Представьте, что вы работаете в крупной компании и
хотите найти какой-либо файл. Если вы не знаете, где он находится, на каком из
сетевых серверов, с помощью чего вы можете просмотреть структуру каталогов
вашей сети? Каким образом вы можете «добраться» до каждого сервера, если вы
даже не знаете всех их имен? Если вы управляете сетью компании и у вас есть
серверы для пользователей, серверы для секретных данных, интранет-сеть с
открытой и закрытой зонами, а также открытый для всеобщего доступа веб-сайт —
каким образом вы можете одновременно следить за всем, что у Вас есть? Каким
образом вы можете устанавливать ограничения на доступ к секретной информации?
Как нужно реплицировать данные, чтобы они оставались при этом доступными? И,
наконец, самое важное: как обеспечить работу службы каталогов в сетях и
операционных системах различных типов, а также расширение этой службы по мере
расширения компьютерной сети предприятия?
Поставляемая в настоящее время сетевая ОС Microsoft® Windows NT® Server включает в
себя службу каталогов Windows NT Directory Services, которая предоставляет
пользователям то, в чем они больше всего нуждаются, — единую точку регистрации
и единую точку администрирования и репликации данных. Эти функции нужны
компаниям прежде всего, однако уже ясно, что организациям, использующим в своей
работе Windows NT Server, нужны новые возможности по работе с каталогами.
В числе таких возможностей — иерархическое представление каталога,
расширяемость, масштабируемость, защита в распределенных сетях и многоуровневая
репликация (multimaster replication). Для решения этих задач компания Microsoft
разрабатывает службу каталогов Active Directory. Планируется, что все эти
возможности появятся в следующей версии ОС — Windows® 2000 Server.
Потребность в еще более мощной, наглядной
интегрированной системе каталогов обусловлена резким ростом количества и
размеров компьютерных сетей. По мере того как локальные и глобальные сети
становятся все более объемными и сложными, компьютерные сети подключаются к Интернету,
приложения подключаются к другим системам через корпоративные интранет-сети и
требуют все больше сетевых ресурсов, все большие требования предъявляются и к
службам каталогов.
Мерой открытости службы каталогов является
количество поддерживаемых ей протоколов и форматов объектов — от этого зависит,
насколько данный каталог доступен для остального клиентского ПО (помимо того,
что разработано специально для работы с ним). Поддерживаемые программные
интерфейсы (API) определяют набор утилит и приложений, которые будут
непосредственно пользоваться возможностями службы каталогов. Служба каталогов
должна стать объединяющим, упорядочивающим и организующим звеном, особенно при
обработке данных, поступающих из другой сетевой операционной системы и
каталогов приложений.
Active Directory поддерживает множество популярных
протоколов и форматов и имеет мощные, гибкие и простые в применении API. С ее
помощью администраторы и пользователи получают единый источник информации о
правах доступа и ресурсах.
Как правило, служба каталогов — это набор инструментов
для поиска «интересных» объектов в компьютерной системе, для их организации и
управления ими. «Интересными» являются объекты, необходимые пользователям (и
приложениям) для выполнения своих задач: принтеры, документы, адреса
электронной почты, базы данных, имена пользователей, распределенные компоненты
и другие ресурсы.
Для простоты и наглядности службу каталогов можно
сравнить с телефонным справочником. Вводя конкретные данные (например, имя
человека), пользователь может получить определенную информацию (например, адрес
этого человека и его номер телефона). Служба каталогов также предоставляет
возможности справочников типа «желтых страниц». Вводя общий запрос (например,
«где находятся принтеры?»), пользователь получает список доступных принтеров,
который затем можно просматривать.
Однако по мере расширения и усложнения сетей к службам
каталогов предъявляются все более высокие требования (даже если эти сети не
подключены к Интернету). Active Directory создавалась с целью унифицировать и
упорядочить информацию с разнородных платформ и пространств имен.
Помимо обычных для служб каталогов задач, Active
Directory способна удовлетворить широкий спектр потребностей по обработке имен,
обслуживанию запросов, регистрации, администрированию и устранению конфликтов.
На рисунке представлены основные функции, которые она может выполнять.
Рисунок 1. Active Directory делает возможной локализацию
любой информации и сетевых ресурсов.
Архитектура Active Directory позволяет применять эту
службу каталогов как на малых предприятиях, так и в гигантских международных
корпорациях и правительственных учреждениях.
В Active Directory используется тесно увязанный набор
API и протоколов, так что она может работать с несколькими пространствами имен,
собирать и предоставлять информацию о каталогах и ресурсах, находящихся в
удаленных филиалах и под управлением разных ОС. Сейчас компания Microsoft
поставляет полный набор средств межсистемного взаимодействия для пользователей
Novell NetWare 3.x/4.x. По мере развития протоколов Microsoft
будет предпринимать усилия для стандартизации обмена и с другими операционными
средами. Чтобы максимально облегчить переход на Active Directory, Microsoft
гарантирует взаимодействие более ранних и версий ОС Windows NT Server с
более поздними.
Active Directory имеет следующие возможности и
характеристики:
· Поддержка открытых стандартов для
облегчения межплатформных операций с каталогами, в т. ч. доменной системы имен
DNS и стандартных протоколов, таких как LDAP.
