Технологии управления

Windows Management Instrumentation
Служба каталогов Active Directory
Централизованное управление конфигурациями рабочих станций

Windows Management Instrumentation

Одной из задач ИТ-отделов компаний является такая организация управления вычислительными системами, которая обеспечит максимальную эффективность их использования при минимальной совокупной стоимости владения (ССВ). Однако теория ССВ среди прочих дает и такой вывод, что чем выше функциональность рабочей станции и чем больше у пользователя возможностей по настройке и модификации системы, тем выше стоимость владения каждым рабочим местом и всей информационной системой в целом. Это противоречие можно разрешить, создав определенный баланс между функциональностью рабочих мест и стоимостью. Основная идея такого решения заключается в том, чтобы, с одной стороны, максимально централизовать и упростить работу администратора по управлению системой в целом, а с другой - свести к минимуму его работу непосредственно на рабочем месте пользователя. Для этого необходимы специальные инструменты централизованного управления, средства автоматизации процесса установки и обновления программного обеспечения на рабочих станциях, механизмы контроля рабочих станций и т. п.

Для решения перечисленных задач в Windows 2000 реализован набор служб управления, построенных на основе инструментария Windows Management Instrumentation (WMI). Однако прежде чем рассматривать особенности WMI и служб управления в Windows 2000, обратимся к общим вопросам, связанным с управлением информационными системами.

Типы и задачи управления

Во многих организациях задача по управлению компьютерными системами возлагается сразу на несколько групп специалистов. И хотя их обязанности зачастую пересекаются, представляется целесообразным рассмотреть те аспекты их деятельности, которые не перекрывают друг друга.

• Типы управления

Управление можно различать по нескольким типам.

Управление настольными системами (Desktop Management). Главная задача управления настольными системами в организации состоит в обеспечении всех пользователей теми вычислительными ресурсами, какие нужны им для выполнения работы.

К основным трудностям этот типа управления можно отнести централизованное администрирование большого количества персональных компьютеров (число которых в рамках одной организации может достигать нескольких тысяч единиц), поддержку работы различных программных и аппаратных конфигураций и учетных записей пользователей, а также изменяющиеся требования к управлению и необходимость модернизации систем с учетом этих требований.

Управление сетью (Network Management). К главным задачам управления сетью можно отнести организацию надежной работы сети и ее доступность для пользователей. Управление сетью призвано обеспечить защиту данных и их своевременную передачу по сети. Основные трудности при этом состоят в обеспечении доступности сетевых ресурсов и наличии многочисленных точек потенциальных сбоев. В отличие от управления настольными системами или управления данными задача сетевого управления заключается главным образом не в поддержании работоспособности оконечных сетевых устройств или деловых приложений, а в создании таких условий, при которых передача данных по сети осуществляется в соответствии с заранее согласованными уровнями обслуживания.

Управление данными (Data-Center Management). Управление данными осуществляют администраторы, работающие в информационных центрах, и специалисты, в чьи обязанности входит управление серверами и серверными приложениями. Эта функция должна гарантировать доступность серверов и приложений, организовать защиту и сохранность данных, а также обеспечить централизованное управление учетными записями пользователей и сетевыми ресурсами. Задача управления данными сводится к обеспечению доступности служб и данных для тех пользователей, которые в них нуждаются, поэтому основное внимание здесь уделяется работе серверов. В отличие от управления настольными системами, главная задача которого состоит в управлении отдельными конечными пользовательскими системами, управление данными стремится обеспечить оптимальный уровень менеджмента при максимальном числе пользователей.

• Задачи управления

Проблему управления можно разделить на несколько логических групп или задач. Независимо от того, к какому типу управления относятся сами решаемые задачи, специалистам информационных отделов и администраторам компьютерных систем приходится концентрировать внимание на следующих сторонах управления.

Управление изменениями и конфигурацией (Change and Configuration Management) - сюда относится управление системой, состояниями и рабочим циклом системы.

Управляя установкой программ на персональных компьютерах и определяя конфигурацию каждого компьютера, администратор настольных систем стремится к тому, чтобы все пользователи в организации имели то программное обеспечение, которое им необходимо для решения возникающих перед ними производственных задач. В этом случае можно говорить о том, что администратор решает задачи управления изменениями и конфигурацией.

Управление безопасностью (Security Management) - включает управление аутентификацией, авторизацией и аудитом.

Если задача администратора настольных систем состоит в обеспечении доступа пользователей к тем (и только тем) данным, приложениям и службам, которые необходимы для их работы, то можно сказать, что такой администратор решает задачи управления безопасностью. С точки зрения администратора настольных систем эти задачи могут быть тесно связаны с задачами управления изменениями и конфигурацией. Регистрация нового пользователя и настройка его прав доступа в систему является частью управления настройками; проверка соответствия результирующих настроек установленным требованиям безопасности относится к задачам управления защитой.

Управление производительностью (Performance Management) - настройка, моделирование и мониторинг.

Задачи управления производительностью возникают в случаях, когда администратору приходится обеспечивать одновременный доступ нескольких пользователей к одному и тому же сетевому ресурсу или принтеру. В обязанности администратора входит забота о доступности соответствующих элементов сети для тех, кто может использовать их сегодня, а также о планировании будущей нагрузки на сеть.

Управление проблемами (Problem Management) - сюда относится локализация сбоев; поиск и устранение неисправностей; формирование сообщений о неисправностях.

Управление событиями (Event Management) - укрупнение, объединение, передача и мониторинг событий.

Управление проблемами, вероятно, относится к наиболее трудоемким задачам управления. В эту категорию входят типичные виды обслуживания - такие, как локализация и сообщение о сбоях, а также управление рабочим циклом. Данные операции тесно связаны с управлением производительностью и управлением событиями, поскольку для того, чтобы разрешить возникшую проблему, чаще всего необходимо определить, какие события произошли в системе за определенный промежуток времени.

Управление задачами и выводом данных (Batch and Output Management) - управление задачами, управление очередями, планирование, а также управление принтерами и графопостроителями

Управление задачами и выводом данных тоже входит в обязанности администратора настольных систем, поскольку большинству пользователей требуется доступ к принтерам и другим устройствам вывода данных в виде твердых копий.

Управление хранилищем (Storage Management) - к нему относятся хранение данных, поиск, создание резервных копий и архивирование.

У пользователей часто возникает необходимость в централизованном хранении созданных документов и файлов. Поэтому администраторам приходится сталкиваться и с задачами управления хранилищем, которые связаны с потребностью пользователей в создании, уничтожении файлов и доступе к ним на центральном сервере. В этой области функции администратора настольных систем и администратора памяти могут пересекаться. Однако в обязанности одного из них могут входить и операции по автоматическому созданию резервных копий, управлению дисковыми квотами пользователей, а также по архивированию неиспользуемых данных и их перемещению с сетевых накопителей на менее дорогостоящие носители информации.

Очевидно, что, хотя требования по управлению системами у многих организаций совпадают, инфраструктура и конкретные задачи на каждом предприятии сохраняют свою индивидуальность. Даже в рамках одной компании различным администраторам требуются разные средства для выполнения задач. Таким образом, управление редко оказывается таким видом деятельности, который можно обеспечить с помощью одного-единственного инструмента или решения, базирующегося на какой-то одной технологии. В силу этого корпорация Microsoft сосредоточила усилия на создании целого ряда служб управления в рамках системы Windows и в настоящее время тесно сотрудничает с независимыми разработчиками программного обеспечения, стремясь с помощью этих служб создать гибкие, масштабируемые решения, основанные на совместном использовании различных инструментов управления. Этот подход позволит администраторам всех специальностей находить такие решения, которые не только окажутся пригодными для конкретной ситуации, но в своей совокупности смогут обеспечить комплексное управление в масштабе предприятия.

Службы управления Windows

Службы управления Windows, будучи составной частью операционной системы, являются основными элементами, служащими для создания развитых средств управления. Совокупность этих служб представляет собой инфраструктуру управления и формирует платформу с широкими возможностями масштабирования; ее можно также рассматривать как базовый уровень средств управления общего назначения. В дополнение к ним другие разработчики программного обеспечения и корпоративные разработчики могут в неограниченном количестве создавать новые инструменты управления, основанные на возможностях, которые заложены в службы управления Windows. В результате в организациях появятся комплексные решения, отвечающие всему спектру задач управления и использующие наиболее подходящие для этого технологии.

