Это иерархическое представление всех объектов и их атрибутов, доступных в сети. Оно позволяет администраторам легко управлять сетевыми ресурсами, то есть компьютерами, пользователями, принтерами, общими папками и т. д. Логическая структура, представленная Active Directory, состоит из лесов, деревьев, доменов, организационных единиц и отдельных объектов. Эта структура полностью независима от физической структуры сети и позволяет администраторам управлять доменами в соответствии с потребностями организации, не беспокоясь о физической структуре сети.
Ниже приводится описание всех логических компонентов структуры Active Directory:
Лес. Лес — это внешняя граница структуры Active Directory. Это группа нескольких деревьев доменов, которые имеют общую схему, но не образуют непрерывного пространства имен. Он создается при установке в сети первого компьютера с Active Directory. В сети есть как минимум один лес. Первый домен в лесу называется корневым доменом. Он управляет схемой и именованием домена для всего леса. Его можно отдельно вывезти из леса. Администраторы могут создавать несколько лесов, а затем создавать доверительные отношения между конкретными доменами в этих лесах, в зависимости от потребностей организации.
Деревья. Иерархическая структура нескольких доменов, организованных в лесу Active Directory, называется деревом. Он состоит из корневого домена и нескольких дочерних доменов. Первый домен, созданный в дереве, становится корневым доменом. Любой домен, добавленный к корневому домену, становится его дочерним, а корневой домен становится его родительским. Иерархия родитель-потомок продолжается до тех пор, пока не будет достигнут конечный узел. Все домены в дереве имеют общую схему, которая определяется на уровне леса. В зависимости от потребностей организации в лес можно включить несколько деревьев доменов.
Домены. Домен — это базовая организационная структура сетевой модели Windows Server 2003. Он логически организует ресурсы в сети и определяет границы безопасности в Active Directory. Каталог может содержать более одного домена, и каждый домен следует своей собственной политике безопасности и доверительным отношениям с другими доменами. Почти все организации, имеющие большую сеть, используют сетевую модель доменного типа для повышения сетевой безопасности и предоставления администраторам возможности эффективно управлять всей сетью.
Объекты: Active Directory хранит все сетевые ресурсы в виде объектов в иерархической структуре контейнеров и подконтейнеров, тем самым делая их легко доступными и управляемыми. Каждый класс объектов состоит из нескольких атрибутов. Всякий раз, когда для определенного класса создается новый объект, он автоматически наследует все атрибуты своего класса-члена. Хотя Active Directory Windows Server 2003 определяет набор объектов по умолчанию, администраторы могут изменять его в соответствии с потребностями организации.
Организационная единица (OU). Это наименее абстрактный компонент Active Directory Windows Server 2003. Он работает как контейнер, в который могут быть помещены ресурсы домена. Его логическая структура аналогична функциональной структуре организации. Он позволяет создавать административные границы в домене, делегируя отдельные административные задачи администраторам домена. Администраторы могут создавать в сети несколько организационных подразделений. Они также могут создавать вложенные подразделения, что означает, что внутри подразделения можно создавать другие подразделения.
В большой сложной сети служба Active Directory предоставляет администраторам единую точку управления, размещая все сетевые ресурсы в одном месте. Это позволяет администраторам эффективно делегировать административные задачи, а также облегчает быстрый поиск сетевых ресурсов. Он легко масштабируется, т. е. администраторы могут добавлять к нему большое количество ресурсов, не неся при этом дополнительной административной нагрузки. Это достигается путем разделения базы данных каталогов, распределения ее по другим доменам и установления доверительных отношений, тем самым предоставляя пользователям преимущества децентрализации и в то же время поддерживая централизованное администрирование.
Физическая сетевая инфраструктура Active Directory слишком проста по сравнению с ее логической структурой. Физические компоненты — это контроллеры домена и сайты.
Контроллер домена. Сервер Windows 2003, на котором установлены и работают службы Active Directory, называется контроллером домена. Контроллер домена локально разрешает запросы на получение информации об объектах в своем домене. Домен может иметь несколько контроллеров домена. Каждый контроллер домена в домене следует модели с несколькими хозяевами, имея полную копию раздела каталога домена. В этой модели каждый контроллер домена содержит мастер-копию своего раздела каталога. Администраторы могут использовать любой контроллер домена для изменения базы данных Active Directory. Изменения, выполненные администраторами, автоматически реплицируются на другие контроллеры домена в домене.
Однако есть некоторые операции, которые не соответствуют модели с несколькими мастерами. Active Directory обрабатывает эти операции и назначает их для выполнения одному контроллеру домена. Такой контроллер домена называется хозяином операций. Хозяин операций выполняет несколько ролей, которые могут распространяться как на весь лес, так и на весь домен.
Роли всего леса. Существует два типа ролей всего леса:
Мастер схемы и мастер именования доменов. Мастер схемы отвечает за поддержание схемы и ее распространение по всему лесу. Мастер именования доменов отвечает за поддержание целостности леса путем регистрации добавлений и удалений доменов из леса. Когда в лес необходимо добавить новые домены, запрашивается роль мастера именования доменов. При отсутствии этой роли невозможно добавлять новые домены.
