®

 

Windows NT® Server

Операционная система

Снижение совокупной стоимости владения за счет использования приложений, взаимодействующих с Active Directory

Официальный стратегический документ

 

 


© 1999 Microsoft Corporation. Все права защищены.

Информация, представленная в настоящем документе, отражает отношение корпорации Microsoft к обсуждаемым в нем вопросам на момент публикации. Поскольку Microsoft должна реагировать на меняющиеся условия рынка, его не следует интерпретировать как обязательство с ее стороны. Microsoft не может гарантировать точность любой информации, представленной позднее даты публикации.

Документ носит исключительно информационный характер. MICROSOFT НЕ ДАЕТ ЗДЕСЬ НИКАКИХ ГАРАНТИЙ, НИ ЯВНЫХ, НИ ПОДРАЗУМЕВАЕМЫХ.

Microsoft, логотип BackOffice, Visual Basic, Visual Basic J++, Windows, и Windows NT являются либо зарегистрированными товарными знаками, либо зарегистрированными товарными знаками корпорации Microsoft в США и других странах.

Другие названия продуктов и компаний, упомянутые в настоящем документе, могут являться товарными знаками их законных владельцев.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA

0798 

 


СОДЕРЖАНИЕ


Windows NT® Server                                                                                                          1

Стратегический официальный документ.................. 1

СОДЕРЖАНИЕ............................................................................... 3

введение..................................................................................... 1

Описание ситуации                                                                             1

Требования к решениям                                                                     2

Решение: приложения, использующие Active Directory                      2

ВОЗМОЖНОСТИ ИНТЕГРАЦИИ Active Directory............. 4

Интеграция групповой политики                                                         4

Публикация служб                                                                             6

Расширение объектов каталога                                                         7

Модель расширения интерфейса ADSI                                              8

Active Directory Class Store                                                               10

СЦЕНАРИИ ПРИЛОЖЕНИЙ...................................................... 11

Отраслевые приложения                                                                  11

Приложения баз данных с архитектурой клиент/сервер                   12

Продукты для управления хранением данных                                  12

Продукты для синхронизации каталогов                                          13

Продукты для управления системами                                              14

Компоненты среднего звена                                                             15

Продукты для управления документами                                          16

ЗАКЛЮЧЕНИЕ............................................................................. 17

приложение A: Directory-Enabled NetworKing..... 18

Что такое Directory-Enabled Networking?                                           18

Преимущества DEN                                                                          18

 


введение


Описание ситуации

Большинство компаний понимают, что установка, применение и обслуживание распределенных приложений обходятся им слишком дорого. Довольно просто проанализировать и предугадать большинство расходов, связанных с ежедневным резервированием данных и регистрацией новых пользователей. Расходы иного характера менее очевидны:

·        
Конфигурирование клиентов. Непрерывные изменения в сфере бизнеса приводят к тому, что затраты на поддержку правильно выбранного программного обеспечения и нужных конфигураций клиентских машин значительно возрастают. Например, если сотрудник переводится из одного отдела в другой, администратор должен удалить некоторые приложения и добавить другие, проверяя правильность их конфигураций. Неверная конфигурация может привести к возникновению целого ряда проблем, начиная простоями и заканчивая случайными повреждениями корпоративных данных приложениями, пользующимися устаревшими бизнес-правилами.

 

Без интеграции с Active Directory

·         Конфигурирование сервера. В момент развертывания большинства приложений на клиентских компьютерах администратору необходимо организовать их связь с компонентами на стороне сервера, такими как базы данных и компоненты приложений. Поскольку клиенты «привязаны» к определенным компьютерам, этот тип статичной конфигурации может нанести урон качеству обслуживания. Пользователи должны дожидаться перезагрузки зависших компьютеров, чтобы продолжать работу. При увеличении загруженности сервера замедляется время ответа, даже если другие серверы имеют дополнительную мощность.

·        
"Расползание" информации. Растущая популярность распределенных приложений привела к быстрому разрастанию числа каталогов, содержащих схожую информацию о пользователях, компьютерах и других сетевых ресурсах. Например, адресные книги электронной почты содержат большое количество той же информации о пользователях, что и системы планирования ресурсов предприятия. Добавление пользователей или обновление сведений должно происходить во всех каталогах синхронно. Кроме решения множества проблем, возникших в результате рассинхронизации, требуются большие затраты на выявление ее происхождения и восстановление согласованности данных в каталогах.

Интеграция с Active Directory

·         Недостаток осведомленности приложений друг о друге. Эта проблема может нанести, пожалуй, самый большой вред. Большинство корпоративных инфраструктур мало заботят вопросы "мирного сосуществования" приложений, информации о пользователях и сетей. Так, приложения для управления персоналом не могут отследить его передвижений между отделами. Врачам скорой помощи предоставляется сетевое обслуживание того же качества, что и сотрудникам бухгалтерии; участники телеконференций страдают от прерывистости изображения и плохого качества звука только потому, что кто-то копирует игры из Интернета. К несчастью, расходы, связанные с недостатком синергии, определить труднее всего.

Перечисленные выше затраты, реальные и потенциальные, в той или иной мере вносят свой вклад в совокупную стоимость владения (ССВ).

Требования к решениям

Чтобы снизить ССВ, компаниям необходимы приложения, более "осведомленные" о среде, в которой они разворачиваются, которые "чувствуют" изменения и приспосабливаются к ним, обмениваются информацией о себе с другими приложениями, обеспечивая их слаженную совместную работу. Компаниям необходимо, чтобы:

·         Клиентские компьютеры конфигурировали сами себя, исходя из роли их пользователя или среды, в которой они развернуты. При необходимости администраторы могут централизованно управлять соответствующими элементами конфигурации клиентов.

