®

 

Windows® 2000 Server

Операционная система

Служба каталогов Active Directory – техническое описание

Информационный документ

Аннотация

В данном документе содержится технический обзор службы каталогов Active Directory, с изложением ее наиболее важных понятий и возможностей, здесь же дается введение в архитектуру службы Active Directory и приводятся сведения о переходе с операционной системы Microsoft® Windows NT версии 4.0 на систему Windows 2000, а также даются ответы на часто задаваемые вопросы. Служба каталогов Active Directory является основой распределенной системы Windows 2000, представляющей собой ту платформу, на которой строится семейство продуктов Microsoft BackOffice®.

 


© Корпорация Майкрософт (Microsoft Corporation), 1999. Все права защищены.

Информация, содержащаяся в настоящем документе, представляет текущую точку зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. В условиях меняющейся рыночной конъюнктуры данную информацию не следует рассматривать в качестве какого бы то ни было обязательства со стороны Майкрософт; корпорация не может гарантировать точность информации, представленной после даты публикации.

Данный документ имеет чисто информативный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, НИ ЯВНО ВЫРАЖЕННЫХ, НИ ПОДРАЗУМЕВАЕМЫХ В СВЯЗИ С ДАННЫМ ДОКУМЕНТОМ.

Microsoft, BackOffice, эмблема BackOffice, MSN, Visual Basic, Win32, Windows и Windows NT являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах.

Названия других продуктов или предприятий, указанные здесь, могут быть товарными знаками соответствующих владельцев.

Microsoft Corporation• One Microsoft Way • Redmond, WA 98052-6399 • USA

0399


Содержание


Введение..................................................................................... 1

Что такое служба каталогов?                                                            1

Зачем нужна служба каталогов?                                                        1

Что такое Active Directory?                                                                 2

важные понятия..................................................................... 3

Область действия                                                                              3

Пространство имен                                                                            3

Объект                                                                                               4

Контейнер                                                                                          4

Дерево                                                                                               5

Имя                                                                                                    5

Различающееся имя                                                                       5

Относительное различающееся имя                                              6

Контексты именования и разделы                                                      6

Домены                                                                                              6

Деревья доменов                                                                               7

Доверительные отношения                                                            7

Пространство имен                                                                        8

Леса                                                                                                   8

Сайты                                                                                                 9

архитектура............................................................................ 10

Модель данных                                                                                10

Схема                                                                                               10

Модель безопасности                                                                      10

Модель администрирования                                                            11

возможности службы каталогов
Active Directory...................................................................
12

Интеграция с DNS                                                                            12

Служба определения местоположения                                        12

Динамическая DNS                                                                       13

Именование объектов                                                                      13

Уникальность имен                                                                       14

Доступ к службе каталогов Active Directory                                     14

Поддержка протоколов                                                                14

Интерфейсы прикладного программирования                              15

Виртуальные контейнеры                                                                 15

Глобальный каталог                                                                         16

Безопасность                                                                                   16

Защита объектов                                                                          16

Делегирование                                                                             17

Наследование                                                                              18

Репликация                                                                                       18

Распространение обновлений                                                      18

Обнаружение конфликтов – номера версий                                 19

Подавление распространения                                                      20

Деревья и леса                                                                                 20

Транзитивные двунаправленные доверительные отношения        20

Пространство имен                                                                      21

Когда следует создавать дерево доменов                                   21

Как образовать дерево или лес доменов                                     22

Сайты                                                                                               22

Сайты и репликация                                                                      23

Планирование сайтов                                                                   23

Схема                                                                                               23

Когда расширять схему                                                                23

Как можно расширить схему                                                        24

Публикация                                                                                      25

Когда выполняется публикация                                                    25

Как выполнять публикацию                                                          27

Группы                                                                                             27

Миграция.................................................................................. 29

Поддерживаемые способы обновления                                           29

Контроллеры доменов                                                                     29

Серверы-члены домена                                                                    30

Клиенты                                                                                            30

Учетные записи пользователей                                                        30

Учетные записи компьютеров                                                           30

Глобальные группы                                                                          30

часто задаваемые вопросы........................................... 31

Каким образом рабочая станция обнаруживает свой сайт?             31

Каким образом рабочая станция находит сервер каталога?            31

Как пользователю войти в систему?                                                31

Что происходит со списками управления доступом к ресурсам домена после проведения миграции?           32

Что происходит со списками ACL при удалении домена?                32

Что происходит с локальными группами?                                        33

Когда производится поиск глобального каталога?                          33

Обязательно ли использовать сервер DNS
корпорации Майкрософт?                                                               
33

Какие преимущества дает использование сервера DNS корпорации Майкрософт?    34

Что произойдет с сервером DHCP?                                                 34

Что произойдет с сервером WINS?                                                  34

Дополнительные сведения............................................ 35


Введение


Данный документ представляет собой техническое введение в Active Directory – новую службу каталогов, предоставляемую операционной системой Microsoft® Windows® 2000 Server. Здесь детально разъясняются важные понятия службы каталогов Active Directory, ее архитектурные элементы и возможности. Раздел «Важные понятия» описывает термины, с которыми следует познакомиться, прежде чем приступать к использованию службы Active Directory. Следующие два раздела – «Архитектура» и «Возможности службы каталогов Active Directory» – описывают, что может делать служба каталогов Active Directory, какие возможности она привносит в систему Windows и каким образом они реализуются. Раздел «Перенос данных» описывает перенос моделей доменов и структур каталогов из системы Windows NT 4.0 в систему Windows 2000. Последний раздел – «Часто задаваемые вопросы» – содержит ответы на некоторые практические вопросы о службе каталогов Active Directory и о том, как она работает.

Что такое служба каталогов?

Каталогом называется информационный ресурс, используемый для хранения сведений о представляющих интерес объектах. Телефонный справочник – это каталог, содержащий данные о телефонных абонентах. В файловых системах в каталоге хранятся сведения о файлах.

В распределенных вычислительных системах или общедоступных компьютерных сетях, например в Интернете, существует множество объектов, представляющих интерес – таких, как принтеры, серверы службы факсов, приложения, базы данных, пользователи. Пользователям желательно уметь находить и использовать эти объекты. Администраторам необходимо управлять использованием этих объектов.

В данном документе термины каталог и служба каталогов относятся к каталогам в общедоступных и частных сетях. Служба каталогов отличается от каталога тем, что является одновременно ресурсом данных и той службой, с помощью которой пользователи могут к этим данным обращаться и ими пользоваться.

Зачем нужна служба каталогов?

Служба каталогов – один из наиболее важных компонентов распределенной компьютерной системы. Пользователи и администраторы часто не знают точных имен интересующих их объектов. Им может быть известен один или несколько атрибутов этих объектов, и они запрашивают каталог для получения списка объектов, обладающих этим атрибутом или набором атрибутов, например: «Найти все принтеры с двусторонней печатью, расположенные в здании № 26». Служба каталогов позволяет пользователю найти любой объект по заданному атрибуту.

Служба каталогов может решать следующие задачи.

·         Обеспечивать уровень безопасности, определенный администраторами для защиты данных от несанкционированного доступа.

·         Распределять каталог по различным компьютерам сети.

·         Выполнять репликацию каталога, чтобы обеспечить доступ к нему большему числу пользователей и повысить защищенность сети от сбоев.

·         Разбивать каталог на несколько разделов для обеспечения возможности хранения большого количества объектов.

Служба каталогов является как средством администратора, так и средством конечного пользователя. По мере роста числа объектов в сети повышается значение службы каталогов. Служба каталогов – это та ось, вокруг которой вращается большая распределенная система.

Что такое Active Directory?

