На бирже курсовых и дипломных проектов можно найти готовые бесплатные и платные работы или заказать написание уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов по самым низким ценам. Добавив заявку на написание требуемой для вас работы, вы узнаете реальную стоимость ее выполнения.

Здравствуйте гость!

Задание № 2202

Наменование:

Лабораторка Администрирование в информационных системах.

Предмет:

Информатика

Бюджет:

0 руб.

Дата:

16.02.2011

Описание:

Вариант № 54 ( последние две цифры зачетки )


Цель работы:
1. Изучить назначение и принципы построения Active Directory
2. Получить практические навыки управления Active Directory

Форма контроля:
1. Сдача теоретического минимума по Active Directory
2. Выполнение практического задания по Active Directory


Раздел1. Консоль Microsoft Management Console (MMC)


Microsoft Management Console (ММС) обеспечивает общую среду для управления различными системными и сетевыми ресурсами в среде Windows. Консоль ММС является на самом деле оболочкой, где работают модули, которые называются оснастками (snap-in); оснастки содержат реальные средства (инструменты) управления ресурсами.
Например управление ресурсами системы Windows XP осуществляется с помощью значка Сomputer management, управление компонентами Com+ с помощью значка Component services, просмотр протоколов работы с помощью значка Event Viewer, Управление Internet information services с помощью значка Internet information services, а контроль производительности с помощью значка Perfomance. Все они расположены в папке Administrative Tools.
Собственно консоль ММС не обеспечивает каких-либо функций управления. Вместо этого среда ММС обеспечивает полную интеграцию оснасток. Это позволяет администраторам и другим пользователям создавать собственные инструменты управления из оснасток, созданных различными поставщиками. Администраторы могут сохранять инструменты, которые они создали, для дальнейшего использования, и предоставлять их для совместного применения другим администраторам и пользователям. Эта модель позволяет администраторам делегировать административные задачи путем создания различных средств различных уровней сложности и передачи этих средств пользователям, которые будут выполнять эти задачи. Например, вы можете создать специальную консоль, в которой пользователю разрешается только добавлять пользователей, конфигурировать почтовые ящики и создавать общие папки в организации Exchange.

Задание: изучите какие функции управления реализованы через MMC console в системе Windows XP Professional.

Интерфейс пользователя консоли ММС

При первой загрузке ММС, вы, вероятно, обратите внимание, что она во многом похожа на Microsoft Windows Explorer (Проводник). В ММС используется многодокументный интерфейс, то есть вы можете загружать и одновременно отображать на экране несколько консольных окон в родительском окне ММС. На рис. 1 показано родительское окно ММС с загруженной оснасткой Exchange System. В нескольких следующих разделах рассматриваются основные части этого окна.



Рис. 1. Окно ММС с загруженной оснасткой Exchange System


Линейка меню ММС
Основная линейка меню консоли ММС всегда содержит три меню: Console (Консоль), Window (Окно) и Help (Справка). Меню Window и Help устроены стандартным образом. Меню Window позволяет управлять консольными окнами, если в ММС открыто больше одного окна. Меню Help обеспечивает доступ к общей справке ММС Help, а также к справкам для оснасток, которые загружены в данный момент. Меню Console содержит большинство действий. Из этого меню вы можете открывать и сохранять консоли и даже создавать новые консоли. Вы можете также добавлять оснастки и удалять их из открытых консолей, а также устанавливать общие параметры ММС. Вы можете задавать следующие параметры:
• Console Title (Заголовок консоли) - указывает имя консоли, которое появляется в линейке заголовка ММС.
• Console Mode (Режим консоли).
Режим Author (Автор) предоставляет пользователю полный доступ ко всем функциям ММС. Режим User (Пользователь) используется в трех вариантах: режим
Full Access (Полный доступ) дает пользователю доступ ко всем командам ММС, но не позволяет добавлять или удалять оснастки или изменять свойства консоли; режим Limited Access Multiple Window (Ограниченный доступ с несколькими окнами) предоставляет пользователю доступ только к тем частями дерева консоли, которые присутствовали на экране в момент сохранения консоли, а также открывать новые окна; режим Limited Access Single Window (Ограниченный доступ с несколькими окнами) действует так же, как и режим Limited Access Multiple Window, но пользователи не могут открывать новые окна.
Другие параметры определяют, могут ли пользователи получать доступ к значкам в панелях задач, сохранять изменения, внесенные в консоли, и настраивать формы представления информации.

Панель инструментов ММС
Панель инструментов ММС - это стандартная панель инструментов Windows, с помощью которой осуществляется доступ к наиболее часто используемым командам ММС. По умолчанию это команды открытия и сохранения консоли, создания новой консоли и открытия нового окна.

Линейка действий оснастки
Линейка действий на самом деле сочетает в себе линейку меню и панель инструментов; вы можете разделить их, если хотите, путем перетаскивания. Хотя сами меню (Action [Действие], View [Вид] и Favorites [Избранное]) остаются одинаковыми независимо от консоли, которую вы открываете, команды этих меню могут несколько изменяться в соответствии с открытой консолью.
Меню Action (Действие) обычно содержит команды, которые применяются к любому контейнеру или объекту, выделенному вами в соответствующей консоли. Эти команды дублируют команды, которые появляются в контекстном меню, если щелкнуть правой кнопкой мыши на объекте. Меню Action позволяет выполнять такие действия, как создание новых представлений для просмотра и объектов в контейнерах, открытие страниц свойств объектов и доступ к задачам.
Меню View (Вид) позволяет управлять формой представления информации в окне подробной информации вашей консоли. Вы можете, например, изменять представление в форме значков на представление в форме списка или настраивать представление колонок.
Меню Favorites позволяет добавлять элементы в список этого меню и организовывать список по категориям. Список Favorites может содержать команды краткого вызова инструментов, элементы консоли или задачи. Вкладка Favorites в окне области действия позволяет просматривать элементы списка меню Favorites.
Часть линейки действий, соответствующая панели инструментов, обеспечивает быстрый доступ к некоторым из наиболее часто используемых действий, связанных с выделенных объектами. Многие из значков панели инструментов изменяются в зависимости от объекта, выделенного в окне области действия или в окне подробной информации вашей консоли.

Окно области действия
Окно области действия содержит иерархическую структуру контейнеров, которую называют деревом консоли. Некоторые контейнеры отображаются в виде уникальных значков, представляющих в графическом виде тип элементов, которые они содержат. Другие контейнеры отображаются в виде папок, указывающих, что они просто содержат другие объекты. Чтобы раскрыть контейнер и отобразить его объекты, OakTree нужно щелкнуть на знаке «плюс» рядом с этим контейнером. Чтобы снова свернуть контейнер, щелкните на знаке «минус».

