Δημιουργία λογαριασμών χρήστη στην υπηρεσία καταλόγου Active Directory. Αρχές κατασκευής τομέων Active Directory
Το Active Directory είναι μια υπηρεσία καταλόγου της Microsoft για την οικογένεια λειτουργικών συστημάτων Windows NT.
Αυτή η υπηρεσία επιτρέπει στους διαχειριστές να χρησιμοποιούν πολιτικές ομάδας για να διασφαλίζουν την ομοιομορφία των ρυθμίσεων του περιβάλλοντος εργασίας του χρήστη, τις εγκαταστάσεις λογισμικού, τις ενημερώσεις κ.λπ.
Ποια είναι η ουσία του Active Directory και ποια προβλήματα λύνει; Συνέχισε να διαβάζεις.
Αρχές οργάνωσης δικτύων peer-to-peer και multi-peer
Αλλά προκύπτει ένα άλλο πρόβλημα, τι γίνεται αν ο χρήστης2 στο PC2 αποφασίσει να αλλάξει τον κωδικό πρόσβασής του; Στη συνέχεια, εάν ο χρήστης1 αλλάξει τον κωδικό πρόσβασης του λογαριασμού, ο χρήστης2 στο PC1 δεν θα έχει πρόσβαση στον πόρο.
Ένα άλλο παράδειγμα: έχουμε 20 σταθμούς εργασίας με 20 λογαριασμούς στους οποίους θέλουμε να παρέχουμε πρόσβαση σε έναν συγκεκριμένο , πρέπει να δημιουργήσουμε 20 λογαριασμούς στον διακομιστή αρχείων και να παρέχουμε πρόσβαση στον απαιτούμενο πόρο.
Τι γίνεται αν δεν είναι 20 αλλά 200;
Όπως καταλαβαίνετε, η διαχείριση δικτύου με αυτή την προσέγγιση μετατρέπεται σε απόλυτη κόλαση.
Επομένως, η προσέγγιση της ομάδας εργασίας είναι κατάλληλη για μικρά δίκτυα γραφείων με όχι περισσότερους από 10 υπολογιστές.
Εάν υπάρχουν περισσότεροι από 10 σταθμοί εργασίας στο δίκτυο, η προσέγγιση κατά την οποία σε έναν κόμβο δικτύου εκχωρούνται τα δικαιώματα για την εκτέλεση ελέγχου ταυτότητας και εξουσιοδότησης δικαιολογείται ορθολογικά.
Αυτός ο κόμβος είναι ο ελεγκτής τομέα - Active Directory.
Ελεγκτής τομέα
Ο ελεγκτής αποθηκεύει μια βάση δεδομένων λογαριασμών, π.χ. αποθηκεύει λογαριασμούς τόσο για PC1 όσο και για PC2.
Τώρα όλοι οι λογαριασμοί καταχωρούνται μία φορά στον ελεγκτή και η ανάγκη για τοπικούς λογαριασμούς δεν έχει νόημα.
Τώρα, όταν ένας χρήστης συνδέεται σε έναν υπολογιστή, εισάγοντας το όνομα χρήστη και τον κωδικό πρόσβασής του, αυτά τα δεδομένα μεταδίδονται σε ιδιωτική μορφή στον ελεγκτή τομέα, ο οποίος εκτελεί διαδικασίες ελέγχου ταυτότητας και εξουσιοδότησης.
Στη συνέχεια, ο ελεγκτής εκδίδει στον χρήστη που έχει συνδεθεί κάτι σαν διαβατήριο, με το οποίο στη συνέχεια εργάζεται στο δίκτυο και το παρουσιάζει κατόπιν αιτήματος άλλων υπολογιστών δικτύου, διακομιστές στους πόρους των οποίων θέλει να συνδεθεί.
Σπουδαίος! Ένας ελεγκτής τομέα είναι ένας υπολογιστής που εκτελεί την υπηρεσία καταλόγου Active Directory που ελέγχει την πρόσβαση των χρηστών στους πόρους δικτύου. Αποθηκεύει πόρους (π.χ. εκτυπωτές, κοινόχρηστους φακέλους), υπηρεσίες (π.χ. email), άτομα (λογαριασμοί χρηστών και ομάδων χρηστών), υπολογιστές (λογαριασμοί υπολογιστών).