Active Directory – это служба каталогов, включенная в систему Windows 2000 Server. Она расширяет возможности существовавших ранее служб каталогов на базе Windows и добавляет совершенно новые возможности. Служба каталогов Active Directory обеспечивает безопасность, распределенность, возможность разбиения на разделы и возможность репликации. Она рассчитана на установку в системе любого размера – от одиночного сервера с несколькими сотнями объектов до системы из тысяч серверов с миллионами объектов. Служба каталогов Active Directory предоставляет много новых возможностей, облегчающих поиск и управление большими объемами данных и позволяющих экономить время как администраторам, так и конечным пользователям.

важные понятия


Некоторые из понятий и терминов, применяемых для описания службы каталогов Active Directory, являются новыми, а некоторые использовались и раньше. К сожалению, часть существующих терминов неоднозначна – ими могут быть обозначены разные понятия. Прежде чем продолжить чтение, необходимо усвоить, что означают следующие понятия и термины в контексте службы каталогов Active Directory.

Область действия

Область действия службы каталогов Active Directory весьма обширна. Она может включать в себя каждый одиночный объект (принтер, файл, пользователь), каждый сервер и каждый домен в одной глобальной сети. Она также может включать в себя несколько объединенных глобальных сетей. Некоторые из приводимых ниже терминов применимы не только к отдельно взятой сети, поэтому важно иметь в виду, что служба каталогов Active Directory может иметь дело как с одиночным компьютером, так и с отдельной компьютерной сетью или же множеством объединенных компьютерных сетей.

Пространство имен

Служба каталогов Active Directory является, прежде всего, пространством имен, как и любая служба каталогов. Пространством имен является, например, телефонный справочник. Пространство имен – это любая ограниченная область, в которой может быть разрешено заданное имя. Разрешение имени – это процесс перевода имени в тот объект или те данные, которые это имя представляет. Телефонный справочник есть пространство имен, в котором фамилии абонентов разрешаются в виде телефонных номеров, или в телефонные номера. Файловая система Windows образует пространство имен, в котором имя файла разрешается в сам файл.

Служба каталогов Active Directory образует пространство имен, в котором имя объекта в каталоге разрешается в сам объект.

Объект

Объект – это отдельный именованный набор атрибутов, представляющий нечто конкретное – например, пользователя, принтер, приложение. Атрибуты содержат данные, описывающие ту сущность, которая идентифицируется объектом каталога. Атрибуты пользователя могут содержать его имя, фамилию и адрес электронной почты.

Рис. 1. Объект-пользователь и его атрибуты

Контейнер

Контейнер подобен объекту в том, что у него есть атрибуты и он является частью пространства имен службы каталогов Active Directory. Но он, в отличие от объекта, не представляет собой нечто конкретное. Он лишь «оболочка» для группы объектов и других контейнеров.

Дерево

Термин дерево широко используется в данном документе для описания иерархии объектов и контейнеров. Вершины дерева обычно являются объектами. Узлы дерева (точки, где дерево ветвится) являются контейнерами. Дерево показывает связь между объектами или путь от одного объекта к другому. Простой каталог является контейнером. Компьютерная сеть или домен также являются контейнерами. Непрерывным поддеревом называется любой неразрывный путь в дереве, включая все составляющие каждого включенного в этот путь контейнера.

Рис 2. Непрерывное поддерево каталога файлов.

Имя

Имя идентифицирует любой объект службы каталогов Active Directory. Имена бывают двух типов.

Различающееся имя

Каждый объект в службе каталогов Active Directory имеет различающееся имя (DN – distinguished name). Различающееся имя определяет домен, содержащий объект, а также полный путь по иерархии контейнеров, ведущий к данному объекту. Типичное DN может иметь вид:

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith

 

Это DN определяет объект-пользователь «James Smith» в домене Microsoft.com. Здесь CN обозначает общее имя (Common Name).

Рис. 3. Графическое представление различающегося имени.

Относительное различающееся имя

Относительное различающееся имя (RDN – Relative Distinguished Name) объекта – это часть его имени, которая представляет собой атрибут самого объекта. В предыдущем примере RDN объекта-пользователя «James Smith» будет CN=James Smith. RDN его родительского объекта будет CN=Users.

Контексты именования и разделы

Служба каталогов Active Directory строится из одного или нескольких контекстов именования или разделов. Контекст именования представляет собой любое непрерывное поддерево каталога. Контексты именования являются единицами репликации.

В службе каталогов Active Directory отдельный сервер содержит как минимум три контекста именования:

·         схема;

·         конфигурация (топология репликации и относящиеся к ней метаданные);

·         один или несколько пользовательских контекстов именования (поддеревья, содержащие фактические объекты каталога).

Домены

Доменом называется отдельная область безопасности в компьютерной сети Windows NT или Windows 2000 (дополнительную информацию о доменах можно найти в документации по Windows). Служба каталогов Active Directory может охватывать один или нескольких доменов. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах. В каждом домене действует своя политика безопасности и свои отношения безопасности с другими доменами. Если несколько доменов связаны доверительными отношениями и имеют одни и те же схему, конфигурацию и глобальный каталог, мы имеем дерево доменов. Несколько деревьев доменов могут быть объединены в лес.

Деревья доменов

Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.

Деревья можно рассматривать с двух точек зрения: с позиции доверительных отношений между доменами или как пространство имен дерева доменов.

Доверительные отношения

Дерево доменов можно представить в виде индивидуальных доменов и существующих между ними доверительных отношений.

Операционная система Windows 2000 устанавливает доверительные отношения между доменами на основе протокола безопасности Kerberos. Доверительные отношения по протоколу Kerberos транзитивны: если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C.

Рис 4. Дерево доменов, рассматриваемое в терминах доверительных отношений.

Пространство имен

Можно представить дерево доменов на основе пространства имен. Различающееся имя объекта можно определить, пройдя путь вверх по пространству имен дерева доменов. Это представление полезно для объединения объектов в логическую иерархическую структуру. Главное преимущество непрерывного пространства имен состоит в том, что глубоким поиском от корня пространства имен будет охвачена вся иерархическая структура.

Рис. 5. Представление дерева доменов в виде пространства имен.

Лес

Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos. Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес. Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.

Рис. 6. Лес, содержащий более одного дерева.

Сайт

Сайт – это местоположение в сети, где содержатся серверы службы каталогов Active Directory. Сайт определяется как одна или несколько подсетей TCP/IP с хорошим соединением. «Хорошее соединение» означает, что связь в сети обладает высокой надежностью и большой пропускной способностью (например локальная сеть с пропускной способностью 10 Мбит в секунду или более). Определение сайта как набора подсетей дает администраторам возможность быстро и легко управлять доступом и топологией репликации службы каталогов Active Directory с использованием преимуществ физической структуры сети. Когда пользователь входит в систему, клиент службы каталогов Active Directory находит серверы службы каталогов Active Directory, расположенные на одном сайте с пользователем. Поскольку машины одного сайта физически близко расположены друг к другу, связь между ними будет надежной, быстрой и эффективной. Определение локального сайта на момент входа не представляет затруднений, поскольку для рабочей станции известно, в какой подсети TCP/IP она находится и существует прямое соответствие подсетей сайтам службы каталогов Active Directory.

архитектура


В этом коротком разделе описываются некоторые основные компоненты архитектуры службы каталогов Active Directory.

Модель данных

Модель данных службы каталогов Active Directory основана на модели данных X.500. Каталог содержит объекты, имеющие различную природу и описываемые различными атрибутами. Многообразие объектов, которые могут храниться в каталоге, определяется схемой. Для каждого класса объектов схема указывает, какие атрибуты обязан иметь представитель этого класса, какие дополнительные атрибуты он может иметь, и какой класс объектов может быть родительским для данного класса объектов.

Схема

Схема службы каталогов Active Directory реализована как набор экземпляров классов объектов, которые хранятся в каталоге. Этим она весьма отличается от многих каталогов, в которых схема существует, но хранится в виде текстового файла, который должен читаться при запуске. Хранение схемы в каталоге дает много преимуществ. Например, пользовательские приложения могут, читая схему, определить, какие объекты и свойства им доступны.

