8265

Рис. 3.2 Домен WindowsServer.

В типичный домен входят компьютеры следующих типов. Контроллеры домена под управлением WindowsServer. Хранят и под-

держивают копию каталога.

Рядовые серверыдомена под управлением WindowsServer. Рядовыми (memberserver) называют серверы, не сконфигурированные как контроллеры домена. На таком сервере не хранится информация каталога и не выполняется авторизация пользователей. Рядовые серверы предоставляют доступ к своим ресурсам (папкам или принтерам).

Клиентские компьютеры под управлением WindowsProfessional.

С запущенным окружением рабочего стола позволяют пользователям получать доступ к ресурсам домена.

ДЕРЕВО - группировка или иерархия одного или нескольких доменов, предоставляющих совместный доступ к ресурсам.

Все домены в дереве предоставляют единый доступ к информации и ресурсам.

Дерево доменов содержит только один каталог, в который каждый домен предоставляет свою часть каталога, содержащую данные об учетных записях «своих пользователей».

В пределах дерева пользователь, вошедший в систему в одном домене, может обращаться к ресурсам другого в течение всего срока действия соответствующих разрешений.

12

WindowsServerсобирает информацию со всех доменов в один каталог, обеспечивая доступ к нему из каждого домена. Каждый домен автоматически создает индекс информации своего подраздела в ActiveDirectory, хранящийся на контроллерах домена. Пользователи по этому индексу осуществляют поиск других пользователей, компьютеров и ресурсов по дереву доменов. Все домены в пределах дерева обеспечивают доступ:

К общей схеме (schema) – формальному описанию объектов в хранили-

ще ActiveDirectory.

К общему глобальному каталогу (globalcatalog) – центральному репозитарию информации об объектах дерева или леса.

К общему пространству имен и иерархической структуре имен. Про-

странство имен (namespace) – набор правил именования, обеспечивающих иерархическую структуру, или путь дерева.

ЛЕС – объединение одного или более деревьев – позволяет группировать подразделения предприятия (или два предприятия для объединения их сетей), которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными.

Деревья в лесу обеспечивают доступ к одинаковой схеме и правилам совместной работы объектов. Все домены леса имеют единый глобальный каталог и конфигурационный контейнер.

Лес – объединение одного или более деревьев – позволяет группировать подразделения предприятия (или два предприятия для объединения их сетей), которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными. Деревья в лесу обеспечивают доступ к одинаковой схеме и правилам совместной работы объектов. Все домены леса имеют единый глобальный каталог и конфигурационный контейнер.

Леса различаются по:

Одному или более набору деревьев.

Несвязанному пространству имен между этими деревьями.

Доверительным отношениям между деревьями по протоколу Kerberos.

Общей схеме.

Способности отображать любой объект в глобальном каталоге.

Объекты деревьев домена, образующие лес, доступны всем его пользовательским объектам.

При доступе к объекту другого дерева пользователю надо знать его полное доменное имя или обеспечить удобный просмотр множества полных имен доменов при поиске ресурса во всей сети.

13

1.2.Сервер и его роли

Работающим серверам внутри домена, может назначаться одна из двух ролей: рядовой сервер или контроллер домена. Сервер, находящийся вне домена, называется выделенным сервером.

Рядовой сервер - компьютер, который:работает под управлением операционной системы Windows Server;подключен к домену;не является контроллером домена.

Рядовой сервер не обрабатывает информацию о входе пользователей в сеть, не участвует в репликации Active Directory и не хранит сведений о политике безопасности домена.

Рядовые серверы обычно выполняют функции файловых серверов, серверов приложений, серверов баз данных, веб-серверов, серверов сертификатов, брандмауэров или серверов удаленного доступа.

Но для всех рядовых серверов установлены общие задачи, связанные с безопасностью:

Рядовые серверы придерживаются политики безопасности, определенной для домена.Пользователи рядовых серверов имеют назначенные права пользователей.На рядовом сервере находится база данных локальной политики учетных записей.

Контроллер домена - компьютер, который:работает под управлением операционной системы семейства WindowsServer;использует ActiveDirectory для хранения копии базы данных домена, доступной для чтения и записи, участвует в репликации с несколькими хозяевами и проверяет пользователей при входе в сеть.

