Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Поддерживать
www.wikidata.ru-ru.nina.az

Active Directory Активный каталог AD службы каталогов корпорации Microsoft для операционных систем семейства Windows Ser

Active Directory

Active Directory («Активный каталог», AD) — (службы каталогов) корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать (групповые политики) для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством (System Center Configuration Manager) (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя (Службу обновления Windows Server). Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Active Directory
Тип (Служба каталогов)
Разработчик Майкрософт
Операционная система Windows Server
Первый выпуск 1999
Аппаратные платформы x86, x86-64 и (IA-64)
Сайт docs.microsoft.com/windo…

Представление решения состоялось в 1999 году, впервые продукт был выпущен вместе с (Windows 2000 Server), а затем развит в рамках выпуска Windows Server 2003. Впоследствии новые версии продукта вошли в (Windows Server 2003 R2), Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых (исполняемых файлах).

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол (NetBIOS) для сетевого взаимодействия, служба Active Directory интегрирована с DNS и работает только поверх . Для аутентификации по умолчанию используется протокол (Kerberos). Если клиент или приложение не поддерживает Kerberos-аутентификацию, используется протокол (NTLM).

Для разработчиков программного обеспечения предоставляется программный интерфейс доступа к службам Active Directory — (ADSI).

Устройство

Объекты

Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и учётные записи пользователей и компьютеров. Служба предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Объекты могут быть хранилищами для других объектов (группы безопасности и распространения). Объект уникально определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо и возможно. Однако каждый объект схемы является частью определений объектов, поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура каталогов. Изменение объекта схемы автоматически распространяется в службе каталогов. Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

См. также: (Иерархия объектов Active Directory)

Структура

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько (деревьев), связанных (транзитивными) отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать, например, организационную или географическую структуру организации в службе каталогов. Подразделения могут содержать другие подразделения. Microsoft рекомендует использовать как можно меньше доменов в службе каталогов, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления являются сайты, которые являются способом физической (а не логической) группировки на основе сегментов сети. Сайты подразделяются на имеющие подключения по низко скоростным каналам (например, по каналам (глобальных сетей), с помощью виртуальных частных сетей) и по высокоскоростным каналам (например, через (локальную сеть)). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании службы каталогов важно учитывать (сетевой трафик), создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании службы каталогов является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация

Физически информация хранится на одном или нескольких равнозначных (контроллерах доменов), заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена, хотя для выполнения некоторых операций сохраняется и так называемый сервер «(операций с одним главным сервером)», который может эмулировать главный контроллер домена. Каждый контроллер домена хранит копию данных, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при (репликации). Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен Active Directory, называются рядовыми серверами.

Репликация каталога выполняется по запросу. Служба KCC (Knowledge Consistency Checker) создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу (например, DS3, (T1), (ISDN)), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитом передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт—сайт», чем для транзитных соединений. Репликация "сайт—сайт" выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC, междоменная — может использовать также протокол (SMTP).

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в рамках всего леса.

Базу Active Directory можно разделить на три логических хранилища или «раздела». Схема является шаблоном для службы и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). Конфигурация является структурой леса и деревьев Active Directory. Домен хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога.

База данных (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения [англ.], которая позволяет для каждого контроллера домена иметь базу размером до 16 (терабайт) и 1 миллиард объектов (теоретическое ограничение, практические тесты выполнялись только с приблизительно 100 миллионами объектов). Файл базы называется NTDS.DIT и имеет две основные таблицы — таблицу данных и таблицу связей. В Windows Server 2003 добавлена ещё одна таблица для обеспечения уникальности экземпляров (дескрипторов безопасности).

Именование

Служба поддерживает следующие форматы именования объектов: универсальные имена типа (UNC), URL и LDAP URL. Версия LDAP формата именования (X.500) используется внутри службы.

Каждый объект имеет выделенное имя (англ. distinguished name, DN). Например, объект принтера с именем HPLaser3 в подразделении «Маркетинг» и в домене foo.org будет иметь следующее выделенное имя: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org, где CN — это общее имя, OU — раздел, DC — класс объекта домена. Выделенные имена могут иметь намного больше частей, чем четыре части в этом примере. У объектов также есть канонические имена. Это различающиеся имена, записанные в обратном порядке, без идентификаторов и с использованием косых черт в качестве разделителей: foo.org/Маркетинг/HPLaser3. Чтобы определить объект внутри его контейнера, используется относительное выделенное имя: CN=HPLaser3. У каждого объекта также есть глобально уникальный идентификатор (GUID) — уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Определённые объекты также имеют имя участника-пользователя (UPN, в соответствии с RFC 822) в формате объект@домен.

