Служба каталогов Active Directory
Active Directory — одна из самых важных областей управления сетями в Windows. Active Directory — расширяемая и масштабируемая служба каталогов, которая поддерживает охватывающую всю сеть базу данных для хранения учетных записей и информации о ресурсах. При работе с Active Directory вы имеете дело с целостной системой именования, описания, поиска, изменения и защиты информации о ресурсах. Поэтому Active Directory отлично подходит как для управления учетными записями пользователей, групп и компьютеров, так и для работы с приложениями, файлами, принтерами и другими типами ресурсов. Active Directory применяется для управления сетевой инфраструктурой, системного администрирования и управления пользовательскими средами.
Active Directory доступна только в доменах Windows с контроллерами домена под управлением Windows 2000 или более поздней версии. Контроллер домена (domain controller) — это сервер под управлением серверной версии операционной системы Windows. Active Directory можно рассматривать как усовершенствование доменной архитектуры Windows NT, в которой на смену базе данных SAM (Security Accounts Manager) пришла более гибкая, расширяемая и масштабируемая база данных. Как и SAM, Active Directory используется в качестве централизованного хранилища информации защиты; однако в отличие от SAM служба Active Directory является еще и средством интеграции гетерогенных систем. Она позволяет выполнять все операции управления ресурсами с помощью единого набора GUI-средств администрирования, работающих в Windows. В этой главе рассматриваются эквивалентные средства командной строки, управляющие службой каталогов.
Управление Active Directory из командной строки
Чтобы использовать многочисленные средства командной строки, управляющие Active Directory, нужны базовые знания об Active Directory и ее структурах. В соответствии с замыслом Microsoft эта служба использует в качестве системы именования DNS (Domain Name System). В DNS информация о сетевых ресурсах хранится в виде иерархической структуры, соответствующей схеме управления ресурсами. Эта иерархия доменов, или дерево доменов, лежит в основе среды Active Directory и во многом аналогична структуре каталогов файловой системы. Еще одно название этой иерархии — пространство имен (namespace). В каждой организации, использующей домены Active Directory, существует своя иерархия (или пространство имен) Active Directory.
Домены, контейнеры и объекты
Для представления сетевых ресурсов, таких как пользователи, группы и компьютеры, в Active Directory используются объекты. Кроме того, специализированные объекты, называемые контейнерами, служат для упорядочения сетевых ресурсов по территориальным, функциональным или бизнес-признакам. Обычно контейнеры используются для группирования объектов, имеющих одинаковые атрибуты. Например, если требуется применить определенный набор разрешений ко всем инженерам, это проще сделать, поместив всех этих пользователей в один контейнер.
Каждый контейнер отражает группу объектов, а каждый ресурс представляется уникальным объектом Active Directory. Самый общий тип контейнера Active Directory — организационная единица, или OU (organizational unit). Объекты, помещаемые в OU, принадлежат только домену, к которому она относится.
Домены, поддомены и OU в Active Directory никак не связаны с реальным миром, даже если вы используете территориальное группирование доменов и OU. Это просто области каталога, где хранятся соответствующие данные. В Active Directory они физически находятся в одном месте, пока вы не укажете, какие физические структуры сопоставляются вашим логическим структурам доменов, поддоменов и OU.
На практике каждая из этих логических структур может охватывать более одного участка. И не важно, что представляют собой эти участки, — разные этажи одного здания, разные здания или даже города. Главное, что это различные физические участки. Чтобы сообщить Active Directory об этих участках, вы должны определить подсети и сайты. Подсеть (subnet) — часть сети со специфическим диапазоном IP-адресов и сетевой маской. Сайт (site) — группа, содержащая одну или несколько подсетей и сопоставленная физической структуре вашей сети. Поскольку сопоставления сайтов не зависят от логической структуры доменов, физическая структура сети и логическая структура доменов не обязательно должны быть связаны между собой.