·         Клиентские компьютеры динамично находили ресурсы, такие как бухгалтерские базы данных, где бы они не находились к моменту поиска. Также необходимо иметь множественных провайдеров одних и тех же служб, функционирующих одновременно, чтобы повысить уровень обслуживания.

·         Приложения пользовались услугами стандартных служб каталогов для хранения, доступа и обмена информацией о пользователях, компьютерах, компонентах приложений и службах инфраструктуры.

·         Приложениям взаимодействовали с другими компонентами в их среде. Например, врачам должно автоматически предоставляться сетевое обслуживание высшего качества, когда они находятся на дежурстве в отделении скорой помощи. Видео-приложения Интернета должны запрашивать динамическое расширение полосы пропускания. Этот запрос выполняется или отвергается в соответствии с установленной администратором системной политикой.

Решение: приложения, использующие Active Directory

Операционная системы Windows NT® Server 5.0 включает службу каталогов Active Directory, которая предоставляет приложениям все необходимое для снижения ССВ.

·         Интеграция групповой политики. Применение групповой политики дает администратору возможность выбирать набор приложений и определенных конфигураций, доступных пользователям в зависимости от их роли в компании, членства в том или ином домене, принадлежности к одной из групп безопасности Windows NT. Когда пользователь переводится в другой отдел или добавляется к группе безопасности Windows NT, установка и конфигурация его приложений происходит автоматически, что приводит к значительному сокращению затрат.

·         Публикация служб. Служба каталогов Active Directory дает приложениям возможность публиковать названия предоставляемых ими служб, а также информацию об их местонахождении, благодаря чему клиенты могут получать к ним доступ динамически. Администраторы могут изменять конфигурации серверов для достижения оптимального времени ответа и более высокой доступности без необходимости обновления настроек клиентских компьютеров.

·         Расширение объектов справочника. Используя Active Directory, администраторы могут добавлять новые типы объектов и дополнять уже существующие новыми атрибутами. Таким образом, Active Directory становится точкой консолидации, уменьшая число каталогов, задействованных компанией. Среди преимуществ можно выделить улучшенный обмен информацией и более централизованное управление пользователями, компьютерами, приложениями и устройствами, способными взаимодействовать с каталогом.

·         Модель расширения интерфейса ADSI. Интерфейс ADSI (Active Directory Services Interface) предоставляет модель программирования под названием ADSI Extension Model. С ее помощью разработчики приложений могут установить соответствие между бизнес-правилами на основе COM-компонентов и объектами, хранящимися в Active Directory. Таким образом, разработчикам и администраторам предоставляется простой и логичный способ работы с приложениями и их объектами. Модель расширения также облегчает применение методов к группам объектов (например, группе ‘все пользователи в Бухгалтерии’), что упрощает администрирование.

·         Active Directory Class Store. Одна из ветвей дерева каталога Active Directory используется для хранения имен (например, Class ID или Program ID) и информации о местонахождении COM-объектов, установленных в сети. Она называется Class Store и используется для поиска и автоматической установки COM-объектов, которые пользователям разрешено применять на своих компьютерах. Таким образом, за счет упрощения конфигурирования и администрирования клиентских компьютеров снижается ССВ COM-приложений .

Windows NT Server 5.0 и Active Directory в сочетании с технологиями, созданными Microsoft (и Cisco Corporation) в ходе работ над инициативой Directory-Enabled Networking (DEN), обеспечивает идеальную основу для достижения слаженности между информацией о пользователях, элементами сетевой инфраструктуры и приложениями. Кроме того, глубокая интеграция Active Directory в операционную систему Windows NT Server 5.0 значительно упростит управление, обеспечит поддержание целостности систем и предоставит новые функциональные возможности. Windows NT Server 5.0 и Active Directory образуют отвечающую стандартам платформу, пригодную для создания распределенных приложений следующего поколения, а также обеспечивают централизованное управление всей инфраструктурой сети, на основе системных политик.

ВОЗМОЖНОСТИ ИНТЕГРАЦИИ Active Directory


Интеграция групповой политики


Структура большинства компаний представляет собой иерархию того или иного рода. Например, несколько отделов компании (разработки продуктов, маркетинга, продаж, кадров и бухгалтерский) подчинены одному исполнительному директору. В структуру отдела продаж могут входить руководящий персонал и четыре региональных менеджера, находящихся в подчинении у вице-президента по продажам и т.д.

Большинству компаний также знакома концепция «сквозных» групп, члены которых работают в различных подразделениях и отделах организации. Например, отдел кадров может отслеживать информацию о менеджерах, даже если они (когда в качестве признака принадлежности к группе используется должность) "разбросаны" по всей иерархии. В других случаях, сотрудникам разных отделов и профилей (например, менеджеры и не-менеджеры) приходится вместе работать над одним проектом. Они также могут быть представлены в виде группы.


Создание политики на основе иерархии

Уточнение политики в соответствии с членством в группах

Обычно компании стараются распределять и контролировать такие ресурсы, как функции управления системами, приложения, доступ к файлам и ограничения объемов хранения, в зависимости от того, в каких отделах работают пользователи и членами каких групп они являются. Например, руководители компании могут распорядиться, что только менеджеры будут иметь доступ к определенным приложениям для управления кадрами, или настраивать утилиты резервного копирования для полного (в отличие от инкрементального) резервирования данных на машинах сотрудников бухгалтерии.

