ActiveDirectory («Активные директории», AD) + Домен

Primary tabs

vedro-compota's picture
Submitted by vedro-compota on Fri, 11/30/2012 - 13:03

Forums:

ActiveDirectory («Активные директории», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.

ActiveDirectory позволяет администраторам =

  1. использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды
  2. развёртывать программное обеспечение на множестве компьютеров через групповые политики,
  3. устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления WindowsServer

.

ActiveDirectory хранит данные и настройки среды в централизованной базе данных.
ActiveDirectory имеет иерархическую структуру, состоящую из объектов.

Объекты разделяются на три основные категории:

  1. ресурсы (например, принтеры)
  2. службы (например, электронная почта)
  3. и учётные записи пользователей и компьютеров.

ActiveDirectory =

  1. предоставляет информацию об объектах
  2. позволяет организовывать объекты
  3. управлять доступом к ним
  4. а также устанавливает правила безопасности.

Структура

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в ActiveDirectory.

Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия.

Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия.

Домены идентифицируются своими структурами имён DNS — пространствами имён.

Другим способом деления ActiveDirectory являются сайты, которые являются способом логической группировки на основе сегментов сети.

Сайты подразделяются на=

  1. имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть).

Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов.

При проектировании ActiveDirectory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.

Домен AD использует общую политику защиты и те же самые локальные и глобальные группы домена.

Домен служит границей репликации. AD допускает репликацию объектов домена только на контроллеры данного домена.

Мастерустановки Active Directory:

Start->Run->dcpromo->ActiveDirectory installation wizard.

Консолиуправления AD

Start->Administrative tools (Active Directory Users and Computers,
Computermanagement,Group Policy Management, etc.)

Контексты именования AD

  1. • Контекст именования «Схема» реплицируется на все DC в лесу.
  2. • Контекст именования "Конфигурация" реплицируется как «Схема», содержит информацию о конфигурации расположения AD на уровне леса.
  3. • Контекст именования «Домен» реплицируется на все DC в пределах одного домена - это основное хранилище данных.
  4. Пространство имен AD

Состав AD


Объекты =

  1. • groups
  2. • computers
  3. • domains
  4. • cites

Контроллер домена (DC)

Контроллер домена (DC)- хранитель копии БД ActiveDirectory
Управляет доступом и изменяет данные AD.

Функциональный уровень домена – регулирование уровня совместимости с теми или иными функциями и возможностями AD.


Лес представляет собой одно или несколько деревьев доменов, использующих общую схему и общую систему защиты.


В пределах леса существуют транзитивные доверительные отношения объединяющие все домены. По отношению к “чужим “ доменам лес может установить доверительные не транзитивные отношения.

SiteLink( или Связь сайтов) - это логическая цепочка связывающая два и более сайтов можно ассоциировать ее с физическим каналом, соединяющим сайты.

Sitebridge - Мосты связей сайтов применяются в сетях, не являющихся полностью маршрутизируемыми. Если сеть полностью маршрутизируемая, клиент (или сервер), расположенный в любой части сети, может подключиться к клиенту (или серверу) в любой другой части этой же сети (за исключением тех случаев, когда такая операция блокируется брандмауэрами). Типичная ситуация с не полностью маршрутизируемой сетью возникает, когда в компании имеется несколько региональных офисов и из одного такого офиса нет возможности через сеть связаться с другим. Или такая ситуация: сайты из одного региона не могут связаться с сайтами из другого региона.
В этом случае контроллер домена на сайте Бостона (см. рисунок выше) может напрямую осуществлять репликацию с контроллером домена сайта в Атланте, минуя все контроллеры домена в Нью-Йорке, даже если связи, соединяющей сайты Босто­на и Атланты, не существует.

Динамическая служба DNS

Динамический DNS— технология, позволяющая информации на DNS -сервере обновляться в реальном времени, и (по желанию) в автоматическом режиме. Она применяется для назначения постоянного доменного имени устройству (компьютеру, сетевому накопителю) с динамическим IP-адресом. Это может быть IP-адрес, полученный по DHCP или по IPCP в PPP-соединениях (например, при удалённом доступе через модем). Другие машины в Интернете могут устанавливать соединение с этой машиной по доменному имени и даже не знать, что IP-адрес изменился.
Динамическая DNS так же часто применяется в локальных сетях где клиенты получают IP-адрес по DHCP, а потом регистрируют свои имена в локальном DNS-сервере.
Протокол для обновления DNS описан в RFC 2136 и реализован (например) утилитой «nsupdate». Для безопасной аутентификации клиента можно использовать технологию «TSIG»

Key Words for FKN + antitotal forum (CS VSU):

  • Log in to post comments
  • 4880 reads