Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры. Логическая структура каталога Active Directory представлена на рис. 7.1. Цель такой структуризации – облегчение процесса администрирования.

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов.

Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2). Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать. Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

• раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);

• раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;

• раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;

• раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;

• раздел глобального каталога (global catalog partition).

Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

– раздел домена реплицируется между контроллерами одного домена;

– разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

– репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.

Доменная модель.

В доменной модели существует единая база данных служб каталогов, доступная всем компьютерам сети. Для этого в сети устанавливаются специализированные серверы, называемые контроллерами домена, которые хранят на своих жестких дисках эту базу. На рис. 4.2. изображена схема доменной модели. Серверы DC-1 и DC-2 — контроллеры домена, они хранят доменную базу данных учетных записей (каждый контроллер хранит у себя свою собственную копию БД, но все изменения, производимые в БД на одном из серверов, реплицируются на остальные контроллеры).

В такой модели, если, например, на сервере SRV-1, являющемся членом домена, предоставлен общий доступ к папке Folder, то права доступа к данному ресурсу можно назначать не только для учетных записей локальной базы SAM данного сервера, но, самое главное, учетным записям, хранящимся в доменной БД. На рисунке для доступа к папке Folder даны права доступа одной локальной учетной записи компьютера SRV-1 и нескольким учетным записям домена (пользователя и группам пользователей). В доменной модели управления безопасностью пользователь регистрируется на компьютере («входит в систему») со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам. И нет необходимости на каждом компьютере создавать большое количество локальных учетных записей, все записи созданы однократно в доменной БД. И с помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.

Дата добавления: 2014-10-23; Просмотров: 2618; Нарушение авторских прав?; Мы поможем в написании вашей работы!