Ο αριθμός τέτοιων αποθηκευμένων πόρων μπορεί να φτάσει εκατομμύρια αντικείμενα.
Οι ακόλουθες εκδόσεις των MS Windows μπορούν να λειτουργήσουν ως ελεγκτής τομέα: Windows Server 2000/2003/2008/2012 εκτός από την έκδοση Web.
Ο ελεγκτής τομέα, εκτός από το κέντρο ελέγχου ταυτότητας για το δίκτυο, είναι και το κέντρο ελέγχου για όλους τους υπολογιστές.
Αμέσως μετά την ενεργοποίηση, ο υπολογιστής αρχίζει να επικοινωνεί με τον ελεγκτή τομέα, πολύ πριν εμφανιστεί το παράθυρο ελέγχου ταυτότητας.
Έτσι, επαληθεύεται όχι μόνο ο χρήστης που εισάγει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης, αλλά και ο υπολογιστής-πελάτης.
Εγκατάσταση της υπηρεσίας καταλόγου Active Directory
Ας δούμε ένα παράδειγμα εγκατάστασης Active Directory στον Windows Server 2008 R2. Έτσι, για να εγκαταστήσετε τον ρόλο της υπηρεσίας καταλόγου Active Directory, μεταβείτε στη "Διαχείριση διακομιστή":
Προσθέστε τον ρόλο "Προσθήκη ρόλων":
Επιλέξτε τον ρόλο Υπηρεσίες τομέα Active Directory:
Και ας ξεκινήσουμε την εγκατάσταση:
Μετά από αυτό λαμβάνουμε ένα παράθυρο ειδοποίησης σχετικά με τον εγκατεστημένο ρόλο:
Μετά την εγκατάσταση του ρόλου του ελεγκτή τομέα, ας προχωρήσουμε στην εγκατάσταση του ίδιου του ελεγκτή.
Κάντε κλικ στο «Έναρξη» στο πεδίο αναζήτησης προγράμματος, πληκτρολογήστε το όνομα του οδηγού DCPromo, εκκινήστε τον και επιλέξτε το πλαίσιο για ρυθμίσεις εγκατάστασης για προχωρημένους:
Κάντε κλικ στο "Επόμενο" και επιλέξτε να δημιουργήσετε έναν νέο τομέα και ένα δάσος από τις επιλογές που προσφέρονται.
Εισαγάγετε το όνομα τομέα, για παράδειγμα, example.net.
Γράφουμε όνομα τομέα NetBIOS, χωρίς ζώνη:
Επιλέξτε το λειτουργικό επίπεδο του τομέα μας:
Λόγω των ιδιαιτεροτήτων της λειτουργίας του ελεγκτή τομέα, εγκαθιστούμε και διακομιστή DNS.
Το Active Directory (AD) είναι ένα βοηθητικό πρόγραμμα σχεδιασμένο για το λειτουργικό σύστημα Microsoft Server. Αρχικά δημιουργήθηκε ως ένας ελαφρύς αλγόριθμος για την πρόσβαση σε καταλόγους χρηστών. Από την έκδοση του Windows Server 2008, εμφανίστηκε η ενοποίηση με υπηρεσίες εξουσιοδότησης.
Επιτρέπει τη συμμόρφωση με την πολιτική ομάδας που εφαρμόζει τον ίδιο τύπο ρυθμίσεων και λογισμικού σε όλους τους ελεγχόμενους υπολογιστές χρησιμοποιώντας το System Center Configuration Manager.
Με απλά λόγια για αρχάριους, αυτός είναι ένας ρόλος διακομιστή που σας επιτρέπει να διαχειρίζεστε όλη την πρόσβαση και τα δικαιώματα στο τοπικό δίκτυο από ένα μέρος
Λειτουργίες και σκοποί
Microsoft Active Directory – (ο λεγόμενος κατάλογος) ένα πακέτο εργαλείων που σας επιτρέπει να χειρίζεστε χρήστες και δεδομένα δικτύου. Πρωταρχικός στόχοςδημιουργία – διευκόλυνση του έργου των διαχειριστών συστημάτων σε μεγάλα δίκτυα.