Контроллеры домена хранят данные каталога и управляют взаимодействием между пользователями и доменом, а именно: процессом входа в домен, проверкой подлинности и поиском в каталоге. Контроллеры домена синхронизируют данные каталога путем репликации с несколькими хозяевами, постоянно проверяя согласованность информации.

Репликацией является процесс копирования обновленных данных из хранилища или файловой системы на исходном компьютере в соответствующее хранилище или файловую систему на одном или нескольких конечных компьютерах с целью синхронизации их работы.

В ActiveDirectoryпри репликации между контроллерами домена синхронизируются схема, конфигурация, приложения и разделы каталога домена.ActiveDirectoryподдерживает репликацию данных каталога с несколькими хозяевами между всеми контроллерами домена в домене.

Однако для репликации некоторых данных каталога репликация с не-

14

сколькими хозяевами недопустима.В этом случае данные будет обрабатывать контроллер домена, называемый хозяином операций.

Лес ActiveDirectoryподдерживает не менее пяти ролей хозяина операций, назначаемых одному или нескольким контроллерам домена.

При изменении вычислительной среды иногда возникает необходимость изменить роли серверов.При помощи мастера установки ActiveDirectoryможно установить ActiveDirectoryна рядовом сервере, сделав его, таким образом, контроллером домена.

Можно также сделать контроллер домена рядовым сервером, удалив с него ActiveDirectory.Выделенный сервер или изолированный сервер - Компьютер, работающий под управлением или WindowsServer, но не входящий в домен.Изолированный сервер содержит только собственную базу данных пользователей и самостоятельно обрабатывает запросы на вход в систему.

Изолированный сервер не участвует в совместном (с другими компьютерами) использовании данных учетных записей и не может предоставить доступ к учетным записям домена, однако он может входить в рабочую группу.

1.3.Роли хозяев операций

Active Directory поддерживает репликацию с несколькими хозяевами хранилища данных каталога между всеми контроллерами домена, таким образом, все контроллеры домена являются по существу узлами.

Однако некоторые изменения не рекомендуется выполнять в данном режиме, таким образом, для каждого типа этих изменений только один контроллер домена, называемый хозяином операции, принимает на них запросы.

Каждый лес поддерживает, как минимум пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена.

Роли хозяина операций на уровне всего леса должны быть в составе каждого леса в одном экземпляре. Роли хозяина операций на уровне всего домена должны быть в составе каждого домена в одном экземпляре.

Роли хозяев операций иначе называют ролями FSMO (FlexibleSingleMasterOperations).

Роли хозяина операций на уровне всего леса.Каждый лес должен содержать следующие роли.

Хозяин схемы управляет всеми обновлениями и изменениями схемы. Для обновления схемы леса необходимо иметь доступ к хозяину схемы. В составе леса может существовать только один хозяин схемы.

15

Хозяин именования домена - Контроллер домена, выполняющий роль хозяина именования домена, управляет операциями добавления или удаления доменов в составе леса. В составе леса может существовать только один хозяин именования домена.

Роли хозяина операций на уровне всего домена

Каждый домен ActiveDirectory должен содержать следующие роли.

Хозяин относительных идентификаторов назначает ряд относи-

тельных идентификаторов каждому контроллеру в своем домене. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина относительных идентификаторов.

Каждый раз при создании объекта пользователя, группы или компьютера, контроллер домена назначает данному объекту уникальный код безопасности SID.

Рис. 3.3 Процесс смены хозяина операций.

Хозяин RIDКод безопасности SID SecurityIdentifierсостоит из кода безопасности домена, который одинаков для всех кодов безопасности, созданных в этом домене, и относительного кода безопасности RID, уникального для каждого кода безопасности, созданного в домене.

Хозяинэмулятора PDC Primary Domain Controller

16

Если в домене есть компьютеры без установленного клиентского программного обеспечения Windows или WindowsXP Professional или резервные контроллеры домена Windows NT, хозяин эмулятора PDC работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина эмулятора PDC.

Хозяина эмулятора PDC по умолчанию является ответственным за синхронизацию времени на всех контроллерах домена. Он устанавливает время в соответствии с произвольный контроллером родительского домена. Для эмулятора PDC родительского домена должна быть настроена синхронизация с внешним источником времени.

Хозяин инфраструктуры

Влюбой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры.

Хозяин инфраструктуры отвечает за обновление ссылок из объектов его домена на объекты в других доменах. Хозяин инфраструктуры сравнивает свои данные с данными в глобальном каталоге.

