Active Directory
Обеспечением поддержки сети с выделенным сервером занимается контроллер домена – сервер, на котором хранится вся общая для домена (структурной единицы сети с выделенным сервером) информация. Повысить роль компьютера под управлением Windows Server 2003 до контроллера домена, установить службу каталога Active Directory, создать сеть с выделенным сервером на базе Windows Server 2003 – синонимичные понятия.
Служба каталога и есть основной программный инструментарий сети с выделенным сервером. Среди функций службы каталога – администрирование сетевых ресурсов, пользователей и групп, приложений, функционирование сети.
Структура Active Directory
Физическая структура Active Directory представляет собой файл, расположенный на жестком диске каждого контроллера домена, который содержит эту службу.
Логическая структура Active Directory представляет собой контейнеры, содержащие объекты службы каталога.
Основные понятия логической структуры
Пространство имен - это любая ограниченная область, где возможно разрешение имени.
Объект - это отличительный набор именованных атрибутов, описывающих ресурс.
Атрибутами - это характеристика объекта в каталоге.
Организационное подразделение - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена.
Домен - совокупность компьютеров, характеризующаяся общей базы учетных записей пользователей и единой политикой безопасности.
Контроллер домена - сервер, являющийся носителем глобальной копии каталога.
Дерево - это группировка или иерархия одного или нескольких доменов
Лес - объединение одного и более деревьев - позволяет группировать сети подразделений организации или нескольких организаций, которые не используют одинаковую схему именования.
Схема - содержит формальное описание содержания и структуры хранилища Active Directory, включая все атрибуты, классы и свойства классов.
Глобальный каталог - это центральное хранилище информации об объектах в дереве доменов и лесе Active Directory. Содержимое глобального каталога генерируется автоматически во время стандартного процесса репликации данных между контроллерами доменов.
Физическая структура
Контроллер домена - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена).
IP-сеть - это описание некоторой IP-сети, являющейся частью сайта Active Directory. Обычно IP-сети Active Directory соответствуют IP-сетям, используемым в локальной сети организации.
Сайт - это совокупность одной или нескольких IP-сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах.
Структурные единицы AD
Структурировать сеть в AD можно в нескольких направлениях. С одной стороны, можно делить домен на организационные подразделения. С другой – объединять домены в деревья и леса. При этом частичная копия информации о ресурсах _всех_ доменов будет храниться на всех контроллерах домена, являющихся носителями глобальной копии каталога.
Причины использования и преимущества
Active Directory – служба, появившаяся в Windows 2000 и значительно отличающаяся по возможностям от сетей на базе предыдущих версий Windows.
Общее отличие – ориентированность на большие корпоративные сети. В частности, за исключением ролей, контроллеры домена в Windows 2000 и Windows Server 2003 равноправны (нет Primary Domain Controller и Backup Domain Controller). Кроме того, внутри домена возможно существование до 10 миллионов объектов, разрешённых схемой.
Доверительные отношения
При этом в случае создания деревьев и лесов автоматически устанавливаются неявные двусторонние транзитивные доверительные отношения между родительским и дочерним доменами в дереве, а также между корневыми доменами деревьев леса. Таким образом, между всеми доменами леса существуют двусторонние доверительные отношения, либо непосредственно автоматически созданные, либо существующие в результате применения правила транзитивности.
Именование объектов
LDAP-имя:
DC=ru, DC=ifmo, OU=cde, CN=ivanov
UPN-имя:
ivanov@cde.ifmo.ru
GUID-имя
FFE67AB2987FF1156741CCBE5EE13467
В иерархической структуре каталога почти все системы именования отражают иерархию (например, LDAP-имя, UPN-имя), однако, существует Globally Unique Identifier – глобально уникальный идентификатор – многоразрядное шестнадцатеричное число, уникальное для любого вновь создаваемого объекта в каталоге. Уникальность обеспечивается в мировом масштабе за счёт использования некоторых аппаратных составляющих (например, физический адрес сетевого адаптера, также уникальный в мировом масштабе) + случайные добавки. Таким образом, например, при создании копии пользователя с абсолютно теми же характеристиками (имя, имя входа, пароль и т.д.) она получит новый GUID и будет новым объектом каталога.
Делегирование полномочий
На уровне узла
На уровне домена
На уровне организационной единицы
В организационной иерархии могут присутствовать несколько администраторов, управляющих разными ОП. Администратор домена делегирует полномочия управления разными объектами (узлом, доменом, ОП) другим пользователям.
Управление
Основной набор (Administration Utilities – Adminpack.msi) Win Server Support Tools Win Server Resource Kit
Для управления AciveDirectory используется базовый набор утилит, а также дополнительные пакеты. Базовый набор устанавливается при установке ActiveDirectory, а также может быть вручную установлен на рабочую станцию или рядовой сервер из инсталляционного пакета в формате Microsoft Installer 2.0 под названием Adminpack.msi. Дополнительный пакет Windows 2000 Server Support Tools содержит ряд дополнительных графических утилит для администрирования. Support Tools поставляется вместе с Windows, но устанавливается вручную, отдельно от ActiveDirectory. Resource Kit – дополнительный пакет, содержащий сотни утилит, в том числе командной строки, а также для выполнения в качестве скриптов веб-сервера.