Например, операционная система Microsoft Windows 2000 использует службы управления для реализации стандартных инструментов управления. В число этих инструментов входят:

• встроенные инструменты и функции, обеспечивающие управление защитой, памятью и настройками;
• взаимосвязанные механизмы управления событиями и выдачи сообщений.

Службы управления в Windows 2000 можно разделить на три логических уровня.

Службы общего назначения (Common Services). Это службы операционной системы нижнего уровня, составляющие основу служб управления. К этому уровню относятся такие базовые службы, как, например, Active Directory, унифицированный инструментарий или служба управления событиями и выдачи сообщений.

Логика управления (Management Logic). Эти службы среднего (промежуточного) уровня можно разделить на две категории. К первой относятся стандартные инструменты, необходимые для управления настройками и защитой, а также для поиска неисправностей. Вторую категорию составляют дополнительно разрабатываемые решения, то есть целевые службы управления, которые будут создавать Microsoft и другие разработчики.

Службы представления (Presentation). К ним относятся универсальные службы высокого уровня, которые позволяют объединять возможности нескольких служб более низкого уровня и обеспечивают взаимодействие между пользователями и процессами, с одной стороны, и службами управления - с другой.

Иерархия служб управления представлена на Рис. 17.

Рис. 17. Иерархия служб управления

Службы общего назначения

В операционную систему Windows 2000 входят следующие службы общего назначения.

• Active Directory. Эта защищенная, распределенная, сегментированная и реплицируемая служба каталогов содержит в себе две главные службы общего назначения. Первая из них - стандартная служба поиска, обеспечивающая стандартный механизм поиска ресурсов в компьютерной системе. Вторая служба в Active Directory представляет основу для применения единых принципов управления групповой политики (Group Policy) к объектам Active Directory.
• Оповещение о событиях. Система Windows хранит информацию о большом количестве системных событий, а также событий, связанных с защитой данных и работой приложений. Создавая средства управления, разработчики должны иметь возможность определять тип происходящих в системе событий и передавать эти события другим службам или пользователям.
• COM и DCOM. Поскольку компонентная модель объектов (COM) и распределенная компонентная модель объектов (DCOM) являются открытыми архитектурами разработки инструментов, применение которых не зависит от конкретной платформы, модели COM и DCOM создают объектно-ориентированную среду для служб управления.
• Инструментарий Windows Management Instrumentation (WMI) представляет собой унифицированную модель, на основе которой можно использовать стандартные средства для обработки управляющей информации из любого источника. Собственно инструментарий WMI предназначен для работы с программным обеспечением (приложениями), а его расширения для модели Windows Driver Model (WDM) ориентированы на работу с аппаратными средствами и драйверами устройств.

Службы представления

В состав операционной системы Windows 2000 входят следующие универсальные службы представления.

• Автоматизация. Используя интерпретатор сценариев Windows Scripting Host, а также другие средства управления на основе модели СОМ, администраторы могут программировать исполнение сценариев, обусловленных событиями различных типов (COM, WMI и др.), и таким образом решать разнообразные задачи управления.
• Представление. Консоль управления Microsoft Management Console (MMC) содержит открытую, расширяемую и универсальную среду для управляющих приложений. ММС обеспечивает унифицированный пользовательский интерфейс для работы с инструментами администрирования, включая дополнительные программы для управления сетями, компьютерами, службами и другими компонентами системы.

Логика управления

Службы, принадлежащие к уровню логики управления, обеспечивают два заметно различающихся класса услуг. Во-первых, они поддерживают стандартные средства управления, которые создаются на основе служб общего назначения и являются составной частью операционной системы Windows 2000. Организациям небольшого и среднего размера таких стандартных инструментов управления может оказаться вполне достаточно для того, чтобы наладить эффективное управление компьютерной системой предприятия и добиться снижения совокупной стоимости владения ею.

Во-вторых, службы уровня логики управления создают условия для создания дополнительных высокоразвитых, полнофункциональных средств управления. В крупных организациях такие средства могут оказаться необходимым дополнением к стандартным инструментам управления, например, без них невозможно обойтись при решении задач, связанных с оптимизацией управления компьютерной системой в масштабе предприятия и предназначенных для снижения полной стоимости владения такой системой.

Независимо от того, на каких средствах управления - стандартных или дополнительных - базируется логика управления, в их основе всегда лежат службы общего назначения.

Стандартные средства управления Windows 2000

В этом разделе приведены стандартные средства управления, входящие в операционную систему Windows 2000 и используемые для решения различных задач управления.

Управление изменениями и конфигурацией

При управлении изменениями и конфигурацией администратор может добиться повышения эффективности использования системы, устанавливая с помощью групповой политики (Group Policy) принципы управления группами объектов. Благодаря этому он гарантирует не только то, что в распоряжение пользователей в полной мере предоставлена операционная система, приложения и необходимые данные, но и что компьютерная система предприятия оптимальным образом настроена для работы каждого пользователя. В качестве стандартных средств управления изменениями и конфигурацией в Windows 2000 используются технологии IntelliMirror и Remote OS Installation.

Управление безопасностью

Управление безопасностью позволяет защитить информационные ресурсы предприятия от несанкционированного использования. Для этой цели в распоряжении администратора имеется целый ряд технологий, например, протокол Kerberos (версия 5), протоколы шифрования с открытым ключом, Secure Sockets Layer (SSL) версии 3.0, протокол Distributed Password Authentication, а также протокол Windows NT LAN Manager (NTLM), используемый в Windows NT.

Управление хранилищем

По мере увеличения объемов информации, хранимой в системах на платформах Windows, растет и потребность в дорогостоящих службах управления памятью, входящих в операционную систему. Корпорация Microsoft включила в состав Windows 2000 такие службы управления хранилищем, как создание резервных копий, управление дисками, дисковые квоты, распределенные файловые системы (Distributed File System) и управление иерархическими хранилищами (Hierarchical Storage Management).

В Windows 2000 обеспечена поддержка качества услуг (Quality of Service), которое означает выполнение определенных условий, гарантирующих, что приложения будут обслуживаться с определенным уровнем качества. Это позволяет сетевому администратору более эффективно распределять сетевые ресурсы.

Дополнительные средства управления

Microsoft и другие компании, такие как Hewlett-Packard, Computer Associates, Tivoli Systems, BMC Software, NetIQ, CompuWare, Seagate и InstallShield, уже объявили о создании ряда средств управления на основе Windows-служб. Например, компания Cisco Systems, используя технологии WBEM и Directory Enabled Networks (DEN) на основе Active Directory, разрабатывает решения, которые дополняют возможности служб управления Windows и обеспечивают унифицированный набор служб управления в организации с гетерогенной компьютерной средой.

Windows Management Instrumentation

Инструментарий Microsoft Windows Management Instrumentation (WMI) предоставляет полную модель конфигурации, состояния и аспектов управления Microsoft Windows. Объединение WMI c другими службами управления, предоставляемыми Windows 2000/NT, позволяет упростить задачи разработки интегрированных систем управления, которые, в свою очередь, дают независимым разработчикам возможность создавать масштабируемые и эффективные решения. Разрабатывая WMI совместно со своими деловыми партнерами и клиентами, корпорация Microsoft намерена превратить их в основное средство управления Windows. Windows Management Instrumentation является основой:

• Для стандартных инструментов управления, встраиваемых в Windows-платформы;
• Для дополнительных средств управления, разрабатываемых Microsoft, таких как Microsoft Systems Management Server 2.0;
• Для дополнительных средств управления, разрабатываемых компаниями, имеющими опыт в создании подобных инструментов.

Основой для создания WMI является инициатива Web-based Enterprise Management (WBEM), которая определяет стандарты инфраструктуры управления и предоставляет средство для объединения информации, получаемой от различных программных и аппаратных систем управления. Определяемая стандартами WBEM унифицированная архитектура управления позволяет получать доступ к различным данным и одинаково представлять их. WBEM основывается на схеме общей информационной модели (Common Information Model - CIM) - индустриальном стандарте, предложенном группой Desktop Management Task Force (DMTF). Этот продукт предназначен для решения проблем сквозного управления и сбора данных в корпоративных сетях масштаба предприятия, которые могут включать различное сетевое оборудование, сетевые протоколы, операционные системы и множество распределенных приложений (Рис. 18).

Рис. 18

Обычно управление сетью предприятия связано с использованием различных протоколов и интерфейсов; например, протокол SNMP используется для управления сетями, а интерфейс DMI - для управления настольными системами. В соответствии с положениями WBEM для решения проблем управления сетью предприятия необходимы совместно работающие инструменты, обеспечивающие единое представление информации, которая используется для управления. WBEM предоставляет эту общую модель и источники данных, причем они могут быть расширены для работы с существующими сетевыми компонентами, инструментами и протоколами (Рис. 19).