В службе каталогов Active Directory схема может обновляться динамически. Это значит, что приложение может расширять схему, добавляя к ней новые атрибуты и классы, и тут же воспользоваться этим расширением. Обновления схемы выполняются путем создания или изменения объектов схемы, которые хранятся в каталоге. Как и все объекты в службе каталогов Active Directory, объекты схемы защищены списками управления доступом (ACL – Access Control Lists), поэтому изменять схему могут только пользователи, обладающими соответствующими полномочиями.

Модель безопасности

Каталог является частью структуры Windows 2000 Trusted Computing Base и полностью встроен в инфраструктуру безопасности операционной системы Windows 2000. Все объекты в службе каталогов Active Directory защищены списками управления доступом ACL. Подпрограммы проверки прав доступа операционной системы Windows 2000 используют список ACL для проверки любой попытки доступа к объекту или атрибуту в службе каталогов Active Directory.

Модель администрирования

Администрирование службы каталогов Active Directory выполняется полномочными пользователями. Пользователь с более широкими полномочиями предоставляет другому пользователю возможность выполнять указанный набор действий над указанными объектами и классами объектов в определенном поддереве каталога. Это называется делегированием административных полномочий. Делегирование административных полномочий позволяет осуществлять весьма детальный контроль над тем, кто и что имеет право делать, а также позволяет делегировать полномочия, предоставляя только те права, которые необходимы.

Агент системы каталогов (DSA – Directory System Agent) – это процесс, управляющий физической памятью каталога. Клиенты с помощью одного из поддерживаемых интерфейсов обращаются к DSA и после этого выполняют поиск, чтение и запись объектов каталога и их атрибутов. Агент DSA обеспечивает изоляцию клиента от физического формата хранения данных каталога.

возможности службы каталогов Active Directory


В этом разделе описаны некоторые основные возможности и компоненты службы каталогов Active Directory.

Интеграция с DNS

Служба каталогов Active Directory тесно интегрирована с системой именования доменов (DNS – Domain Name System). Система DNS представляет собой распределенное пространство имен, используемое в Интернете для разрешения имен компьютеров и служб в адреса TCP/IP. На большинстве предприятий, имеющих интрасети, в качестве службы разрешения имен используется система DNS. Служба каталогов Active Directory использует систему DNS в качестве службы определения местоположения.

Имена доменов Windows 2000 являются именами доменов DNS. Например, имя «Microsoft.com» является допустимым именем домена DNS и может также использоваться как имя домена Windows 2000. Тесная интеграция с DNS означает, что служба каталогов Active Directory естественным образом легко и быстро встраивается в среду Интернета или интрасети. Предприятие может подключить серверы службы каталогов Active Directory непосредственно к Интернету для создания безопасной связи с клиентами и партнерами и осуществления коммерческих операций электронными средствами.

Служба определения местоположения

Серверы службы каталогов Active Directory публикуют свои адреса, чтобы клиенты могли их найти, зная только имя домена. Серверы службы каталогов Active Directory опубликованы в записях SRV RR (Service Resource Records) в системе DNS. Запись SRV RR представляет собой запись системы DNS, используемую для сопоставления имени службы и адреса сервера, который эту службу предоставляет. Имя записи SRV RR имеет следующую форму:

<служба>.<протокол>.<домен>

 

Серверы службы каталогов Active Directory предоставляют службы LDAP по протоколу TCP, поэтому опубликованные имена будут иметь такую форму:

ldap.tcp.<домен>

 

Таким образом, запись SRV RR для «Microsoft.com» имеет вид «ldap.tcp.microsoft.com». Дополнительная информация, включенная в запись SRV RR, указывающая приоритет и «вес» для данного сервера, позволяет клиентам выбрать сервер, наилучшим образом соответствующий потребностям клиента.

Сервер службы каталогов Active Directory при установке публикует себя посредством системы динамическая система DNS (объяснение см. ниже). Поскольку адреса TCP/IP со временем меняются, серверы периодически проверяют свою регистрацию и при необходимости ее обновляют.

Динамическая DNS

Динамическая система DNS – недавнее дополнение к стандарту DNS[1]. Динамическая DNS определяет протокол для динамического обновления сервера DNS новыми или измененными значениями. Перед использованием динамической DNS администраторы должны вручную настроить записи, хранимые на серверах DNS.

Именование объектов

Объект имеет ровно одно имя – различающееся имя (DN). Различающееся имя DN однозначно определяет объект и содержит информацию, достаточную для того, чтобы клиент мог найти этот объект в каталоге. Имя DN объекта может быть очень длинным и трудным для запоминания. Более того, имя DN объекта может измениться. Поскольку имя DN объекта состоит из RDN-имен объекта и его предков, переименование самого объекта или любого его предка вызовет изменение DN.

Поскольку имена DN трудно запомнить и они подвержены изменениям, полезно иметь другие средства для нахождения объектов. Служба каталогов Active Directory поддерживает запросы по атрибутам, так что объект можно найти, даже если его имя DN точно неизвестно или было изменено. Для упрощения поиска объектов с помощью таких запросов в схеме службы каталогов Active Directory определены следующие два полезных свойства[2].

·         Глобальный уникальный код объекта (GUID – Object Globally Unique Identifier). Код GUID представляет собой 128-разрядное число, уникальность которого гарантируется. Коды GUID назначаются объектам при создании. Код GUID не меняется никогда – даже при перемещении или переименовании объекта. Код GUID объекта может храниться в приложении, что гарантирует нахождение объекта независимо от его текущего DN.

·         Основное имя пользователя. Каждый участник системы безопасности сети (пользователь или группа) имеет «дружественное» имя – основное имя пользователя (UPN – User Principal Name). Такое имя короче имени DN и легче запоминается. Основное имя пользователя составляется из «сокращенного» имени пользователя и имени домена DNS, где находится объект, определяющий пользователя. Например, пользователь James Smith в дереве microsoft.com может иметь UPN вида «JamesS@Microsoft.com».

Уникальность имен

Уникальность различающихся имен гарантируется. Служба каталогов Active Directory не допускает существования двух объектов с одним и тем же RDN в одном и том же родительском объекте. Имена DN составляются из имен RDN, и потому являются уникальными. Коды GUID уникальны по определению; они генерируются с помощью алгоритма, гарантирующего уникальность. Уникальность не гарантируется ни для каких других атрибутов.

Доступ к службе каталогов Active Directory

Доступ к службе каталогов Active Directory осуществляется с помощью связующих протоколов. Связующие протоколы определяют форматы сообщений и взаимодействий клиента и сервера. Различные интерфейсы прикладного программирования (API) предоставляют доступ разработчикам к этим протоколам.

Поддержка протоколов

В число поддерживаемых протоколов входят следующие:

·         LDAP. Протоколом ядра службы каталогов Active Directory является протокол LDAP (Lightweight Directory Access Protocol). Поддерживается протокол LDAP версий 2 и 3[3].

·         MAPI-RPC. Служба каталогов Active Directory поддерживает интерфейсы вызова удаленных процедур (RPC – Remote Procedure Call), которые поддерживают интерфейсы MAPI.

·         X.500. Информационная модель службы каталогов Active Directory выведена из информационной модели X.500. В X.500 определены несколько связующих протоколов, не реализованных в службе каталогов Active Directory. Этими протоколами являются:

DAP – Directory Access Protocol

DSP – Directory System Protocol

DISP – Directory Information Shadowing Protocol

DOP – Directory Operational Binding Management Protocol

В службе каталогов Active Directory эти протоколы не реализованы по следующим причинам.

      К этим протоколам проявляется очень мало интереса, и реализации их немногочисленны.

      Эти протоколы связаны с протоколом модели OSI. Протоколы модели OSI альтернативны протоколу TCP/IP и не были широко реализованы. Передача таких протоколов по сети TCP/IP менее эффективна, чем непосредственное использование TCP/IP.

      Протокол LDAP обеспечивает наиболее важные функции, предлагаемые протоколами DAP и DSP; он предназначен для работы в сети TCP/IP и не требует дополнительных усилий, связанных с «вложением» протоколов модели OSI в TCP/IP.