Окно подробной информации
Окно подробной информации изменяется в зависимости от содержимого контейнера, выделенного в окне области действия. Иными словами, в этом окне отображаются результаты текущей выбранной области действия. В окне подробной информации можно использовать различные способы отображения информации, которые называются представлениями. С помощью меню View вы можете получать стандартные представления - большие или малые значки, список или подробный список.
Примечание. Меню View позволяет также настраивать вид колонок, которые показаны в окнах области действия и подробной информации. В окне подробной информации вы можете переупорядочить колонки в алфавитном порядке или по времени.
Кроме стандартных представлений вы можете также создавать представления в форме панели задач, показанной в окне подробной информации. Представление в форме панели задач соответствует динамической HTML-странице (DHTML), которая содержит команды, доступные для выделенного элемента в окне области действия. Каждая команда отражает задачу, состоящую из изображения, метки, описания и механизма, с помощью которого данная оснастка должна выполнять эту команду. Пользователи могут выполнять эти команды щелчком на значке задачи. На рис. 2 показан пример представления в форме панели задач.



Рис. 2. Использование представления в форме панелей задач позволяет создавать специализированную рабочую среду

Вы можете использовать представления в форме панелей задач для следующих целей:
• включать значки для всех задач, выполнение которых может потребоваться определенному пользователю;
• группировать задачи по их функциям или пользователям путем создания нескольких представлений в форме панели задач внутри консоли;
• создавать упрощенные списки задач. Например, вы можете включить задачи в панель задач, а затем скрыть дерево консоли;
• упрощать составные задачи. Например, если пользователь часто выполняет заданную задачу, которая состоит из нескольких оснасток и других средств, то вы можете организовать в одной области экрана значки к этим задачам, с помощью которых запускаются соответствующие страницы свойств, командные строки, диалоговые окна или сценарии.

Корневой узел оснастки
Корневой узел - это верхняя узловая точка оснастки; его имя обычно основывается на имени соответствующего продукта или задачи. Консоль ММС поддерживает автономные оснастки и оснастки-расширения. Автономные оснастки, такие как Exchange System, обеспечивают функции управления без необходимости поддержки со стороны других оснасток. Для каждой автономной оснастки существует только один корневой узел. Для оснастки-расширения требуется родительская оснастка в дереве консоли. Оснастки-расширения увеличивают функциональные возможности других оснасток.

Контейнеры и объекты
Exchange Server - прекрасный пример объектно-ориентированной иерархической каталогизированной среды. Все элементы, образующие структуру Exchange, -это объекты, которые каким-либо образом взаимодействуют друг с другом. Объекты, которые можно увидеть в окнах области действия и подробной информации, можно разделить на два типа.
• Контейнеры могут содержать как объекты-контейнеры, так и объекты другого типа. Объекты-контейнеры могут также появляться в окне подробной информации. Они используются для логического группирования всех объектов, образующих среду управления. Администратор использует объекты-контейнеры для организации дерева и последующего перемещения по этому дереву.
• Объекты-листья. Объект-лист - это просто объект, который не может содержать другие объекты. К наиболее распространенным объектам-листьям, с которыми администратор работает ежедневно, относятся серверы и коннекторы.
Управление всеми объектами в консоли ММС осуществляется путем использования страницы свойств. Страница свойств - это диалоговое окно, которое можно открыть путем выделения объекта и последующего выбора пункта Properties (Свойства) из меню Action (Действие). Это диалоговое окно состоит из одной или нескольких вкладок, которые содержат управляющие элементы для задания группы нужных свойств. На рис. 3 показана страница свойств для объекта-сервера в окне оснастки Exchange System.



Рис. 3. Страница свойств для объекта-сервера

Как действует консоль ММС

Интерфейс ММС позволяет помещать оснастки внутри общей консоли управления. Это позволяет отображать все оснастки одинаковым образом, хотя они могут по-разному выполнять свои задачи. Собственно консоль не содержит никаких управляющих функций; она просто действует как оболочка для оснасток. Оснастки всегда находятся в консоли; они никогда не выполняются сами по себе.

Оснастки
Каждый инструмент ММС состоит из набора экземпляров более мелких инструментов, которые называются оснастками ММС. Оснастка - это минимальный блок расширения консоли, который представляет единицу управляющего поведения. Оснастка для выполнения своей задачи может вызывать другие поддерживающие элементы управления и динамически подсоединяемые библиотеки (DLL).
Оснастки расширяют консоль ММС путем задания и активизации управляющего поведения. Они могут осуществлять это поведение с помощью ряда способов. Например, оснастка может добавлять элементы в дерево контейнеров или расширять действие определенного инструмента путем добавления элементов контекстного меню, панелей инструментов, вкладок на страницах свойств, мастеров или справок (Help) к существующей оснастке. Существует два основных типа оснасток:
• автономная оснастка обеспечивает функции управления, даже если внутри консоли находится только эта оснастка (без других поддерживающих оснасток). Такая оснастка не базируется на других присутствующих в консоли оснасток. Примером такой автономной оснастки является Exchange System;
• оснастки-расширения могут осуществлять разнообразные функции, но только совместно с родительской оснасткой. Одни оснастки расширяют пространство имен консоли, тогда как другие просто расширяют контекстные меню или возможности определенных мастеров.
Примечание. Многие оснастки поддерживают оба режима работы, представляя некоторые автономные функции, а также расширяя функциональные возможности других оснасток.

Пакеты
Оснастки обычно поставляются в виде групп, которые называются пакетами. Например, операционная система Microsoft Windows XP включает в себя один или несколько пакетов оснасток. Кроме того, некоторые поставщики могут поставлять продукты, состоящие целиком из пакетов оснасток. Группирование оснасток по пакетам удобно для загрузки по каналам связи и инсталляции. Это также позволяет нескольким оснасткам совместно использовать основные DLL, чтобы эти DLL не нужно было помещать в каждую оснастку.

Заказные инструменты
Консоль ММС имеет функциональные возможности для создания специализированных управляющих инструментов. Администраторы могут создавать, сохранять и затем делегировать специализированную консоль, содержащую несколько оснасток, приспособленных для специальных задач. Администраторы могут объединять эти специальные оснастки в инструмент (его также называют документом), который работает в одном из экземпляров ММС. Например, вы можете создать инструмент, который управляет разнообразными аспектами сети - службой Active Directory, топологией репликаций, совместным использованием файлов и т.д. После компоновки этого инструмента администратор может сохранить его в .MSC-файле и загружать этот файл позже для мгновенного воссоздания данного инструмента. MSC-файл можно также передать по электронной почте другому администратору, который может затем загрузить этот файл и использовать данный инструмент.

Заказные консоли
Одним из главных преимуществ консоли ММС является поддержка настройки инструментов. Вы можете создавать специализированные консоли ММС, приспособленные для специальных управляющих задач, и затем делегировать эти консоли другим администраторам. Эти инструменты могут быть специализированы на определенных требованиях управления различными группами администраторов. Предположим, что у вас имеется группа администраторов, которым нужно предоставить возможность управления коннекторами, с помощью которых ваша организация Exchange может быть соединена с существующей организацией Microsoft Mail и существующей системой Lotus cc:Mail. Предположим также, что вы не хотите предоставлять этим администраторам доступ к другим функциональным возможностям вашей организации Exchange. Вы можете легко создать специализированную консоль, которая содержит только нужные возможности. Вы можете также расширить любую консоль, которая уже используется этими администраторами, чтобы включить в нее дополнительные возможности управления.
Дополнительная информация. Очевидно, что консоль ММС содержит гораздо больше возможностей, чем можно описать в этом тексте. Для получения более подробной информации по ММС начните с Help-файла, к которому можно обратиться из любого окна консоли. Если этого недостаточно, используйте книгу Microsoft Windows 2000 Server Resource Kit (Microsoft Press, 2000).