· Поддержка стандартных форматов имен
для простоты миграции и эксплуатации.
· Богатый набор API, которые могут
использоваться как для командных сценариев, так и в программах на C/C++.
· Простой и интуитивно понятный процесс
администрирования благодаря несложной иерархической доменной структуре и
использованию технологии «перетащить и оставить».
· Возможность расширения набора объектов
в каталогах, за счет гибкой логической схемы.
· Быстрый поиск по глобальному каталогу.
· Быстрое и удобное обновление
информации посредством многоуровневой (multimaster) репликации данных.
· Совместимость с предыдущими версиями
ОС Windows NT.
· Взаимодействие с сетями NetWare.
Далее в этом документе рассказано о целях, которые
ставили перед собой разработчики Active Directory для Windows 2000 Server,
и о внедрении этой службы каталогов. Также объясняется, каким образом
организации могут подготовиться и осуществить плавный переход к службам
каталогов следующего поколения.
Служба каталогов Active Directory полностью
интегрирована в Windows 2000 Server и обладает функциями иерархического
просмотра, расширяемости, масштабируемости и распределенной системой защиты,
что необходимо любому предприятию. Администраторы сетей, разработчики программ
и пользователи впервые получают в свое распоряжение службу каталогов, которая:
·
идеально совместима с сетями Интернет и интранет;
·
обеспечивает возможность простого и интуитивно понятного
именования имеющихся в ней объектов;
·
применима как на малых предприятиях, так и в компаниях-гигантах;
·
имеет простые, эффективные и открытые программные интерфейсы.
Active Directory — это один из
важнейших компонентов всей сети. Для администраторов и пользователей она
является как источником информации, так и мощным средством управления.
В Active Directory сведены воедино концепция пространства
имен, применяемая в Интернете, и возможности по работе с каталогами,
предоставляемые самой операционной системой. Это позволяет организациям
объединить многочисленные пространства имен, которые существуют в настоящее
время в гетерогенных программных и аппаратных средах, и управлять этими именами.
В основе работы службы лежит упрощенный протокол доступа к каталогам
(lightweight directory access protocol, LDAP). Как следствие, она может
функционировать независимо от типа операционной системы, объединяя различные
пространства имен. На основе каталогов, относящихся к тем или иным приложениям,
а также каталогов сетевых ОС можно создать каталог общего назначения, и,
следовательно, снизить нагрузку на администратора и уменьшить расходы,
связанные с поддержанием нескольких пространств имен.
В Active Directory не используется протокол Х.500, а в
качестве протокола доступа применяется LDAP. И хотя информационная модель X.500
поддерживается, от систем не требуется полной совместимости со всеми
излишествами Х.500. В результате достигается высокая эффективность
взаимодействия, необходимая для управления реальными гетерогенными сетями.
Active Directory позволяет управлять с одного рабочего
места всеми заявленными ресурсами (файлами, периферийными устройствами, базами
данных, подключениями к серверам, доступом к Web, пользователями, другими
объектами, сервисами и т. д.). В качестве идентификационной службы в ней
используется доменная система имен (DNS), применяемая в Интернете, объекты в
доменах строятся в иерархию организационных единиц (ОЕ), а домены могут быть
объединены в древовидную структуру. Администрирование становится еще проще, так
как в Active Directory отсутствует понятие главного контроллера доменов (ГКД) и
резервного контроллера доменов (РКД). В Active Directory существуют только
контроллеры домена (КД), и все они равны между собой. Администратор может
сделать изменения на любом КД, и эти изменения будут скопированы на всех
остальных КД.
В качестве основы для Active Directory выступают
структура каталогов и система хранения данных (storage engine) ПО Microsoft
Exchange 4.0. Система хранения содержит эффективный механизм сохранения
незаполненных объектов, а также различные индексы для их быстрого извлечения.
Под незаполненными имеются в виду объекты, имеющие множество параметров,
значение которых не определено. Опираясь на эту базу, компания Microsoft
разработала службу каталогов общего назначения, способную работать как в
небольших сетях с числом объектов от нескольких сот до тысяч, так и в
гигантских системах, насчитывающих миллионы объектов.
Active Directory может работать с несколькими архивами
объектов одновременно, в каждом из которых может храниться более миллиона
объектов. Это резко повышает масштабируемость службы и при этом сохраняются
простая иерархическая структура и легкость в управлении. Сочетание Active
Directory и файловой системы Microsoft Distributed File System (будет выпущена
в составе ОС Windows 2000 Server) сделает еще более достижимым
существование единого глобального пространства имен.
Active Directory полностью интегрирована в
Windows 2000 Server — единственную операционную систему, которая в базовой
поставке может служить сервером файлов, печати, приложений, коммуникаций, а
также работать с сетями Интернет/интранет. Windows 2000 Server — это самый
лучший сервер по работе с файлами и печатью, способный удовлетворить все
потребности организаций в управлении информацией и ресурсами, и работающий
быстрее других ОС. Это также самый лучший сервер приложений, имеющий лучшее в
компьютерной отрасли соотношение масштабируемость/цена. Кроме того,
Windows 2000 Server — это прекрасная коммуникационная платформа,
предоставляющая такие услуги, как служба удаленного доступа Remote Access
Services, TAPI и PPTP.