      Существуют настолько существенные различия в спецификациях протоколов DISP и DOP 1993 и 1997 годов, что реализации по одним спецификациям несовместимы с реализациями по другим, что резко снижает ценность этих протоколов.

Интерфейсы прикладного программирования

Поддерживаемые интерфейсы API включают в себя следующие типы.

·         ADSI – интерфейсы службы каталогов Active Directory (ADSI – Active Directory Service Interfaces) обеспечивают простой объектно-ориентированный интерфейс к службе каталогов Active Directory[4]. Разработчики могут использовать различные языки программирования, в том числе Java, систему программирования Visual Basic®, C, C++ и другие. Интерфейсы ADSI допускают выполнение любых функций с помощью сценариев, что облегчает системным администраторам его использование. В интерфейсах ADSI от пользователя скрыты подробности связей по протоколу LDAP.

·         LDAP API – интерфейс LDAP C API, определенный в документе RFC 1823, является интерфейсом низкого уровня, доступным программистам, использующим язык C.

·         MAPI – служба каталогов Active Directory поддерживает интерфейс MAPI для обеспечения требования обратной совместимости. В новых приложениях следует использовать интерфейсы ADSI или LDAP C API.

Виртуальные контейнеры

Служба каталогов Active Directory допускает представление других каталогов посредством виртуальных контейнеров. Виртуальный контейнер позволяет осуществить прозрачный доступ к любому LDAP-совместимому каталогу из службы каталогов Active Directory. Виртуальный контейнер реализуется при помощи сведений, хранимых в службе каталогов Active Directory. Эти сведения описывают, где в службе каталогов Active Directory должен появиться данный внешний каталог, а также содержат имя DNS для сервера, содержащего экземпляр этого внешнего каталога, и различающееся имя (DN), с которого следует начинать операции поиска в этой внешней службе каталогов.

Глобальный каталог

Служба каталогов Active Directory может состоять из многих разделов или контекстов именования. Различающееся имя (DN) объекта содержит достаточно информации для нахождения реплики раздела, содержащего объект. Однако часто бывает, что пользователю или приложению неизвестно DN искомого объекта или раздел, в котором он может находиться. Глобальный каталог (GC - Global Catalog) позволяет пользователям и приложениям отыскивать объекты в каком-либо дереве службы каталогов Active Directory, если известен один или несколько атрибутов искомого объекта.

Глобальный каталог содержит частичную реплику каждого контекста именования пользователя в каталоге. Он также содержит контексты именования схемы и конфигурации. Это означает, что в GC содержится реплика каждого объекта службы каталогов Active Directory, но при этом лишь малое число их атрибутов. В GC включаются только те атрибуты, которые наиболее часто используются в операциях поиска (например, имя и фамилия пользователя, имя для входа и т.д.), а также те, что требуются для нахождения полной реплики объекта. GC дает пользователям возможность быстро находить интересующие их объекты, не зная, в каком домене они содержатся, и не требуя, чтобы на предприятии имелось непрерывное всеобъемлющее пространство имен.

Система репликаций службы каталогов Active Directory автоматически строит глобальный каталог и создает топологию репликации. Свойства, реплицируемые в глобальный каталог, включают базовый набор, определенный корпорацией Майкрософт. Администраторы согласно своим собственным потребностям могут задать и дополнительные свойства.

Безопасность

Здесь дается лишь краткий обзор средств безопасности в службе каталогов Active Directory. Более подробные сведения о модели безопасности Windows 2000 можно найти в информационном документе Secure Networking Using Microsoft Windows 2000 Distributed Security («Сетевая безопасность, реализуемая с помощью распределенной безопасности системы Microsoft Windows 2000»).

Защита объектов

Все объекты службы каталогов Active Directory защищены списками управления доступом (ACL – Access Control List). Списки ACL определяют тех пользователей, кому может быть виден данный объект, и действия, которые каждый пользователь может с этим объектом выполнять. О существовании объекта никогда не будет знать пользователь, которому не разрешено видеть этот объект.

Список ACL представляет собой список элементов управления доступом (ACE – Access Control Entries), хранимый вместе с объектом, защищаемым этим списком. В системе Windows 2000 список ACL хранится в виде двоичного значения, которое называется дескриптор безопасности. Каждый элемент ACE содержит идентификатор безопасности (SID – Security Identifier), определяющий участника системы безопасности (пользователя или группу), к которому относится элемент ACE, и сведения о виде доступа, который данный ACE разрешает или запрещает.

Списки ACL для объектов каталога содержат элементы ACE, применяемые к объекту как целому, и элементы ACE, применяемые только к индивидуальным атрибутам объекта. Это позволяет администратору управлять не только тем, какие пользователи могут видеть данный объект, но и тем, какие свойства будут видны этим пользователям. Например, всем пользователям может быть предоставлен доступ на чтение к таким атрибутам других пользователей, как адрес электронной почты и телефон, но доступ к атрибутам безопасности других пользователей может быть запрещен всем, кроме членов специальной группы администраторов безопасности. Индивидуальным пользователям может быть предоставлен доступ на запись к персональным атрибутам, таким как телефон и почтовый адрес, их собственных объектов-пользователей.

Делегирование

Делегирование является одной из наиболее важных возможностей безопасности в службе каталогов Active Directory. Делегирование позволяет администраторам, обладающим широкими полномочиями, предоставлять конкретные права администрирования на контейнеры и поддеревья индивидуальным пользователям и группам. Таким образом, исключается необходимость наличия «администраторов доменов» с всеобъемлющими правами по отношению к большим массам пользователей.

Элементы ACE могут давать конкретные административные права пользователю или группе на объект в контейнере. Права предоставляются на конкретные операции над конкретными объектами с помощью элементов ACE в списке ACL соответствующего контейнера. Например, чтобы разрешить пользователю «А. Кузнецов» быть администратором организационной единицы «Бухгалтерия», можно добавить элементы ACE в список ACL для «Бухгалтерии» следующим образом[5]:

«А. Кузнецов»;Grant ;Create, Modify, Delete;Object-Class User
«А
. Кузнецов»;Grant ;Create, Modify, Delete;Object-Class Group
«А
. Кузнецов»;Grant ;Write;Object-Class User; Attribute Password

После этого пользователь А. Кузнецов может создавать новых пользователей и группы в контейнере «Бухгалтерия» и устанавливать пароли для существующих пользователей, но он не может создавать никакие объекты других классов и не может ничего сделать с пользователями в других контейнерах (если, конечно, элементы ACE не предоставляют ему таких прав доступа к этим контейнерам).

Наследование

Наследование позволяет распространять действие элемента ACE с контейнера, к которому он относится, на все дочерние контейнеры. Наследование может сочетаться с делегированием для предоставления прав администрирования на целое поддерево каталога одной операцией.

Репликация

Служба каталогов Active Directory обеспечивает репликацию с несколькими основными репликами. Этот режим означает, что все реплики в данном разделе допускают запись. Это дает возможность изменять любую реплику в данном разделе. Система репликации службы каталогов Active Directory распространяет изменения реплики на все остальные реплики. Репликация выполняется автоматически и является прозрачной.

Распространение обновлений

Некоторые службы каталогов для обнаружения и распространения изменений используют штампы времени. В таких системах очень важно поддержание синхронизации часов на всех серверах каталогов. Синхронизация времени в сети весьма затруднительна. Даже при очень хорошей синхронизации сети возможна неправильная установка времени на одном из серверов каталогов, что может привести к потере изменений.

Операционная система Windows 2000 обеспечивает распределенную синхронизацию времени, но система репликации в службе каталогов Active Directory не использует время для распространения изменений. Вместо этого система репликации службы каталогов Active Directory использует номера последовательных обновлений (USN – Update Sequence Number). Номер USN представляет собой 64-разрядное число, с которым работает каждый сервер службы каталогов Active Directory. Когда сервер записывает любое свойство, номер USN увеличивается и хранится вместе с этим записанным свойством. Эта операция выполняется по шагам – на каждом таком шаге увеличение и сохранение USN и запись свойства либо успешно завершаются, либо завершаются отказом.

