих доменов.

Слайд 44

Основные понятия службы каталогов Доверительные отношения
Доверие к корневому домену дерева
Двусторонние транзитивные доверительные отношения

автоматически создаются и между корневыми доменами деревьев в одном лесу.
Это резко упрощает управление доменами по сравнению с тем, что было в версиях Windows, предшествовавших Windows 2000. Больше не нужно конфигурировать отдельные односторонние доверительные отношения между доменами.

Слайд 45

Основные понятия службы каталогов Доверительные отношения
Доверие к внешнему домену
Внешнее доверие используется, когда нужно

создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0.
Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие, которое является односторонним

Слайд 46

Основные понятия службы каталогов Доверительные отношения
Доверие к сокращению
Доверие к сокращению - это способ

создания прямых доверительных отношений между двумя доменами, которые могут быть уже связаны цепочкой транзитивных доверий, но нуждаются в более оперативном реагировании на запросы друг от друга

Слайд 47

Основные понятия службы каталогов Доверительные отношения
Доверие к сфере
Доверие к сфере служит для подключения

домена Windows Server 2003 к сфере Kerberos (управление идентификацией), которая не поддерживает Windows и использует протокол защиты Kerberos V5.
Доверие к сфере может быть транзитивным или нетранзитивным, одно- или двусторонним

Слайд 48

Основные понятия службы каталогов Доверительные отношения
Доверие к лесу
Доверие к лесу упрощает управление несколькими

лесами и обеспечивает более эффективное защищенное взаимодействие между ними.
Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user IDentification, ID), что и в его собственном лесу

Слайд 49

Основные понятия службы каталогов
Дерево доменов состоит из нескольких доменов, которые имеют общую

логическую структуру и конфигурацию и образуют непрерывное пространство имен.
Домены в дереве связаны между собой доверительными отношениями.
Active Directory является множеством, которому принадлежат одно или несколько деревьев доменов

Слайд 50

Основные понятия службы каталогов
Дерево доменов графически можно представить двумя способами:
Представление доменного дерева

через доверительные отношения между доменами.
Доверительные отношения между доменами в ОС Windows 2000 устанавливаются на основе протокола безопасности Kerberos. Отношения, созданные с помощью этого протокола, обладают свойствами транзитивности и иерархичности: если домен А доверяет домену В и домен В доверяет домену С, то домен А доверяет и домену С.
Представление доменного дерева через пространство имен доменного дерева.
Доменное дерево можно также представить с помощью пространства имен. Уникальное имя объекта можно определить, двигаясь вверх по доменному дереву начиная с объекта. Такой метод оказывается удобным при объединении объектов в логическую иерархическую структуру. Главное достоинство непрерывного пространства имен состоит в том, что глубокий поиск, проводимый от корня дерева, позволяет просмотреть все иерархические уровни пространства имен.
Несколько доменных деревьев могут быть объединены в лес

Слайд 51

Основные понятия службы каталогов
Лесом называется одно или несколько деревьев, которые не образуют

непрерывного пространства имен.
Все деревья одного леса имеют общие логическую структуру, конфигурацию и глобальный каталог.
Все деревья данного леса поддерживают друг с другом транзитивные иерархические доверительные отношения, устанавливаемые на основе протокола Kerberos.

Слайд 52

Основные понятия службы каталогов
В отличие от дерева, лес может не иметь какого-то

определенного имени.
Лес существует в виде совокупности объектов с перекрестными ссылками и доверительных отношений на основе протокола Kerberos, установленных для входящих в лес деревьев.
Поддержка протокола Kerberos требует, чтобы деревья одного леса составляли иерархическую структуру: имя дерева, располагающегося в корне этой структуры, может использоваться для обозначения всего данного леса деревьев.

Слайд 53

Основные понятия службы каталогов
Организационные единицы (Organizational Units, OU) или организационные подразделения (ОП)

позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена.
По расположению
По функциям
По орг.структуре
В основном это дает возможность делегировать административные задачи в домене.
До появления Active Directory домен был наименьшим контейнером, которому могли быть назначены административные разрешения.

Слайд 54

Основные понятия службы каталогов
Узлом (сайтом) называется такой элемент сети, который содержит серверы

Active Directory.
Узел обычно определяется как одна или несколько подсетей, поддерживающих протокол TCP/IP и характеризующихся хорошим качеством связи, которое подразумевает высокую надежность и скорость передачи данных.
Определение узла как совокупности подсетей позволяет администратору быстро и без больших затрат настроить топологию доступа и репликации в Active Directory и полнее использовать достоинства физического расположения устройств в сети.

Слайд 55

Основные понятия службы каталогов
Сайты являются способом физической (а не логической) группировки на

основе подсетей IP.
Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть).
Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов.
При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами

Слайд 56

Основные понятия службы каталогов
Когда пользователь входит в систему, клиент Active Directory ищет

серверы Active Directory, расположенные в узле пользователя. Поскольку компьютеры, принадлежащие к одному узлу, в масштабах сети можно считать расположенными близко друг к другу, связь между ними должна быть быстрой, надежной и эффективной.
Распознавание локального узла в момент входа в систему не составляет труда, так как рабочая станция пользователя уже знает, в какой из подсетей TCP/IP она находится, а подсети напрямую соответствуют узлам Active Directory.

Слайд 57

Архитектура Active Directory Модель данных
Active Directory хранит информацию о сетевых ресурсах:
данные пользователей
описания принтеров
описания

серверов
описания баз данных
группы
компьютеры
политики безопасности

называются объектами.

Слайд 58

Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс.
Архитектура Active

Directory Модель данных

Схема объектов Active Directory и их атрибуты

Слайд 59

Архитектура Active Directory Модель данных
Для каждого класса объектов логическая структура определяет
какие атрибуты обязательно

должен иметь представитель данного класса
какие дополнительные атрибуты он может иметь
какой класс объектов может являться родительским по отношению к данному классу.

Слайд 60

Архитектура Active Directory Модель данных
Схема Active Directory
содержит формальное описание содержания и структуры Active

Directory
все атрибуты,
классы,
свойства классов.

Слайд 61

Архитектура Active Directory Функциональная структура
Многоуровневая архитектура Active Directory
Directory System Agent, DSA
Выстраивает иерархию

наследственных ("предок-потомок") отношений, хранящихся в каталоге
Предоставляет API-интерфейсы для вызовов доступа к каталогу.
Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA

Уровень БД
Предоставляет уровень абстрагирования между приложениями и БД.
Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД

Расширяемое ядро хранения
Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта

Хранилище данных (файл БД NTDS.dit)
Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена

LDAP
Клиенты, поддерживающие LDAP, используют его для связи с DSA
Active Directory поддерживает LDAP версии 2
Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3

API-интерфейс обмена сообщениями (Messaging API)
Традиционные клиенты MAPI, (Microsoft Outlook, …) подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC

Диспетчер учетных записей безопасности (Security Accounts Manager)
Репликация с резервных контроллеров в домене смешанного режима выполняется через интерфейс SAM

Репликация
При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC

ADSI
(Active Directory Service Interface)
является API -средством для доступа к Active Directory
ADSI Scripting для автоматизаци

LDAP/ADSI
Active Directory использует только LDAP.

Введение в Active Directory

Содержание

Литература:http://technet.microsoft.comhttp://www.techdays.ru/videos/2089.htmlД. В. Чижиков Методология внедрения Microsoft Active Directory (Есть в эл. виде