Главной целью Active Directory является создание единой
сети со значительно меньшим количеством каталогов и пространств имен, в которых
приходится ориентироваться администраторам и пользователям. Active Directory
разработана специально для управления другими каталогами независимо от их
месторасположения и операционной системы. С этой целью в Active Directory
реализована широкая поддержка существующих стандартов и протоколов, включая
стандартные форматы имен, и предлагаются программные интерфейсы (API),
облегчающие взаимодействие с другими каталогами.
В качестве идентификационной службы в Active Directory
используется доменная система имен (DNS), а для связи с другими приложениями
или каталогами — протокол Lightweight Directory Access Protocol (LDAP).
Active Directory сочетает в себе преимущества службы
имен DNS и преимущества X.500, при этом она лишена недостатков обеих систем и
поддерживает стандарты Интернета.
DNS — это наиболее широко применяемая служба каталогов в
мире. Она используется в качестве идентификационной службы (locator service) в
сети Интернет и в большинстве локальных интранет-сетей. Ее задача — перевод
имени, например, MyMachine.Myco.com, в адрес TCP/IP. DNS может масштабироваться
для работы в очень больших системах (ведь она используется в сети Интернет),
при этом она достаточно мала, чтобы работать в сети, состоящей всего из
нескольких компьютеров.
Active Directory включает в себя DNS в качестве службы
имен. В Active Directory имена доменов Windows NT являются именами
DNS. Пользователи увидят, что в Active Directory используется та же самая
несложная система именования, что и в Интернете. Адрес Myco.com может быть как
доменом DNS (то есть областью адресов), так и доменом Windows NT. Адрес
JamesSmith@Myco.com может быть как адресом электронной почты в
Интернете, так и именем пользователя в домене Myco.com. В сетях Интернет и
интранет домены Windows 2000 можно находить таким же образом, как и любой
ресурс в сети Интернет — при помощи DNS. Это показано на рисунке 2.
Рисунок 2. DNS применяется в Windows NT в качестве
службы имен.
Система DNS всегда была непростой в управлении,
поскольку требовалось вручную работать с текстовыми файлами, содержащими
информацию о соответствиях между именами и адресами для каждого компьютера в
организации. В Windows NT Server версии 4.0 компания Microsoft разработала
сервер DNS Server со встроенной службой Windows®
Internet Naming Service. DNS Server в Windows NT имеет специальную
графическую утилиту, упрощающую редактирование файлов DNS. Чтобы устранить
ручное присваивание адресов, DNS Server в Windows NT объединен с Windows
Internet Naming Service — специальной службой Windows NT, которая
динамически обновляет файл соответствий между именами и адресами.
В сетях, построенных на основе сервера Windows NT
Server, компьютерам-клиентам при включении адреса TCP/IP присваиваются
автоматически, при этом используется протокол Dynamic Host Configuration
Protocol (DHCP). Затем клиенты регистрируют свои имена и адреса в службе
Windows Internet Naming Service (см. рисунок 3).
Для управления нераспознанными именами DNS Server в
Windows NT использует службу Windows Internet Naming Service.
Рисунок 3. Службы DNS и WINS
объединены для динамического обновления DNS.
Техническое решение, найденное компанией Microsoft для
динамического обновления таблиц DNS — интеграция служб DNS и Windows Internet
Naming Service, — не рассчитано на перспективу. Интернет-стандарты в части DNS
были обновлены для поддержки динамической Dynamic DNS. С появлением
Dynamic DNS необходимость в WINS исчезает, так как клиенты с динамически
назначаемыми адресами могут регистрироваться непосредственно на DNS-сервере с
одновременным обновлением таблицы DNS. Серверы, работающие с Active Directory,
будут использовать для регистрации Dynamic DNS. Применяя сегодня Windows NT
4.0, DNS и WINS, системные администраторы закладывают базу для Active Directory
и Dynamic DNS.
Рисунок 4. Active Directory поддерживает протоколы LDAP
версий 2 и 3.
Среди других реализованных в Active Directory Интернет-стандартов
—прямая поддержка протокола Lightweight Directory Access Protocol (LDAP).
LDAP (стандарт RFC2251) был разработан для доступа к
службам каталогов как более простая альтернатива протоколу X.500. Компания
Microsoft активно участвует в совершенствовании стандартов LDAP, и в программе
Active Directory предусмотрена поддержка стандартов LDAP версии 2 и 3.
Формат имен, применяемый в службах каталогов, важен как
для пользователей, так и для приложений. Если пользователю или приложению
требуется найти некоторый объект, пользователь или это приложение должны знать
имя или какое-либо свойство этого объекта. Существует несколько
общеупотребительных форматов имен, используемых в каталогах. Эти форматы
определяются как официальными стандартами, так и стандартами де-факто, и Active
Directory поддерживает большинство из них. Поэтому пользователи и приложения,
работающие с Active Directory, могут пользоваться тем форматом, который им
лучше всего знаком. Ниже рассматриваются некоторые форматы имен.