Интеграция с UNIX

Различные уровни взаимодействия с Active Directory могут быть реализованы в большинстве UNIX-подобных операционных систем посредством LDAP-клиентов, но такие системы, как правило, не воспринимают большую часть атрибутов, ассоциированных с компонентами Windows, например, (групповые политики) и поддержку односторонних доверенностей. Однако с выходом Samba 4 появилась возможность использовать групповые политики и инструменты администрирования Windows.

Сторонние поставщики предлагают интеграцию Active Directory на платформах UNIX, Linux, Mac OS X и ряд приложений на Java, среди них — продукты корпорации [англ.] DirectControl и Express, UNAB ((Computer Associates)), TrustBroker (), (), Authentication Services (), ADmitMac (). Сервер (Samba) — пакета программ PowerBroker Identity Services совместимости с сетевыми службами Microsoft — может выполнять роль контроллера домена.

Добавления в схему, поставляемые с (Windows Server 2003 R2), включают атрибуты, которые достаточно тесно связаны с RFC 2307, чтобы использоваться в общем случае. Базовые реализации RFC 2307nss_ldap и pam_ldap, предложенные PADL.com, непосредственно поддерживают эти атрибуты. Стандартная схема для членства в группе соответствует RFC 2307bis (предлагаемому). Windows Server 2003 R2 включает (Консоль управления Microsoft) для создания и редактирования атрибутов.

Альтернативным вариантом является использование другой службы каталогов, например, (389 Directory Server) (ранее — Fedora Directory Server, FDS), eB2Bcom ViewDS [англ.] или [англ.], выполняющих двухстороннюю синхронизацию с Active Directory, реализуя таким образом «отражённую» интеграцию, когда клиенты UNIX- и Linux-систем аутентифицируются на собственных серверах, а клиенты Windows — в Active Directory. Другим вариантом является использование (OpenLDAP) с возможностью полупрозрачного перекрытия, расширяющей элементы удалённого сервера LDAP дополнительными атрибутами, хранимыми в локальной базе данных.

Active Directory автоматизируются с помощью (PowerShell).

Примечания

  1. TechNet: Windows Authentication. Дата обращения: 29 октября 2017. 23 декабря 2015 года.
  2. Имена объектов. Microsoft Technet. Microsoft Corp.. Архивировано 25 августа 2011 года.
  3. Edge, Charles S., Jr; Smith, Zack; Hunter, Beau. ch. 3 // Enterprise Mac Administrator's Guide (неопр.). — New York City: (Apress), 2009. — .
  4. Samba4/Releases/4.0.0alpha13. SambaPeople. SAMBA Project. Дата обращения: 29 ноября 2010. Архивировано 4 февраля 2012 года.
  5. «The great DRS success!» SambaPeople. SAMBA Project (5 октября 2009). Дата обращения: 2 ноября 2009. Архивировано 4 февраля 2012 года.
  6. RFC 2307bis от 27 сентября 2011 на Wayback Machine 27 сентября 2011 года.
  7. Active Directory Administration with Windows PowerShell. Microsoft. Дата обращения: 7 июня 2011. Архивировано 4 февраля 2012 года.