Рис. 19 Модель WBEM

Инструментарий Windows Management Instrumentation является ядром инфраструктуры управления, предлагаемой Microsoft; предназначенный для снижения затрат на поддержку и администрирование сети, построенной на основе операционных систем семейства Windows 2000/NT, он обеспечивает:

• непрерывную и полную модель функционирования, конфигурации и состояния систем на основе Windows 2000 и Windows 98;
• интерфейсы прикладного программирования COM API, предоставляющие единую точку доступа ко всей управляющей информации;
• взаимодействие с системами управления, работающими под управлением других операционных систем;
• гибкую архитектуру, позволяющую использовать и расширять информационную модель для поддержки новых устройств и приложений;
• мощную архитектуру, позволяющую определить возникновение события в управляемой системе, сравнить и соотнести его с другими событиями, произошедшими в системе, а также передать информацию об этом событии в управляющее приложение;
• мощный язык запросов, который позволяет получать детальную информацию из информационной модели;
• API сценариев, дающий возможность разрабатывать управляющие приложения на языке Visual Basic или Windows Scripting Host (WSH).

Архитектура WMI

WBEM обеспечивает трехуровневый подход для сбора и распределения управляющих данных. В Microsoft WMI этот подход основан на использовании стандартного механизма для определения объектов (хранилище объектов, совместимое с CIM), стандартного протокола для сбора и распространения информационных данных (COM/DCOM) и нескольких динамических библиотек (DLL), которые выступают в роли WMI-поставщиков данных (WMI-провайдеры, WMI Providers). Основным процессом, обеспечивающим всю функциональность WMI, является WinMgmt.exe: он поддерживает работу хранилища (CIM Object Repository) и менеджера (CIM Object Manager) CIM-объектов, а также API для работы с WMI.

Модель WMI представлена на Рис. 20.

Рис. 20 Модель WMI

К основным элементам и особенностям архитектуры WMI можно отнести следующее.

CIM Object Manager. Менеджер CIM-объектов является ключевым компонентом, обеспечивающим реализацию технологии WBEM, основной задачей которой является унификация представления данных, и эти данные хранятся в объектно-ориентированном виде в хранилище CIM-объектов. CIM Object Manager обеспечивает набор средств и точек доступа для управления объектами, находящимися в хранилище, а также дает возможность получать информацию об этих объектах и работать с ней.

WMI-провайдеры. WMI-провайдеры выступают в качестве промежуточного звена между CIM Object Manager и одним или несколькими управляемыми объектами. Когда CIM Object Manager получает от управляющего приложения запрос на информацию, которой нет в хранилище, или на события, которые он не поддерживает, он передает этот запрос WMI-провайдеру, и тот уже предоставляет нужную информацию или извещение о событии.

В комплект разработчика Microsoft WMI SDK входят следующие провайдеры:

• Registry Provider;
• Windows NT Event Log Provider;
• Win32 Provider;
• SNMP Providers;
• WDM Provider.

Независимые разработчики ПО могут использовать WMI SDK для создания других провайдеров, которые будут обеспечивать взаимодействие с объектами в поставляемых ими приложениях.

Безопасность WMI. WMI поддерживает ограниченный набор средств безопасности для платформ Windows и Windows 2000/NT. С их помощью можно проверить права пользователя на доступ к локальной машине или на удаленный доступ - авторизованный пользователь получает доступ ко всем элементам CIM-схемы. Несмотря на то, что текущая версия WMI не обеспечивает безопасности системных ресурсов, она позволяет контролировать выполняемые операции. Более детальную информацию о безопасности WMI можно найти в WMI SDK.

Обработка событий (Event Handling). Извещения о событиях - это ключевая особенность WMI, дающая возможность определять события и ошибки, возникающие при работе аппаратуры или программ, и предавать эти события (информацию о них) в соответствующий модуль управления для обработки и реагирования.

Язык запросов WMI (WMI Query Language). Язык запросов WMI - это подмножество языка структурированных запросов (SQL) с расширениями, обеспечивающими поддержку извещений об ошибках и других функций WBEM.

Языки сценариев, совместимые с WBEM. WMI обеспечивает поддержку сценариев для языков программирования Microsoft Visual Basic, Visual Basic for Applications, Visual Basic Scripting Edition, Microsoft Jscript и Perl

Служба каталогов Active Directory

Каталог (directory) - это информационный ресурс, используемый для хранения информации о каком-либо объекте. В распределенной вычислительной системе или в компьютерной сети общего пользования, например в Интернете, имеется множество объектов: принтеры, факс-серверы, приложения, базы данных и др. Пользователи хотят иметь доступ к каждому из них и работать с ними, а администраторы - управлять правилами использования этих объектов.

Служба каталогов в отличие от каталога является не просто информационным ресурсом, но представляет собой услугу, обеспечивающую поиск и доставку пользователю необходимой ему информации. Это одна из наиболее важных составных частей развитой информационной системы. Пользователи и администраторы зачастую не знают точных имен нужных им объектов. Но, зная один или несколько их признаков или атрибутов, они могут послать запрос к каталогу и получить в ответ список тех объектов, атрибуты которых совпадают с атрибутами, указанными в запросе. Служба каталогов позволяет найти любой объект по одному из его атрибутов.

Функции службы каталогов:

• обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;
• распространять каталог среди других компьютеров сети;
• проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
• разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.

Служба каталогов - это одновременно и инструмент управления, и пользовательский инструмент. По мере роста числа объектов в сети она играет все более важную роль. Можно сказать, что служба каталогов - это та основа, на которой строится вся работа крупной распределенной компьютерной системы.

Что такое Active Directory?

Операционная система Microsoft Windows NT Server включает в себя службу каталогов Windows NT Directory Services, предоставляющую пользователям то, в чем они больше всего нуждаются, - единую точку входа и единую точку администрирования и репликации данных. Эти функции необходимы компаниям в первую очередь, однако уже теперь ясно, что организациям, использующим в своей работе Windows NT Server, нужны новые возможности по работе с каталогами, такие как иерархическое представление каталога, расширяемость, масштабируемость, защита в распределенных сетях и многоуровневая репликация (multimaster replication). Для решения этих задач корпорация Microsoft разработала службу каталогов Active Directory, которая является одним из основных компонентов операционных систем семейства Windows 2000 Server. Потребность в еще более мощной, наглядной, интегрированной системе каталогов обусловлена резким ростом количества и размеров компьютерных сетей. По мере того как локальные и глобальные сети становятся все более объемными и сложными, компьютерные сети подключаются к Интернету, а приложения - к другим системам через корпоративные сети, требуя больше и больше сетевых ресурсов, все большие требования предъявляются и к службам каталогов.

Active Directory, входящая в Windows 2000 Server, не только расширяет возможности служб каталогов предыдущих Windows-систем, но и обладает совершенно новыми свойствами. Служба Active Directory является защищенной, распределенной, сегментированной и реплицируемой. Она надежно функционирует в системах любого размера - от отдельного сервера, работающего с несколькими сотнями объектов, до нескольких тысяч серверов с миллионами объектов. Кроме того, Active Directory обладает рядом новых свойств, которые облегчают поиск объектов и управление большими объемами информации; она также обеспечивает экономию времени пользователей и администраторов систем.

В конечном итоге Active Directory отвечает за создание, хранение, поиск и представление информации обо всех объектах и ресурсах информационной системы, поддерживает множество популярных протоколов и форматов и имеет мощные, гибкие и простые в применении API.

Основные понятия, используемые в Active Directory

Пространство имен. Active Directory, как и любая другая служба каталогов, является, прежде всего, пространством имен. Пространство имен - это ограниченная область, в которой может быть распознано данное имя. Процесс распознавания имени заключается в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует. В пространстве имен, образуемом Active Directory, имя объекта в каталоге может быть поставлено в соответствие самому этому объекту.

Объект. Объект - это непустой, именованный набор атрибутов, обозначающий нечто конкретное, например, пользователя, принтер или приложение. Атрибуты содержат информацию, однозначно описывающую данный объект. Атрибуты пользователя могут включать имя пользователя, его фамилию и адрес электронной почты.