Глобальные каталоги регулярно получают обновления для объектов во всех доменах через репликацию, поэтому данные в глобальных каталогах всегда являются самыми последними.Если хозяин инфраструктуры обнаруживает у себя устаревшие данные, он запрашивает обновленные данные из глобального каталога.

Затем хозяин инфраструктуры выполняет репликацию обновленных данных на другие контроллеры домена.

Вдомене с несколькими контроллерами не следует назначать роль хозяина инфраструктуры контроллеру, который поддерживает глобальный каталог.Если хозяина инфраструктуры и глобальный каталог расположить на одном контроллере домена, то хозяин инфраструктуры не будет работать.

Он не сможет находить устаревшие данные и выполнять репликацию изменений на другие контроллеры домена.

Хозяин инфраструктуры также отвечает за обновление ссылок «группапользователь» при переименовании или изменении членов группы.

При переименовании или перемещении члена группы (и размещении данного члена в другом домене, отличном от домена этой группы) он может временно не отображаться в группе.

17

Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена.

Это предотвращает потерю пользователем членства в группе при переименовании или перемещении его учетной записи.

Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.

1.4.Роли сервера

Операционные системы семейства Windows Serverпредоставляют несколько ролей серверов.

Настраивать роли сервера можно, установив роль сервера при помощи мастера настройки сервера и управляя ролями сервера при помощи программы «Управление данным сервером».

По окончании установки роли сервера программа «Управление данным сервером» запускается автоматически.

Роль файлового сервера

Файловый сервер предоставляет доступ к файлам и управляет им.

Если планируется использовать дисковое пространство данного компьютера для хранения, управления и общего доступа к данным в виде файлов и доступных в сети приложений, то данный компьютер следует настроить как файловый сервер.

После того как задана роль файлового сервера, появляется возможность выполнять следующие действия.Отслеживать и ограничивать дисковое пространство, доступное отдельным пользователям, используя дисковые квоты на томах.Также можно задать, что необходимо регистрировать в журнале — превышение пользователем заданного дискового пространства или превышение пользователем указанного порога предупреждения.

Использовать Службу индексирования для быстрого и безопасного поиска информации.

Роль сервера печати

Сервер печати предоставляет доступ к принтерам и управляет им. Если планируется удаленное управление принтерами, управление принтерами при помощи Инструментария управления Windows (WMI) или печать с сервера или компьютера клиента на сервер печати, используя URL-адрес (Единый указатель ресурсов (англ. URL — UniformResourceLocator) — единообразный локатор (определитель местонахождения) ресурса, то данный компьютер следует настроить как сервер печати.

18

Роль сервера приложений

Сервер приложений представляет собой базовую технологию, обеспечивающую инфраструктуру ключа и службы, для приложений, находящихся в системе.

Роль почтового сервера

Для предоставления пользователям служб электронной почты После того как задана роль почтового сервера, появляется возможность

выполнять следующие действия.Использовать службу POP3 для хранения учетных записей электронной почты и управления ими на почтовом сервере.

Включить доступ пользователя к почтовому серверу, чтобы он мог получать электронную почту со своего локального компьютера при помощи поддерживающего протокол POP3 клиента электронной почты (например,

MicrosoftOutlook).

Роль сервера терминалов

При помощи сервера терминалов можно предоставить одну точку установки, позволяющую нескольким пользователям получить доступ к любому компьютеру под управлением операционной системы WindowsServer. Пользователи могут запускать программы, сохранять файлы и использовать ресурсы сети с удаленного компьютера так, как если бы эти ресурсы были установлены на их компьютере.

Роль сервера удаленного доступа и VPN-сервера

Маршрутизация и удаленный доступ обеспечивают полнофункциональный программный маршрутизатор, удаленное соединение и соединение виртуальных частных сетей

После того как задана роль сервера удаленного доступа или VPNсервера, появляется возможность выполнять следующие действия.Контролировать время и место доступа пользователей в сеть. Использовать службы преобразования сетевых адресов (NAT) для компьютеров в сети.Создавать собственные сетевые решения, используя интерфейсы программирования приложений.

Роль контроллера домена

Контроллеры домена хранят данные каталога и управляют взаимодействием между пользователями и доменом, а именно: процессом входа в домен, проверкой подлинности и поиском в каталоге.

