Архитектура

Основой для логической, иерархической организации сведений службы каталога служит структурированное хранилище данных каталога. Хранилище данных в службе каталогов AD используется для данных всех каталогов. Это хранилище данных часто называется каталогом. Каталог содержит сведения о таких объектах, как пользователи, группы, компьютеры, домены, подразделения и политики безопасности. Эти сведения могут быть опубликованы для использования пользователями и администраторами.

Каталог хранится на контроллерах домена. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения каталога, выполненные на одном контроллере домена, реплицируются на другие контроллеры домена, на дерево доменов или лес.

Глобальный каталог является контроллером домена, хранящим копии всех объектов Active Directory в лесу. В нем хранится полная копия всех объектов каталога для его домена и частичная копия всех объектов для всех других доменов леса, как показано на следующем рисунке.

Частичные копии всех объектов домена, включенные в глобальный каталог, используются в операциях поиска наиболее часто. Включение этих атрибутов в глобальный каталог отмечено в определении их схемы. Хранение в глобальном каталоге наиболее часто использующихся для поиска атрибутов всех объектов домена предоставляет возможность эффективного поиска, не снижающего производительность сети ненужными обращениями к контроллерам домена.

Другие атрибуты объектов можно вручную добавлять или удалять из глобального каталога с помощью оснастки «Схема Active Directory». Дополнительные сведения см. в разделе Настройка глобального каталога.

Глобальный каталог создается автоматически на исходном контроллере домена в составе леса. Пользователь может переносить возможности глобального каталога на другие контроллеры домена, а также изменять расположение глобального каталога, устанавливаемое по умолчанию, указывая другой контроллер. Дополнительные сведения см. в разделе Включение или отключение глобального каталога.

Глобальный каталог выполняет следующие основные функции.•

Поиск объектов

Глобальный каталог обеспечивает возможность поиска данных каталога во всех доменах леса независимо от места хранения данных. Поиск внутри леса производится с максимальной скоростью и минимальным сетевым трафиком.

При поиске людей или принтеров из меню «Пуск», а также при выборе в качестве области поиска запроса всего каталога поиск производится в глобальном каталоге. После введения запроса поиска он направляется в стандартный порт глобального каталога 3268 и отсылается глобальному каталогу для разрешения. Для получения дополнительных сведений выполните поиск по фразам Поиск данных каталога и «Finding information in Active Directory» на веб-узле ресурсов Microsoft Windows.

•

Проверка подлинности с помощью основного имени пользователя

Глобальный каталог определяет основное имя пользователя (UPN, user principal name), если проверяющий подлинность контроллер домена не обладает сведениями об учетной записи. Например, если учетная запись расположена в узле example1.microsoft.com, а в качестве основного имени пользователя при входе в систему используется имя [email protected] узла example2.microsoft.com, контроллер домена узла example2.microsoft.com не сможет найти учетную запись и обратится к глобальному каталогу для завершения процедуры входа. Дополнительные сведения см. в разделе Именование в Active Directory.

•

Предоставление сведений об участии в универсальных группах в мультидоменной среде

В отличие от сведений о принадлежности к глобальной группе, хранящихся в каждом домене, сведения об участии в универсальных группах содержатся только в глобальном каталоге. Например, если член универсальной группы входит в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то глобальный каталог предоставляет сведения об участии учетной записи в универсальных группах во время входа в домен.

Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.

Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.

Примечание•

Если в составе леса находится только один домен, то при входе в систему нет необходимости получать в глобальном каталоге членство в универсальных группах. Это обусловлено тем, что Active Directory обнаруживает отсутствие в лесу других доменов и предотвращает отправление глобальному каталогу запроса на эти сведения.

Проверка ссылок на объекты внутри леса

Контроллеры домена используют глобальный каталог для проверки ссылок на объекты других доменов леса. Если в контроллер домена входит объект каталога, чей атрибут содержит ссылку на объект другого домена, то эта ссылка проверяется с помощью глобального каталога.

@ Данные каталога хранятся в файле Ntds.dit. Для управления службой AD из командной строки используется утилита Ntdsutil.exe.

В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения.

· Данные домена – содержат сведения об объектах домена. Это такие сведения, как адреса электронной почты, атрибуты учетных записей пользователей и компьютеров и опубликованные ресурсы, представляющие интерес для администраторов и пользователей.

· Данные конфигурации – описывают топологию каталога. Эти данные включают список всех доменов, деревьев и лесов, а также местонахождение контроллеров доменов и глобальных каталогов.

· Данные схемы. Схема – это формальное определение всех объектов и данных атрибута, которые могут храниться в каталоге. Контроллеры домена, работающие под управлением Windows Server 2003, содержат схему по умолчанию, определяющую различные типы объектов, такие как учетные записи компьютеров, группы, домены, организационные подразделения и политики безопасности. Администраторы и программисты могут расширить схему, определяя новые типы объектов и атрибутов или добавляя новые атрибуты для существующих объектов. Объекты схемы защищены с помощью таблиц управления доступом, которые предоставляют возможность изменения схемы только пользователям, прошедших проверку.

· Данные приложений – данные, хранящиеся в разделе каталога приложений; предназначены для случаев, когда сведения необходимо реплицировать в небольшом масштабе. Разделы каталога приложений по умолчанию не являются частью хранилища данных каталога, они должны создаваться, настраиваться и управляться администратором.

Дата добавления: 2014-01-04; Просмотров: 381; Нарушение авторских прав?; Мы поможем в написании вашей работы!