Казалось бы, такие задачи можно решать на интуитивном уровне, однако большинству компаний претворение подобной политики в жизнь стоит тяжелого труда. Например, администратор должен знать, какие приложения устанавливать на компьютеры вновь набранных сотрудников или новых членов какой-либо группы. Если сотрудник переводится на работу в другой отдел (например, в случае продвижения по службе), кто-то должен позаботиться о том, чтобы ему был предоставлен в распоряжение набор приложений и привилегий, соответствующих новому положению. Администраторам также часто приходится конфигурировать приложения в индивидуальном порядке для настройки таких политик, как интервалы резервного копирования и квоты дискового пространства. Но даже самым лучшим образом продуманные процедуры управления конфигурацией могут стать бесполезными, если пользователю придет в голову настроить или изменить значения параметров своих приложений так, что это осложнит стандартную техническую поддержку.

Для решения подобных задач Windows NT Server 5.0 предоставляет ряд средств, с помощью которых администраторы смогут осуществлять установку, конфигурирование и управление средой на основе системных политик и в соответствии с иерархическим строением организации, членством в группах и физическими параметрами конфигураций, хранящимися в Active Directory. Используя Active Directory, можно организовать данные о пользователях, компьютерах, сетях и других ресурсах в иерархической манере, зеркально отображающей их фактическую структуру и конфигурации. Возможности управления, основанного на системной политике, позволят администраторам указывать названия приложений, которые должны быть установлены (или доступны), или значения параметров для применения на сайтах, в доменах или организационных единицах, описанных в Active Directory. Кроме того, администраторы могут в дальнейшем уточнять политики с тем, чтобы включать/исключать пользователей в/из состав/а групп безопасности Windows NT. Например, администратор может по умолчанию запретить доступ к приложению для формирования отчетов о посещаемости сотрудников, а затем, определить на уровне домена политику, которая будет применяться только к членам группы manager и разрешать им доступ.

Windows NT Server 5.0 позволяет интегрировать приложения разработчиков со средствами управления на основе системных политик. В частности, когда пользователь регистрируется в системе, поддерживающей групповые политики (например, Windows NT Server 5.0 и Windows NT Workstation 5.0), они автоматически применяются к его настройкам, в том числе, к значениям элементов реестра Windows®. Приложения, читающие из реестра важную информацию о настройках, позволяют администраторам "подгонять" функциональные возможности, используя сочетание элементов политик и принадлежность пользователей к той или иной организационной единице Active Directory. Например, название сервера базы данных может храниться в реестре, и все пользователи организационной единицы — скажем, бухгалтерии, будут "привязаны" к этой базе данных посредством системной политики. Когда в организационную единицу добавляются (или переводятся) новые пользователи, настройки их приложений автоматически изменяются, обеспечивая доступ к правильной базе данных.

Приложения могут также использовать средства групповых политик для настройки функциональных возможностей в соответствии с членством пользователя в группах Windows NT. Например, администрации может быть выдано право на изменение некоторых полей, в то время как пользователи, не входящие в ее состав, имеют право только на их чтение. Поскольку многие компьютерные приложения уже хранят информацию о своих настройках в реестре, они смогут воспользоваться основными преимуществами системных политик, не подвергаясь изменениям.

Поддержка Windows NT Server 5.0 механизма системных политик и Active Directory способствуют снижению ССВ, т.к. они облегчают применение ориентированных на приложения политик и централизованное управление ими, позволяя приложениям осуществлять автоматическую самонастройку в зависимости от членства пользователя в группе безопасности и его принадлежности к сайту, домену и организационной единице.


Публикация служб

Публикация и поиск службы

В сетевой вычислительной среде обычно поддерживается множество различных приложений, установленных на разнотипных компьютерах. Пользователи на своих компьютерах должны иметь целый ряд клиентских приложений. Это программы расчета зарплаты и бухгалтерские системы, с которыми им приходится иметь дело каждый день, а также утилиты резервного копирования данных, автоматически запускающиеся после завершения рабочего дня. На других компьютерах расположены серверные элементы, такие как базы данных, общие компоненты приложений и сетевые службы, например совместного доступа к файлам и печати. Исторически клиентские приложения используют статичные файлы конфигурации для хранения информации о серверах, с которыми они взаимодействуют. Однако природа сетевых сред становится все более динамичной, что усложняет организацию связей между клиентским машинами и серверами и приводит к увеличению затрат на их администрирование и поддержку. Например, на перемещение ресурса с одного сервера на другой может уйти много времени и средств, т.к. потребуется обновление файлов конфигураций на клиентских машинах.

Windows NT Server 5.0 решает эту проблему, позволяя приложениям и серверам хранить названия и информацию о расположении предоставляемых ими служб в каталоге Active Directory. Этот процесс называется публикацией служб, поскольку провайдеры служб публикуют информацию о себе в каталоге Active Directory. Когда клиентскому приложению требуется доступ к какому-нибудь приложению или серверу, оно может:

·         Осуществить поиск ресурса по названию в Active Directory, используя интерфейс ADSI или протокол LDAP

·         Извлечь необходимую информацию о ресурсе (например, имя базы данных, узел подключения или адрес порта TCP/IP)

·         Подсоединиться к ресурсу и использовать его.

 

Для обеспечения высокой доступности и производительности приложения могут быть спроектированы таким образом, чтобы поддерживать несколько провайдеров одних и тех же служб в одной сети. Все аналогичные провайдеры регистрируются в Active Directory под одним именем. Когда они начинают работу и становятся доступны, производительность сети повышается, поскольку нагрузка распределяется между несколькими компьютерами. При сбое в работе компьютера или сети клиентские приложения могут переключиться на другие машины, предоставляющие необходимую им службу. Таким образом поддерживается непрерывность работы. Благодаря публикации служб администраторам будет проще перемещать их с машины на машину (например, чтобы задействовать свободные ресурсы центрального процессора) — даже если придется это делать каждый день — поскольку отпадет необходимость вносить изменения в конфигурации клиентских компьютеров.