Роли на уровне домена. Существует три типа ролей на уровне домена: хозяин RID, эмулятор PDC и хозяин инфраструктуры.
Хозяин RID. Хозяин RID — это одна из ролей хозяина операций, которые существуют в каждом домене леса. Он управляет порядковым номером контроллеров домена внутри домена. Он предоставляет уникальную последовательность RID каждому контроллеру домена в домене. Когда контроллер домена создает новый объект, этому объекту присваивается уникальный идентификатор безопасности, состоящий из комбинации SID домена и RID. SID домена — это постоянный идентификатор, тогда как RID назначается каждому объекту контроллером домена. Контроллер домена получает идентификаторы RID от мастера RID. Когда контроллер домена использовал все идентификаторы RID, предоставленные мастером RID, он запрашивает мастер RID выдать дополнительные идентификаторы RID для создания дополнительных объектов в домене. Когда контроллер домена исчерпывает свой пул RID и хозяин RID недоступен, создание нового объекта в домене невозможно.
Эмулятор PDC. Эмулятор PDC — это одна из пяти ролей хозяина операций в Active Directory. Он используется в домене, содержащем компьютеры, не поддерживающие Active Directory. Он обрабатывает изменения паролей как пользователей, так и компьютеров, реплицирует эти обновления на резервные контроллеры домена и запускает браузер мастера домена. Когда пользователь домена запрашивает контроллер домена для проверки подлинности, а контроллер домена не может аутентифицировать пользователя из-за неправильного пароля, запрос перенаправляется на эмулятор PDC. Затем эмулятор PDC проверяет пароль и, если он находит обновленную запись для запрошенного пароля, подтверждает подлинность запроса.
Хозяин инфраструктуры. Роль хозяина инфраструктуры — это одна из ролей хозяина операций в Active Directory. Он функционирует на уровне домена и существует в каждом домене леса. Он поддерживает все междоменные ссылки на объекты, обновляя ссылки с объектов в своем домене на объекты в других доменах. Он выполняет очень важную роль в среде с несколькими доменами. Он сравнивает свои данные с данными Глобального каталога, который всегда содержит актуальную информацию об объектах всех доменов. Когда хозяин инфраструктуры обнаруживает устаревшие данные, он запрашивает в глобальном каталоге обновленную версию. Если обновленные данные доступны в глобальном каталоге, хозяин инфраструктуры извлекает и реплицирует обновленные данные на все остальные контроллеры домена в домене.
Контроллерам домена также можно назначить роль сервера глобального каталога. Глобальный каталог — это специальная база данных Active Directory, в которой хранится полная копия каталога своего хост-домена и частичная реплика каталогов других доменов в лесу. Он создается по умолчанию на начальном контроллере домена в лесу. Он выполняет следующие основные функции, касающиеся возможностей входа в систему и запросов в Active Directory:
Он обеспечивает вход в сеть, предоставляя информацию о членстве в универсальной группе контроллеру домена при инициировании запроса на вход.
Это позволяет найти информацию о каталогах обо всех доменах в лесу Active Directory.
Глобальный каталог необходим для входа в сеть в многодоменной среде. Предоставляя информацию о членстве в универсальных группах, это значительно сокращает время ответа на запросы. В его отсутствие пользователю будет разрешено входить в систему только в своем локальном домене, если его учетная запись пользователя является внешней по отношению к локальному домену.
Сайт. Сайт — это группа контроллеров домена, которые существуют в разных IP-подсетях и соединены между собой быстрым и надежным сетевым соединением. Сеть может содержать несколько сайтов, соединенных каналом глобальной сети. Сайты используются для управления трафиком репликации, который может возникать внутри сайта или между сайтами. Репликация внутри сайта называется внутрисайтовой репликацией, а репликация между сайтами — межсайтовой репликацией. Поскольку все контроллеры домена внутри сайта обычно подключаются через быстрое соединение по локальной сети, внутрисайтовая репликация всегда осуществляется в несжатой форме. Любые изменения, внесенные в домен, быстро реплицируются на другие контроллеры домена. Поскольку сайты связаны друг с другом через WAN-соединение, межсайтовая репликация всегда происходит в сжатом виде. Следовательно, она медленнее, чем внутрисайтовая репликация.
В Windows Server 2003 появилась служба Active Directory (AD), которая произвела революцию в управлении сетью, обеспечив иерархическое представление сетевых объектов и ресурсов. AD позволяет администраторам эффективно управлять компьютерами, пользователями, принтерами, общими папками и многим другим. Это логическая структура, независимая от физической сети, позволяющая администраторам управлять доменами в соответствии с потребностями организации, не ограничиваясь физической структурой сети.