Каждый сервер службы каталогов Active Directory поддерживает также таблицу номеров USN, полученных от партнеров репликации. В таблице для каждого партнера хранится наибольший полученный от него номер USN. Когда данный партнер извещает сервер, что требуется репликация, этот сервер запрашивает все изменения с номером USN, превосходящие последнее из полученных значений. Этот подход очень прост и не зависит от точности простановки штампа времени.

Поскольку хранимый в таблице номер USN также обновляется по шагам, соответствующим каждому полученному обновлению, восстановление после сбоя тоже выполняется просто. Чтобы перезапустить репликацию, сервер просто запрашивает у своих партнеров все обновления с номерами USN превосходящими последний правильный номер в таблице. Поскольку таблица обновляется при выполнении изменений по шагам, прерванный цикл репликации всегда будет продолжен точно с того места, где он был оборван – без потери или повторения обновлений.

Обнаружение конфликтов – номера версий

В системе, поддерживающей репликацию с несколькими основными репликами, такой как служба каталогов Active Directory, возможна ситуация, когда одно и то же свойство обновляется в двух или более различных репликах. Когда свойство во второй (третьей, четвертой и т.д.) реплике изменяется до того, как полностью распространится изменение из первой реплики, происходит конфликт репликации. Конфликты обнаруживаются с помощью номеров версий свойства. В отличие от номеров USN, которые связаны с сервером, номер версии свойства связан со свойством объекта службы каталогов Active Directory. Номер версии инициализируется, когда объект впервые записывается в каталог Active Directory.

Первичные записи увеличивают номер версии. Первичная запись – это запись свойства, которая инициирует изменение. Запись свойства, вызванная репликацией, не является первичной записью и не увеличивает номер версии. Например, если пользователь изменяет свой пароль, происходит первичная запись, и номер версии пароля увеличивается. Записи, вызванные репликацией измененного пароля на другие серверы, не увеличивают номер версии.

Конфликт возникает в процессе репликации при получении изменения, у которого номер версии равен номеру локально хранимой версии, а хранимое значение отличается от полученного. В этом случае принимающая система воспримет обновление, имеющее более поздний штамп времени. Это единственная ситуация, когда при выполнении репликации используется штамп времени.

Если полученный номер версии меньше локально хранимого, обновление считается устаревшим и отбрасывается. Если полученный номер версии больше локально хранимого, обновление принимается.

Подавление распространения

Система репликации службы каталогов Active Directory допускает наличие циклов в топологии репликаций. Это дает администраторам возможность конфигурировать топологию репликаций с несколькими путями между серверами для повышения быстродействия и доступности. Система репликации службы каталогов Active Directory выполняет подавление распространения, чтобы предотвратить бесконечное распространение изменений и исключить ненужные передачи изменений репликам, которые и без того являются актуальными.

Система репликаций службы каталогов Active Directory для подавления распространения использует векторы актуальности. Вектор актуальности – это список пар «сервер – USN», ведущийся на каждом сервере. Вектор актуальности на каждом сервере содержит наивысший номер USN первичной записи, полученный от сервера, указанного в паре сервер – USN. Вектор актуальности сервера в некотором сайте содержат все присутствующие в этом сайте серверы.

Когда начинается цикл репликации, запрашивающий сервер пересылает свой вектор актуальности передающему серверу. Передающий сервер использует этот вектор актуальности для фильтрации изменений, передаваемых на запрашивающий сервер. Если наивысший USN для данного автора первичной записи больше или равен номеру USN первичной записи для конкретного обновления, передающему серверу нет нужды пересылать это изменение; запрашивающий сервер по отношению к автору первичной записи уже актуален.

Деревья и леса

Дерево доменов Windows 2000 является иерархией доменов Windows 2000, каждый из которых состоит из раздела службы каталогов Active Directory. Структура дерева и отношения элементов дерева между собой определяются именами DNS доменов. Домены в дереве должны образовывать непрерывное пространство имен, например, чтобы a.myco.com был дочерним доменом myco.com, b.myco.com был дочерним доменом myco.com и так далее.

Транзитивные двунаправленные доверительные отношения

Когда домен присоединяется к дереву доменов Windows 2000, между присоединенным доменом и его родителем в дереве автоматически устанавливается транзитивное двунаправленное доверительное отношение. Поскольку доверительные отношения являются транзитивными и двунаправленными, то дополнительные доверительные отношения между элементами дерева не требуются. Иерархия доверительных отношений хранится как часть метаданных каталога в контейнере Configuration (Конфигурация).

Эти обязательные объекты создаются при присоединении домена к дереву в каталоге.

Пространство имен

Домены в дереве доменов Windows 2000 должны образовывать непрерывное пространство имен. По умолчанию непосредственные дочерние домены каждого домена непрерывны и уже являются частью своего пространства имен. Это значит, что различающееся имя каждого объекта в дочернем домене имеет в качестве префикса имя родительского домена. Не соединенные деревья можно объединить в лес.

Рис. 7. Родительский домен и дочерний домен образуют непрерывное пространство имен, поскольку имя дочернего домена непосредственно подчинено имени родительского домена.

Например, родительский домен O=Internet/DC=COM/DC=Microsoft и дочерний домен O=Internet/DC=COM/DC=Microsoft/DC=PBS образуют непрерывное дерево именования, поскольку корневой объект в родительском домене O=Internet/DC=COM/DC=Microsoft является непосредственным родительским объектом корневого объекта в дочернем домене O=Internet/DC=COM/DC=Microsoft/DC=PBS. Так как родительский и дочерний домены образуют дерево именования, глубокий поиск в родительском домене автоматически будет вестись и в дочернем домене.

Когда следует создавать дерево доменов

Дерево доменов Windows 2000 является в масштабе предприятия каталогом Active Directory. Все домены Windows 2000 на данном предприятии должны принадлежать к дереву доменов предприятия. Тем предприятиям, которым нужна поддержка несоединенных имен DNS, необходимо образовывать лес.

Как образовать дерево или лес доменов

Домены Windows 2000 соединяются в дерево доменов в процессе установки системы. При установке нового сервера Windows 2000 (или обновления ранее существовавшей версии Windows NT) администратору предоставляются следующие возможности:

·         создать первое дерево в новом лесу;

·         создать новое дерево в существующем лесу;

·         создать новую реплику существующего домена;

·         установить дочерний домен.

Чтобы присоединить домен к дереву доменов, выберите Установить дочерний домен и определите родительский домен для нового дочернего домена. Будущие обновления системы Windows добавят возможность объединения двух (или более) существующих деревьев в одно дерево большего размера.

Домены могут свободно перемещаться в пределах существующего дерева с целью изменения его структуры. Хорошо спланировать дерево очень важно, но что значит «хорошо» – это вопрос субъективный и сильно зависящий от потребностей организации. Возможность перепланировки дерева снижает значение проведения предварительной проектировки дерева.

Сайт

Сайт – это область в сети, где связь между компьютерами, как ожидается, является очень хорошей. Система Windows 2000 определяет сайт как одну или несколько подсетей IP. Это определение основано на предположении, что компьютеры с одним и тем же адресом подсети подключены к одному и тому же сегменту сети – обычно к локальной сети или другой среде передачи данных с высокой пропускной способностью[6], например, Frame Relay, ATM или другой подобной.

Система Windows 2000 использует информацию об сайте для поиска сервера Active Directory вблизи пользователя. Когда рабочая станция подключается к сети, она получает адрес TCP/IP от сервера DHCP, который также идентифицирует подсеть, куда подключена эта рабочая станция. Рабочие станции, которым назначен статический адрес IP, имеют также статическую маску подсети. В любом случае механизм поиска контроллера доменов (DC – Domain Controller) системы Windows 2000 попытается найти сервер Active Directory, расположенный в той же подсети, что и пользователь, воспользовавшись при этом сведениями о подсети, известными данной рабочей станции.

