OU – организационная единица (подразделение) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. OU существуют только внутри доменов и могут объединять только объекты из своего домена. OU могут быть вложенными друг в друга, что позволяет осуществлять более гибкий административный контроль.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Дерево – является набором доменов, которые используют связанные (прилегающие) пространства имен. В данной конфигурации домены подпадают под взаимоотношение дети-родители, при котором дочерний домен получает имя от родительского. Например, я могу создать дочерний домен называемый Canada в домене , тогда его полное имя будет – . Дочерний домен автоматически получает двухсторонние транзитивные доверительные отношения с родительским доменом. Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к данному домену. Заметьте, что домен продолжает оставаться отдельным доменом, что означает, что он остается единицей для целей безопасности и репликации. Поэтому администраторы из домена не могут администрировать домен до тех пор, пока им явно не будет дано такое право.

Лес – лес является наиболее крупной структурой в Active Directory и объединяют деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). Лес может состоять из произвольного количества деревьев домена. В лесе все деревья объединены транзитивными двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ.

НЕ нашли? Не то? Что вы ищете?

Первое созданное в лесу доменов дерево является корневым деревом. Корневое дерево используется для ссылки на лес доменов. Первый, созданный в дереве домен называется корневым доменом дерева (tree root domain), который используется для ссылки на данное дерево. Совершенно очевидно, что корневой домен является определяющим для всего дерева.

Соответственно, первый домен, созданный в лесу доменов, называется корневым доменом леса (forest root domain). Корневой домен леса играет очень важную роль, связывая деревья, образующие лес доменов, воедино и поэтому не может быть удален. В частности, он хранит информацию о конфигурации леса и деревьях доменов, его образующих, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего вашего леса Active Directory.

5.4 Физическая структура Active Directory. Сайты Active Directory.

Active Directory – служба каталога.

Active Directory представляет собой совокупность служб, обслуживающих обращения пользователей к каталогу. Каталог рассматривается как распределенная база данных, в которой хранятся сведения об объектах сети. Пользователь не может работать с каталогом напрямую, а взаимодействует с ним через целый ряд подсистем и механизмов, которые в совокупности называются службой каталога.

Служба каталога является хранилищем информации, которая используется для целей как доступа к информации об объектах (таких как пользователи, компьютеры, домены и т. д.), так и для обеспечения служб аутентификации (проверки подлинности) и безопасности. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Функции службы каталогов:

    организационное разделение каталога; позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды. (Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики);  позволяют развёртывать ПО на множестве компьютеров; позволяет устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети; репликация каталога между распределенными участками;

Active Directory может рассматриваться как физическая и логическая структура, и эти структуры тесно взаимодействуют друг с другом. Физическая структура Active Directory помогает управлять взаимодействием между серверами по отношению к каталогу. Два элемента физической структуры Active Directory – это контроллеры и сайты.

Физическая структура Active Directory.

Контроллеры домена (domain controller, DC)  – серверы, на которых функционирует экземпляр службы каталога Active Directory. Каждый контроллер домена имеет редактируемую копию каталога. Контроллеры домена в одном домене содержат реплики каталога, которые должны периодически синхронизироваться. В Windows 2000 и Windows Server 2003 все контроллеры доменов равны.

Контроллер домена хранит параметры учётных записей пользователей, параметры безопасности (применимо к томам с файловой системой NTFS), параметры групповой и локальной политик.

Применительно к Windows Server 2003 контроллеры домена выполняют следующие задачи:

    организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию; синхронизация копий каталога. Каждый контроллер домена является субъектом подсистемы репликации каталога. Любые изменения, осуществляемые в некоторой копии каталога, будут синхронизированы с другими копиями. (Репликация — механизм синхронизации содержимого нескольких копий объекта); централизованное тиражирование файлов. Служба репликации файлов, функционирующая на каждом контроллере домена, позволяет организовать в корпоративной сети централизованное тиражирование необходимых системных и пользовательских файлов (включая шаблоны групповой политики);. Аутентификация пользователей. Контроллер домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах. Каждый контроллер домена Windows Server 2003 может рассматриваться как Центр распределения ключей (KDC) Kerberos;

Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен AD, называются рядовыми серверами.

Сайты.

Физическая структура каталога определяется физической структурой вычислительной сети. В зависимости от пропускной способности коммуникационных линий администратор разделяет вычислительную сеть на области, получившие название сайтов. Сайт (site) представляет собой совокупность подсетей, соединенных между собой высокоскоростными линиями связи.

Предполагается, что сайты соединяются друг с другом коммуникационными линиями с небольшой пропускной способностью.

Под термином "подсеть" в данном случае понимается подсеть IP. Администратор может создать в каталоге объекты, ассоциируемые с подсетями. Границы сайта описываются именно этими объектами.

Физическая структура сети, как правило, не является зеркальным отображением логической (доменной) структуры. Сайты представляют собой самостоятельные образования, напрямую не зависящие от доменной структуры вашей сети. Хотя администратор может использовать домены для регулирования трафика репликации, зачастую структура сайтов не отображается на иерархию доменов. Сайты не являются частью пространства имен каталога, они лишь характеризуют его физическую структуру. Это означает, что принадлежность объекта к тому или иному сайту не влияет на его положение в каталоге. Выбор того или иного сайта определяется, прежде всего, тем, в какой подсети физически находится данный объект. Например, в зависимости от того, на каком компьютере пользователь входит в сеть, он может рассматриваться как находящийся то в одном, то в другом сайте.

Поскольку структура сайтов реализуется независимо от структуры доменов, один домен может быть разделен на несколько сайтов и, напротив, один сайт может быть образован фрагментами нескольких доменов.

Структура сайтов является основным механизмом, посредством которого администратор может влиять на формирование топологии репликации. Поскольку считается, что сайты соединяются друг с другом медленными линиями связи, репликация изменений внутри сайта и между сайтами имеет несколько различий. Внутри сайта контроллеры домена соединены линиями с высокой пропускной способностью. Соответственно, произведенные изменения могут сразу же реплицироваться между контроллерами домена. Для репликации между сайтами обычно применяется передача изменений по определенному расписанию. Например, контроллеры домена, расположенные на одном сайте осуществляют репликацию друг с другом каждые 5 минут. Однако репликация между контроллерами домена из разных сайтов может быть настроена по расписанию, исходя из ваших нужд. Например, вы можете установить настройки так, чтобы репликация между сайтами происходила только в промежуток времени от полночи до 6 часов утра – это даст вам уверенность в том, что трафик репликации не будет влиять на нормальную передачу данных в рабочее время. Кроме того, в этом случае характерно использование маршрутов, основанных на стоимости доступных коммуникационных линий. В случае репликации между сайтами администратор может прибегнуть к сжатию передаваемых данных.

Формируя физическую структуру сети, администратор должен самостоятельно создать новые сайты и задать для них границы, создав объекты, ассоциированные с имеющимися подсетями. В процессе создания нового контроллера, на основании выделенного ему IP-адреса, служба каталога автоматически отнесет его к соответствующему сайту.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12