Управление системой с помощью MMC

На рис. 4 приведено типовой вид окна MMC при управлении системой.



Рис 4. Типовой вид окна computer management.

Задание: на своей рабочей станции с помощью средств MMC:
 создайте каталог для своей учебной группы и раздайте его по сети для других пользователей;
 создайте в системе себя как пользователя и включите в состав группы Administrators;
 заведите в системе группу пользователей по имени своей учебной группы;
 создайте в системе своих соседей по аудитории как пользователей своей учебной группы и включите их также в состав групп Users и Power Users.


Введение в Active Directory


Для идентификации пользователей и ресурсов в сети используется служба каталогов. По сравнению с предыдущими версиями Windows в Microsoft Windows 2003 возможности Active Directory значительно расширены. Active Directory представляет собой единое средство управления сетью: она позволяет легко добавлять, удалять и перемещать пользователей и ресурсы.

Знакомство с Active Directory

Средства Active Directory позволят вам спроектировать структуру каталога так, как это нужно вашей организации. На этом занятии вы познакомитесь с использованием объектов Active Directory и назначением ее компонентов.

Изучив материал этого занятия, вы сможете:
• объяснить назначение атрибутов объекта и схемы Active Directory;
• дать определение и описать функции компонентов Active Directory.

Объекты Active Directory
Подобно всем службам, которые делают информацию доступной и полезной, Active Directory хранит информацию о сетевых ресурсах. Эти ресурсы, например данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности, и называются объектами (object).
Объект — это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты (attribute) объекта являются его характеристиками в каталоге. Например, атрибуты учетной записи пользователя (user account) могут включать в себя его имя и фамилию, отдел, а также адрес электронной почты (рис. 2-1)
В Active Directory объекты могут быть организованы в классы, то есть в логические группы. Примером класса является объединение объектов, представляющих учетные записи пользователей, группы, компьютеры, домены или организационные подразделения (ОП).
Примечание Объекты, которые способны содержать другие объекты, называются контейнерами (container). Например, домен — это контейнерный объект, который может содержать пользователей, компьютеры и другие объекты.
Какие именно объекты могут храниться в Active Directory, определяется ее схемой.

Схема Active Directory
Схема Active Directory — это список определений (definitions), задающих виды объектов, которые могут храниться в Active Directory, и типы сведений о них. Сами эти определения также хранятся в виде объектов, так что Active Directory управляем ими посредством тех же операций, которые используются и для остальных объектов в Active Directory.
В схеме существуют два типа определений: атрибуты и классы. Также они называются объектами схемы (schema objects) или метаданными (metadata).
Атрибуты определяются отдельно от классов. Каждый атрибут определяется только один раз, при этом его разрешается применять в нескольких классах. Например, атрибут Description используется во многих классах, однако определен он в схеме только однажды, что обеспечивает ее целостность.
Классы, также называемые классами объектов (object classes), описывают, какие объекты Active Directory можно создавать. Каждый класс является совокупностью атрибутов. При создании объекта атрибуты сохраняют описывающую его информацию. Например, в число атрибутов класса User входят Network Address, Home Directory и пр. Каждый объект в Active Directory — это экземпляр класса объектов.
В Windows 2000 Server встроен набор базовых классов и атрибутов. Определяя новые классы и новые атрибуты для уже существующих классов, опытные разработчики и сетевые администраторы могут динамически расширить схему. Например, если Вам нужно хранить информацию о пользователях, не определенную в схеме, можно расширить схему для класса Users. Однако такое расширение схемы — Достаточно сложная операция с возможными серьезными последствиями. Поскольку схему нельзя удалить, а лишь деактивировать, и она автоматически реплицируется, вы должны подготовиться и спланировать ее расширение.



Компоненты Active Directory

Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют следующие компоненты Active Directory: домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физическими подсетями) и контроллерами доменов. В Active Directory логическая структура полностью отделена от физической.

Логическая структура
В Active Directory ресурсы организованы в логическую структуру, отражающую структуру вашей организации. Это позволяет находить ресурс по его имени, а не физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей. На рис. 2-2 показаны взаимоотношения компонентов Active Directory.



Домен
Основным элементом логической структуры в Active Directory является домен, способный содержать миллионы объектов. В домене хранятся объекты, которые считаются «интересными» для сети. «Интересные» объекты — это то, в чем члены сетевого сообщества нуждаются для своей работы: принтеры, документы, адреса электронной почты, базы данных, пользователи, распределенные компоненты и прочие ресурсы. Active Directory может состоять из одного или более доменов.
Объединение объектов в один или более доменов позволяет отразить в сети организационную структуру компании. Общие характеристики доменов таковы:
• все сетевые объекты существуют в пределах домена, а каждый домен хранит информацию только о тех объектах, которые содержит. Теоретически каталог домена может содержать до 10 миллионов объектов, но фактически — это около 1 миллиона объектов на домен;
• домен обеспечивает безопасность. В списках управления доступом (access control lists, ACL) определяется доступ к объектам домена. В них заданы разрешения для пользователей, которые могут получить доступ к объекту, и указан тип этого доступа. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и другие объекты Active Directory. В разных доменах никакие параметры безопасности, например административные права, политики безопасности, списки управления доступом, не пересекаются между собой. Администратор домена имеет абсолютное право устанавливать политики только внутри данного домена.

Организационное подразделение
Организационное подразделение (ОП) — это контейнер, используемый для объединения объектов домена в логические административные группы, отражающие деятельность или бизнес-структуру организации. Организационное подразделение (ОП) может содержать объекты, например учетные записи пользователей, группы, компьютеры, принтеры, приложения, совместно используемые файловые ресурсы, а также другие ОП из того же домена. Иерархия ОП одного домена не зависит от иерархической структуры другого домена, а каждый домен может иметь свою собственную структуру ОП.
ОП представляют собой средства выполнения административных задач, поскольку являются объектами наименьшего масштаба, которым разрешается делегировать административные полномочия, то есть администрирование пользователей и ресурсов.
На рис. 2-3 видно, что домен domain.com содержит три ОП: US, Orders и Disp. Летом количество заказов на отгрузку увеличивается, поэтому руководство решило нанять дополнительного администратора для отдела заказов. Он должен иметь права только для создания учетных записей пользователей, а также для предоставления пользователям доступа к файлам отдела и сетевым принтерам. Вместо создания другого домена этот запрос можно удовлетворить, передав новому администратору соответствующие права доступа в ОП Orders.


Рис. 2-3. Использование ОП для выполнения административных задач

Если в дальнейшем от нового администратора потребуют создавать учетные записи пользователей в ОП US, Orders и Disp, ему можно предоставить соответствующие права отдельно в каждом ОП. Однако лучше всего предоставить ему полномочия в ОП US, чтобы они были унаследованы в ОП Orders и Disp. По определению, в Active Directory все дочерние объекты (Orders и Disp) наследуют разрешения от своих объектов-родителей (US). Предоставление полномочий на высшем уровне с использованием возможностей их наследования облегчают жизнь администратору.