Сайты и репликация

Система репликации в Windows 2000 автоматически создает для репликаций кольцевую топологию между серверами Active Directory на заданном сайте. В пределах сайта репликация каталогов выполняется посредством удаленного вызова процедур (RPC – Remote Procedure Call). Репликацию между сайтами можно выборочно настроить на использование RPC или механизма сообщений. Система Windows 2000 в качестве стандартной возможности предоставляет простой механизм обмена сообщениями по протоколу SMTP. Если установлен сервер Microsoft Exchange, межсайтовую репликацию можно выполнять с его помощью, используя любой почтовый протокол, поддерживаемый сервером Exchange (эти протоколы включают SMTP, X.400 и другие).

Планирование сайтов

Минимальный сайт состоит из одной подсети IP. Система Windows 2000 предполагает, что все компьютеры, расположенные на одном и том же сайте, имеют общую сеть с широкой полосой пропускания. При этом условии хорошим планированием сайтов будет такое, при котором все подсети, назначенные в один сайт, имеют такую общую сеть. Зоны сети, разделенные глобальной сетью, множеством маршрутизаторов или другими медленными связями, должны оказываться в разных сайтах.

Схема

Схема службы каталогов Active Directory определяет набор всех классов объектов и атрибутов, которые могут храниться в каталоге. Для каждого класса объектов схема определяет, где именно в дереве каталога он может быть создан, указывая допустимых родителей для данного класса. Содержание класса определяется списком атрибутов, которые данный класс обязан или может содержать.

Когда расширять схему

Пользователи и приложения расширяют схему в том случае, когда не существует классов объектов, отвечающих текущим потребностям. Расширение схемы – простой и последовательный процесс.

Добавление атрибутов

Новые атрибуты могут быть добавлены в схему в любой момент. Определение атрибута состоит из имени, уникального идентификатора объекта (OID – Object Identifier), синтаксиса, который определяет, какого рода данные может содержать атрибут, и (не обязательно) границ диапазона. Для строк эти границы определяют минимальную и максимальную длину строки. Для целых чисел границы задают минимальное и максимальное значение.

Быстродействие выполнения запросов в службе каталогов Active Directory непосредственно соотносится с доступностью индекса, который можно использовать для оптимизации данного запроса. Когда не существует индекса, удовлетворяющего данному запросу, сервер LDAP должен для выполнения запроса прочитать целый раздел. При определении атрибута есть возможность создать для этого атрибута индекс. Можно также создать индекс для заданного атрибута, присвоив атрибуту searchFlags в объекте attributeSchema значение 1. Атрибут следует определять как индексированный в следующих случаях.

·         Атрибут будет часто использоваться в запросах. Добавление индекса увеличивает расход дискового пространства и снижает быстродействие при добавлении новых объектов (поскольку при добавлении объекта требуется обновление индекса), поэтому не следует вводить индекс, если он не будет часто использоваться.

·         Значения атрибутов должны иметь очень низкую повторяемость. Никогда не следует индексировать атрибуты, имеющие булевские значения, поскольку таких значений всего два: Истина или Ложь. Номера и фамилии сотрудников имеют низкую повторяемость, и потому по ним создаются эффективные индексы.

·         Атрибут будет встречаться в интересующих пользователя объектах. Индексирование атрибута позволяет легко находить объекты, для которых значение данного атрибута определено. Перед тем, как добавлять индекс, проверьте, что индексируемый атрибут относится к обязательным или возможным атрибутам тех объектов, которые потребуется находить.

Добавление новых объектов

Новые классы объектов могут быть добавлены к схеме в любой момент. Определение объекта состоит из имени, идентификатора объекта (OID), списка возможных и обязательных атрибутов, списка классов, которые могут быть родителями данного объекта, класса, из которого выведен данный объект, и списка любых вспомогательных классов, которые могут применяться к объекту.

Как можно расширить схему

Поскольку схема определяет, что может храниться в каталоге, и описывает, что там уже хранится, доступ к схеме для записи разрешен по умолчанию только администраторам. С системой Windows 2000 поставляется оснастка управления схемой для консоли управления MMC. Для расширения схемы пользователь, имеющий соответствующие права, может создавать новые атрибуты и классы. Можно придавать эти атрибуты новым или существующим классам. Для каждого нового атрибута или класса требуется идентификатор объекта OID (Object Identifier).

Идентификаторы объектов (OID)

Идентификатор объекта представляет собой число, однозначно определяющее класс объекта или атрибут в службе каталогов[7]. Идентификаторы OID назначаются уполномоченными службами и образуют иерархию. Идентификатор OID представляется в виде строки десятичных чисел, разделенных точками (например, «1.2.3.4»). Предприятия (и индивидуальные пользователи) могут получить корневой OID от уполномоченной службы и использовать его для назначения дополнительных OID. Например, корпорации Майкрософт назначен следующий корневой OID: 1.2.840.113556. Далее корпорация Майкрософт строит от этого корня ответвления. Одна из таких ветвей используется для выделения идентификаторов OID для классов службы каталогов Active Directory, другая для атрибутов службы каталогов Active Directory и так далее.

Во многих странах мира есть специальные национальные службы регистрации (NRA – National Registration Authority), ответственные за назначение предприятиям идентификаторов OID. В Соединенных Штатах такой службой NRA является Американский национальный институт стандартов (ANSI – American National Standards Institute). Служба NRA назначает корневые идентификаторы OID. Предприятие может также зарегистрировать имя для этого OID. Корневой OID и зарегистрированные имена облагаются определенным сбором. Подробности можно узнать в NRA соответствующей страны[8].

Публикация

Публикация – это акт создания объектов в каталоге, либо непосредственно содержащих данные, которые необходимо сделать доступными, либо предоставляющих ссылку на данные, которые необходимо сделать доступными. Например, объекты-пользователи содержат полезную информацию о пользователях, например, их номера телефонов и адреса электронной почты, а объект-том содержит ссылку на общий том файловой системы.

Когда выполняется публикация

Данные следует публиковать в службе каталогов Active Directory, если они полезны или интересны значительному числу пользователей и требуется сделать их широко доступными.

Данные, публикуемые в службе каталогов Active Directory, должны обладать следующими двумя основными свойствами.

·         Эти данные должны быть относительно статичными и меняться достаточно редко. Примером таких относительно статичных данных, подходящих для публикации, являются номера телефонов и адреса электронной почты. Выбранное в настоящий момент пользователем сообщение электронной почты – пример очень часто меняющихся данных.

·         Такие данные должны быть структурированными и допускать представление в виде набора отдельных атрибутов. Рабочий адрес пользователя является примером структурированных данных, подходящих для публикации; аудиоклип с записью голоса пользователя является примером неструктурированных данных, более подходящих для файловой системы.

Данные рабочей среды, используемые приложениями, являются идеальным кандидатом на публикацию в службе каталогов Active Directory. Они включают в себя данные о глобальной конфигурации, которые применимы ко всем экземплярам какого-либо конкретного приложения. Например, реляционная база данных может хранить используемую по умолчанию конфигурацию серверов базы данных как объект службы каталогов Active Directory. Новые установки этой системы могут брать данные об этой используемой по умолчанию конфигурации из указанного объекта, что упрощает процесс установки и повышает единообразие этих установок на предприятии.

Приложения могут также публиковать в каталоге свои точки подключения. Точки подключения служат в качестве места, где осуществляются «встречи» клиента и сервера. Служба каталогов Active Directory определяет архитектуру для управления интегрированной службой с использованием объектов пункт управления службой и обеспечивает стандартные точки подключения для приложений, использующих RPC, Winsock и COM. Приложения, не использующие интерфейсы RPC или Winsock для публикации своих точек подключения, могут явно публиковать в каталоге объекты точек подключения служб.