Οι κατάλογοι περιέχουν διάφορες πληροφορίες που σχετίζονται με χρήστες, ομάδες, συσκευές δικτύου, πόρους αρχείων - με μια λέξη, αντικείμενα. Για παράδειγμα, τα χαρακτηριστικά χρήστη που είναι αποθηκευμένα στον κατάλογο θα πρέπει να είναι τα ακόλουθα: διεύθυνση, σύνδεση, κωδικός πρόσβασης, αριθμός κινητού τηλεφώνου κ.λπ. Ο κατάλογος χρησιμοποιείται ως σημεία ελέγχου ταυτότητας, με το οποίο μπορείτε να μάθετε τις απαραίτητες πληροφορίες για τον χρήστη.
Βασικές έννοιες που συναντώνται κατά την εργασία
Υπάρχει μια σειρά από εξειδικευμένες έννοιες που χρησιμοποιούνται κατά την εργασία με AD:
- Ο διακομιστής είναι ένας υπολογιστής που περιέχει όλα τα δεδομένα.
- Ο ελεγκτής είναι ένας διακομιστής με το ρόλο AD που επεξεργάζεται αιτήματα από άτομα που χρησιμοποιούν τον τομέα.
- Ένας τομέας AD είναι μια συλλογή συσκευών που ενώνονται κάτω από ένα μοναδικό όνομα, χρησιμοποιώντας ταυτόχρονα μια βάση δεδομένων κοινού καταλόγου.
- Ο χώρος αποθήκευσης δεδομένων είναι το τμήμα του καταλόγου που είναι υπεύθυνο για την αποθήκευση και την ανάκτηση δεδομένων από οποιονδήποτε ελεγκτή τομέα.
Πώς λειτουργούν οι ενεργοί κατάλογοι
Οι βασικές αρχές λειτουργίας είναι:
- Εξουσιοδότηση, με το οποίο μπορείτε να χρησιμοποιήσετε τον υπολογιστή σας στο δίκτυο απλά εισάγοντας τον προσωπικό σας κωδικό πρόσβασης. Σε αυτήν την περίπτωση, όλες οι πληροφορίες από τον λογαριασμό μεταφέρονται.
- Ασφάλεια. Η υπηρεσία καταλόγου Active Directory περιέχει λειτουργίες αναγνώρισης χρηστών. Για οποιοδήποτε αντικείμενο δικτύου, μπορείτε από απόσταση, από μία συσκευή, να ορίσετε τα απαραίτητα δικαιώματα, τα οποία θα εξαρτηθούν από τις κατηγορίες και τους συγκεκριμένους χρήστες.
- Διαχείριση δικτύουαπό ένα σημείο. Όταν εργάζεστε με την υπηρεσία καταλόγου Active Directory, ο διαχειριστής του συστήματος δεν χρειάζεται να ρυθμίσει εκ νέου όλους τους υπολογιστές εάν είναι απαραίτητο να αλλάξετε δικαιώματα πρόσβασης, για παράδειγμα, σε έναν εκτυπωτή. Οι αλλαγές πραγματοποιούνται εξ αποστάσεως και παγκοσμίως.
- Γεμάτος Ενσωμάτωση DNS. Με τη βοήθειά του, δεν υπάρχει σύγχυση στο AD, όλες οι συσκευές έχουν οριστεί ακριβώς όπως στον Παγκόσμιο Ιστό.
- Μεγάλης κλίμακας. Ένα σύνολο διακομιστών μπορεί να ελεγχθεί από μία υπηρεσία καταλόγου Active Directory.
- Αναζήτησηεκτελείται σύμφωνα με διάφορες παραμέτρους, για παράδειγμα, όνομα υπολογιστή, σύνδεση.
Αντικείμενα και Ιδιότητες
Ένα αντικείμενο είναι ένα σύνολο χαρακτηριστικών, ενωμένα με το δικό του όνομα, που αντιπροσωπεύουν έναν πόρο δικτύου.
Χαρακτηριστικό - χαρακτηριστικά ενός αντικειμένου στον κατάλογο. Για παράδειγμα, αυτά περιλαμβάνουν το πλήρες όνομα και τη σύνδεση του χρήστη. Αλλά τα χαρακτηριστικά ενός λογαριασμού υπολογιστή μπορεί να είναι το όνομα αυτού του υπολογιστή και η περιγραφή του.
Το "Employee" είναι ένα αντικείμενο που έχει τα χαρακτηριστικά "Name", "Position" και "TabN".