Контейнер. Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имен. Однако в отличие от объекта контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Дерево. Термин дерево используется в данном документе для описания иерархии объектов и контейнеров. Как правило, конечными элементами дерева являются объекты. В его узлах (точках ветвления) располагаются контейнеры. Дерево отражает взаимосвязь между объектами или указывает путь от одного объекта к другому.

Имя. Имена используются для различения объектов в Active Directory. Служба Active Directory допускает существование двух типов имен.

• Уникальное имя. Каждый объект в Active Directory имеет уникальное имя (Distinguished Name - DN). Это имя содержит указание на домен, в котором находится объект, и полный путь в иерархической структуре контейнеров, который приводит к данному объекту. Пример типичного уникального имени:
  /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith
  Это DN обозначает объект типа "пользователь" с именем "James Smith", находящийся в домене Microsoft.com.
• Относительное имя. Относительное уникальное имя объекта (Relative Distinguished Name - RDN) - это та часть имени, которая сама является частью атрибута объекта. В приведенном выше примере RDN-именем объекта "James Smith" является групповое имя (CN) CN=James Smith. RDN-именем родительского объекта является имя CN=Users.

Контексты имен и сегменты. Active Directory может состоять из одного или нескольких контекстов имен или сегментов. Контекстом имен может быть любое непрерывное поддерево каталога. В Active Directory каждый сервер всегда содержит не менее трех контекстов имен:

• логическую структуру;
• конфигурацию (топологию репликации и соответствующие метаданные);
• один или несколько пользовательских контекстов имен (поддеревья, содержащие объединенные в каталог объекты).

Домены. Домен - это единая область, в пределах которой обеспечивается безопасность данных в компьютерной сети под управлением ОС Windows NT или Windows 2000. Active Directory состоит из одного или нескольких доменов. Если несколько доменов связаны друг с другом доверительными отношениями и имеют единую логическую структуру, конфигурацию и глобальный каталог, то говорят о дереве доменов. Несколько доменных деревьев могут быть объединены в лес.

Дерево доменов. Дерево доменов состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непрерывное пространство имен. Домены в дереве связаны между собой доверительными отношениями. Active Directory является множеством, которому принадлежит одно или несколько деревьев.

Лес. Лесом называется одно или несколько деревьев, которые не образуют непрерывного пространства имен. Все деревья одного леса имеют общие логическую структуру, конфигурацию и глобальный каталог. Они поддерживают друг с другом транзитивные иерархические доверительные отношения, устанавливаемые на основе протокола Kerberos.

В отличие от дерева лес может не иметь какого-то определенного имени. Лес существует в виде совокупности объектов с перекрестными ссылками и доверительных отношений на основе протокола Kerberos, установленных для входящих в него деревьев.

Сайты. Сайтом называется такой элемент сети, который содержит серверы Active Directory. Сайт обычно определяется как одна или несколько подсетей, поддерживающих протокол TCP/IP и характеризующихся хорошим качеством связи. "Хорошее" качество связи в данном случае подразумевает высокие показатели надежности и скорости передачи данных (например, для локальных сетей - порядка 10 Мбит/с или выше). Определение сайта как совокупности подсетей позволяет администратору быстро и без больших затрат настроить топологию доступа и репликации в Active Directory и полнее использовать достоинства физического расположения устройств в сети. Поскольку компьютеры, принадлежащие к одному сайту, в масштабах сети можно считать расположенными близко друг к другу, связь между ними должна быть быстрой, надежной и эффективной.

Архитектура Active Directory

Назовем основные элементы Active Directory.

Модель данных. Модель данных Active Directory строится на основе спецификации X.500. В каталоге хранятся объекты, представляющие собой самые разные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которое может храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты представитель данного класса должен иметь обязательно, какие дополнительные атрибуты он может иметь и какой класс объектов может являться родительским по отношению к данному классу.

Логическая структура. Логическая структура Active Directory реализуется в виде набора объектов различных классов, хранящихся в каталоге. Такой способ хранения логической структуры имеет ряд преимуществ: например, приложения могут к ней обращаться и с ее помощью определять наличие тех или иных объектов и свойств.

Логическая структура Active Directory может обновляться динамически. Это означает, что приложение расширяет логическую структуру, добавляя в нее новые атрибуты и классы, с тем, чтобы сразу после этого воспользоваться полученным расширением. Обновление логической структуры производится путем создания новых или модификации существующих ее объектов (schema objects), хранящихся в каталоге.

Модель защиты данных. Каталог является частью Windows 2000 Trusted Computing Base и полноценным элементом инфраструктуры обеспечения безопасности данных в ОС Windows 2000. Все объекты в Active Directory защищены списками контроля доступа (ACL). Процедуры разрешения доступа к данным в Windows 2000 используют ACL при каждой попытке доступа к объекту или атрибуту в Active Directory.

Модель управления. Управление Active Directory могут осуществлять только авторизованные пользователи. Пользователю может быть разрешено выполнение определенных действий (или последовательности действий) над определенным набором объектов и их классов в некоторой части дерева каталога. Такая деятельность называется делегированным управлением. Делегированное управление позволяет с большой гибкостью распределять возможности управления, избегая при этом передачи излишних полномочий.

Возможности и характеристики Active Directory

Службой каталогов Active Directory обеспечиваются следующие возможности и характеристики:

• поддержка открытых стандартов для облегчения межплатформных операций с каталогами, в том числе доменной системы имен DNS и стандартных протоколов, таких как LDAP;
• поддержка стандартных форматов имен для простоты миграции и эксплуатации;
• богатый набор API, которые могут использоваться как для командных сценариев, так и в программах на C/C++;
• простой и интуитивно понятный процесс администрирования благодаря несложной иерархической доменной структуре и использованию технологии "перетащи и оставь" (drag-and-drop);
• возможность расширения набора объектов в каталогах за счет гибкой логической схемы;
• быстрый поиск с помощью глобального каталога;
• быстрая и надежная репликация каталога;
• совместимость с предыдущими версиями Windows NT;
• обеспечение взаимодействия с сетями Novell NetWare.

Теперь кратко остановимся на основных свойствах Active Directory.

Интеграция с DNS

Служба Active Directory тесно интегрирована с системой имен доменов (Domain Name System - DNS). DNS представляет собой распределенное пространство имен, которое используется в Интернете и в котором именам отдельных компьютеров и служб ставятся в соответствие IP-адреса. Большинство крупных организаций, имеющих свои внутренние корпоративные сети, используют DNS в качестве системы распознавания имен. Active Directory использует DNS как локационную службу (location service). Клиенты обращаются к ней, чтобы узнать, какой IP-адрес соответствует ресурсу с данным сетевым именем: получив в DNS разрешение имени, клиент может работать с интересующим его ресурсом, оперируя его реальным адресом.

Имена доменов в Windows 2000 строятся по правилам DNS. Например, "Microsoft.com" - корректное DNS-имя домена; оно может также быть именем домена и в Windows 2000. Высокая степень интеграции c DNS означает, что служба Active Directory хорошо совместима с такими сетевыми средами, как Интернет и интрасети. С помощью Active Directory клиенты быстро и без труда могут находить серверы каталогов, а организация может подключать к Интернету свои серверы, поддерживающие Active Directory, - это упростит защиту передаваемых данных и будет способствовать развитию связей компании с клиентами и деловыми партнерами.

Служба поиска

Серверы Active Directory публикуют свои адреса таким образом, что клиенты могут найти их по одному только имени домена. Публикация имен серверов Active Directory осуществляется с помощью записей ресурсов служб (Service Resource Records) в системе DNS. Каждая такая запись служит для сопоставления имени службы с адресом сервера, который поддерживает данную службу. После того как сервер Active Directory будет установлен, он опубликует свое имя через систему Dynamic DNS. Поскольку IP-адреса могут со временем изменяться, серверы время от времени проверяют правильность своей регистрационной информации и при необходимости обновляют ее.

Динамическая DNS

Динамическая служба DNS (Dynamic DNS) - это дополнение DNS, определяющее протокол, в соответствии с которым происходит динамическое обновление параметров DNS-сервера. До ее появления администратору приходилось вручную вносить исправления в записи, хранящиеся на DNS-серверах.

Именование объектов

Каждый объект может иметь одно и только одно имя, которое называется уникальным. Это имя однозначно определяет объект и содержит информацию, достаточную для того, чтобы клиент мог найти данный объект в каталоге. Уникальное имя объекта может оказаться весьма длинным и трудным для запоминания. Кроме того, со временем оно может измениться. Поскольку это имя состоит из относительного имени объекта и имен его родительских каталогов, переименование как самого объекта, так и любого из родительских каталогов приведет к изменению его уникального имени.