Имена RFC822 записываются в
виде какое-то_имя@какой-то_домен и знакомы многим как
интернетовские адреса электронной почты; например, JamesSmith@myco.com. Active
Directory предоставляет для всех пользователей удобное имя в формате RFC822.
Это имя может применяться как в качестве адреса электронной почты, который
можно написать на визитной карточке, так и для входа в систему.
Active Directory поддерживает доступ по протоколу LDAP
для любого клиента с поддержкой LDAP. Имена LDAP не так наглядны, как имена в
Интернете, однако сложность именования LDAP обычно скрыта внутри приложения. В
этом протоколе используется принцип именования X.500 под названием атрибутивное
именование (attributed naming). Указатель LDAP содержит имя сервера, на
котором работает служба каталогов Active Directory, а также атрибутивное имя
объекта. Например:
LDAP://SomeServer.Myco.com/CN=jamessmith,OU=Sys,OU=Product,
OU=Division,DC=myco,DC=Com
Active Directory имеет мощные, гибкие и простые
программные интерфейсы (API). Богатый спектр API для служб каталогов дает
возможность разрабатывать разнообразные приложения и утилиты. В Active
Directory входят три основных набора API:
·
ADSI (Active Directory Service Interfaces), интерфейсы
службы Active Directory — набор интерфейсов модели COM для управления
многочисленными службами каталогов и составления запросов к ним.
·
MAPI (Messaging
API), интерфейс обмена сообщениями в стандарте Windows® Open Services Architecture.
·
LDAP C API (RFC1823), информационный RFC, являющийся
фактическим стандартом в программировании на C для приложений LDAP.
Ниже приводится описание
каждого из этих API.
Чтобы упростить создание приложений, работающих с Active
Directory и другими каталогами, поддерживающими LDAP, компания Microsoft
разработала интерфейсы службы Active Directory (ADSI). ADSI — это набор
несложных расширяемых программных интерфейсов, которые можно использовать при
написании приложений для доступа и управления следующими ресурсами:
· Active Directory;
· любыми каталогами, поддерживающими
LDAP;
· другими службами каталогов, включая
NDS.
ADSI входит в состав набора интерфейсов Open Directory
Services Interface (ODSI), являющегося частью Windows® Open Services Architecture (WOSA) и предназначенного для работы
с различными службами каталогов и составления запросов к ним. В настоящее время
имеются объекты ADSI для Windows NT 4.x, Novell NetWare 3.x и
4.x, Active Directory и любой другой службы каталогов, которая
поддерживает протокол LDAP.
Active Directory Service Interfaces изолируют от
пользователя особенности служб каталогов различных сетевых систем и
предоставляют единый набор интерфейсов для управления сетевыми ресурсами. Это
сильно упрощает разработку распределенных приложений и администрирование
распределенных систем. Разработчики и администраторы пользуются этими
интерфейсами для регистрации ресурсов и управления ими в службе каталогов
(причем не важно, в какой сетевой среде находится тот или иной ресурс). Таким
образом, ADSI облегчает обычные административные задачи: добавление новых
пользователей, управление принтерами и поиск ресурсов в распределенной
компьютерной среде; кроме того, ADSI упрощает разработку взаимодействующих с
каталогами приложений.
Интерфейсы ADSI предназначены для удовлетворения
потребностей программистов на C и C++, системных администраторов и опытных
пользователей. Разработка взаимодействующих с каталогами приложений при помощи
ADSI становится проще и быстрее. В ADSI каталог представлен как набор
COM-объектов, которые не только хранят информацию о ресурсах, но и могут
обладать собственным поведением. Так, например, приложение может использовать
объект ADSI PrintQueue как для того, чтобы получить информацию
(например, характеристики очереди), так и для того, чтобы приостановить очередь
на печать. На языке Visual Basic® это
выглядит довольно просто:
Dim MyQueue as IOleDsPrintQueue
set MyQueue =
GetObject(“DS://Myco.com/Division/Product/Printers/MyPrinter”)
MyQueue.Pause
Поскольку ADSI-объекты существуют для многих популярных
служб каталогов, интерфейсы ADSI являются идеальным средством для создания
приложений, работающих с несколькими каталогами. Кроме того, программист может
расширить возможности запроса, встроив поддержку интерфейсов OLE DB. Таким
образом, утилиты, использующие интерфейсы OLE DB, могут пользоваться
возможностями Active Directory.
ADSI-объекты разработаны для решения задач трех основных
категорий специалистов:
·
Разработчики. Как правило, разработчики будут использовать
ADSI с такими языками программирования, как C++, хотя для созданий прототипов
может использоваться и Microsoft Visual Basic. Разработчик может, например,
написать приложение, которое будет управлять различными каталогами, сетевой
печатью, создавать резервные копии баз данных и т. д.
·
Системные администраторы. Системные администраторы скорее
всего будут работать с ADSI с помощью языков сценариев или Microsoft Visual
Basic, хотя при необходимости может быть использован и C/C++. Так, например,
администратор, работающий с Active Directory, может написать сценарий для
добавления в систему 100 новых пользователей и назначения им тех или иных прав
доступа.
·
Пользователи. Как и системные администраторы, пользователи
работают с ADSI при помощи языков сценариев. К примеру, пользователь может
написать сценарий для поиска всех заданий на печать в очереди и отображения
состояния этих заданий.