Типы пользователей (локальные и доменные)
При развёртывании службы каталога сеть приобретает выделенный сервер, а значит и доменных пользователей. В то же время на каждой рабочей станции-клиенте остаётся своя локальная база пользователей. Таким образом, после включения рабочей станции в домен у входящего в систему пользователя возникает две альтернативные возможности: войти локально на рабочую станцию или войти в домен. Вход в домен означает получение всех прав, назначенных для доменных пользователей на сетевые ресурсы.
Свойства учётной записи
В схеме ActiveDirectory класс «пользователь» имеет множество атрибутов: имя, фамилия, отображаемое на экране имя и множество других. Необходимо отметить, что атрибуты «имя» и «имя пользователя» не совпадают, при входе в систему необходимо использовать атрибут «имя входа».
При помощи свойств доменного пользователя можно задать время по дням недели, когда доменный пользователь может войти в систему.
Ограничить можно и рабочие станции, с которых разрешается вход пользователя.
Профили пользователей
Профиль пользователя – специальная папка файловой системы, в которой хранятся различные пользовательские настройки и документы. В зависимости от места хранения и возможности внесения изменений профили делятся на локальные, перемещаемые и обязательные. Локальные профили хранятся на компьютере в локальной файловой системе и всегда изменяются при изменении настроек пользователем. Перемещаемые профили хранятся в сетевых ресурсах и также изменяемы. Обязательные профили хранятся в сетевых ресурсах и неизменяемы пользователем. Например, при изменении фона рабочего стола (настройка, входящая в профиль) в случае обязательного профиля фон рабочего стола останется прежним при повторном входе в систему пользователя.
Содержимое профиля
Windows Explorer
My Documents
My Pictures
Favourites
Диски
My Network Places
Desktop
Control Panel
Accessories
Application Data
Recent
Templates
Start Menu
Local Settings
NTUSER.DAT
В профиле находится несколько папок с соответствующими настройками: настройки проводника Windows, содержимое папки Мои документы, ярлык которой стандартно выводится на рабочем столе, папок Мои картинки, Избранное, настройки сетевых дисков, часто посещаемых ресурсов локальной сети, рабочего стола, панели управления, стандартных приложений, папка «Данные приложений», содержащая данные, записываемые некоторыми приложениями (например, письма Microsoft Outlook), папка с ярлыками для недавно открытых документов, папка шаблонов (например, программы MS Word), папка с настройками меню Пуск, папка с некоторыми локальными настройками и файл с содержимым, непосредственно записываемым в реестр – NTUSER.DAT. Именно к переименованию этого файла сводится превращение перемещаемого профиля в обязательный. Файл нужно переименовать с NTUSER.DAT в NTUSER.MAN.
Группы пользователей создаваемые при установке службы
Безопасности
Распространения
Важным вопросом является создание групп пользователей в службе каталога. Рассмотрим их типы и те группы, которые автоматически создаются при установке службы. По функциональному назначению группы делятся на группы безопасности и распространения. Первые используются для назначения прав пользователей, вторые – для рассылки электронной почты.
Группы пользователей по области действия
По области действия различают локальные группы (и пользователи, и назначаемые права – локального компьютера), локальные домена (и пользователи, и ресурсы, на которые назначаются права – из локального домена), глобальные (пользователи из любого домена сети, ресурсы – локальные) и универсальные – пользователи и ресурсы из любого домена сети.
Встроенные глобальные группы
Domain Admins
Domain Users
Domain Guests
Enterprise Admins
При развёртывании службы каталога ActiveDirectory автоматически создаются группы, называемые встроенными. Из глобальных групп это Администраторы домена (им предоставлен доступ к созданию, удалению и редактированию объектов домена), Пользователи домена (все пользователи, хранящиеся в службе каталога), Гости домена (пользователи с неавторизованным доступом, по умолчанию отключены), Администраторы предприятия (наряду с правами администратора домена, эти пользователи имеют возможность создания многодоменных структур.
Встроенные локальные группы домена
Операторы учётных записей
Администраторы
Операторы резервного копирования
Гости
Группа совместимости с pre-Windows 2000
Операторы печати
Репликаторы
Операторы сервера
Пользователи
Встроенные локальные группы на рабочей станции
Если в настройках безопасности, производимых на сервере, в процессе настройки выбирается из списка одна из встроенных глобальных групп, а затем эти настройки применяются к рабочим станциям, то, если дело касается групп, присутствующих и среди встроенных локальных групп домена, хранящихся на сервере, и среди встроенных локальных групп рабочей станции, настройка будет трактоваться в применении ко встроенным группам рабочей станции. Список встроенных локальных групп полностью повторяет список встроенных локальных групп домена, за исключением группы Опытные пользователи, обладающей расширенными, но не полными (администраторскими) правами.