Чтобы не иметь дела с длинными и трудно запоминаемыми уникальными именами, хотелось бы иметь другие способы поиска объектов. Active Directory поддерживает запросы по атрибутам, поэтому объект можно найти даже в том случае, когда его точное уникальное имя неизвестно или изменилось. Упрощая процедуру поиска объектов по запросам, логическая структура Active Directory поддерживает следующие элементы.

• Глобальный уникальный идентификатор объекта (object globally unique identifier - GUID). Идентификатор представляет собой 128-разрядное число, гарантированно индивидуальное для каждого объекта. Он присваивается объекту в момент его создания и никогда не изменяется, даже при переименовании и перемещении объекта. Приложения могут хранить GUID-идентификаторы объектов, гарантируя возможность отыскания нужного объекта независимо от его текущего разрешенного имени (DN).
• User Principal Name. Лица, ответственные за безопасность данных в системе (ими могут быть отдельные пользователи или их группы), имеют "дружественные" имена, которые называются User Principal Name (UPN). Эти имена короче уникальных, и их легче запомнить. UPN-имя состоит из "сокращенного" имени пользователя и DNS-имени дерева доменов, в котором располагается объект данного пользователя. Например, пользователь James Smith в дереве доменов Microsoft.com может иметь UPN-имя JamesS@microsoft.com.

Для уникальных имен в Active Directory гарантирована их неповторимость: служба каталогов не допускает существования в одном родительском каталоге двух объектов с одинаковым относительным именем (RDN). Уникальные имена составляются из относительных имен, и поэтому они не повторяются для каждого объекта. Идентификаторы GUID являются уникальными по определению - это гарантируется алгоритмом их создания (по отношению к другим атрибутам требование уникальности не выдвигается).

Доступ к Active Directory

Доступ к Active Directory осуществляется по протоколам передачи данных, которые определяют формат передачи сообщений и взаимодействий клиента и сервера. Доступ к самим протоколам осуществляется с помощью интерфейсов прикладного программирования (API).Active Directory поддерживает следующие типы протоколов.

• LDAP. Основным протоколом в Active Directory является упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol - LDAP). Обеспечена поддержка версий 2 и 3 этого протокола.
• MAPI-RPC. Active Directory поддерживает интерфейсы вызова удаленных процедур (RPC), которые поддерживают интерфейсы прикладного программирования электронной почты (Messaging API, MAPI).
• X.500. Информационная модель Active Directory строится на основе информационной модели спецификации X.500. Однако следует отметить, что эта спецификация определяет несколько протоколов передачи, которые не поддерживаются Active Directory: Directory Access Protocol (DAP), Directory System Protocol (DSP), Directory Information Shadowing Protocol (DISP) и Directory Operational Binding Management Protocol (DOP). Active Directory не поддерживает эти протоколы, потому что они мало популярны и редко используются на практике. Кроме того, перечисленные протоколы зависят от конкретной реализации модели взаимодействия открытых систем (Open Systems Interconnection model, OSI).

Интерфейсы прикладного программирования

К интерфейсам API, поддерживаемым Active Directory, относятся следующие.

• Active Directory Service Interfaces - ADSI. Это простой и мощный объектно-ориентированный интерфейс для работы с Active Directory. Разработчики могут использовать различные языки программирования, включая Java, Visual Basic, C, C++ и др. Интерфейс ADSI полностью поддерживает сценарии, и поэтому он будет удобен для системных администраторов. Кроме того, он скрывает от пользователей вспомогательные процедуры протокола LDAP.
• LDAP API. Интерфейс LDAP C, описанный в спецификации RFC 1823, представляет собой интерфейс нижнего уровня, предназначенный для программирования на языке Си.
• MAPI. Интерфейс прикладного программирования электронной почты поддерживается Active Directory для обеспечения обратной совместимости.

Виртуальные контейнеры

Active Directory позволяет представлять каталоги в виде виртуальных контейнеров (Virtual Containers), которые обеспечивают через Active Directory доступ к любому каталогу, совместимому со спецификацией LDAP. Виртуальный контейнер можно создать, используя специальную информацию (knowledge information), хранящуюся в Active Directory. Эта информация описывает, в какой части Active Directory должен появиться новый каталог, а также содержит DNS-имя сервера, в котором хранится копия этого каталога, и уникальное имя (DN), с которого следует начинать операции поиска в новом каталоге.

Глобальный каталог

Active Directory может быть разбита на множество сегментов или контекстов имен. Уникальное имя объекта содержит достаточно информации, чтобы найти копию того сегмента, в котором находится этот объект. Однако очень часто оказывается, что пользователь или приложение не знают уникального имени нужного им объекта или не знают, в каком сегменте он находится. Глобальный каталог (Global Catalog - GC) помогает находить нужные объекты в дереве доменов по одному или нескольким известным их атрибутам.

Глобальный каталог содержит частичные копии всех пользовательских контекстов имен, а также логическую структуру и конфигурационные контексты имен. Это означает, что, имея копии каждого объекта Active Directory, глобальный каталог, тем не менее, хранит лишь небольшую часть его атрибутов, а именно те, которые наиболее часто используются в операциях поиска (например, имя и фамилия пользователя, зарегистрированные имена пользователей системы и др.) или которые необходимы для нахождения полной копии объекта. Глобальный каталог позволяет быстро найти нужный объект, когда неизвестно, в каком домене он находится, и при этом не требуется, чтобы в системе было обеспечено непрерывное расширенное пространство имен.

Система репликации в Active Directory автоматически создает глобальный каталог и поддерживает репликационную топологию. Базовый набор функций, копии которых хранятся в глобальном каталоге, определяется корпорацией Microsoft. Администратор системы может по своему желанию расширять этот набор, добавляя к нему новые функции.

Защита объектов

Все объекты в Active Directory защищены списками контроля доступа (Access Control List - ACL), которые определяют, кто из пользователей может видеть данный объект, и какие действия с объектом разрешены каждому пользователю. Если пользователю не разрешено видеть данный объект, то у него нет и никаких средств узнать о его существовании.

Список контроля доступа состоит из записей управления доступом (Access Control Entries - ACE); они хранятся вместе с объектом, который защищается этим списком. В Windows 2000 список ACL хранится в двоичном формате и называется дескриптором безопасности (Security Descriptor). В каждую запись ACE входит идентификатор защиты (Security Identifier - SID), который однозначно указывает на лицо, ответственное за безопасность данного объекта (principal) (им может быть отдельный пользователь или группа пользователей), и содержит информацию о том, какой тип доступа к объекту разрешен данной записью.

Списки ACL в каталогах содержат записи, относящиеся к объекту в целом и к отдельным его атрибутам. Это дает администратору возможность указывать не только, какие пользователи могут видеть данный объект, но и какие свойства этого объекта будут видны тем или иным пользователям. Например, всем пользователям может быть разрешено чтение таких атрибутов, как телефонные номера и адреса электронной почты других пользователей, но при этом параметры, относящиеся к безопасности данных, будут доступны только членам специальной группы администраторов системы. Отдельным пользователям может быть разрешена запись в их личные атрибуты, скажем, внесение исправлений в номера телефонов или адреса электронной почты.

Передача полномочий

Передача полномочий (Delegation) - одно из наиболее важных средств защиты данных в Active Directory. Эта функция позволяет администратору системы, имеющему более высокий приоритет, передавать определенные права по управлению контейнерами и поддеревьями отдельным пользователям или их группам. Благодаря такому распределению полномочий исчезает необходимость в администраторах доменов, передающих полномочия излишне большому числу пользователей.

Наследование

Принцип наследования (Inheritance) записей ACE позволяет распространять влияние записей, сделанных для какого-либо контейнера, на все объекты, содержащиеся в нем. Наследование можно совмещать с передачей полномочий и таким образом в одной операции передавать административные права целому поддереву каталога.

Репликация

Active Directory использует механизм репликации multi-master, который позволяет вносить изменения в каталог на любом контроллере домена. Система репликации в Active Directory тиражирует внесенные изменения на других контроллерах. Репликация происходит автоматически и остается прозрачной для пользователя.

Деревья и лес

Дерево доменов в Windows 2000 имеет иерархическую структуру, и каждый входящий в него домен является сегментом Active Directory. Структура дерева и отношения между его элементами определяются DNS-именами доменов. Имена доменов одного дерева должны образовывать непрерывное пространство имен, то есть домен с именем a.myco.com должен быть дочерним по отношению к домену myco.com, домен b.myco.com - для домена a.myco.com и т. д.