Литература

Ссылки

Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер

Дата публикации:
Active Directory Aktivnyj katalog AD sluzhby katalogov korporacii Microsoft dlya operacionnyh sistem semejstva Windows Server Pervonachalno sozdavalas kak LDAP sovmestimaya realizaciya sluzhby katalogov odnako nachinaya s Windows Server 2008 vklyuchaet vozmozhnosti integracii s drugimi sluzhbami avtorizacii vypolnyaya dlya nih integriruyushuyu i obedinyayushuyu rol Pozvolyaet administratoram ispolzovat gruppovye politiki dlya obespecheniya edinoobraziya nastrojki polzovatelskoj rabochej sredy razvorachivat programmnoe obespechenie na mnozhestve kompyuterov cherez gruppovye politiki ili posredstvom System Center Configuration Manager ranee Microsoft Systems Management Server ustanavlivat obnovleniya operacionnoj sistemy prikladnogo i servernogo programmnogo obespecheniya na vseh kompyuterah v seti ispolzuya Sluzhbu obnovleniya Windows Server Hranit dannye i nastrojki sredy v centralizovannoj baze dannyh Seti Active Directory mogut byt razlichnogo razmera ot neskolkih desyatkov do neskolkih millionov obektov Active DirectoryTip Sluzhba katalogovRazrabotchik MajkrosoftOperacionnaya sistema Windows ServerPervyj vypusk 1999Apparatnye platformy x86 x86 64 i IA 64Chitaemye formaty fajlov LDIFSajt docs microsoft com windo Predstavlenie resheniya sostoyalos v 1999 godu vpervye produkt byl vypushen vmeste s Windows 2000 Server a zatem razvit v ramkah vypuska Windows Server 2003 Vposledstvii novye versii produkta voshli v Windows Server 2003 R2 Windows Server 2008 i Windows Server 2008 R2 i pereimenovan v Active Directory Domain Services Ranee sluzhba katalogov nazyvalas NT Directory Service NTDS eto nazvanie do sih por mozhno vstretit v nekotoryh ispolnyaemyh fajlah V otlichie ot versij Windows do Windows 2000 kotorye ispolzovali v osnovnom protokol NetBIOS dlya setevogo vzaimodejstviya sluzhba Active Directory integrirovana s DNS i rabotaet tolko poverh TCP IP Dlya autentifikacii po umolchaniyu ispolzuetsya protokol Kerberos Esli klient ili prilozhenie ne podderzhivaet Kerberos autentifikaciyu ispolzuetsya protokol NTLM Dlya razrabotchikov programmnogo obespecheniya predostavlyaetsya programmnyj interfejs dostupa k sluzhbam Active Directory ADSI UstrojstvoObekty Active Directory imeet ierarhicheskuyu strukturu sostoyashuyu iz obektov Obekty razdelyayutsya na tri osnovnye kategorii resursy naprimer printery sluzhby naprimer elektronnaya pochta i uchyotnye zapisi polzovatelej i kompyuterov Sluzhba predostavlyaet informaciyu ob obektah pozvolyaet organizovyvat obekty upravlyat dostupom k nim a takzhe ustanavlivaet pravila bezopasnosti Obekty mogut byt hranilishami dlya drugih obektov gruppy bezopasnosti i rasprostraneniya Obekt unikalno opredelyaetsya svoim imenem i imeet nabor atributov harakteristik i dannyh kotorye on mozhet soderzhat poslednie v svoyu ochered zavisyat ot tipa obekta Atributy yavlyayutsya sostavlyayushej bazoj struktury obekta i opredelyayutsya v sheme Shema opredelyaet kakie tipy obektov mogut sushestvovat Sama shema sostoit iz dvuh tipov obektov obekty klassov shemy i obekty atributov shemy Odin obekt klassa shemy opredelyaet odin tip obekta Active Directory naprimer obekt Polzovatel a odin obekt atributa shemy opredelyaet atribut kotoryj obekt mozhet imet Kazhdyj obekt atributa mozhet byt ispolzovan v neskolkih raznyh obektah klassov shemy Eti obekty nazyvayutsya obektami shemy ili metadannymi i pozvolyayut izmenyat i dopolnyat shemu kogda eto neobhodimo i vozmozhno Odnako kazhdyj obekt shemy yavlyaetsya chastyu opredelenij obektov poetomu otklyuchenie