В каталоге можно публиковать также данные приложений, используя объекты, специфичные для приложений. Специфичные для приложений данные должны удовлетворять изложенным выше критериям. А именно: данные должны представлять интерес для большинства пользователей, быть относительно постоянными и структурированными.

Как выполнять публикацию

Средства публикации зависят от используемого приложения или службы.

·         RPC. Приложения, использующие RPC, пользуются интерфейсами API семейства RpcNs* для публикации в каталоге своих точек подключения и для запроса опубликованных точек подключения других служб.

·         Windows Sockets. Приложения, использующие Windows Sockets, пользуются интерфейсами API семейства регистрации и разрешения, доступные посредством Winsock 2.0, для публикации в каталоге своих точек подключения и для запроса опубликованных точек подключения других служб.

·         DCOM. Службы DCOM публикуют свои точки подключения при помощи хранилища DCOM Class Store, находящегося в службе каталогов Active Directory.

Группы

В системе Windows 2000 введены новые свойства групп.

·         Группы могут рассматриваться как списки рассылки, если установлена последняя основная версия сервера Exchange.

·         Группы могут включать членов, не участвующих в системе безопасности (это важно в тех случаях, когда группа используется и для целей безопасности, и как список рассылки).

·         Использование групп в системе безопасности может быть отключено (это важно в том случае, когда группа используется только как список рассылки).

·         Группы могут быть вложенными.

·         Вводится новый тип группы – универсальная группа.

Универсальная группа – это простейшая форма группы. Универсальная группа может появиться в списках ACL в любой точке леса и может содержать другие универсальные группы, глобальные группы и пользователей из любого сегмента леса. В сетях небольшого масштаба можно использовать только универсальные группы и не использовать глобальные и локальные группы.

Глобальная группа может появиться в списках ACL в любом сегменте леса. Глобальная группа может содержать пользователей и другие глобальные группы из своего домена.

Локальная группа домена может быть использована в списках ACL только в своем собственном домене. Локальная группа домена может содержать пользователей и глобальные группы из любого домена леса, универсальные группы и другие локальные группы домена из своего собственного домена.

Эти три типа групп создают богатую и гибкую среду управления, одновременно снижая связанный с репликацией трафик глобального каталога (GC), вызванный изменениями членства в группах. Универсальная группа включается в GC, но она будет содержать в основном глобальные группы из доменов леса. Если созданы глобальные группы, то членство в универсальной группе будет меняться нечасто. В GC отображаются глобальные группы, но не их члены. Изменение членства в глобальных группах не реплицируется вне тех доменов, где эти группы определены. Локальные группы доменов действуют только в домене, где они определены, и вообще не отображаются в GC.

Миграция


В данном разделе представлен обзор миграции в новую систему с предыдущих версий системы Windows NT. Более подробно миграция рассматривается в нескольких отдельных документах, которые можно найти по адресу http://www.microsoft.com/ntserver.

Поддерживаемые способы обновления

Можно обновить системы Windows NT версий 3.51 и 4.0 непосредственно до Windows 2000. Системы Windows NT версий 3.1 и 3.5 перед обновлением до Windows 2000 должны быть обновлены до системы NT версии 3.51 или 4.0. Установка системы Windows 2000 заново может быть выполнена на любой системе, указанной в списке Windows 2000 Hardware Compatibility List («Список аппаратной совместимости Windows 2000»).

Контроллеры доменов

Контроллеры доменов хранят копию каталога. В системах Windows NT версий 3.51 и 4.0 существуют два вида контроллеров доменов – основные контроллеры доменов (PDC – Primary Domain Controllers) и резервные контроллеры доменов (BDC – Backup Domain Controllers). Основные контроллеры доменов хранят копию, доступную для чтения и записи, а резервные контроллеры доменов хранят копию, доступную только для чтения.

В системе Windows 2000 все контроллеры доменов любого данного домена хранят копию каталога, доступную для записи. Различий между основными и резервными контроллерами нет – все контроллеры доменов являются одинаковыми.

Для миграции домена системы Windows NT версий 3.51 или 4.0 в систему Windows 2000 необходимо сначала обновить основной контроллер домена до системы Windows 2000. При этом пользователи и группы из каталога домена автоматически загружаются в службу каталогов Active Directory. В рамках процесса обновления необходимо указать, что будет представлять собой этот домен:

·         корень нового дерева в новом лесу;

·         корень нового дерева доменов в существующем лесу;

·         дочерний домен существующего дерева доменов.

В этот момент домен представляет собой смешанный домен. Для управления этим доменом можно использовать средства администрирования Windows 2000, а также создать в каталоге иерархическую структуру папок организационных подразделений для делегирования административных полномочий. Резервные контроллеры доменов, серверы-члены домена и клиенты не меняются и не извещаются о том, что с этого момента роль основного контроллера домена играет сервер службы каталогов Active Directory.

Для миграции резервных контроллеров доменов каждый из них следует обновить до системы Windows 2000. В процессе обновления распознается резервный контроллер домена, он автоматически устанавливается как реплика службы каталогов Active Directory и вносится в топологию репликации. Когда на всех контроллерах домена будет установлена система Windows 2000, домен перестанет быть смешанным доменом и с этого момента появится возможность поддержки вложенных групп.

Серверы-члены домена

Для миграции серверов-членов домена их следует обновить до системы Windows 2000. Локальные пользователи и локальные группы хранятся в реестре сервера-члена домена и не переносятся в службу каталогов Active Directory. Обновление сервера-члена домена до Windows 2000 позволяет включить его в систему безопасности Kerberos, добавляет поддержку приложений, работающих со службой каталогов Active Directory, а также добавляет такие средства, как консоль управления MMC, оболочку, поддерживающую службу каталогов Active Directory, и общие диалоговые окна.

Клиенты

Для миграции клиентских рабочих станций, использующих систему Windows NT Workstation, их следует обновить до системы Windows 2000 Professional. Миграция клиентов на базе Windows 95 может быть произведена путем установки сервисного пакета, содержащего дополнительные программные компоненты, необходимые для работы со службой каталогов Active Directory. Обновление клиента дает возможность включить его в систему безопасности Kerberos, добавляет поддержку приложений, работающих со службой каталогов Active Directory, оболочку, поддерживающую службу каталогов Active Directory, и общие диалоговые окна.

Учетные записи пользователей

Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, учетные записи пользователей переносятся в Active Directory и помещаются в контейнер с именем Users в корне домена.

Учетные записи компьютеров

Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, учетные записи компьютеров переносятся в Active Directory и помещаются в контейнер с именем Computers в корне домена.

Глобальные группы

Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, группы переносятся в Active Directory и помещаются в контейнер с именем Users в корне домена. Встроенные группы находятся в специальном контейнере с именем Built-in.

часто задаваемые вопросы


Каким образом рабочая станция обнаруживает свой сайт?

Рабочая станция обнаруживает свой сайт, представляя свою подсеть первому найденному серверу службы каталогов Active Directory. Подсеть она находит, налагая свою маску подсети на свой адрес IP. Маска подсети и адрес IPO могут быть назначены посредством протокола DHCP или настроены статически. Первый сервер, к которому обратилась рабочая станция, использует представленную сеть для нахождения объекта-сайта, определяющего тот сайт, в котором находится данная рабочая станция. Если текущий сервер не находится в этом сайте, он извещает рабочую станцию о том, к какому серверу лучше обратиться.

Каким образом рабочая станция находит сервер каталога?

Рабочая станция находит сервер каталога обращением к DNS. Серверы каталога конкретного домена публикуют в DNS записи ресурса SRV с именами следующего вида

LDAP.TCP.<имя домена>

Таким образом, рабочая станция, подключающаяся к Microsoft.com, запросит DNS о записях SRV для LDAP.TCP.Microsoft.com. Из этого списка будет выбран сервер, и к нему произойдет обращение. Этот сервер с помощью сведений о подсети, представленных рабочей станцией, определит оптимальный сервер, как описано в ответе на предыдущий вопрос.