Если планируется позволить службе каталогов ActiveDirectoryуправлять пользователями и компьютерами, следует настроить данный сервер как контроллер домена.

19

После того как задана роль контроллера домена, появляется возможность выполнять следующие действия.Сохранять данные каталога и делать их доступными для пользователей сети и администраторов. ActiveDirectoryхранит сведения об учетных записях пользователей (например, имена, пароли, номера телефонов и тому подобные сведения) и позволяет другим пользователям той же сети, прошедшим проверку, получать доступ к этим сведениям. Создавать дополнительные контроллеры домена в существующем домене для повышения доступности и надежности сетевых служб. Повысить производительность сети между сайтами путем размещения контроллера домена на каждом сайте. Размещение контроллера домена в каждом сайте позволяет выполнять процесс входа в сеть внутри сайта без использования медленных подключений между сайтами.

Роль DNS-сервера

DNS представляет собой службу разрешения имен TCP/IP, используемую в Интернете. Служба DNS позволяет компьютерам клиентов в сети регистрировать и сопоставлять понятные имена DNS. Если планируется сделать ресурсы сети доступными в Интернете, сервер следует настроить как DNS-сервер.

Роль DHCP-сервера

Протокол DHCP (DynamicHostConfigurationProtocol) — это стандарт протокола IP, разработанный для уменьшения сложности администрирования настроек адресов, используя компьютер сервера для централизованного управления IP-адресами и другими связанными подробностями настройки, используемыми в сети. Если планируется выполнять распределение адресов многоадресной рассылки и получать клиентские IP-адреса и связанные динамически параметры конфигурации, следует настроить сервер как DHCPсервер.

После того как задана роль сервера DHCP, появляется возможность выполнять следующие действия.Централизованно управлять IP-адресами и связанной с ними информацией. Использовать DHCP для предотвращения конфликтов адресов. Настраивать серверы таким образом, чтобы поддерживать полный диапазон дополнительных значений настройки при назначении аренды адреса. Это позволит значительно снизить время, затрачиваемое на настройку и перенастройку компьютеров в сети. Использовать при частом обновлении конфигурации клиентов (например, для пользователей с переносными компьютерами, часто меняющими расположение) процесс обновления аренды DHCP с целью гарантировать эффективное и автоматическое

20

внесение нужных изменений клиентами за счет обращения непосредственно к DHCP-серверам.

Роль сервера потоков мультимедиа

Серверы потоков мультимедиа позволяют организации использовать службы WindowsMedia. С помощью служб WindowsMediaможно управлять содержимым этих служб, включая потоковые аудио- и видеоданные, архивировать его и доставлять через интрасеть или Интернет. Если планируется использовать цифровое мультимедиа в режиме реального времени через удаленное Интернет соединение или через локальную сеть, следует настроить сервер как сервер потоков мультимедиа.

Роль WINS-сервера

Серверы WindowsInternetNameService (WINS) отображают IP-адреса в

NetBIOS имена компьютеров и NetBIOS-имена компьютеров обратно в IPадреса. Используя серверы WINS в организации, можно осуществлять поиск ресурсов по имени компьютера, которое проще запомнить, вместо его IPадреса. Если планируется отображать NetBIOS-имена в IP-адреса или централизованно управлять базой данных, сопоставляющей имена и адреса, следует настроить сервер как WINS-сервер.

1.5.Управляющие оснастки ActiveDirectory. Делегирование административных полномочий.

В распоряжении администратора имеется множество инструментов, посредством которых он может создавать или удалять объекты ActiveDirectory, a также изменять их атрибуты. Некоторые из этих инструментов позволяют управлять отдельными объектами, другие позволяют управлять группами объектов (так называемый пакетный режим). Многие задачи могут быть выполнены любым из этих инструментов.

Стандартные, устанавливаемые по умолчанию оснастки — стандартные утилиты с графическим интерфейсом, позволяющие осуществлять управление только отдельными объектами и имеющие ограниченные возможности по выполнению групповых операций

Управляющие оснастки ActiveDirectory:

ActiveDirectoryUsersandComputers позволяет работать с пользователя-

ми, контактами, группами, компьютерами, пользователями из внешних служб каталога, принтерами, общими папками и организационными единицами.

ActiveDirectorySitesandServices предназначена для манипулирования сайтами, подсетями, связями и соединениями.

21