ili izmenenie etih obektov mogut imet seryoznye posledstviya tak kak v rezultate etih dejstvij budet izmenena struktura katalogov Izmenenie obekta shemy avtomaticheski rasprostranyaetsya v sluzhbe katalogov Buduchi odnazhdy sozdannym obekt shemy ne mozhet byt udalyon on mozhet byt tolko otklyuchyon Obychno vse izmeneniya shemy tshatelno planiruyutsya Kontejner analogichen obektu v tom smysle chto on takzhe imeet atributy i prinadlezhit prostranstvu imyon no v otlichie ot obekta kontejner ne oboznachaet nichego konkretnogo on mozhet soderzhat gruppu obektov ili drugie kontejnery Sm takzhe Ierarhiya obektov Active Directory Struktura Verhnim urovnem struktury yavlyaetsya les sovokupnost vseh obektov atributov i pravil sintaksisa atributov v Active Directory Les soderzhit odno ili neskolko derevev svyazannyh tranzitivnymi otnosheniyami doveriya Derevo soderzhit odin ili neskolko domenov takzhe svyazannyh v ierarhiyu tranzitivnymi otnosheniyami doveriya Domeny identificiruyutsya svoimi strukturami imyon DNS prostranstvami imyon Obekty v domene mogut byt sgruppirovany v kontejnery podrazdeleniya Podrazdeleniya pozvolyayut sozdavat ierarhiyu vnutri domena uproshayut ego administrirovanie i pozvolyayut modelirovat naprimer organizacionnuyu ili geograficheskuyu strukturu organizacii v sluzhbe katalogov Podrazdeleniya mogut soderzhat drugie podrazdeleniya Microsoft rekomenduet ispolzovat kak mozhno menshe domenov v sluzhbe katalogov a dlya strukturirovaniya i politik ispolzovat podrazdeleniya Chasto gruppovye politiki primenyayutsya imenno k podrazdeleniyam Gruppovye politiki sami yavlyayutsya obektami Podrazdelenie yavlyaetsya samym nizkim urovnem na kotorom mogut delegirovatsya administrativnye polnomochiya Drugim sposobom deleniya yavlyayutsya sajty kotorye yavlyayutsya sposobom fizicheskoj a ne logicheskoj gruppirovki na osnove segmentov seti Sajty podrazdelyayutsya na imeyushie podklyucheniya po nizko skorostnym kanalam naprimer po kanalam globalnyh setej s pomoshyu virtualnyh chastnyh setej i po vysokoskorostnym kanalam naprimer cherez lokalnuyu set Sajt mozhet soderzhat odin ili neskolko domenov a domen mozhet soderzhat odin ili neskolko sajtov Pri proektirovanii sluzhby katalogov vazhno uchityvat setevoj trafik sozdayushijsya pri sinhronizacii dannyh mezhdu sajtami Klyuchevym resheniem pri proektirovanii sluzhby katalogov yavlyaetsya reshenie o razdelenii informacionnoj infrastruktury na ierarhicheskie domeny i podrazdeleniya verhnego urovnya Tipichnymi modelyami ispolzuemymi dlya takogo razdeleniya yavlyayutsya modeli razdeleniya po funkcionalnym podrazdeleniyam kompanii po geograficheskomu polozheniyu i po rolyam v informacionnoj infrastrukture kompanii Chasto ispolzuyutsya kombinacii etih modelej Fizicheskaya struktura i replikaciya Fizicheski informaciya hranitsya na odnom ili neskolkih ravnoznachnyh kontrollerah domenov zamenivshih ispolzovavshiesya v Windows NT osnovnoj i rezervnye kontrollery domena hotya dlya vypolneniya nekotoryh operacij sohranyaetsya i tak nazyvaemyj server operacij s odnim glavnym serverom kotoryj mozhet emulirovat glavnyj kontroller domena Kazhdyj kontroller domena hranit kopiyu dannyh prednaznachennuyu dlya chteniya i zapisi Izmeneniya sdelannye na odnom kontrollere sinhroniziruyutsya na vse kontrollery domena pri replikacii Servery na kotoryh sama sluzhba Active Directory ne ustanovlena no kotorye pri etom vhodyat v domen Active Directory nazyvayutsya ryadovymi serverami Replikaciya kataloga vypolnyaetsya po zaprosu Sluzhba KCC Knowledge Consistency Checker sozdayot topologiyu replikacii kotoraya ispolzuet sajty