Давайте рассмотрим различные компоненты структуры Active Directory Windows Server 2003:
-
Лес:
Лес — это внешняя граница структуры Active Directory. Он состоит из нескольких деревьев доменов, которые имеют общую схему, но не образуют непрерывного пространства имен. Когда первый компьютер с Active Directory устанавливается в сети, создается лес. Корневой домен, первый домен в лесу, управляет схемой и именованием домена для всего леса. Можно создать несколько лесов и установить доверительные отношения между конкретными доменами в разных лесах в зависимости от требований организации. -
Деревья:
Дерево — это иерархическая структура, состоящая из нескольких доменов, организованных в лесу Active Directory. Он включает в себя корневой домен и несколько дочерних доменов. Первый домен, созданный в дереве, становится корневым доменом, а любые дополнительные домены, добавленные к корневому домену, становятся его дочерними доменами. Иерархия родитель-потомок продолжается до тех пор, пока не будет достигнут конечный узел. Все домены в дереве имеют общую схему, определенную на уровне леса. В лес можно включить несколько деревьев доменов для удовлетворения организационных потребностей. -
Домены:
Домен — это фундаментальная организационная структура сетевой модели Windows Server 2003. Он логически организует сетевые ресурсы и определяет границы безопасности в Active Directory. Каталог может содержать несколько доменов, и каждый домен следует своей собственной политике безопасности и доверительным отношениям с другими доменами. Организации с большими сетями часто используют модель домена для повышения сетевой безопасности и облегчения эффективного управления сетью. -
Объекты:
Active Directory хранит сетевые ресурсы в виде объектов в иерархической структуре контейнеров и подконтейнеров, что делает их легко доступными и управляемыми. Каждый класс объектов состоит из нескольких атрибутов. Когда для определенного класса создается новый объект, он наследует все атрибуты своего класса-члена. Хотя Windows Server 2003 Active Directory определяет набор объектов по умолчанию, администраторы могут изменить его в соответствии с требованиями организации. -
Организационное подразделение (OU):
Организационная единица (OU) — это наименее абстрактный компонент Active Directory Windows Server 2003. Он функционирует как контейнер, в котором можно разместить ресурсы домена. Его логическая структура отражает функциональную структуру организации, позволяя администраторам создавать административные границы внутри домена, делегируя отдельные административные задачи администраторам конкретного домена. В сети можно создать несколько подразделений, а также возможно вложение подразделений, что позволяет создать иерархическую административную структуру.
Служба Active Directory предоставляет администраторам централизованную точку управления в больших сложных сетях. Он консолидирует все сетевые ресурсы, обеспечивая эффективное делегирование административных задач и быстрый поиск сетевых ресурсов. Active Directory обладает высокой масштабируемостью, что позволяет администраторам добавлять большое количество ресурсов без дополнительной административной нагрузки. Эта масштабируемость достигается за счет разделения базы данных каталогов, распределения по доменам и установления доверительных отношений, что обеспечивает как децентрализацию, так и централизованное администрирование.
Физическая сетевая инфраструктура Active Directory состоит из двух основных компонентов:
-
Контроллеры домена:
Контроллер домена — это сервер Windows Server 2003, на котором установлены и работают службы Active Directory. Он локально разрешает запросы на получение информации об объектах в своем домене. В домене может существовать несколько контроллеров домена. Каждый контроллер домена следует модели с несколькими хозяевами, поддерживая полную копию раздела каталога домена. Администраторы могут использовать любой контроллер домена для изменения базы данных Active Directory, при этом изменения автоматически реплицируются на другие контроллеры домена в домене. Определенные операции, известные как роли хозяина операций, назначаются одному контроллеру домена в домене, чтобы обеспечить согласованное выполнение определенных задач. -
Места:
Сайт — это совокупность контроллеров домена, расположенных в разных IP-подсетях, соединенных посредством быстрых и надежных сетевых подключений. Несколько сайтов могут быть соединены каналом глобальной сети (WAN). Сайты используются для управления трафиком репликации, который может происходить внутри сайта (внутрисайтовая репликация) или между сайтами (межсайтовая репликация). Поскольку контроллеры домена внутри сайта соединены быстрыми соединениями по локальной сети, внутрисайтовая репликация происходит в несжатой форме, что обеспечивает быструю репликацию изменений. С другой стороны, межсайтовая репликация происходит в сжатой форме из-за ограничений глобальной сети, что приводит к замедлению репликации между сайтами.
В заключение отметим, что Windows Server 2003 Active Directory представляет собой мощное и гибкое решение для управления сетью. Его логическая структура позволяет администраторам управлять сетевыми ресурсами в соответствии с потребностями организации, независимо от физической структуры сети. Благодаря таким функциям, как леса, деревья, домены, объекты, подразделения, контроллеры домена и сайты, Active Directory предлагает централизованное администрирование, масштабируемость и повышенную сетевую безопасность для организаций любого размера.
-
Рингтон Mp3: Модная Бесплатная Функция
19 Oct, 24 -
Украсьте Свое Myspace Графикой Myspace
19 Oct, 24 -
Почему Веб-Разработка
19 Oct, 24