Active Directory
обеспечивает поддержку MAPI, так что соответствующие приложения могут работать
с Active Directory. Однако для создания новых приложений, работающих с службами
каталогов лучше использовать ADSI.
Интерфейс LDAP API представляет собой простое
универсальное решение для создания приложений, работающих с различными клиентами.
Существующие LDAP-приложения будут работать со службами Active Directory
практически без изменений (если не требуется поддержка специфических для Active
Directory типов объектов). Мы предлагаем разработчикам LDAP-приложений
переходить на ADSI, который поддерживает любые службы каталогов, работающие с
LDAP.
Компания Microsoft прекрасно понимает, что существуют
предприятия разных размеров и что нет смысла создавать программный продукт,
который имеет слишком много возможностей для малого предприятия и слишком мало
для крупной компании. Вот почему Active Directory прекрасно работает и на одном
компьютере, и в большой сети крупного предприятия.
Windows NT 4.0 хорошо масштабируется до как минимум
100 000 пользователей, Active Directory может работать более чем с миллионом
пользователей только в одном домене и с намного большим числом пользователей в
дереве доменов. Возможности, заложенные в Active Directory, позволяют создавать
маленькие домены, которые легко администрировать и наращивать при расширении
сетей и организаций. Администрирование крупных компаний не отличается от
администрирования малых предприятий, просто в них требуется больше системных
администраторов.
Масштабирование Active Directory происходит за счет
создания дополнительных копий каталогов, возникающих при образовании домена. В
такой копии находятся только те объекты, которые относятся к этому домену. Если
несколько доменов связаны между собой, их можно выстроить в виде дерева. В
пределах дерева каждому домену соответствует своя копия информационного
каталога со своими собственными объектами, домен также может найти все
остальные копии каталога в пределах одного дерева.
Вместо того чтобы создавать один экземпляр каталога,
который становится все больше и больше, в Active Directory создается дерево,
составленное из небольших частей каталога. В каждой части содержится
информацию, которая позволяет находить все остальные разделы. Active Directory
разбивает каталог на разделы таким образом, чтобы та часть каталога, которой
кто-то пользуется наиболее часто, была к нему как можно ближе. Если другие
пользователи решат, что им нужен тот же раздел каталога — рядом с ними так же
будет иметься копия этого раздела. Все копии какого-либо раздела каталога
синхронизированы. Если в какой-либо из копий изменяется запись, это изменение
распространяется и на другие копии, в результате Active Directory может
работать с миллионами пользователей в пределах одного дерева.
Основой масштабируемости Active Directory является
принцип доменного дерева. В тех службах каталогов, которые состоят из
одного дерева, процесс выделения разделов (partitioning process) довольно
сложен и происходит в направлении сверху вниз. Построение большого дерева в
Active Directory происходит в направлении снизу вверх и интуитивно понятно, а
отдельный домен представляет собой законченный раздел каталога. В целях
администрирования домены подразделяются на организационные единицы (ОЕ), как
показано на рисунке 5.
Рисунок 5. В Active Directory домены и организационные
единицы (ОЕ) собраны в древовидные структуры, которые строятся в направлении
снизу вверх.
Отдельный домен может быть сначала очень небольшим, но
при необходимости способен включать в себя до 10 миллионов объектов. Если
требуется более сложная организационная структура или необходимо хранить очень
много объектов, домены Windows NT можно легко соединить в одно дерево.
Множество деревьев образуют «лес». Концепция лесов позволяет создавать на предприятии
домены Windows NT с несовпадающими DNS-именами, например, MyCo.com и
MyCoResearch.com.
Контейнерная структура (container hierarchy) Active
Directory позволяет размещать организационные единицы в пределах доменов (а
также в пределах других ОЕ). В результате возникает иерархическое пространство
имен, которое можно сформировать в соответствии со структурой конкретной
организации и использовать для делегирования полномочий на администрирование на
подуровни. В контейнере находится оглавление; в котором, например, могут быть
перечислены основные отделы предприятия. В этом примере можно выбирать
подотделы, входящие в отделы, открывать их и т. д.
Переход к контейнерной структуре с более детализированной
моделью администрирования (похожей на описываемую здесь) решает многие
проблемы. Несмотря на то, что домены могут быть очень большими, процедура
поиска остается простой. Все, что существует в доменном дереве, отображается в
глобальном каталоге, который позволяет легко находить объект независимо от
того, в каком месте дерева или леса он находится.
Доменные деревья, создаваемые Active Directory,
предоставляют намного более широкие возможности администрирования, чем
организационные структуры других служб каталогов, где домены равноправны. Хотя
в Active Directory можно построить и такую схему, с точки зрения управления
предпочтительнее создать дерево доменов, в каждом из которых будут собственные
права доступа. Иерархия доменов упрощает администрирование за счет более
подробной структуры и без ущерба для безопасности. Разрешения могут поступать
сверху вниз по дереву, при этом пользователи будут получать разрешения (а также
сами давать разрешения другим пользователям) в соответствии с отношениями
организационных единиц. Такая структура доменного дерева позволяет легко
отслеживать организационные изменения: различные сокращения, добавления и
объединения.