Этот процесс во многом напоминает телефонный звонок в какую-нибудь фирму (например, торгующий оборудованием магазин) для получения сведений  о наличии товара. Если потребитель знает название магазина, он может найти номер телефона (в телефонной книге) ближайшего к его дому филиала. Если нужный ему продукт отсутствует или телефонная линия занята, потребитель может найти номера телефонов других филиалов, где продукт может оказаться в наличии.

В условиях промышленной эксплуатации приложения, поддерживающие публикацию служб, обеспечивают снижение ССВ за счет сокращения простоев, быстрой обработки пользовательских запросов, повышения гибкости и соблюдения соответствия аппаратных ресурсов требованиям приложений.

Расширение объектов каталога

Многие приложения хранят информацию о пользователях в том или ином каталоге или базе данных. Например, в программах электронной почты есть адресные книги со списками пользователей, их адресами и другой информацией, например номерами телефонов. Они наделяют приложения многими полезными функциональными возможностями, такими как поиск людей по имени или фамилии, или возможность работы с персональными настройками при перемещении на другой компьютер. В большинстве современных компаний, однако, информация о людях и настройках существует (и должна поддерживаться) во множестве разных каталогов, принадлежащих тому или иному приложению. Поддержка многочисленных каталогов, где данные хранятся в разнообразных форматах и структурах, приводит к повышению ССВ. Отсутствие единого хранилища для целого ряда данных, начиная со структуры организации и заканчивая заявками на приобретение какого-либо товара, может привести к значительному повышению расходов. Доступ к подобному хранилищу и поиск в нем должны осуществляться с помощью единых согласованных интерфейсов и форматов данных.

Исторически сложились три причины, по которым разработчики приложений создают свои собственные хранилища:

·         В среде пользователя не было доступа к надежному каталогу.

·         Не существовало метода доступа к объектам в каталогах, который бы получил широкое признание.

·         При использовании большинства существующих каталогов разработчикам приходится идти на компромисс между расширяемостью объектов, возможностью добавления новых атрибутами и их масштабируемостью.

Использование Active Directory может решить обе этих проблемы. Во-первых, служба Active Directory является одним из ключевых устанавливаемых и доступных компонентов Windows NT Server 5.0. Во-вторых, Active Directory сохраняет возможность масштабирования до миллионов пользователей, "разбросанных" по множеству разных сайтов — даже когда приложения добавляют свои расширения к основным объектам Active Directory, таким как пользователи, группы и компьютеры. Возможность добавления к существующим объектам данных приложений предоставляет следующие преимущества:

·         Когда информация о пользователях, компьютерах и других объектах собрана в Active Directory, администратор может просматривать, изменять и управлять ею в одном, а не в многочисленных хранилищах.

·         Информация о настройках может храниться в Active Directory, а не на компьютере, где обычно работает пользователь. Когда он перемещается с одной машины на другую, приложения могут извлекать свои настройки из Active Directory. Это открывает перед пользователями возможность постоянно работать в привычной среде, не ограничиваясь одним компьютером, с которого они имеют доступ к своим приложениям. Это особенно важно для организации эффективной работы постоянно перемещающихся пользователей (например, сотрудников отдела технической поддержки). В других средах, например, там, где пользователи имеют доступ к службам через Web-страницы, а место подключения к Web-серверу постоянно меняется, централизованное хранение персональных настроек становится необходимостью.

·         Приложения могут пользоваться информацией, размещенной в каталоге другими приложениями. Например, приложение отдела кадров может записывать фамилию нести имя начальника каждого сотрудника в качестве дополнительного атрибута соответствующего пользователю объекта в Active Directory. Система оплаты счетов может хранить данные об утвержденных лимитах смет на расходы в каждом подчиненном менеджеру объекте-пользователе. Может быть разработана новая система отчетности по расходам, работающая в сети и автоматически высылающая сметы расходов каждого сотрудника вверх по административной цепочке для утверждения.

Использование приложений, хранящих информацию о пользователях и сетевых элементах в Active Directory, помогает снизить ССВ, сводя к минимуму число хранилищ, требующих обслуживания, упрощая централизованное управление и способствуя развитию новых функциональных возможностей, которые позволяют организациям извлечь большую пользу из уже существующих приложений.

Модель расширения интерфейса ADSI

Несмотря на то, что одной из основных целей Active Directory является организация коллективного использования и консолидация информации, в некоторых случаях недостаточно просто переместить данные в этот каталог, чтобы все приложения смогли правильно их использовать. Например, атрибут пользователя spending_limit может не быть представлен единичным неизменным значением в Active Directory. Действительное значение, которое должно выдаваться на каждый конкретный запрос, скорее всего, будет зависеть от типа сметы и наличия полномочий, делегированных менеджером более высокого уровня.

В других случаях, информация, необходимая приложению, будет являться результатом применения к комбинации данных из Active Directory бизнес-правил. Например, приложение может создать в Active Directory объект workflow_queue, куда будет входить информация о конкретной очереди. Но, возможно, будет неправильно хранить в Active Directory саму очередь, потому что ее элементы могут часто меняться по мере обработки документов. Кроме того, каждое приложение, которому надо просматривать очередь, должно быть запрограммировано таким образом, чтобы "понимать" различные структуры данных и методы доступа, используемые приложениями — владельцами очереди.