Как пользователю войти в систему?

Чтобы войти в систему Windows 2000 Professional, пользователь может применять различные имена различного формата. Среди них – форматы имен, поддерживаемые интерфейсом прикладного программирования DsCrackNames системы Win32®, которые используются для разбора имен в этих форматах.

·         Имя домена NETBIOS и имя SAM-Account-Name – это имя для входа в систему в стиле Windows NT 4.0. Имя домена NETBIOS – это имя, которое домен имел до миграции. Имя SAM-Account-Name – это имя учетной записи пользователя до миграции.

·         Основное имя пользователя – это имя в формате <дружественное_имя>@<имя_домена_dns_разделенное_точками>. Если такое имя не уникально, попытка входа приведет к ошибке Unknown User («Неизвестное имя пользователя»).

Что происходит со списками управления доступом к ресурсам домена после проведения миграции?

Переход не затрагивает списки управления доступом непосредственно. Если миграция всех доменов Windows NT 3.51 и Windows NT 4.0 производится на одном и том же месте, то с точки зрения ACL ничего не меняется.

Если же переместить сервер из ресурсного домена в организационное подразделение, расположенное в домене с перенесенными учетными записями, и удалить исходный домен, понадобится редактирование всех списков ACL, содержащих элементы ACE, указывающие на удаленный теперь домен. Но это не связано с переходом на систему Windows 2000: если удалить домен в любой версии Windows NT, идентификаторы безопасности, назначенные этим доменом, становятся недействительными.

Чтобы уменьшить объем работы, связанной с корректировкой ресурсов в списках ACL, следует поступать следующим образом: если есть ресурсный домен в системе Windows NT версий 3.51 или 4.0 и планируется заменить его организационным подразделением, а затем удалить в системе Windows 2000, не следует помещать группы из этого ресурсного домена в списки ACL. Заметьте, что это не относится к локальным группам, определенным на серверах-членах домена – это касается только групп, определенных на контроллерах доменов.

Корпорация Майкрософт собирается в будущем предоставлять в рамках системы Windows 2000 средства, помогающие корректировать списки ACL по отношению к ресурсам.

Что происходит со списками ACL при удалении домена?

При создании группы в домене она получает идентификатор безопасности (SID – Security Identifier), назначенный этим доменом. При помещении этого SID в какой-либо список ACL он дает доступ пользователям, имеющим этот идентификатор SID у себя в маркере. Идентификатор SID заносится в маркере пользователя при входе в домен, который назначил этот SID. Это может происходить незаметно для пользователя при входе в сеть.

При корректировке списка ACL вызывается интерфейс API LookupAccountName с этим идентификатором SID. Если удалить назначивший этот SID домен, в списке групп и пользователей для ACL появятся слова Unknown User («Неизвестный пользователь»). Это происходит в системах Windows NT 3.51 и Windows NT 4.0 при удалении домена или связи доверия.

Что происходит с локальными группами?

Ответ состоит из двух частей.

·         Часть 1. Локальные группы на серверах-членах домена. Локальные группы на сервере-члене домена остаются локальными. Они существуют только в базе SAM сервера-члена домена и не переносятся в службу каталогов Active Directory. Обычное применение локальной группы на сервере-члене домена – хранение глобальных групп из доменов учетных записей. Администратор сервера помещает локальную группу в списки ACL, указывающие на ресурсы сервера, и добавляет глобальную группу к этой локальной группе. В системе Windows 2000 этот принцип не изменяется. Единственная разница состоит в том, что глобальные группы становятся обычными группами и публикуются в службе каталогов Active Directory.

·         Часть 2. Локальные группы на контроллерах PDC и BDC. Резервные контроллеры доменов содержат реплики базы SAM, доступные только для чтения. При создании локальной группы на резервном контроллере операция создания выполняется дистанционно на основном контроллере домена и ее результаты реплицируются обратно на все резервные контроллеры домена. Семантически эти локальные группы идентичны локальным группам на сервере-члене домена, но они существуют на основном контроллере домена и на всех резервных контроллерах домена. При миграции на Windows 2000 процесс обновления создает объект локальной группы домена в службе каталогов Active Directory для каждой из них.

Когда производится поиск глобального каталога?

Поиск глобального каталога инициируется одним из следующих способов.

·         Осуществляется поиск LDAP, производимый в поддереве или на одном уровне, имеющем неопределенный корневой DN (корень пространства имен). В результате создается ссылка на глобальный каталог.

·         При помощи прямой ссылки на порт каталога GC в какой-либо реплике GC (хотя такой подход не характерен для клиентских приложений).

·         При помощи явной ссылки на провайдера каталога GC ADSI (GC://).

Обязательно ли использовать сервер DNS корпорации Майкрософт?

Нет. Использование сервера Microsoft DNS дает значительные преимущества, но работать будет и любой другой RFC-совместимый сервер DNS. Рекомендуется использовать динамическую систему DNS, потому что при использовании любого сервера динамической DNS, серверы службы каталогов Active Directory могут автоматически регистрировать в DNS необходимые записи. Статические серверы DNS тоже работают не хуже, но регистрация в DNS для каждого сервера службы каталогов Active Directory должна при этом выполняться вручную.

Какие преимущества дает использование сервера DNS корпорации Майкрософт?

Сервер DNS, включенный в состав Windows 2000, является RFC-совместимой и BIND-совместимой реализацией динамической системы DNS. Это естественная реализация для Windows 2000, а не способ переноса общедоступной реализации BIND. Сервер Microsoft DNS хранит зоны DNS, с которыми имеет право работать в пределах службы Active Directory. Данные DNS между серверами Microsoft DNS реплицируются с помощью репликаций службы Active Directory, а не передач Zone Transfer. Сервер Microsoft DNS поддерживает стандартную возможность DNS Zone Transfer для взаимодействия с другими серверами DNS.

Что произойдет с сервером DHCP?

Сервер DHCP для Windows 2000 в основном не изменился. Клиент DHCP работает с DNS и использует услуги динамической системы DNS для регистрации адресов, выданных DHCP непосредственно в DNS. Клиент DHCP будет также производить регистрацию на сервере WINS, если сервер DHCP указывает на сервер WINS.

Что произойдет с сервером WINS?

Сервер WINS в системе Windows 2000 не изменился. Клиентам Windows 2000 (и клиенты Windows 95 с установленным обновлением службы Active Directory) больше не нужно использовать пространство имен NETBIOS. Для клиентов предыдущих версий по-прежнему требуется сервер WINS для нахождения серверов (и наоборот – для поиска клиентов предыдущих версий). Когда на предприятии не останется клиентов предыдущих версий, сервер WINS может быть отключен.


Дополнительные сведения


Последние сведения о системе Windows 2000 Server можно найти в Интернете по адресу http://www.microsoft.com/ntserver, а также в форуме Windows NT Server Forum сети Microsoft (GO MSNTS).

 

 

 

 

 

 

 


 



[1] RFC 2136.

[2] Эта схема определяет много полезных свойств; эти два особенно полезны при поиске.

[3] Протокол LDAP версии 3 (RFC 2251) на момент составления этого документа (8/12/98) является предлагаемым стандартом.

[4] Интерфейс ADSI обеспечивает общий доступ ко многим каталогам, в том числе ко всем каталогам LDAP, Windows NT 4.0, NetWare 3.x и NetWare 4.x.

[5] Эти примеры ACE приведены только для иллюстрации – фактический синтаксис записи ACE будет отличаться от приведенного в этом примере.

[6] «Высокая пропускная способность» означает в данном контексте скорость передачи данных Ethernet (10 Мбит/c) или выше.

[7] Идентификаторы OID используются и во многих других приложениях, но наиболее известны они своим применением в приложениях службы каталогов.

[8] Международная организация стандартов (ISO) ведет список организаций-членов на своем веб-узле по адресу http://www.iso.ch