Дерево
Дерево (tree) — это группа, или иерархически упорядоченная совокупность из одного или более доменов Windows 2000, созданная путем добавления одного или более дочерних доменов к уже существующему родительскому домену. Все домены в дереве используют связанное пространство имен и иерархическую структуру именования.
Подробнее пространства имен описаны в следующем занятии. Характеристики деревьев таковы:
• согласно стандартам доменной системы имен (Domain Name System, DNS), доменным именем дочернего домена будет объединение его относительного имени и имени родительского домена. На рис. 2-4 microsoft.com является родительским доменом, а us.microsoft.com и uk.microsoft.com — его дочерними доменами. У uk.microsoft.com имеется дочерний домен sls.uk.microsoft.com;
• все домены в пределах одного дерева совместно используют общую схему, которая служит формальным определением всех типов объектов, находящихся в Вашем распоряжении при развертывании Active Directory;
• все домены в пределах одного дерева совместно используют общий глобальный каталог, который служит центральным хранилищем информации об объектах в дереве. Подробнее глобальный каталог рассматривается в следующем занятии.
Создавая иерархию доменов в дереве, Вы можете поддерживать должный уровень безопасности и регулировать административные полномочия в пределах ОП либо в пределах целого домена. Предоставив пользователю полномочия на ОП, эти разрешения вы сможете распространить вниз по дереву. Такую структуру дерева легко адаптировать к организационным изменениям в компании.

Лес
Лес (forest) — это группа, или иерархически упорядоченная совокупность, из одного или более отдельных и полностью независимых доменных деревьев. Деревья обладают следующими характеристиками:


Рис. 2-4. Дерево доменов

• у всех деревьев в лесе общая схема;
• у всех деревьев в лесе разные структуры именования, соответствующие своим доменам;
• все домены в лесе используют общий глобальный каталог;
• домены в лесе функционируют независимо друг от друга, однако лес допускает обмен данными в масштабе всей организации;
• между доменами и деревьями доменов существуют двусторонние доверительные отношения.
На рис. 2-5 лес образован из деревьев microsoft.com и msn.com. Пространство имен связано только в пределах каждого дерева.
microsoft.com

Физическая структура
Физические компоненты Active Directory — это узлы и контроллеры домена. Эти компоненты применяются для разработки структуры каталога, отражающей физическую структуру вашей организации.

Сайт
Сайт (site) — это объединение одной или более подсетей IP для создания максимально возможного ограничения сетевого трафика, высоконадежным каналом связи с высокой пропускной способностью. Как правило, границы узла совпадают с границами ЛВС. Когда Вы группируете подсети, следует объединять только те из них, которые между собой связаны быстрыми, дешевыми и надежными сетевыми соединениями. Быстрым считается соединение, обеспечивающее пропускную способность не менее 512 кбит/с, впрочем зачастую достаточно и 128 кбит/с.
В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры и пользователи сгруппированы в домены и ОП, а не в сай-
ты. Сайты содержат лишь объекты компьютеров и соединений, нужные для настройки межсайтовой репликации.
Примечание Один домен может охватывать несколько географических сайтов, а один сайт может содержать учетные записи пользователей и компьютеры из многих доменов.

Контроллеры домена
Контроллер домена — это компьютер с Windows 2000 Server, хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену. Ниже перечислены функции контроллеров домена:
• каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена;
• все контроллеры в домене автоматически реплицируют между собой все объекты в домене. При внесении в Active Directory каких-либо изменений они на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликаций и количество данных, которое Windows 2000 будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена;
• важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно;
• Active Directory использует репликацию с несколькими хозяевами (multimaster replicaton), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом;
• наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory;
• контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.



Резюме
В этом занятии вы узнали, что объект — это отдельный именованный набор атрибутов, которым представлен сетевой ресурс Active Directory. Атрибуты объекта описывают характеристики определенного ресурса в каталоге. В Active Directory объекты можно организовать в классы, которые служат логическими определениями объектов. Схема Active Directory содержит формальное определение содержания и структуры каталога, в том числе все атрибуты и классы объектов.
Также Active Directory предлагает метод проектирования структуры каталога, отвечающей потребностям и структуре конкретной организации. Логическая структура иерархии домена в Active Directory полностью отделена от физической структуры.
Логическое объединение ресурсов в Active Directory позволяет искать ресурс по его имени, а не по физическому расположению. Ключевым элементом логической структуры в Active Directory является домен, который хранит информацию только о тех объектах, которые он содержит. Организационное подразделение (ОП) — это контейнер, используемый для организации объектов в логические административные группы. Деревом называется иерархически упорядоченное объединение одного или более доменов Windows 2000, которые используют связанное пространство имен, а лесом — иерархически упорядоченное объединение одного или более деревьев, которые образуют раздельное пространство имен.
Физическая структура Active Directory основана на сайтах и контроллерах домена. Сайт — это группировка одной или более подсетей IP, объединенных высокоскоростными каналами связи. Контроллером домена называется компьютер с Windows 2000 Server, хранящий реплику каталога домена.

Концепции работы Active Directory

Вместе с Active Directory введено несколько новых понятий, например глобальный каталог, репликация, доверительные отношения, пространство имен DNS и правила наименования. Важно понимать их значение применительно к Active Directory.

Изучив материал этого занятия, вы сможете:
• объяснить назначение глобального каталога в Active Directory;
• объяснить репликацию Active Directory;
• объяснить отношения защиты между доменами в дереве (доверительные отношения);
• описать пространство имен DNS, используемое в Active Directory;
• описать используемые в Active Directory правила наименования.

Глобальный каталог
Глобальный каталог (global catalog) — это центральное хранилище информации об объектах в дереве или лесе (рис. 2-6). По умолчанию глобальный каталог автоматически создается на первом контроллере домена в лесе, и этот контроллер становится сервером глобального каталога (global catalog server). Он хранит полную реплику атрибутов всех объектов в своем домене, а также частичную реплику атрибутов всех объектов для каждого домена в лесе. Эта частичная реплика хранит те атрибуты, которые чаще других нужны при поиске (например, по имени или фамилии пользователя, по регистрационному имени пользователя и т. д.). Атрибуты объекта в глобальном каталоге наследуют исходные разрешения доступа из тех доменов, откуда они были реплицированы, и таким образом, в глобальном каталоге обеспечивается безопасность данных.
Глобальный каталог выполняет две важные функции:
• обеспечивает регистрацию в сети, предоставляя контроллеру домена информацию о членстве в группах;
• обеспечивает поиск информации в каталоге независимо от расположения данных.
Когда пользователь регистрируется в сети, глобальный каталог предоставляет контроллеру домена, который обрабатывает информацию о процессе регистрации в сети, полные данные о членстве учетной записи в группах. Если в домене только один контроллер, сервер глобального каталога и контроллер домена — это один и тот же сервер. Если же в сети несколько контроллеров домена, то глобальный каталог располагается на том из них, который сконфигурирован для этой роли. Если при попытке регистрации в сети глобальный каталог недоступен, то пользователю разрешается зарегистрироваться лишь на локальном компьютере.