Двусторонние транзитивные доверительные отношения. Когда домен присоединяется к дереву доменов Windows 2000, между вновь присоединенным и родительским доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения. Такой тип отношений не требует установления никаких дополнительных отношений между элементами дерева. Иерархия доверительных отношений является составной частью метаданных, хранящихся в контейнере конфигурации.

Эти данные обязательно создаются в каталоге, когда к дереву доменов присоединяется новый домен.

Пространство имен. Дерево доменов в Windows 2000 должно представлять собой непрерывное пространство имен. Непосредственные дочерние домены, входящие в состав родительского, по умолчанию являются частью непрерывного пространства имен этого домена. Это означает, что уникальное имя каждого объекта, принадлежащего дочерним доменам, должно содержать имя родительского домена в качестве префикса.

Конфигурацию дерева можно изменять, свободно перемещая в нем домены. Очень важно, чтобы дерево доменов было организовано правильно, однако понятие правильности в данном случае определить довольно трудно, поскольку оно зависит от конкретных задач, стоящих перед той или иной организацией. Имея возможность скорректировать конфигурацию дерева, уже не обязательно заранее знать его оптимальную структуру.

Сайты

Сайтом называется область сети, в которой обеспечена высококачественная связь между компьютерами. В Windows 2000 сайтом считается одна или несколько подсетей IP. В основе такого определения лежит предположение, что компьютеры с одинаковым адресом подсети включены в один сегмент сети - как правило, это либо локальная сеть, либо иная сетевая среда с высокой скоростью передачи, например, АТМ, Frame Relay и др.

В Windows 2000 информация о сайте используется для поиска сервера Active Directory, ближе других расположенного к данному пользователю.

Узлы и репликация. При тиражировании информации между серверами Active Directory внутри сайта система репликации в Windows 2000 генерирует кольцевую топологию. В пределах одного сайта репликация каталогов производится с помощью операций вызова удаленных процедур (RPC). Репликацию между сайтами можно осуществлять по выбору либо посредством RPC, либо путем передачи сообщений. Windows 2000 поддерживает простой протокол передачи сообщений SMTP, который входит в число стандартных функций этой операционной системы. Если имеется возможность использовать Microsoft Exchange Server, то репликацию между узлами можно произвести с его помощью, применив любой из почтовых протоколов (включая такие протоколы как SMTP, X.400 и др.).

Сайт должен состоять как минимум из одной IP-подсети. Windows 2000 предполагает, что все компьютеры, принадлежащие к одному узлу, находятся в одной высокоскоростной сети. В силу этого предположения можно говорить о том, что в хорошо организованной системе все подсети, относящиеся к одному сайту, объединены в быстродействующую сеть. Сегменты сети, отделенные друг от друга территориальными сетями, несколькими маршрутизаторами или другими элементами с относительно низким быстродействием, должны принадлежать разным сайтам.

Логическая структура

Логическая структура Active Directory определяет набор классов и атрибутов, которые могут храниться в каталоге. Например, она устанавливает, в какой части дерева каталогов может быть создан тот или иной класс, и указывает для каждого класса разрешенные родительские каталоги. Содержимое класса задается списком атрибутов, которые может или должен содержать данный класс.

Поскольку логическая структура определяет, какая информация может храниться в каталоге, и описывает эту информацию, право записи в логическую структуру по умолчанию имеют только администраторы системы. В Windows 2000 есть оснастка (snap-in) для консоли управления Microsoft Management Console (MMC), позволяющая управлять логической структурой. Чтобы расширить логическую структуру, имеющий соответствующие права пользователь может создавать новые атрибуты и классы. К новым или уже существующим классам можно добавлять новые атрибуты. Для каждого вновь созданного класса или атрибута требуется идентификатор объекта (Object ID - OID) - число, однозначно определяющее класс объекта или атрибут в службе каталогов.

Публикация

Публикация - это процесс создания в каталоге объектов, содержащих либо саму информацию, которую вы хотите сделать доступной, либо ссылки на такую информацию. Например, объект типа "пользователь" содержит полезную информацию о пользователях (номера их телефонов и адреса электронной почты), а объект типа "том" содержит ссылку на том совместно используемой файловой системы.

Информацию в Active Directory следует публиковать в тех случаях, когда она может быть полезна или представлять интерес для большой части сообщества пользователей и когда нужно, чтобы она была легко доступной.

Информация, опубликованная в Active Directory, имеет два основных свойства:

• носит сравнительно статичный характер и редко подвергается изменениям;
• хорошо структурирована и может быть представлена в виде набора отдельных атрибутов.

Оперативная информация, используемая приложениями, прекрасно подходит для публикации в Active Directory. В частности, такой информацией являются сведения о глобальной конфигурации, которые относятся ко всем экземплярам данного приложения. Например, программный пакет реляционной базы данных может хранить в виде объекта в Active Directory сведения о настройках серверов баз данных, используемых по умолчанию. При установке новых экземпляров пакета данные о настройках по умолчанию будут считываться из объекта в Active Directory. Это упростит процедуру установки программного пакета и гарантирует единообразие настроек во всех экземплярах программы в организации.

Данные, используемые приложениями, можно также публиковать в каталоге при помощи объектов, связанных с конкретным приложением. Они должны удовлетворять рассмотренным выше критериям, то есть представлять всеобщий интерес, быть относительно статичными и хорошо структурированными.

Группы

Операционная система Windows 2000 поддерживает новые свойства групп:

• если в системе установлена новая версия Microsoft Exchange Server, то группы могут рассматриваться как списки рассылки; в группы могут входить незащищенные члены (такая возможность становится особенно актуальной, когда группа используется одновременно и как средство защиты данных, и как список рассылки); функция защиты данных может быть отключена (это бывает удобно, если группа используется исключительно как список рассылки);
• группы могут быть вложенными;
• вводится новый тип группы - универсальный (Universal).

Универсальная группа является самой простой разновидностью групп. Такие группы могут отражаться в списках ACL и размещаться в любом месте доменного леса. Они могут содержать другие универсальные группы, глобальные группы и объекты типа "пользователь", расположенные в любом месте леса. В системах небольших организаций можно использовать только универсальные группы, не прибегая к созданию глобальных и локальных.

Глобальная группа (Global group) может отражаться в списках ACL и располагаться в любом месте леса. В нее входят объекты типа "пользователь" и другие глобальные группы, принадлежащие к тому же домену.

Локальная группа домена используется только в пределах своего домена. Такая группа может содержать объекты типа "пользователь" и другие глобальные группы, принадлежащие к любому домену леса, а также универсальные и другие локальные группы, принадлежащие к тому же домену.

Указанные типы групп обеспечивают широкие и универсальные возможности по управлению системой, одновременно снижая интенсивность репликационного трафика, направляемого в глобальный каталог при изменении состава групп. Наличие универсальной группы отражается в глобальном каталоге, но в ее состав, как правило, входят глобальные группы доменов леса. Когда глобальные группы будут созданы, состав универсальной группы будет изменяться сравнительно редко. Глобальные группы (но не их содержимое) отражаются в глобальном каталоге. Изменения в составе глобальных групп не тиражируются за пределами того домена, в котором эти группы определены. Локальные группы домена могут существовать только в пределах того домена, в котором они определены, и их наличие никогда не отражается в глобальном каталоге.

Служба каталогов Active Directory предоставляет широкие возможности для управления различными пространствами имен, которые существуют в настоящее время в гетерогенных компьютерных сетях предприятий, и унификации этих имен. Active Directory сочетает в себе лучшие возможности стандартов DNS и X.500, LDAP и других протоколов, а также богатый набор API, и допускает управление из единого центра любыми ресурсами: файлами, периферийными устройствами, подключениями, базами данных, доступом к Интернету, пользователями, различными другими объектами, службами и сетевыми ресурсами.

Active Directory поддерживает иерархическое пространство имен для учетных записей пользователей, групп и машин, а также может импортировать другие каталоги и управлять ими. Это служба каталогов общего назначения позволяет снизить нагрузку на администратора, а также сократить расходы на поддержание нескольких пространств имен.

Служба Active Directory эффективно сочетает в себе открытые стандарты, администрирование в стиле "перетащи и оставь", глобальный каталог, расширяемость, многоуровневую репликацию, распределенную систему защиты, масштабируемость и полную обратную совместимость с Windows NT 3.51 и 4.0. Все это делает ее идеальной платформой для администрирования существующих сетей и надежной основой для единой распределенной компьютерной среды будущего.