Для решения этой проблемы интерфейс Active Directory Services Interface (ADSI) поддерживает Модель расширения — ADSI Extension Model. Она позволяет разработчикам приложений расширять список стандартных интерфейсов ADSI (например, интерфейсов, обеспечивающих доступ к пользователям, компьютерам, устройствам и другим объектам каталога) функциями, ориентированными на отдельные приложения. Для вызова расширений ADSI разработчики новых приложений могут использовать инструментарий, поддерживающий COM-объекты, например системы разработки Visual Basic®; Visual Basic Scripting Edition или Visual J++™.

В вышеприведенном примере со spending_limit бухгалтерское приложение может использовать расширение интерфейса ADSI для динамического связывания метода get_spending_limit со стандартным объектом-пользователем в Active Directory. При выполнении запроса, подобного

set limit = this_user.get_spending_limit(Hardware_Purchase),

реализация этого метода может читать информацию из Active Directory, применять бизнес-правила и возвращать соответствующий эквивалент в долларах (если исходить из того, что этот метод принимает в качестве параметра purchase_type и объект-пользователь выбирается с помощью стандартных функций интерфейса ADSI). Модель расширения интерфейса ADSI предоставляет целый ряд средств, которые позволяют воспользоваться средой Active Directory с максимальной пользой. Во-первых, она упрощает задачу расширения одних и тех же объектов каталога различными разработчиками и поставщиками. Такие вопросы, как агрегирование классов COM и разрешение конфликтов интерфейса, решаются автоматически. Во-вторых, она предлагает ряд услуг для поддержки операций над группами схожих объектов в контейнерах Active Directory. Так, например, легко можно создать список всех пользователей в организационной единице и применить к каждому из них одно и то же действие. Используя описанные во втором примере объекты workflow_queue, администраторы могут создавать простые ASP-сценарии, чтобы пользователи могли делать запросы о статусе всех очередей электронного документооборота в отделе с помощью Web-обозревателя.

Приложения, реализующие свои функциональные возможности через расширения интерфейса ADSI, помогают снизить ССВ, предоставляя пользователям, корпоративным разработчикам и администраторам простой способ повышения эффективности работы приложений с помощью таких распространенных и мощных средств, как Visual Basic и Visual Basic, Scripting Edition.

Active Directory Class Store

Компании, работающие с приложениями, созданными на основе технологии COM, сталкиваются с необходимостью:

·         Проверять, установлены ли на компьютерах пользователей все объекты COM, с которыми им разрешено работать.

·         Проверять, все ли пользователи работают с последними версиями объектов COM.

Раньше для администраторов это означало, что нужно аккуратно конфигурировать каждую машину и обеспечить тиражирование всех обновленных объектов и настроек на всех компьютерах, которых они касаются, для подержания беспрерывности обслуживания. Если документы содержали ссылки на объекты, которые не были установлены на его компьютере, считалось, что… пользователю просто не повезло.

Для решения этих проблем в Active Directory предусмотрена ветвь дерева каталога под названием Class Store. Она используется COM для хранения имен (таких как Class ID или Program ID) и информации о расположении COM-объектов, установленных в сети. Если приложения способны использовать хранилище классов Class Store, их клиентская часть может обращаться и вызывать любой COM-объект, созданный приложением. Если объект не установлен на рабочей станции пользователя, исполнительная среда COM "знает", как автоматически запросить Active Directory Class Store, чтобы найти и получить пакет Microsoft Installer (MSI) для установки объекта. Агент Microsoft Installer на стороне клиента установит объект и позволит продолжить обработку запроса.

Приложения, написанные для использования Class Store, могут внести свой вклад в снижение ССВ, т.к. они автоматизируют процесс поиска, установки и обслуживания COM-объектов, запрашиваемых пользователями на их рабочих станциях.

СЦЕНАРИИ ПРИЛОЖЕНИЙ


В этом разделе на нескольких примерах будет продемонстрировано, как приложения, интегрированные с Active Directory, могут принести компаниям большую пользу и снизить ССВ. Описанные здесь сценарии должны проиллюстрировать приведенные выше идеи о достижении интеграции.

Отраслевые приложения

Диапазон отраслевых приложений (LOB) очень широк. Компании используют их в своей повседневной работе. Среди них — приложения для расчета заработной платы, управления инвентарным имуществом, обработки заказов. Многие организации приобретают интегрированные комплекты приложений, которые часто относят к категории ERP (планирование ресурсов предприятия) и которые составляют значительную долю отраслевых приложений. Приложения LOB и ERP идеально подходят для интеграции с Active Directory, т.к. они имеют широкое распространение и осуществляют обработку основных транзакций. Возможны следующие пути интеграции:

·         Интеграция со средствами системных политик, упрощающая установку клиентских приложений и управление конфигурациями.

·         Публикация служб позволяет клиентским приложениям осуществлять динамический поиск нужных серверов, а также поддерживать избыточность и управление равномерным распределением нагрузки.

·         Возможность расширения объектов каталога позволяет централизованно хранить данные о пользователях и управлять ими. Пользователи могут работать в привычной для них среде на любом компьютере.

·         Расширения интерфейса ADSI упрощают разработчикам и администраторам интеграцию приложений и утилит управления с приложениями LOB/ERP. Например, такие понятия, как ограничения расходов пользователей, не являются статичными и обычно определяются и управляются приложением ERP. Их поставщики, используя расширения интерфейса ADSI, могут легко предоставлять эту информацию другим приложениям, добавив соответствующий метод к существующим в ADSI пользовательским объектам. Разработчики могут выбирать экземпляр объекта-пользователя с помощью ADSI и применять к нему метод (подобный get_spending_limit), чтобы получить информацию о текущих ограничениях на расходы, определенных системой ERP.