Каждый домен в доменном дереве имеет копию
информационного каталога, содержащего все объекты для данного домена, а также
метаданные о доменном дереве (схему, список всех доменов в дереве,
месторасположение серверов глобального каталога и т. д.). Поскольку нет
необходимости хранить все объекты в одном каталоге, можно создавать очень
большие деревья без ущерба для производительности.
Система администрирования Active Directory хорошо
детализирована и допускает децентрализованное администрирование без ущерба для
безопасности. Поскольку в каждом домене свои ограничения доступа, становится
возможным наличие многих областей безопасности. В данной схеме администраторы
домена А не являются автоматически администраторами домена B. Контейнерная
иерархия важна потому, что в настоящее время объектом администрирования
является домен, и администратор домена полностью контролируют все объекты и
службы в пределах этого домена. В зависимости от конкретных обязанностей
пользователям в рамках Active Directory можно делегировать различные
полномочия. Область администрирования может включать в себя весь домен,
поддерево ОЕ внутри домена или отдельную ОЕ.
При помощи Active Directory можно создавать очень
большие структуры пользователей. В этих структурах любой пользователь будет
иметь потенциальный доступ ко всей хранящейся в каталоге информации, при этом
границы областей безопасности остаются четкими. Области безопасности могут быть
намного меньше доменов. Например, при создании учетной записи пользователя она
ассоциируется с определенным доменом, но также может входить и в
организационную единицу. Полномочия по регистрации пользователей в
организационной единице можно делегировать, в результате кто-то другой тоже
сможет вводить пользователей или другие объекты каталога, однако только в одном
месте, в пределах данной ОЕ. Кроме того, можно создавать иерархии ОЕ. Active
Directory предоставляет в распоряжение администратора множество различных
условий доступа, которые могут быть делегированы или ограничены в пределах
некоторой области.
Чтобы администраторы могли создавать в каталоге
собственные типы объектов, в Active Directory предусмотрен специальный механизм
под названием схема (schema). Если у пользователя есть важная информация,
которую он хочет сделать доступной через службу каталогов, он может создать
новый тип объекта и поместить его в каталог. Например, оптовый торговец может
создать объект, относящийся к складу, и, записав в него нужную информацию,
поместить в каталог. Можно создавать новые классы объектов и переменные.
В службах каталогов определены различные классы. Active
Directory, например, предоставляет стандартные объекты для Домена,
Организационной единицы, Пользователя, Группы, Машины, Тома, Очереди на печать,
а также богатый набор объектов, описывающих соединения и используемых службами
Winsock, RPC и DCOM.
Все объекты, хранящиеся в Active Directory, имеют записи
в глобальном каталоге (ГК) — отдельной службе, которая содержит информацию из
всех доменов данного дерева. ГК предназначен для повышения производительности и
позволяет легко находить объекты по заданным параметрам независимо от их места
в дереве. Такие параметры хранятся в сокращенном каталоге (abbreviated
catalog). Этот метод получил название частичной репликации и позволяет
выполнить значительное число запросов при помощи ГК и без обращения к домену.
Глобальный вид (global view) может содержать объекты
любого типа, например, Пользователей, Службы или Машины. Типичной функцией
глобального вида является предоставление глобальной адресной книги для почтовых
программ или других приложений, работающих с почтой.
На рисунке 6 показана структура глобального каталога.
Рисунок 6. Структура глобального каталога предусматривает
доступ к полным и частичным репликам.
То, как служба каталогов хранит информацию,
непосредственно определяет ее производительность и масштабируемость. Службы
каталогов должны отрабатывать очень большое число запросов и гораздо меньше
изменений данных. Как правило, на 99 запросов приходится 1 изменение. Поэтому
репликация данных так важна. Создавая многочисленные копии каталога и постоянно
обновляя их, можно увеличить количество запросов, обслуживаемых без снижения
производительности. Такая репликация данных каталога и их синхронизация
получила название многоуровневой (multimaster) репликации.
В Active Directory встроена действительно многоуровневая
репликация. В некоторых службах каталогов для создания обновлений применяется
иерархический (master-slave) подход: все обновления заносятся в главную копию
каталога, после чего переносятся и на зависимые копии. Такой метод приемлем для
каталогов с небольшим числом копий и для среды, в которой все изменения можно
вносить централизованно. Однако такой подход применим только в небольших
организациях, а кроме того не отвечает потребностям организаций с
децентрализованной структурой. Active Directory предлагает многоуровневую
репликацию: локальные изменения в какой-либо копии каталога автоматически
копируются на все остальные копии (при этом связь между копиями может быть
постоянной или периодической).
Некоторые службы каталогов для отслеживания изменений
используют метки времени. Это приемлемо для каталога с иерархическим методом внесения
изменений, где все обновления делаются централизованно, однако для каталога с
многоуровневой репликацией использование временных меток затруднительно. Время
во всех копиях каталога должно быть очень точно синхронизировано, иначе
возникает опасность утери данных или повреждения каталога. Active Directory не
использует временные метки для отслеживания изменений. Вместо этого
используются номера обновлений — Update Sequence Numbers (USNs). Каждый раз,
когда пользователь записывает что-то в объект каталога, это изменение получает
номер USN, собственный для каждого компьютера. USN увеличивается при каждом
изменении объекта. Если пользователь на одном компьютере обновляет
регистрационную запись, текущее значение USN на этом компьютере увеличивается
на единицу и сохраняется в объекте вместе с изменением и уникальной подписью
компьютера, на котором это изменение было сделано. В объекте имеется также USN
для каждого атрибута. При изменении атрибута USN увеличивается.