Дополнительную информацию о службе каталогов Active Directory можно найти по адресу: www.microsoft.com/rus/windows2000/library/activedirectory или www.microsoft.com/windows2000/library/technologies/activedirectory/default.asp.

Централизованное управление конфигурациями рабочих станций

Как было отмечено в разделе "Windows Management Instrumentation", под управлением изменениями и конфигурацией (Change and Configuration Management) понимается процесс управления системой, ее состояниями и рабочим циклом. Управляя установкой программ на персональных компьютерах и определяя конфигурацию каждого, администратор настольных систем стремится к тому, чтобы все пользователи в организации имели то программное обеспечение, которое им необходимо для решения возникающих перед ними производственных задач. В этом разделе более подробно рассматриваются вопросы управления изменениями и конфигурацией, а также возможные способы уменьшения совокупной стоимости владения (ССВ, или Total Cost of Ownership - TCO) с помощью этого управления.

Изменения. Многие факторы приводят к изменениям в организации, и одним из важнейших управленческих вопросов является управление изменениями. Что бы ни послужило его причиной: установка первоначальной или настройки текущей конфигурации, влияние новых программно-аппаратных технологий или устаревание существующих систем, - изменение всегда неизбежно для динамичной, растущей организации.

Конфигурация. Конфигурация означает процесс развертывания изменения. Все группы поддержки должны управлять изменениями; поэтому управление изменениями и конфигурацией является важной дисциплиной для всех групп поддержки вне зависимости от их управленческой роли.

Windows 2000 и управление изменениями и конфигурацией

Стандартные возможности управления изменениями и конфигурацией Windows 2000 обеспечивают следующие преимущества.

• Администраторы могут в централизованном порядке определять для групп людей и компьютеров и затем "претворять их в жизнь" системы.
• Возможна быстрая замена компьютеров с последующим воссозданием их среды, пользовательских данных, приложений, настроек и административных политик.
• Пользователи могут перемещаться от компьютера к компьютеру в сети и при этом иметь одну и ту же вычислительную среду, включая доступ к данным, приложениям и настройкам.
• Пользователи могут быстро находить свои данные и иметь доступ к своим сетевым файлам даже при работе в автономном режиме: файлы кэшируются локально и автоматически синхронизируются между серверной и локальной версиями.
• Администраторы могут централизованно управлять установкой, обновлением и удалением программного обеспечения. В этом случае установка программного обеспечения происходит без вмешательства пользователя и без помощи службы технической поддержки.
• Администраторы могут задавать настройки, которые позволяют автоматически устанавливать операционные системы на локальные жесткие диски рабочих станций с удаленного сервера.

Ключевая концепция управления изменениями и конфигурацией Windows 2000 заключается в том, что после установки OC Windows 2000 администратор может использовать Active Directory и создавать на основе политик управляемые вычислительные среды для групп пользователей и компьютеров. При таком подходе администратору не нужно присутствовать на рабочих станциях пользователей для установки и обновления приложений (операционной системы) либо для восстановления конфигурации после неразрешенных или неожиданных изменений, что существенно снижает совокупную стоимость владения.

Возможности управления изменениями и конфигурацией

Управление изменениями и конфигурацией состоит из таких компонентов, поставляемых с Windows 2000, как IntelliMirror и удаленная установка операционной системы (Remote OS Installation). Кроме того, Microsoft Systems Management Server 2.0 обеспечивает дополнительные компоненты.

Приведенная ниже таблица (Табл. 1) содержит описание стандартных возможностей управления изменениями и конфигурацией, входящих в Windows 2000, и технологий, с помощью которых эти возможности реализуются.

Табл. 1. Стандартные возможности управления

Возможность Плюсы Технологии Управление данными пользователя Мои данные и документы следуют за мной! При перемещении от одного компьютера сети к другому у пользователей сохраняется доступ к данным, необходимым им для работы, в любом режиме подсоединения к сети. Администраторы могут централизованно управлять этой возможностью при помощи групповой политики, что уменьшает затраты на поддержку Active Directory Групповая политика Автономные папки Менеджер синхронизации Расширения оболочки Windows Перенаправление папок Квоты дискового пространства Поддержка и установка ПО Мое ПО следует за мной! У пользователей есть нужное им ПО. ПО и дополнительные компоненты устанавливаются по запросу. Однажды установленное ПО самовосстанавливается. Администраторы управляют обновлениями ПО и ОС централизованно с помощью политики. Это сводит к минимуму стоимость поддержки Active Directory Групповая политика Windows Installer Добавление/удаление программ в панели управления Расширения оболочки Windows Управление пользовательскими настройками Мои настройки следуют за мной! Пользователи видят любые настройки рабочего стола на любом компьютере. Личные предпочтения и настройки рабочего стола и ПО доступны с того компьютера, с которого пользователь входит в систему. Администраторы могут централизованно управлять этой возможностью при помощи групповой политики, что уменьшает затраты на поддержку Active Directory Групповая политика Автономные папки Перемещающиеся профили пользователей Расширения оболочки Windows Дистанционная установка ОС Администраторы могут позволить удаленную установку операционных систем на базе Windows 2000 и образов рабочего стола (desktop images) на новых или заменяемых компьютерах без вызова службы технической поддержки Active Directory Групповая политика Протокол DHCP Службы удаленной установки IntelliMirror + дистанционная установка ОС -> замена компьютеров

Microsoft Systems Management Server 2.0

Сервер Systems Management Server (SMS) 2.0 дополняет встроенные возможности управления Windows 2000. Модульная структура позволяет использовать его и как автономное решение, и как часть крупного управленческого решения. В средах, предшествовавших Windows 2000, Systems Management Server 2.0 предоставляет расширенные возможности управления изменениями и конфигурацией во всем спектре систем на основе Microsoft Windows, включая Windows 95/98, Windows NT версий 3.51 и 4.0 и Windows for Workgroups. В средах Windows 2000 Server этот инструмент дополняет Active Directory, расширяя предоставляемые IntelliMirror стандартные возможности управления изменениями и конфигурацией средствами, позволяющими распространить эти решения в масштабе предприятия.

IntelliMirror

IntelliMirror - это набор встроенных в Windows 2000 компонентов для управления изменениями и конфигурацией настольной станции, совмещающий возможности централизованных вычислений с производительностью и гибкостью распределенных. Регулируя различные возможности клиента и сервера, IntelliMirror позволяет пользовательским данным, приложениям и настройкам "следовать" за пользователем.

Это средство увеличивает доступность пользовательского компьютера и вычислительной среды благодаря интеллектуальному хранению информации, настроек и приложений на основе определений политики. Оно способно восстанавливать и заменять пользовательские данные, приложения и личные настройки в средах на базе Windows 2000. Таким образом, у пользователей появляется постоянный доступ ко всей их информации и приложениям вне зависимости от типа подключения к сети, поскольку данные хранятся на сервере.

Основной лейтмотив IntelliMirror - "Следуй за мной!": система может быть настроена так, что данные, приложения и настройки пользователя будут следовать за ним на любой компьютер в сети. Ядром IntelliMirror являются три компонента:

• управление пользовательскими данными;
• поддержка и установка программного обеспечения;
• управление пользовательскими настройками.

Администраторы могут использовать эти компоненты как вместе, так и по отдельности в зависимости от требований среды. При полном развертывании IntelliMirror использует Active Directory и Group Policy, обеспечивающие управление пользовательскими настольными станциями на основе политик. Благодаря централизованно определенным политикам, основанным на коммерческих ролях пользователей, их членстве в группе и местонахождении, настольные станции Windows 2000 Professional автоматически реконфигурируются, чтобы соответствовать требованиям конкретного пользователя при его входе в систему.

• Управление пользовательскими данными

Возможности управления пользовательскими данными гарантируют, что эти данные (например, личные файлы и документы) будут легко и быстро доступны и всегда защищены: пользователи могут получить доступ к своим данным с любого компьютера, с которого они войдут в систему, независимо от типа подключения к сети. Возможности управления пользовательскими данными IntelliMirror поддерживают зеркалирование пользовательских данных в сети и локальное кэширование избранных сетевых данных. Они гарантируют защиту данных, их доступность в автономном режиме и доступность с любого компьютера в сети.

Рис. 21.

Доступность данных. IntelliMirror "заставляет" данные следовать за пользователем при переходе на другие компьютеры сети. Это увеличивает доступность данных, поскольку для доступа к ним пользователь может использовать любые компьютеры.