·         Интеграция с Class Store позволяет поставщикам указывать местонахождение компонентов приложений в сети, чтобы клиентские приложения могли находить и загружать их по мере необходимости. Например, используя Class Store, системы ERP могут встраивать объекты-утверждения смет расходов в сообщение электронной почты руководителю сотрудника. Когда он откроет сообщение, вложенные объекты начнут выполняться — даже если менеджер предварительно не устанавливал соответствующие компоненты на свой компьютер.

Приложения LOB/ERP также могут использовать средства DEN для запросов определенного уровня качества сетевого обслуживания, в зависимости от типа действия, выполняемого пользователем. Например, если пользователь с высоким приоритетом выбирает действие, выполнение которого повлечет перемещение большого количества данных по сети, приложение может запросить динамическое расширение полосы пропускания.

Приложения баз данных с архитектурой клиент/сервер

Базы данных воспринимаются, прежде всего, как хранилища данных, хотя средства удаленного доступа данным образуют основу большинства приложений клиент/сервер, используемых сегодня. Являясь сетевыми ресурсами, базы данных должны предоставлять клиентам ряд сервисов. Среди возможностей интеграции с Active Directory можно выделить следующие:

·         Интеграция со средствами групповых политик с тем, чтобы настройки клиента и его доступ к данным основывались на его роли в структуре предприятия и принадлежности к одной из групп безопасности Windows NT.

·         Публикация служб, помогающая клиентам находить соответствующие серверы баз данных. Двухуровневая архитектура и хранимые процедуры, используемые приложениями баз данных, требуют от клиента установки связи с сервером перед началом работы. Поскольку в компаниях бывает много баз данных, администраторам нужно настраивать приложения клиентов для использования соответствующего сервера. Публикация служб в Active Directory позволяет клиентам осуществлять динамический поиск серверов баз данных по именам, снижая затраты на конфигурацию и обслуживание.

·         Возможность расширения объектов каталога позволяет централизованно хранить всю дополнительную информацию о пользователях и ресурсах, содержащуюся в базах данных, и управлять ею.

·         Расширения интерфейса ADSI упрощают администраторам задачу создания утилит управления базами данных. Например, СУБД могут создавать в Active Directory объекты database_server, а расширения ADSI упростят администраторам управление серверами путем вызова методов, применимых только к этим объектам. Администраторы могут писать сценарии запуска резервного копирования, используя средства ADSI для применения метода start_backup ко всем объектам database_server в данном домене.

Продукты для управления хранением данных

Передовые системы управления хранением данных позволяют администратору реализовать сложные процедуры резервного копирования/восстановления и управлять квотами дискового пространства на всех машинах в сети. Для этого необходима возможность выполнять различные действия на основании различных политик и процедур. Например, требования к резервному копированию данных бухгалтерии и отдела кадров будут отличаться. Среди возможностей интеграции с Active Directory можно выделить следующие:

·         Интеграция со средствами групповых политик для выполнения таких действий, как резервное копирование и управление квотами, в зависимости от должности, занимаемой пользователем в организации и его принадлежности к группе безопасности Windows NT. Например, данные пользователей, работающих в отделе разработки продукта, могут архивироваться по ночам, с применением инкрементального метода. Для членов группы безопасности, созданной для поддержки проектов по реорганизации, осуществляется полное резервное копирование данных. Интеграция с системными политиками позволит также следить за тем, чтобы в настройках были указаны серверы резервного копирования в отделах, где работают определенные пользователи.

·         Публикация служб поможет агентам управления хранением данных на компьютерах пользователей определять местонахождение подходящего сервера резервного копирования/восстановления в сети. Поскольку не на всех компьютерах установлены такие устройства, как ленточные накопители, и не все машины контролируются оператором, клиенты управления хранением данных должны самостоятельно находить серверы, выполняющие необходимые действия.

·         Расширения объектов каталога будут хранить информацию о компьютерах, поддерживающих функции резервного копирования. Сведения о подключенных к компьютеру устройств резервного копирования могут храниться в виде дополнительного атрибута объекта.

·         Расширения интерфейса ADSI облегчат администраторам задачу написания сценариев, помогающих в управлении операциями резервного копирования, восстановления и управления квотами. Например, с помощью расширения ADSI администраторы могут писать простые сценарии, инициирующие резервное копирование на всех компьютерах данного сайта или организационной единицы.

Продукты для синхронизации каталогов

В информационных сетях современных компаний каждое приложение имеет свои хранилища и каталоги, причем их число может быть очень велико. В связи с этим ряд поставщиков предлагает продукты для автоматической синхронизации каталогов. Их роль в организации взаимодействия между каталогами очевидна, однако они могут обеспечить и дополнительные преимущества за счет использования Active Directory. Например:

·         Групповые политики могут использоваться для автоматизации определения условий синхронизации. Например, агенты на серверах бухгалтерии могут быть автоматически сконфигурированы так, чтобы в случае добавления пользователя информация о нем направлялась агенту синхронизации ERP, и он автоматически добавлялся в оба каталога.

·         Агенты синхронизации каталогов могут опубликовывать свои службы в Active Directory. Каждое обновление каталога отслеживается специальными агентами, которые передают информацию об обновлении всем агентам Active Directory, заинтересованным в ее получении. Информация пересылается только тем агентам, которым она необходима.

·         Объекты Active Directory могут быть расширены для хранения атрибутов из других хранилищ и каталогов, не входивших изначально в схему Active Directory. Агенты синхронизации могут после этого автоматически заполнить эти атрибуты. Хранение такой дополнительной информации в Active Directory значительно повышает уровень централизации управления и облегчает обмен информацией между приложениями.