Если пользователь является членом группы Domain Admins (Администраторы домена), то он сможет зарегистрироваться в сети, даже когда глобальный каталог недоступен.
Глобальный каталог позволяет максимально быстро и с минимальным сетевым трафиком отвечать на запросы программ и пользователей об объектах, расположенных в любом месте леса или дерева доменов. Глобальный каталог может разрешить запрос в том же домене, в котором этот запрос был инициирован, так как информация обо всех объектах всех доменов в лесе содержится в едином глобальном каталоге. Поэтому поиск информации в каталоге не вызывает лишнего трафика между доменами.
В качестве сервера глобального каталога вы можете по своему выбору настроить любой контроллер домена либо дополнительно назначить на эту роль другие контроллеры домена. Выбирая сервер глобального каталога, надо учесть, справится ли сеть с трафиком репликации и запросов. Впрочем, дополнительные серверы позволят ускорить время отклика на запросы пользователей. Рекомендуется, чтобы каждый крупный сайт предприятия имел собственный сервер глобального каталога.

Репликация
Необходимо, чтобы с любого компьютера в дереве доменов или лесе пользователи и службы могли все время получать доступ к информации в каталоге. Репликация позволяет отражать изменения в одном контроллере домена на остальных контроллерах в домене. Информация каталога реплицируется на контроллеры домена как в пределах, узлов, так и между ними.

Виды реплицируемой информации
Хранимая в каталоге информация делится на три категории, которые называются разделами каталога (directory partition). Раздел каталога служит объектом репликации. В каждом каталоге содержится следующая информация:
• информация о схеме — определяет, какие объекты разрешается создавать в каталоге и какие у них могут быть атрибуты;
• информация о конфигурации — описывает логическую структуру развернутой сети, например структуру домена или топологию репликации. Эта информация является общей для всех доменов в дереве или лесе;
• данные домена — описывают все объекты в домене. Эти данные относятся только к одному определенному домену. Подмножество свойств всех объектов во всех доменах хранится в глобальном каталоге для поиска информации в дереве доменов или лесе.
Схема и конфигурация реплицируются на все контроллеры домена в дереве или лесе. Все данные определенного домена реплицируются на каждый контроллер именно этого домена. Все объекты каждого домена, а также часть свойств всех объектов в лесе реплицируются в глобальный каталог.
Контроллер домена хранит и реплицирует:
• информацию о схеме дерева доменов или леса;
• информацию о конфигурации всех доменов в дереве или лесе;
• все объекты и их свойства для своего домена. Эти данные реплицируются на все дополнительные контроллеры в домене. Часть всех свойств объектов домена реплицируется в глобальный каталог для организации поиска информации. Глобальный каталог хранит и реплицирует:
• информацию о схеме в лесе;
• информацию о конфигурации всех доменов в лесе;
• часть свойств всех объектов каталога в лесе (реплицируется только между серверами глобального каталога);
• все объекты каталога и все их свойства для того домена, в котором расположен глобальный каталог.
Внимание! Из-за полной синхронизации всех данных в домене расширение схемы может пагубно влиять на большие сети.

Как работает репликация
Active Directory реплицирует информацию в пределах сайта чаще, чем между сайтами, сопоставляя необходимость в обновленной информации каталога с ограничениями по пропускной способности сети.
Репликация внутри сайта
В пределах сайта Active Directory автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновления не будут переданы на все контроллеры домена (рис. 2-7).

Связи топологии репликации
Кольцевая структура обеспечивает существование минимум двух путей репликации от одного контроллера домена до другого, и если один контроллер домена временно становится недоступен, то репликация на остальные контроллеры домена все равно продолжится.
Дабы убедиться, что топология репликации все еще эффективна, Active Directory периодически ее анализирует. Если вы добавите или уберете контроллер домена из сети или узла, то Active Directory соответственно изменит топологию.

Репликация между сайтами
Для обеспечения репликации между узлами нужно представить сетевые соединения в виде связей сайтов (site link). Active Directory использует информацию о сетевых соединениях для создания объектов-соединений, что обеспечивает эффективную репликацию и отказоустойчивость.
Вы должны предоставить информацию о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого, Active Directory определит, как связать сайты для репликации. Лучше выполнять репликацию в то время, когда сетевой трафик минимален.

Доверительные отношения
Доверительное отношение (trust realtionship) — это такая связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети в доверяемом домене. Active Directory поддерживает две формы доверительных отношений.
• Неявные двусторонние транзитивные доверительные отношения (implicit two-way transitive trust). Это отношения между родительским и дочерним доменами в дереве и между доменами верхнего уровня в лесе. Они определены по умолчанию, то есть доверительные отношения между доменами в дереве устанавливаются и поддерживаются неявно (автоматически). Транзитивные доверительные отношения — это функция протокола идентификации Кег-beros, по которому в Windows 2000 проводится авторизация и регистрация в сети.
Как показано на рис. 2-8, транзитивные доверительные отношения означают следующее: если Домен А доверяет Домену В, а Домен В доверяет Домену С, то Домен А доверяет Домену С. В результате присоединенный к дереву домен устанавливает доверительные отношения с каждым доменом в дереве. Эти доверительные отношения делают все объекты в доменах дерева доступными для всех других доменов в дереве.

Транзитивные доверительные отношения между доменами устраняют необходимость в междоменных доверительных учетных записях. Домены одного дерева автоматически устанавливают с родительским доменом двусторонние транзитивные доверительные отношения. Благодаря этому пользователи из одного домена могут получить доступ к ресурсам любого другого домена в дереве (при условии, что им разрешен доступ к этим ресурсам).

Рис. 2-8. Два вида доверительных отношений в Active Directory

Явные односторонние нетранзитивные доверительные отношения (explicit one-way nontransitive trust). Это отношения между доменами, которые не являются частью одного дерева. Нетранзитивные доверительные отношения ограничены отношениями двух доменов и не распространяются ни на какие другие домены в лесе. В большинстве случаев вы сами можете явно (вручную) создать нетранзитивные доверительные отношения. Так, на рис. 2-8 показаны односторонние транзитивные доверительные отношения, в которых Домен С доверяет Домену 1, так что пользователи в Домене 1 могут получить доступ к ресурсам в Домене С. Явные односторонние нетранзитивные доверительные отношения — это единственно возможные отношения между:
• доменом Windows 2000 и доменом Windows NT;
• доменом Windows 2000 в одном лесе и доменом Windows 2000 в другом лесе;
• доменом Windows 2000 и сферой (realm) MIT Kerberos V5, что позволяет клиентам из сферы Kerberos регистрироваться в домене Active Directory для получения доступа к сетевым ресурсам.

