Служба каталогов Active Directory

Active Directory — одна из самых важных областей управления сетями в Windows. Active Directory — расширяемая и масштаби­руемая служба каталогов, которая поддерживает охватывающую всю сеть базу данных для хранения учетных записей и инфор­мации о ресурсах. При работе с Active Directory вы имеете дело с целостной системой именования, описания, поиска, изменения и защиты информации о ресурсах. Поэтому Active Directory от­лично подходит как для управления учетными записями пользо­вателей, групп и компьютеров, так и для работы с приложения­ми, файлами, принтерами и другими типами ресурсов. Active Di­rectory применяется для управления сетевой инфраструкту­рой, системного администрирования и управления пользова­тельскими средами.

Active Directory доступна только в доменах Windows с кон­троллерами домена под управлением Windows 2000 или более поздней версии. Контроллер домена (domain controller) — это сервер под управлением серверной версии операционной систе­мы Windows. Active Directory можно рассматривать как усовер­шенствование доменной архитектуры Windows NT, в которой на смену базе данных SAM (Security Accounts Manager) при­шла более гибкая, расширяемая и масштабируемая база дан­ных. Как и SAM, Active Directory используется в качестве цен­трализованного хранилища информации защиты; однако в от­личие от SAM служба Active Directory является еще и сред­ством интеграции гетерогенных систем. Она позволяет выпол­нять все операции управления ресурсами с помощью единого набора GUI-средств администрирования, работающих в Win­dows. В этой главе рассматриваются эквивалентные средства командной строки, управляющие службой каталогов.

Управление Active Directory из командной строки

Чтобы использовать многочисленные средства командной стро­ки, управляющие Active Directory, нужны базовые знания об Active Directory и ее структурах. В соответствии с замыслом Microsoft эта служба использует в качестве системы именова­ния DNS (Domain Name System). В DNS информация о сете­вых ресурсах хранится в виде иерархической структуры, соот­ветствующей схеме управления ресурсами. Эта иерархия до­менов, или дерево доменов, лежит в основе среды Active Di­rectory и во многом аналогична структуре каталогов файловой системы. Еще одно название этой иерархии — пространство имен (namespace). В каждой организации, использующей до­мены Active Directory, существует своя иерархия (или про­странство имен) Active Directory.

Домены, контейнеры и объекты

Для представления сетевых ресурсов, таких как пользователи, группы и компьютеры, в Active Directory используются объекты. Кроме того, специализированные объекты, называемые контейне­рами, служат для упорядочения сетевых ресурсов по территори­альным, функциональным или бизнес-признакам. Обычно контей­неры используются для группирования объектов, имеющих оди­наковые атрибуты. Например, если требуется применить опреде­ленный набор разрешений ко всем инженерам, это проще сделать, поместив всех этих пользователей в один контейнер.

Каждый контейнер отражает группу объектов, а каждый ре­сурс представляется уникальным объектом Active Directory. Са­мый общий тип контейнера Active Directory — организационная единица, или OU (organizational unit). Объекты, помещаемые в OU, принадлежат только домену, к которому она относится.

Домены, поддомены и OU в Active Directory никак не свя­заны с реальным миром, даже если вы используете территори­альное группирование доменов и OU. Это просто области ка­талога, где хранятся соответствующие данные. В Active Direc­tory они физически находятся в одном месте, пока вы не ука­жете, какие физические структуры сопоставляются вашим ло­гическим структурам доменов, поддоменов и OU.

На практике каждая из этих логических структур может ох­ватывать более одного участка. И не важно, что представляют собой эти участки, — разные этажи одного здания, разные зда­ния или даже города. Главное, что это различные физические участки. Чтобы сообщить Active Directory об этих участках, вы должны определить подсети и сайты. Подсеть (subnet) — часть сети со специфическим диапазоном IP-адресов и сетевой маской. Сайт (site) — группа, содержащая одну или несколько подсетей и сопоставленная физической структуре вашей сети. Поскольку сопоставления сайтов не зависят от логической структуры доме­нов, физическая структура сети и логическая структура доменов не обязательно должны быть связаны между собой.