·         Расширения интерфейса ADSI позволяют продуктам синхронизации реализовать функциональность, которая, по существу, не характерна ни для одного из каталогов. Например, можно создать объект meta_directory, который соответствует виртуальной комбинации многих каталогов. Примененный к такому объекту метод create_user может затем использоваться для добавления пользователей с помощью вызова функции add-user в каждом реальном каталоге.

Продукты для управления системами

Продукты для управления системами сыграют важную роль в обеспечении компаний средствами управления инфраструктурой служб Active Directory. Например, с их помощью можно будет следить за состоянием контроллеров домена, на которых хранятся копии каталога Active Directory, и устранять возникающие неполадки, а также сделать Active Directory неотъемлемой частью всего комплекса управления системой. Кроме облегчения обслуживания каталогов Active Directory, использование продуктов для управления системами поможет расширить функциональные возможности приложений и снизить ССВ. Например:

·         Групповые политики могут применяться для настройки параметров сбора и обработки событий в зависимости от должности пользователя и его принадлежности к группе безопасности Windows NT. Например, администраторы могут указать, что события, источником которых служат  компьютеры отдела приема заказов (основываясь на их важности), имеют более высокий приоритет, чем события, исходящие из отела кадров.

·         Большинство продуктов для управления системами в сетях используют агентов на персональных компьютерах для передачи информации о событиях в пункты ее сбора на серверах. Поиск пунктов сбора может быть облегчен за счет публикации служб, которая также позволяет найти альтернативные пункты в случае сбоя основного сервера.

·         Продукты для управления системами могут расширять объекты каталогов для хранения информации о роли каждого компьютера в управлении системами сети. Например, одни компьютеры будут выполнять функции агентов, другие — служить пунктами сбора и анализа событий. Наличие такой информации в Active Directory позволит администраторам строить динамические карты сетей, придавать агентам статус пунктов сбора и перенаправлять их в разные пункты сбора.

Компоненты среднего звена

Термин ‘компоненты среднего звена' (middleware) с трудом поддается определению. В этом документе под ним мы понимаем любую технологию, облегчающую процесс построения распределенных приложений. В таком понимании, компоненты среднего звена включают процесс организации очередей сообщений, обработку распределенных транзакций и технологию разработки распределенных приложений. Интеграция компонентов среднего звена и службы каталогов Active Directory приведет к автоматическому обогащению распределенных приложений новыми качествами, что очень важно для большинства компаний, создающих свои распределенные приложения именно с их помощью. Преимущества интеграции компонентов среднего звена с Active Directory заключаются, в частности, в следующем:

·         Использование механизмов групповых политик позволит автоматически реализовать такие свойства, как избыточность сервера. Например, средства разработки распределенных приложений могут автоматически вносить в реестр списки подходящих серверов и, в случае сбоя основного, направлять запросы клиентов на альтернативные.

·         Публикация служб поможет клиентам осуществлять динамический поиск серверов. Например, библиотеки обработки распределенных транзакций могут публиковать адреса серверов приложений, на которых они расположены. Когда клиентской машине требуется обратиться к какой-либо службе, она может воспользоваться для его обнаружения операцией автоматического поиска. Таким образом, благодаря снижению потребности в настройке клиентских компьютеров, упрощается управление системами и увеличивается гибкость развертывания, поскольку серверы теперь могут находиться на разных компьютерах.

·         Возможность расширения объектов каталога позволит находить информацию об объектах компонентов среднего звена с помощью Active Directory. Например, объекты-очереди сообщений могут содержать информацию о местонахождении и атрибутах самих очередей. Для отправки или получения сообщения приложению нужно найти с помощью операции поиска в каталоге подходящий объект-очередь и использовать его атрибуты (такие, как имя компьютера, на котором находится очередь). Благодаря этому удается избежать жесткого кодирования в приложениях информации о расположении очередей, что снижает расходы на администрирование.

·         Расширения интерфейса ADSI облегчают административную задачу написания сценариев управления объектами, созданными компонентами продуктом среднего звена. Например, расширения интерфейса ADSI могут облегчить процесс написания сценария для сборки и очистки всех очередей потерянных сообщений.

·         Используя Active Directory Class Store можно хранить информацию о реализации объектов, созданных в распределенных средах разработки. Клиенты смогут загружать и конфигурировать только необходимые для работы объекты, что упростит процесс их развертывания.

Продукты для управления документами

Использование продуктов для управления документами позволит компаниям реализовать сложные инфраструктуры документооборота для обработки документов всех типов. Например, заявление об аренде автомобиля может быть заполнено на бумаге, а затем отсканировано, в то время как другая документация может передаваться в электронном виде через Web. Поданный на рассмотрение документ должен пройти несколько стадий обработки, осуществляемой многими людьми с разными полномочиями. Обычно запросы на сумму ниже $20 тыс. будут обрабатываться в рабочем порядке, а выплаты больших сумм будут утверждаться вышестоящими инстанциями. Для управления документацией необходимо задействовать много разных людей и серверов, которым интеграция с Active Directory даст следующие преимущества и возможности снижения расходов на администрирование:

·         Продукты для управления документооборотом обычно состоят из клиентской части, где осуществляется работа над документами, и серверов, несущих ответственность за определение маршрута и последовательности обработки. Средства групповых политик могут быть использованы для указания уровней полномочий клиентов в зависимости от их принадлежности к группам безопасности Windows NT.

·         Серверы документооборота могут публиковать сведения о своем местонахождении в Active Directory. Когда клиенту требуется доступ к серверу какого-то определенного типа, например к архиву, он может осуществить его динамический поиск.