Пространство имен DNS
Подобно всем службам каталогов, изначально Active Directory считается пространством имен. Пространство имен (namespace) — это любая ограниченная область, в которой можно разрешить имя. Разрешение имени (name resolution) — процесс перевода имени в некий объект или информацию, которую это имя представляет. Пространство имен Active Directory основано на системе имен DNS, и это позволяет взаимодействовать с сетью Интернет. Частные сети широко используют DNS для разрешения имен компьютеров, а также для поиска компьютеров в локальной сети и Интернете. Применение DNS дает следующие преимущества:
• имена DNS легче запомнить, чем IP-адреса;
• имена DNS реже меняются, чем IP-адреса. IP-адрес сервера может измениться, а имя сервера останется прежним;
• DNS позволяет пользователям подключаться к локальным серверам, применяя те же правила именования, что и в Интернете.
Примечание Подробности см. в RFC 1034 и 1035. Для ознакомления с этими документами на поисковом узле Интернета введите ключевое слово RFC 1034 или RFC 1035.
Поскольку Active Directory использует DNS в качестве службы именования и поиска своих доменов, то имена доменов Windows 2000 также являются именами DNS. Windows 2000 Server применяет динамическую доменную систему именования (Dynamic DNS, DDNS), что позволяет клиентам, которым адреса выделяются динамически, регистрироваться прямо на DNS-сервере и динамически обновлять таблицу DNS. Наличие DDNS в однородных сетях позволяет отказаться от других служб именования Интернета, например Windows Internet Name Service (WINS).
Внимание! Для правильной работы Active Directory и взаимодействующего с ней клиентского программного обеспечения надо установить и сконфигурировать службу DNS.

Пространство имен домена
Пространство имен домена (domain namespace) — это схема именования, которая обеспечивает иерархическую структуру для базы данных DNS. Каждый узел (node) этой иерархии представляет собой раздел базы данных DNS. Такие узлы называются доменами.
База данных DNS индексирована по имени, поэтому каждый домен должен иметь имя. При добавлении домена к иерархии имя родительского домена добавляется к имени дочернего домена, который называется поддоменом (subdomain). Следовательно, имя домена определяет его место в иерархии. Например, на рис. 2-9 имя sales.mic-rosoft.com определяет домен sales в качестве поддомена для mic-rosoft.com, a microsoft в качестве поддомена для домена com.


Рис. 2-9. Иерархическая структура пространства имен домена

Иерархическая структура пространства имен домена обычно состоит из корневого домена, доменов верхнего уровня, доменов второго уровня и имен узлов.
Существуют два типа пространств имен:
• связанное пространство имен (contiguous namespace) — имя дочернего объекта в иерархии всегда содержит имя родительского домена. Дерево — это связанное пространство имен;
• раздельное пространство имен (disjointed namespace) — имена родительского объекта и его потомка напрямую не связаны одно с другим. Лес — это раздельное пространство имен. Например, рассмотрим следующие имена доменов:
• www.microsoft.com;
• msdn.microsoft.com; . www.msn.com.
Первые два имени доменов составляют связанное пространство имен в пределах microsoft.com, а третье — является частью раздельного пространства имен.
Примечание Термин домен в контексте DNS не относится к понятию домена, которое используется в службе каталогов Windows 2000. Домен Windows 2000 — это группа компьютеров и устройств, которую администрируют, как единое целое.

Корневой домен
Это вершина иерархии; он обозначается точкой (.). Корневой домен Интернета управляется несколькими организациями, в частности Network Solutions, Inc.

Домены верхнего уровня
Домены верхнего уровня построены по организационному признаку либо по географическому положению. В табл. 2-1 приведены примеры имен доменов верхнего уровня.

Табл. 2-1. Примеры доменов верхнего уровня

Домен верхнего уровня Описание
gov Правительственные организации
com Коммерческие организации
edu Образовательные организации
org Некоммерческие организации
net Коммерческие сети или узлы Интернета

Частью доменов верхнего уровня могут быть также двухбуквенные коды стран, например для России или для Австралии.
Домены верхнего уровня могут содержать домены второго уровня и имена узлов.

Домены второго уровня
Такие организации, как Network Solutions, Inc., регистрируют уже существующие в Интернете домены второго уровня для частных лиц и организаций. Имя второго уровня состоит из двух частей: имени верхнего уровня и уникального имени второго уровня. В табл. 2-2 приведены примеры доменов второго уровня.

Примечание В случае использования кодов стран gov.au, edu.au и com.au являются доменами верхнего уровня. Если же имя построено как имя_организации.аu, аu является доменом верхнего уровня.

Имя узла
Указывает на определенный компьютер или ресурс в Интернете или в частной сети. Например, на рис. 2-9 Computer! — это имя узла. Это самая левая часть полного доменного имени (Fully Qualified Domain Name, FQDN), которое описывает положение компьютера в доменной иерархии. На рис. 2-9 имя computerl.sales.microsoft.com. (в том числе и завершающая точка, которая обозначает корневой домен) является полным доменным именем.
Имя узла — это не то же самое, что имя компьютера, имя NetBIOS или другого протокола именования.

Зона
Это отдельная часть пространства имен домена, которая служит для разделения пространства имен на управляемые секции.
Для распределения административных задач между несколькими группами домен разделяется на несколько зон. Так, на рис. 2-10 пространство имен домена microsoft.com разделено на две зоны. Это позволяет одному администратору управлять доменами microsoft и sales, а другому — доменом development.
Зона должна содержать связанное пространство имен. Например, в структуре, показанной на рис. 2-10, невозможно создать зону, которая состояла бы только из доменов sales.microsoft.com и development.microsoft.com, потому что домены sales и development — не целостные.
Привязки имен к IP-адресам для зоны хранятся в файле зоны. Каждая зона привязана к определенному домену, который называется
корневым доменом зоны (zones root domain). Файл зоны содержит информацию только о поддоменах в пределах своей зоны com



Рис. 2-10. Деление доменного пространства имен на зоны
На рис. 2-10 microsoft.com является корневым доменом для Zonel, а его файл зоны содержит привязки имен к IP-адресам для доменов microsoft и sales. Корневым доменом для Zone2 является development, а его файл зоны содержит соответствия привязки имен к IP-адресам только для домена development. База данных Zonel не содержит привязок для домена development, хотя он и является поддоменом для microsoft.

Сервер имен
Хранит файл зоны, содержащий сведения для одной или нескольких зон и, как часто говорят, полномочный в пространстве имен соответствующей зоны.
На одном из серверов имен (name server) содержится главный файл базы данных зоны, который называется основным файлом зоны (primary zone database file). To есть в каждой зоне должен быть хотя бы один сервер имен. Такие изменения в зоне, как добавление доменов или компьютеров, выполняются на том сервере, который хранит основной файл базы данных зоны.
Остальные серверы имен в зоне страхуют сервер, содержащий основной файл БД зоны. Использование нескольких серверов имен дает следующие преимущества: • выполнение зонных передач. Добавочные серверы имен получают
копию БД зоны с того сервера, который хранит основной файл
глава ;

Табл. 2-2. Примеры доменов второго уровня

Домен второго уровня Описание
ed.gov Департамент образования Соединенных Штатов
microsoft.com Корпорация Microsoft
stanford.edu Стэндфордский Университет
w3.org Консорциум World Wide Web
pm.gov.au Премьер-министр Австралии

зоны, и периодически запрашивают с него обновления данных зоны. Это и называется зонной передачей (zone transfer); избыточность. Если происходит сбой на сервере, хранящем основной файл зоны, то дополнительные серверы продолжают обслуживать клиентов;
увеличение скорости доступа для удаленных клиентов. Если таких клиентов много, то стоит применить дополнительные серверы имен, чтобы уменьшить трафик запросов через ГВС-соединения; уменьшение нагрузки на сервер, который хранит основной файл зоны.