Все изменения отслеживаются: другие компьютеры,
связанные с исходным отношениями репликации, запрашивают у него информацию о
всех изменениях, номер которых превышает имеющиеся у них USN. После этого
исходный компьютер просматривает каталог и находит все объекты, чьи USN
превышают числа, присланные компьютером-партнером.
Изменения атрибутов согласовываются индивидуально; при
репликации обновляются только те атрибуты, у которых более высокий USN. В
случае конфликта (когда два разных компьютера обновили один и тот же атрибут)
приоритет отдается изменению с более поздней меткой времени. Временная метка
используется только для разрешения подобных конфликтов, поэтому синхронизация
времени здесь не важна. Поскольку каждый атрибут согласовывается индивидуально,
вероятность конфликтов сводится к минимуму.
Наряду с Active Directory, в следующей версии ОС
Windows 2000 Server появится распределенная модель защиты, основанная на
протоколе авторизации MIT Kerberos. Протокол Kerberos используется для
обеспечения распределенной системы зашиты в пределах дерева и работает как с
открытыми, так и с закрытыми ключами, опираясь на механизм Access Control List
(ACL) операционной системы Windows 2000. Active Directory является местом
хранения системы защиты (включая учетные записи пользователей, группы и
домены). Она замещает реестровую регистрационную базу Реестра и является
компонентом системы Local Security Authority (LSA).
Единая регистрация в пределах дерева доменов
Windows 2000 предоставляет пользователю доступ к ресурсам, расположенным в
любом месте корпоративной сети. Простые в эксплуатации административные утилиты
для управления безопасностью и учетными записями позволяют сократить затраты на
эксплуатацию операционной системы. Windows 2000 также предоставляет базу
для общей системы безопасности ПО семейства Microsoft BackOffice®, включая Microsoft Exchange, Microsoft SQL
Server, Microsoft SNA Server и Microsoft Systems Management Server.
В добавление к парольной авторизации (авторизации с
закрытым ключом) протокол MIT Kerberos V5 дополнен расширениями для авторизации
с открытым ключом.
Для тех субъектов (например, пользователей), которые не
имеют разрешений Kerberos, Active Directory поддерживает использование
сертификатов X.509 v3 Public Key Certificates. Как правило, это пользователи,
находящиеся вне организации, которым нужно получить доступ к ресурсам.
Например, аэрокосмическая фирма может нанять субподрядчиков, которым нужен
доступ к спецификациям, планам и т. д. Active Directory допускает перенос
сертификатов X.509 v3, выданных уполномоченным (trusted) лицом, в группы
безопасности Windows NT. Таким образом, пользователь отличной от
Windows NT операционной системы может получить доступ к необходимым
ресурсам наравне с имеющим разрешение Kerberos.
Администрирование в стиле «перетащить и оставить»
В Active Directory входит целый ряд интуитивно понятных
и эффективных утилит для администрирования. С целью моделирования больших
организаций объекты могут быть организованы в иерархию, а графический интерфейс
пользователя предоставляет наиболее часто используемый инструмент
администрирования — консоль управления с поддержкой технологии "перетащить
и оставить". Консоль предоставляет объектный подход к администрированию,
например, администратор может взять верхушку некоторого дерева и перетащить его
в нужный домен. В диалоговом окне администратора попросят подтвердить данную
операцию (разумеется, у администратора должны быть соответствующие полномочия:
внутри переносимого дерева — на объединение его с другими, а в целевом домене —
на подключение новых деревьев.
Необходимо, чтобы все, что можно сделать через интерфейс
пользователя, можно было сделать и путем написания программы или сценария.
Чтобы администратор мог создавать командные процедуры, Active Directory имеет
полную поддержку сценариев и средств автоматизации. Можно добавлять, изменять,
перемещать, копировать объекты, а также выполнять другие административные
функции в рамках Active Directory путем создания сценариев при помощи таких
языков, как Visual Basic, Java™ и т. п.
Для тех, кто пользуется Windows NT Server версии
3.51 и 4.0 обратная совместимость критически важна. В Active Directory обратная
совместимость была заложена изначально. Active Directory обеспечивает полную
эмуляцию служб каталогов Windows NT 3.51 и 4.0; утилиты для
администрирования и приложения, написанные для Win32® API будут работать в среде
Active Directory без всяких изменений. Контроллер доменов следующего поколения
Windows NT Domain Controller, встроенный в домен Windows NT 3.51 и
4.0, выглядит и работает точно так же, как контроллер доменов Windows NT
4.0. Это значит, что капиталовложения в существующие сети и приложения под
Windows NT надежно защищены. Сегодня можно устанавливать Windows NT
Server 4.0 и быть полностью уверенным, что последующий переход к Active
Directory будет безболезненным.