opredelyonnye v sisteme dlya upravleniya trafikom Vnutrisajtovaya replikaciya vypolnyaetsya chasto i avtomaticheski s pomoshyu sredstva proverki soglasovannosti uvedomleniem partnyorov po replikacii ob izmeneniyah Replikaciya mezhdu sajtami mozhet byt nastroena dlya kazhdogo kanala sajta v zavisimosti ot kachestva kanala razlichnaya ocenka ili stoimost mozhet byt naznachena kazhdomu kanalu naprimer DS3 T1 ISDN i trafik replikacii budet ogranichen peredavatsya po raspisaniyu i marshrutizirovatsya v sootvetstvii s naznachennoj ocenkoj kanala Dannye replikacii mogut tranzitom peredavatsya cherez neskolko sajtov cherez mosty svyazi sajtov esli ocenka nizka hotya AD avtomaticheski naznachaet bolee nizkuyu ocenku dlya svyazej sajt sajt chem dlya tranzitnyh soedinenij Replikaciya sajt sajt vypolnyaetsya serverami placdarmami v kazhdom sajte kotorye zatem repliciruyut izmeneniya na kazhdyj kontroller domena svoego sajta Vnutridomennaya replikaciya prohodit po protokolu RPC mezhdomennaya mozhet ispolzovat takzhe protokol SMTP Esli struktura Active Directory soderzhit neskolko domenov dlya resheniya zadachi poiska obektov ispolzuetsya globalnyj katalog kontroller domena soderzhashij vse obekty lesa no s ogranichennym naborom atributov nepolnaya replika Katalog hranitsya na ukazannyh serverah globalnogo kataloga i obsluzhivaet mezhdomennye zaprosy Vozmozhnost operacij s odnim glavnym kompyuterom pozvolyaet obrabatyvat zaprosy kogda replikaciya s neskolkimi glavnymi kompyuterami nedopustima Est pyat tipov takih operacij emulyaciya glavnogo kontrollera domena PDC emulyator glavnyj kompyuter otnositelnogo identifikatora master otnositelnyh identifikatorov ili RID master glavnyj kompyuter infrastruktury master infrastruktury glavnyj kompyuter shemy master shemy i glavnyj kompyuter imenovaniya domena master imenovaniya domenov Pervye tri roli unikalny v ramkah domena poslednie dve unikalny v ramkah vsego lesa Bazu Active Directory mozhno razdelit na tri logicheskih hranilisha ili razdela Shema yavlyaetsya shablonom dlya sluzhby i opredelyaet vse tipy obektov ih klassy i atributy sintaksis atributov vse derevya nahodyatsya v odnom lesu potomu chto u nih odna shema Konfiguraciya yavlyaetsya strukturoj lesa i derevev Active Directory Domen hranit vsyu informaciyu ob obektah sozdannyh v etom domene Pervye dva hranilisha repliciruyutsya na vse kontrollery domenov v lesu tretij razdel polnostyu repliciruetsya mezhdu replikami kontrollerov v ramkah kazhdogo domena i chastichno na servera globalnogo kataloga Baza dannyh hranilishe katalogov v Windows 2000 ispolzuet rasshiryaemuyu podsistemu hraneniya angl kotoraya pozvolyaet dlya kazhdogo kontrollera domena imet bazu razmerom do 16 terabajt i 1 milliard obektov teoreticheskoe ogranichenie prakticheskie testy vypolnyalis tolko s priblizitelno 100 millionami obektov Fajl bazy nazyvaetsya NTDS DIT i imeet dve osnovnye tablicy tablicu dannyh i tablicu svyazej V Windows Server 2003 dobavlena eshyo odna tablica dlya obespecheniya unikalnosti ekzemplyarov deskriptorov bezopasnosti ImenovanieSluzhba podderzhivaet sleduyushie formaty imenovaniya obektov universalnye imena tipa UNC URL i LDAP URL Versiya LDAP formata imenovaniya X 500 ispolzuetsya vnutri sluzhby Kazhdyj obekt imeet vydelennoe imya angl distinguished name DN Naprimer obekt printera s imenem HPLaser3 v podrazdelenii Marketing i v domene foo org budet imet sleduyushee vydelennoe imya CN HPLaser3 OU Marketing DC foo DC org gde CN eto obshee imya OU razdel DC klass obekta domena Vydelennye imena mogut imet namnogo bolshe chastej chem chetyre chasti v etom primere U obektov