Правила именования
Каждый объект в Active Directory идентифицируется по имени. В Active Directory применяются разные правила именования: составные имена (distinguished name, DN), относительные составные имена (relative distinguished name, RDN), глобально уникальные идентификаторы (globally unique identifier, GUID) и основные имена пользователей (user principal name, UPN).

Составное имя
Каждый объект в Active Directory имеет составное имя (distinguished name, DN). Оно уникально идентифицирует объект и содержит информацию для клиента, достаточную для извлечения объекта из каталога. DN включает имя домена, содержащего объект, и полный путь к объекту по иерархии контейнеров.
Например, вот какое DN идентифицирует объект-пользователя Firstname Lastname в домене microsoft.com (где Firstname и Lastname представляют собой реальные имя и фамилию в учетной записи пользователя):
DC=COM/DC=Microsoft/OU=dev/CN=Users/CN=Firstname Lastname В таблице описаны атрибуты, использованные в примере.

Табл. 2-3. Атрибуты составного имени
Атрибут Описание
DC Имя компонента домена
Имя ОП
Общее имя

Составные имена должны быть уникальными. Active Directory не допускает их дублирования.
Примечание Дополнительная информация о составных именах содержится в RFC 1779. Для ознакомления с этими документами на поисковом узле Интернета введите ключевое слово RFC 1779.

Относительное составное имя
Active Directory поддерживает поиск по атрибутам, то есть вы сможете найти объект, даже не зная его точного DN или если это имя было изменено. Относительное составное имя (relative distinguished name, RDN) объекта — это часть имени, которое является атрибутом самого объекта. В предыдущем примере RDN для объекта-пользователя Firstname Lastname — Firstname Lastname, a RDN родительского объекта — Users.
Active Directory позволяет копировать RDN объектов, однако в рамках одного организационного подразделения (ОП) такие имена должны быть уникальны. Например, если в ОП есть учетная запись пользователя Jane Doe, добавить в то же ОП запись пользователя с таким же именем нельзя. Однако в разных ОП разрешено создать одинаковые учетные записи Jane Doe, поскольку каждая будет иметь уникальное DN (рис. 2-11).

Составное имя (DN)


Глобально уникальный идентификатор
Глобально уникальный идентификатор (globally unique identifier, GUID) — это гарантированно уникальный 128-разрядный номер, назначенный при создании объекта. Он не изменяется даже после перемещения или переименования объекта. Приложения могут хранить GUID объекта и гарантированно находить объект независимо от его текущего DN.
В ранних версиях Windows NT ресурсы домена были связаны с идентификатором безопасности (security identifier, SID), формируемом внутри домена, то есть SID оставался уникальным только в рамках домена. GUID уникален во всех доменах, причем это его качество сохраняется при перемещении объектов из одного домена в другой.

Основное имя пользователя
Основное имя пользователя (user principal name, UPN) — это дружественное имя, которое короче DN и легче для запоминания. Основное имя пользователя состоит из сокращенного имени, представляющего пользователя и, как правило, DNS-имени домена, в котором находится объект USER. Формат основного имени таков: имя пользователя, символ @, суффикс основного имени пользователя. Например, пользователь James Smith в microsoft.com мог бы иметь основное имя вида username@microsoft.com. UPN не зависит от DN объекта-пользователя, поэтому объект User разрешается перемещать или переименовывать, не изменяя регистрационного имени пользователя.

Резюме
На этом занятии вы узнали несколько новых понятий, используемых в Active Directory, например глобальный каталог, репликация, доверительные отношения, пространство имен DNS и правила именования. Глобальный каталог — это служба и место физического хранения, которое содержит реплику определенных атрибутов каждого объекта в Active Directory. Глобальный каталог применяется для поиска объектов в сети без репликации всей информации домена между контроллерами доменов.
Репликация в Active Directory обеспечивает отражение изменений в одном из контроллеров домена на остальные контроллеры. Active Directory автоматически формирует в сайте кольцевую топологию для репликации между контроллерами одного домена. Вы можете повлиять на топологию репликации, настраивая связи сайтов.
Доверительные отношения — это связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети, произведенную в доверяемом домене. Active Directory поддерживает два
вида доверительных отношений: неявные двусторонние транзитивные доверительные отношения и явные односторонние нетранзитивные отношения.
Active Directory использует DNS в качестве службы именования и поиска компьютеров в домене, поэтому имена доменов Windows 2000 являются также и DNS-именами. Windows 2000 Server применяет DDNS, так что клиенты с динамически выделяемыми адресами получают право регистрироваться прямо на DNS-сервере и динамически обновлять таблицу DNS. Пространства имен бывают связанные и раздельные.
И, наконец, вы узнали о правилах именования в Active Directory: о составных именах (DN), относительных составных именах (RDN), глобально уникальных идентификаторах (GUID), основных именах пользователей (UPN).




Внедрение Active Directory



Успех внедрения Windows 2000 зависит от планирования Active Directory. В этой главе рассказывается о планировании внедрения службы Active Directory и об этапах ее установки с использованием мастера, а также о внедрении структуры организационного подразделения (ОП) и настройке его параметров.

Планирование внедрения Active Directory

Active Directory позволяет проектировать структуру каталогов, отвечающую потребностям вашей организации. Прежде чем внедрять Active Directory, необходимо изучить структуру бизнеса вашей организации и спланировать структуру домена, пространства имен домена, ОП и сайта. Гибкость Active Directory позволяет создать структуру сети, оптимизированную для вашей организации. Здесь рассказывается о планировании внедрения Active Directory. Вы сможете:
• спланировать структуру домена;
• спланировать пространство имен домена;
• спланировать структуру ОП;
• спланировать структуру сайта.

Планирование структуры домена

Поскольку основным звеном логической структуры в Active Directory является домен, который может хранить миллионы объектов, важной задачей является тщательное планирование его структуры. При этом вы должны принять во внимание:
• • структуру логической и физической среды вашей организации;
• • требования администрирования;
• • требования к структуре домена.

Оценка логической среды
Для определения логической структуры организации необходимо понимать, как организация работает. Например, на рис. 4-1 показано воображаемое деление фирмы Microsoft по функциональному и географическому признакам. Фирма состоит из функциональных подразделений Administration (Управление), Purchasing (Закупка), Sales (Продажа) и Distribution (Распространение). Фирма имеет офисы в городах Канзас-Сити, Сент-Паул, Чикаго и Коламбус.