Чтобы обеспечить плавный и безпроблемный переход, Active
Directory изначально разрабатывалась для работы в смешанной среде. Смешанный
домен, имеющий как контроллеры доменов следующего поколения, так и предыдущего
(Windows NT 3.51 и 4.0), работает в точности, как домен Windows NT
4.0.
Переход с серверов более низкого уровня на Active
Directory может происходить только на одном контроллере доменов в каждый момент
времени. После модернизации главного контроллера в домене Windows NT 4.x
данный домен может быть присоединен к дереву. В следующем разделе подобный процесс
перехода показан на конкретном примере.
Переход с Windows NT 4.0 на Active Directory
В данном примере имеется простой домен Windows NT
4.x с тремя контроллерами доменов: одним главным контроллером доменов (PDC) и
двумя резервными (BDC). На рисунке 7 показана начальная конфигурация.
Рисунок 7. Простой домен Windows NT 4.x с одним
главным контроллером(PDC) и двумя резервными (BDC).
Чтобы начать процесс перехода, необходимо сначала
установить на главном контроллере (PDC) Windows 2000 и Active Directory.
Новый контроллер доменов DC/PDC в процессе модернизации
переносит данные из каталога домена Windows NT 4.0 в Active Directory (см.
рис. 8).
Рисунок 8. Смешанный домен
Когда вы устанавливаете Windows 2000 на главный
контроллер доменов (PDC), Active Directory становится главной копией (master
copy) каталога домена. с этого момента вы можете использовать графические
средства Windows 2000 для системного администрирования и работы с учетными
записями в данном домене. Резервные контроллеры доменов Windows NT 3.51 и
4.0, а также клиентские системы в домене не получают информации о выполненных
изменениях и продолжают работать как обычно.
Заключительный этап перехода заключается в переводе всех
резервных контроллеров доменов (BDC) на Windows 2000. По мере модернизации
вторичные контроллеры доменов становятся равными главному. Репликация
Windows NT 4.0 замещается многоуровневой репликацией Windows 2000
(см. рис. 9).
Рисунок 9. Однородный домен — бывшие резервные
контроллеры теперь равноправны с контроллерами доменов Windows NT 5.0.
После модернизации всех резервных контроллеров смешанный
домен становится доменом Active Directory/Windows 2000. Клиентские
системы более низкого уровня будут по-прежнему воспринимать этот домен как
домен Windows NT 3.51 или 4.0. Клиенты следующего поколения будут
воспринимать данный домен как домен следующего поколения и будут полностью
использовать все возможности Active Directory.
На сегодняшний день многие организации пользуются ПО
Microsoft Exchange для обработки сообщений и создания информационной
инфраструктуры. К моменту выхода Active Directory капиталовложения этих
организаций в службу каталогов Microsoft Exchange будут значительны. В будущих
версиях Microsoft Exchange будет использовать Active Directory, в результате
чего отпадет необходимость в собственной службе каталогов Microsoft Exchange.
Имеющаяся версия Microsoft Exchange будет укомплектована специальной утилитой,
которая позволит переносить содержимое службы каталогов Microsoft Exchange в
Active Directory.
Такой подход позволяет защитить капиталовложения наших
клиентов в данные и организационную структуру Microsoft Exchange и
предоставляет возможность плавного перехода от службы каталогов Microsoft
Exchange к Active Directory.
Компания Microsoft прилагает все усилия для улучшения
службы каталогов Windows NT Server в следующей версии Windows 2000
Server. В этой версии Microsoft предложит своим клиентам ПО Active Directory —
службу каталогов, опирающуюся на стандарты, разработанную специально для
удовлетворения потребностей клиентов, работающих в распределенных компьютерных
средах.
Active Directory дает широкие возможности для унификации
и управления различными пространствами имен, которые существуют в настоящее
время в гетерогенных компьютерных сетях предприятий. Active Directory сочетает
в себе лучшие возможности стандартов DNS и X.500, LDAP, других протоколов, а
также богатый набор API, и допускает управление из единого центра любыми
ресурсами: файлами, периферийными устройствами, подключениями, базами данных,
доступом к Web, пользователями, различными другими объектами, службами и
сетевыми ресурсами. Active Directory поддерживает иерархическое пространство
имен для учетных записей пользователей, групп и машин, а также может
импортировать другие каталоги и управлять ими. Active Directory является
службой каталогов общего назначения и позволяет снизить нагрузку на
администратора, а также сократить расходы на поддержание нескольких пространств
имен.
Active Directory эффективно сочетает в себе открытые
стандарты, администрирование в стиле "перетащить и оставить",
глобальный каталог, расширяемость, многоуровневую репликацию, распределенную
систему зашиты, масштабируемость и полную обратную совместимость с
Windows NT 3.51 и 4.0. Все это делает данную службу каталогов идеальной
платформой для администрирования сегодняшних гетерогенных сетей и базой для
единой распределенной компьютерной среды будущего.
Самую свежую информацию о Windows NT Server можно
найти на сайте http://www.microsoft.com/backoffice или форуме Windows NT
Server Forum в сети Microsoft Network (GO WORD: MSNTS).
Операционная
система