takzhe est kanonicheskie imena Eto razlichayushiesya imena zapisannye v obratnom poryadke bez identifikatorov i s ispolzovaniem kosyh chert v kachestve razdelitelej foo org Marketing HPLaser3 Chtoby opredelit obekt vnutri ego kontejnera ispolzuetsya otnositelnoe vydelennoe imya CN HPLaser3 U kazhdogo obekta takzhe est globalno unikalnyj identifikator GUID unikalnaya i neizmennaya 128 bitnaya stroka kotoraya ispolzuetsya v Active Directory dlya poiska i replikacii Opredelyonnye obekty takzhe imeyut imya uchastnika polzovatelya UPN v sootvetstvii s RFC 822 v formate obekt domen Integraciya s UNIXRazlichnye urovni vzaimodejstviya s Active Directory mogut byt realizovany v bolshinstve UNIX podobnyh operacionnyh sistem posredstvom LDAP klientov no takie sistemy kak pravilo ne vosprinimayut bolshuyu chast atributov associirovannyh s komponentami Windows naprimer gruppovye politiki i podderzhku odnostoronnih doverennostej Odnako s vyhodom Samba 4 poyavilas vozmozhnost ispolzovat gruppovye politiki i instrumenty administrirovaniya Windows Storonnie postavshiki predlagayut integraciyu Active Directory na platformah UNIX Linux Mac OS X i ryad prilozhenij na Java sredi nih produkty korporacii angl DirectControl i Express UNAB Computer Associates TrustBroker Authentication Services ADmitMac Server Samba paketa programm PowerBroker Identity Services sovmestimosti s setevymi sluzhbami Microsoft mozhet vypolnyat rol kontrollera domena Dobavleniya v shemu postavlyaemye s Windows Server 2003 R2 vklyuchayut atributy kotorye dostatochno tesno svyazany s RFC 2307 chtoby ispolzovatsya v obshem sluchae Bazovye realizacii RFC 2307 nss ldap i pam ldap predlozhennye PADL com neposredstvenno podderzhivayut eti atributy Standartnaya shema dlya chlenstva v gruppe sootvetstvuet RFC 2307bis predlagaemomu Windows Server 2003 R2 vklyuchaet Konsol upravleniya Microsoft dlya sozdaniya i redaktirovaniya atributov Alternativnym variantom yavlyaetsya ispolzovanie drugoj sluzhby katalogov naprimer 389 Directory Server ranee Fedora Directory Server FDS eB2Bcom ViewDS angl ili angl vypolnyayushih dvuhstoronnyuyu sinhronizaciyu s Active Directory realizuya takim obrazom otrazhyonnuyu integraciyu kogda klienty UNIX i Linux sistem autentificiruyutsya na sobstvennyh serverah a klienty Windows v Active Directory Drugim variantom yavlyaetsya ispolzovanie OpenLDAP s vozmozhnostyu poluprozrachnogo perekrytiya rasshiryayushej elementy udalyonnogo servera LDAP dopolnitelnymi atributami hranimymi v lokalnoj baze dannyh Active Directory avtomatiziruyutsya s pomoshyu PowerShell PrimechaniyaTechNet Windows Authentication neopr Data obrasheniya 29 oktyabrya 2017 23 dekabrya 2015 goda Imena obektov neopr Microsoft Technet Microsoft Corp Arhivirovano 25 avgusta 2011 goda Edge Charles S Jr Smith Zack Hunter Beau ch 3 Enterprise Mac Administrator s Guide neopr New York City Apress 2009 ISBN 9781430224433 Samba4 Releases 4 0 0alpha13 neopr SambaPeople SAMBA Project Data obrasheniya 29 noyabrya 2010 Arhivirovano 4 fevralya 2012 goda The great DRS success neopr SambaPeople SAMBA Project 5 oktyabrya 2009 Data obrasheniya 2 noyabrya 2009 Arhivirovano 4 fevralya 2012 goda RFC 2307bis ot 27 sentyabrya 2011 na Wayback Machine 27 sentyabrya 2011 goda Active Directory Administration with Windows PowerShell neopr Microsoft Data obrasheniya 7 iyunya 2011 Arhivirovano 4 fevralya 2012 goda LiteraturaRend Morimoto Kenton Gardiner Majkl Noel Dzho Koka Microsoft Exchange Server 2003 Polnoe rukovodstvo Microsoft Exchange Server 2003 Unleashed M 2006 S 1024 ISBN 0 672 32581 0 SsylkiVeb stranica Microsoft Active Directory
Вершина