Рис 4-1. Деление фирмы Microsoft по функциональному и географическому признакам

Требования пользователей и сети
Этот параметр позволит вам определить технические требования для внедрения Active Directory. Вы уже изучили географическое местоположение организации, а теперь вам надо выяснить требования пользователей и сети, чтобы определить логические требования для внедрения Active Directory. Для каждого функционального и географического подразделения выясните:
• количество сотрудников;
• темпы роста;
• планы расширения.
Для оценки сетевых требований для каждого географически изолированного подразделения определите:
• организацию сетевых соединений;
• скорость каждого сетевого соединения;
• использование сетевых соединений;
• подсети TCP/IP.
Например, на рис. 4-2 показаны требования для Microsoft. В четырех географически изолированных подразделениях организации работает примерно одинаковое количество служащих. Однако, если рассматривать функциональные подразделения, то больше сотрудников занято в группе Administrators. В ближайшие 5 лет планируется 3-процентный рост всех подразделений. Офис в Чикаго является концентратором ГВС. Сетевые соединения используются умеренно, не большая нагрузка приходится на соединение Канзас-Сити — Чикаго



Рис. 4-2. Требования пользователей и сети для подразделений

Оценка требований управления
Оценка управления сетевыми ресурсами помогает планировать структуру домена. Определите способ сетевого администрирования вашей организации.
• Централизованное администрирование. Функционирование сети поддерживается одной группой администраторов. Этот метод часто используется в небольших компаниях с ограниченным количеством подразделений и функций.
• Децентрализованное администрирование. Сеть обслуживают несколько администраторов или групп администраторов. Группы могут делиться в зависимости от местоположения или функций, выполняемых подразделениями.
• Выборочное администрирование. Администрирование части ресурсов осуществляется централизованно, а части — децентрализовано.
В приведенном примере требуется децентрализованное администрирование. Каждому физическому подразделению нужна своя группа администраторов для обеспечения сетевых служб для всех четырех
функциональных подразделений.
После определения логической и физической структуры и требований администрирования для вашей организации можно выяснить требования, предъявляемые домену.

Необходимость создания нескольких доменов
Простейшей доменной структурой считается отдельный домен. При планировании стоит начинать с одного домена и затем добавлять их по мере необходимости.
Один домен охватывает несколько сайтов и содержит миллионы объектов. Помните: структуры домена и сайта разделены и отличаются гибкостью. Отдельный домен может охватывать несколько физических сайтов, а отдельный сайт может включать пользователей и компьютеры из разных доменов. Планирование структуры сайта рассматривается далее на этом занятии.
Нет необходимости создавать отдельные домены специально для каждого имеющегося в организации подразделения. Внутри каждого домена можно моделировать иерархию управления организацией для делегирования или администрирования с использованием ОП, которые будут выступать в роли логических контейнеров для других объектов. Затем можно назначать политику групп и помещать в ОП пользователей, группы и компьютеры. Планирование структуры ОП рассматриваетсявается далее на этом занятии. Имеет смысл создавать более одного домена, если:
• сетевое администрирование — децентрализованное;
• выполняется контроль репликации;
• организации предъявляют различные требования к паролям;
• имеется множество объектов;
• в сети используются различные доменные имена Интернета;
• необходимо выполнять некие международные требования;
• внутренние требования политик различаются.
В приведенном примере фирме Microsoft требуются несколько доменов, так как:
• В чикагском офисе требования к паролям — более жесткие;
• необходимо контролировать репликацию активно используемого соединения Чикаго — Канзас-Сити;
• в течение ближайших двух лет планируется создание нового подразделения в Фарго (Северная Дакота).

Способы организации домена
Если вы решили, что вашей организации нужно несколько доменов, организуйте домены в иерархию в соответствии с потребностями организации. Можно организовать домены в виде дерева или леса. Помните: домены в деревьях и лесах имеют одну и ту же конфигурацию, схему и глобальный каталог. Совместно использовать ресурсы в таком случае позволяют двусторонние доверительные отношения.
Основное различие между деревьями и лесами доменов отражено в структуре их доменных имен (Domain Name Service, DNS). Все домены в дереве имеют связанное пространство имен DNS. Если вашу организацию можно представить как группу подразделений, в сети, вероятно, применяется непрерывное пространство имен DNS, и вам следует создавать несколько доменов в одном дереве доменов. Если вы собираетесь объединить организации с уникальными доменными именами, создавайте лес. Его можно также использовать для разделения зон DNS. Каждое дерево в лесе имеет свое уникальное пространство имен.
В нашем примере организационная структура фирмы Microsoft привязана к группе доменов в дереве домена. Microsoft не является подразделением другой организации, и в будущем не планируется создание подразделений.

Планирование доменного пространства имен

В Active Directory домены имеют DNS-имена. Прежде чем использовать DNS в сети, необходимо спланировать пространство имен DNS. Вы должны продумать, как будете применять именование DNS и чего хотите добиться с его помощью. Вот на какие вопросы вам надо предварительно ответить.
• Имеете ли вы опыт выбора и регистрации доменных имен DNS для использования в Интернете?
• Будет ли внутреннее пространство имен Active Directory совпадать с внешним пространством имен Интернета?
• Какие требования и концепции именования следует применить при выборе доменных имен DNS?

Выбор доменного имени DNS
При настройке DNS-серверов рекомендуется сначала выбрать и зарегистрировать уникальное родительское имя DNS, оно будет представлять вашу организацию в Интернете. Например, Microsoft использует имя microsoft.com. Это имя является доменом второго уровня внутри одного из доменов верхнего уровня, используемых в Интернете. Прежде чем задавать родительское имя DNS для вашей организации убедитесь, что это имя не присвоено другой организации. В настоящее время большей частью пространства имен DNS Интернета управляет фирма Network Solutions, Inc., хотя есть и другие фирмы. Родительское имя DNS можно соединить с именем местоположения или подразделения внутри вашей организации для формирования других имен поддоменов. Например, добавим к домену второго Microsoft поддомен Chicago, создав пространство имен chicago.microsoft.com.

Внутреннее и внешнее пространства имен
Для внедрения Active Directory существуют два вида пространств имен. Пространство имен Active Directory совпадает с заданным зарегистрированным пространством имен DNS или отличается от него.

Совпадающие внутреннее и внешнее пространства имен
Согласно этому сценарию, организация использует одно и то же имя для внутреннего и внешнего пространств имен (рис. 4-3). Имя microsoft.com применяется как внутри, так и вне организации. Для реализации этого сценария надо соблюдать следующие условия:
• пользователи внутренней частной сети компании должны иметь доступ как к внутренним, так и к внешним серверам (по обе стороны брандмауэра);
• для защиты конфиденциальной информации клиенты, осуществляющие доступ извне, не должны иметь доступ к внутренним ресурсам компании или иметь возможность разрешать их имена.
Кроме того, необходимы две раздельные зоны DNS, одна из которых за пределами брандмауэра, обеспечивает разрешение имен для общедоступных ресурсов. Она не сконфигурирована для разрешения внутренних ресурсов, поэтому доступ к ним извне получить нельзя.
Недостаток этой конфигурации — предоставление доступа к внешним ресурсам внутренним клиентам, так как внешняя зона DNS не сконфигурирована для разрешения имен внутренних ресурсов. Один из способов преодоления этого недостатка — создать дубликат внешней зоны во внутренней зоне DNS для разрешения имен

Предложения исполнителей

16.02.2011

Имя и адрес пользователя:

Рефераты Курсовые referaty.2011@mail.ru

Сумма:

0 руб.

Срок выполнения:

Текст предложения:

Готов выполнить вашу работу, пишите на referaty.2011@mail.ru