Наличие данных. Включая компоненты управления пользовательскими данными IntelliMirror, администраторы гарантируют, что последние версии пользовательских файлов будут находиться как на локальном компьютере, так и на сервере. Локальное кэширование сохраняет данные на локальном компьютере даже тогда, когда он отключен от сети, делая их доступными в автономном режиме.

Защита данных. Даже если пользовательские данные выглядят как локальные, они все равно перенаправляются на разделенный ресурс в сети и, таким образом, могут резервироваться по усмотрению администратора, что повышает их защищенность.

• Поддержка и установка программного обеспечения

Компонент поддержки и установки программного обеспечения Windows 2000 разработан таким образом, чтобы на основе политик облегчить развертывание ПО и управление им на протяжении всего его жизненного цикла. Он предоставляет устойчивую схему установки по запросу и обеспечивает автоматическое восстановление ПО в группах пользователей и компьютеров. Администраторы могут также использовать этот компонент для обновления развернутых приложений, удаления устаревших приложений и развертывания пакетов обновления операционных систем.

Рис. 22.

На основе групповой политики Windows 2000 администраторы определяют параметры установки программного обеспечения, задающие, какое ПО на компьютере развертывается, обновляется или удаляется. Политики установки ПО могут применяться как для групп пользователей, так и для групп компьютеров. Они определяются на основе узлов, доменов и организационных единиц. При каждом запуске компьютера используется групповая политика установки программного обеспечения и обновляется ПО, а при каждом входе пользователя в систему групповая политика установки программного обеспечения для конкретного пользователя инициирует обновление рабочего стола для обеспечения доступа к необходимым приложениям.

Ключевой технологией установки программного обеспечения по запросу является служба Windows Installer. Для использования возможностей поддержки и установки ПО Windows 2000 оно должно быть создано или переупаковано соответствующим образом. Служба Windows Installer полностью автоматизирует процесс установки и конфигурации ПО. Благодаря ее возможностям приложения после установки получают защиту от случайного удаления файлов или других необходимых ресурсов. При каждом запуске приложения служба Windows Installer проверяет наличие всех необходимых компонентов и файлов и в случае отсутствия какого-то из них добывает и устанавливает недостающее из заранее заданной точки распределения либо на локальном компьютере, либо в сети.

• Управление настройками пользователя и компьютера

Преимущества управления настройками пользователя и компьютера состоят в том, что администраторы могут централизованно определять вычислительную среду для их групп, которая в дальнейшем будет автоматически распространяться по этим группам. Администраторы могут добавлять новых пользователей и новые компьютеры, задавать параметры для групп пользователей и компьютеров и назначать изменения для них. Более того, при включенных компонентах IntelliMirror возможно восстановление пользовательских настроек в случае сбоя компьютера и их следование за пользователем при переходе к другому ПК.

Рис. 23.

Управление изменениями и конфигурацией Windows 2000 включает возможности, позволяющие администраторам централизованно определять конкретные вычислительные среды для групп пользователей и компьютеров. Сюда входят настройки политик программного обеспечения, сценарии, установка ПО, личные настройки пользователя и безопасность. Администраторы могут использовать групповую политику для задания параметров группам пользователей и компьютеров, таких как настройки реестра на настольной станции (например, компоненты операционной системы и приложения), сценарии (запуска и отключения компьютера, входа пользователя в систему и выхода из нее), параметры установки программного обеспечения (приложений, доступных пользователям, и приложений, расположенных на рабочем столе) и параметры безопасности локального компьютера, домена и сети. Более того, администраторы могут перенаправить любую из специальных папок пользовательского профиля в разделенный ресурс сети так, чтобы этот профиль был доступен на любом компьютере, с которого пользователь входит в сеть.

• Дистанционная установка операционной системы

Для дистанционной установки операционной системы используется новая технология удаленной загрузки на основе DHCP, называемая средой дозагрузочного выполнения (Pre-Boot eXecution Environment - PXE). Эта среда инициирует установку операционной системы из удаленного источника на локальный жесткий диск клиентского компьютера. Удаленный источник - сервер, поддерживающий новые службы дистанционной установки (Remote Installation Services, RIS) - представляет собой сетевой эквивалент установки Windows 2000 Professional и заранее сконфигурированных с помощью программы Sysprep образов системы с компакт-диска.

• Установка с компакт-диска. Вариант установки с CD аналогичен установке рабочей станции напрямую с компакт-диска Windows 2000 Professional; однако исходные файлы находятся в сети, на доступных серверах RIS.
• Формат образов Sysprep. При использовании образов Sysprep администратор сети может клонировать стандартную конфигурацию вместе с настройками операционной системы и рабочего стола. Так, после первоначальной установки и конфигурации Windows 2000, ее служб и любого стандартного приложения на рабочей станции он запускает мастер, подготавливающий установочный образ и реплицирующий его на доступных серверах RIS. Теперь клиенты, имеющие возможность удаленной загрузки, могут запросить локальную установку этого образа с любого из доступных RIS-серверов сети.

Рис. 24.

Загрузка сетевой службы может быть инициирована как BIOS клиентского компьютера, так и специальным гибким диском удаленной загрузки. Когда запрошена загрузка сетевой службы, DHCP предоставляет IP-адрес для клиентского компьютера, после чего компьютер может загрузить мастер удаленной установки. После этого мастер предлагает пользователю войти в систему и, в зависимости от предоставленной информации или членства в группе безопасности, показывает меню с соответствующими возможностями установки ОС без вмешательства пользователя. (Администратор сети определяет, какие возможности установки доступны пользователю, основываясь на политике в отношении данного пользователя и клиентской машины, инициировавшей запрос загрузки сетевой службы.)

Systems Management Server

Microsoft Systems Management Server 2.0 предоставляет возможности масштабируемого управления изменениями и конфигурацией персональных компьютеров под управлением ОС Windows в сетях масштаба предприятия. Он может дополнять встроенные средства Windows 2000 по управлению изменениями и конфигурацией, а также использоваться в среде предыдущих версий Windows. В качестве автономного средства управления настольными системами или компонента интегрированного решения управления предприятием Systems Management Server 2.0 предоставляет следующие возможности.

Информация об аппаратном и программном обеспечении. Systems Management Server использует технологию Windows Management Instrumentation и новейшие сканеры информации о версиях ПО для загрузки больших объемов детальной информации о программном и аппаратном обеспечении в репозиторий на базе SQL Server. Таким образом, администраторы располагают динамичным, эффективным механизмом доступа к информации об аппаратном и программном обеспечении по каждому приложению для каждого ПК. Более того, в SMS 2.0 добавлен новый инструмент для доступа в базу данных о совместимости, который может проверять информацию после ее сбора и создавать отчеты по совместимости ресурсов.

Распространение и установка программного обеспечения. Используя Systems Management Server 2.0, администраторы легко могут развертывать приложения на ПК для пользователей и пользовательских групп. Распространение ПО теперь основано на правилах, а компьютеры (цели распространения) проверяются динамически. При этом информация о распространении ПО полностью интегрирована с информацией об аппаратном обеспечении, что позволяет принимать сложные решения по выбору цели распространения. Systems Management Server 2.0 сначала делает запрос на информацию о программном обеспечении и о коллекциях, затем выбирает цели (компьютеры), а потом развертывает ПО на них согласно определенным администратором правилам. С помощью Systems Management Server 2.0 администраторы могут распространять приложения сразу (если ситуация того требует) либо "откатывать" приложения, а также удалять (деинсталлировать) приложение при переходе пользователя в другой отдел.

Измерения. Администраторам бывают часто необходимы инструменты для отслеживания использования программного обеспечения по пользователям, группам, рабочим станциям, времени или лицензионным квотам. Systems Management Server 2.0 может отслеживать, анализировать и при необходимости контролировать использование приложений на серверах и рабочих станциях. Эти инструменты предоставляют администраторам различные уровни контроля - от простых оповещений до наложения запрета на выполнение приложений.

Диагностика и устранение неисправностей. В дополнение к отчетам по текущему состоянию рабочей станции или сервера и возможностям дистанционного управления Systems Management Server предоставляет широкий спектр инструментов диагностики. Сюда входят такие инструменты, как сетевой монитор с экспертами реального времени для анализа сетевых условий и производительности и инструмент HealthMon, который может отслеживать критическую информацию о производительности процессов Windows NT Server и приложений семейства BackOffice.