·         Объекты Active Directory могут быть расширены для включения информации о свойствах пользователей и серверов. Например, описание полномочий определенного пользователя может храниться в каталоге и применяться на любой машине, где он работает. Объекты-серверы документооборота могут быть расширены для хранения информации о типах предоставляемых ими служб, что упростит процесс поиска нужного сервера.

·         Предоставляя расширения интерфейса ADSI, продукты для управления документами позволят разработчикам и администраторам создавать расширения к основным функциям. Например, администратор может писать сценарии отправки запросов всем объектам-очередям документооборота в домене и уведомления операторов о превышении  установленных ограничений на размер очереди.

ЗАКЛЮЧЕНИЕ


Многие компании уже начали осознавать преимущества использования служб каталогов, оценив по достоинству их роль в упрощении управления пользователями и компьютерами в сетевой среде. Например, хранение информации о пользователях и компьютерах в иерархической структуре позволяет администраторам делегировать ответственность за управление соответствующим людям в отделах и группах. Освобождаясь от этой нагрузки, они могут сконцентрировать свое внимание на других задачах и предоставлять пользователям больше самостоятельности в управлении. Этими (и многими другими) преимуществами, которые позволят упростить администрирование, предлагает воспользоваться служба каталогов Active Directory.

Распространение области применения Active Directory на управление сетями дает дополнительные преимущества. Новаторские работы Microsoft и Cisco по созданию спецификаций и реализации инициативы Directory-Enabled Network позволят значительно повысить эффективность работы в сети за счет динамического подключения оборудования и дифференциации качества обслуживания. Должность и роль пользователя в компании, отраженная в системной политике, будет определять уровень обслуживания в сети вместо того, чтобы заставлять компании "бросать все силы" на решение какой-либо проблемы или оставлять ее нерешенной.

Самое важное, что, разворачивая приложения, интегрированные с Active Directory (как было описано в данном документе), компании смогут воспользоваться такими преимуществами, как упрощенное управление, разнообразные сетевые службы, расширенные функциональные возможности приложений, снижение ССВ и синергия между всеми компонентами вычислительных сетей, взаимодействующими с каталогами. Это поднимает планку службы каталогов на качественно новый уровень — каталоги, лишь упрощающие управление или поддерживающие одно приложение, не способны предоставить своим пользователям многие из описанных преимуществ.

Компания Microsoft имеет уникальную возможность воплотить свои обещания по интеграции в жизнь благодаря тому, что ей удалось сплотить для совместной работы множество пользователей, фирм-поставщиков инфраструктур и разработчиков приложений. Сегодня разработчики только начинают создавать приложения, интегрируемые со службой каталогов Active Directory. Однако, корпорация Microsoft, сотрудничая с ведущими независимыми поставщиками программного обеспечения, ведет работу по ускорению процесса освоения Active Directory, помогая им интегрировать приложения с этой службой. Компании, которые выступают в роли конечных пользователей программного обеспечения, также могут способствовать этим усилиям, запрашивая у своих постоянных поставщиков приложения, интегрированные с Active Directory. Чем больше таких приложений будет развернуто, тем более полно потребители смогут воспользоваться описанными выше преимуществами.

 

приложение A: Directory-Enabled NetworKing


Что такое Directory-Enabled Networking?

Directory-Enabled Networking (DEN) — это результат совместных усилий Microsoft и Cisco Corporation по разработке спецификаций и реализации компонентов сети, которые тесно интегрированы со службами каталогов. DEN-совместимые продукты Microsoft и Cisco позволят администраторам установить соответствие между сетевыми службами и авторизованными пользователями и приложениями, используя комбинацию профилей, политик (содержащихся в Active Directory) и средств управления. Это позволит компаниям динамически конфигурировать сети для удовлетворения нужд каждого пользователя, используя Active Directory в качестве центрального звена в конфигурации, управлении и защите ресурсов.

Преимущества DEN

DEN — это сеть, в которой контролируется взаимодействие пользователей и приложений с сетевыми компонентами и службами, что позволяет обеспечить гарантированный уровень обслуживания, повысить защищенность и упростить управление оборудованием и сетевыми ресурсами. В таких сетях службы каталогов используются для хранения важной информации о компонентах, управления доступом и выполнения операций поиска.

В DEN-сети пользователи, приложения и службы описываются наборами атрибутов и моделей поведения, называемых профилями. Профиль может описывать один объект или их группы. Применение профилей облегчает администраторам управление такими ресурсами, как коллекции пользователей, служб и сетей, оставляя при необходимости возможность управления отдельно взятыми ресурсами: людьми, компьютерами и устройствами.

Политика определяет желательные модели поведения между двумя или больше объектами каталога. Политика может применяться на уровне групп или пользователей, позволяя администратору персонализировать параметры сети (в отношении доступных служб) для отдельных пользователей, групп и устройств. Например, пользователь или приложение могут запросить дополнительную полосу пропускания. Удовлетворение этого запроса будет зависеть от должности, занимаемой соответствующим сотрудником. Компоненты и приложения DEN-сети могут также формировать и "навязывать" политики, когда ресурсы необходимы для улучшения уровня обслуживания, безопасности и работоспособности приложений.

Полнофункциональная реализация DEN, которую Microsoft намерена представить в Windows NT Server 5.0, предоставит администраторам мощные средства для управления самыми разнообразными компонентами сетей и позволит установить соответствие между сетевыми ресурсами и авторизованными пользователями и приложениями, используя сочетание профилей, политик и инструментальных средств. Компании получат возможность снизить ССВ и повысить качество обслуживания, на которое пользователи смогут рассчитывать независимо от того, с какого компьютера они входят в сеть.