Δοχείο LDAP και όνομα
Το δοχείο είναι ένας τύπος αντικειμένου που μπορεί αποτελούνται από άλλα αντικείμενα. Ένας τομέας, για παράδειγμα, μπορεί να περιλαμβάνει αντικείμενα λογαριασμού.
Ο κύριος σκοπός τους είναι οργάνωση αντικειμένωνανά τύπο σημείων. Τις περισσότερες φορές, τα κοντέινερ χρησιμοποιούνται για την ομαδοποίηση αντικειμένων με τα ίδια χαρακτηριστικά.
Σχεδόν όλα τα κοντέινερ αντιστοιχίζουν μια συλλογή αντικειμένων και οι πόροι αντιστοιχίζονται σε ένα μοναδικό αντικείμενο Active Directory. Ένας από τους κύριους τύπους κοντέινερ AD είναι η ενότητα οργάνωσης ή OU (οργανωτική μονάδα). Τα αντικείμενα που τοποθετούνται σε αυτό το κοντέινερ ανήκουν μόνο στον τομέα στον οποίο δημιουργούνται.
Το Lightweight Directory Access Protocol (LDAP) είναι ο βασικός αλγόριθμος για συνδέσεις TCP/IP. Έχει σχεδιαστεί για να μειώνει τον όγκο των αποχρώσεων κατά την πρόσβαση σε υπηρεσίες καταλόγου. Επίσης, το LDAP έχει ορίσει ενέργειες που χρησιμοποιούνται για την υποβολή ερωτημάτων και την επεξεργασία δεδομένων καταλόγου.
Δέντρο και τοποθεσία
Ένα δέντρο τομέα είναι μια δομή, μια συλλογή τομέων που έχουν ένα κοινό σχήμα και διαμόρφωση, που σχηματίζουν έναν κοινό χώρο ονομάτων και συνδέονται με σχέσεις εμπιστοσύνης.
Ένα δάσος τομέα είναι μια συλλογή δέντρων που συνδέονται μεταξύ τους.
Ένας ιστότοπος είναι μια συλλογή συσκευών σε υποδίκτυα IP, που αντιπροσωπεύουν ένα φυσικό μοντέλο του δικτύου, ο σχεδιασμός του οποίου πραγματοποιείται ανεξάρτητα από τη λογική αναπαράσταση της κατασκευής του. Η υπηρεσία καταλόγου Active Directory έχει τη δυνατότητα να δημιουργήσει έναν n-αριθμό τοποθεσιών ή να συνδυάσει έναν n-αριθμό τομέων σε έναν ιστότοπο.
Εγκατάσταση και διαμόρφωση της υπηρεσίας καταλόγου Active Directory
Τώρα ας προχωρήσουμε απευθείας στη ρύθμιση της υπηρεσίας καταλόγου Active Directory χρησιμοποιώντας τον Windows Server 2008 ως παράδειγμα (η διαδικασία είναι ίδια σε άλλες εκδόσεις):
Κάντε κλικ στο κουμπί "OK". Αξίζει να σημειωθεί ότι τέτοιες τιμές δεν απαιτούνται. Μπορείτε να χρησιμοποιήσετε τη διεύθυνση IP και το DNS από το δίκτυό σας. 
- Στη συνέχεια, πρέπει να μεταβείτε στο μενού "Έναρξη", επιλέξτε "Διαχείριση" και "".
- Μεταβείτε στο στοιχείο "Ρόλοι", επιλέξτε το " Προσθέστε ρόλους”.
- Επιλέξτε «Υπηρεσίες τομέα Active Directory», κάντε κλικ στο «Επόμενο» δύο φορές και μετά «Εγκατάσταση».
- Περιμένετε να ολοκληρωθεί η εγκατάσταση.
- Ανοίξτε το μενού "Έναρξη" -" Εκτέλεση" Εισαγάγετε dcpromo.exe στο πεδίο.
- Κάντε κλικ στο «Επόμενο».
- Επιλέξτε αντικείμενο " Δημιουργήστε έναν νέο τομέα σε ένα νέο δάσος» και κάντε ξανά κλικ στο «Επόμενο».
- Στο επόμενο παράθυρο, πληκτρολογήστε ένα όνομα και κάντε κλικ στο "Επόμενο".
- Επιλέγω Λειτουργία συμβατότητας(Windows Server 2008).
- Στο επόμενο παράθυρο, αφήστε τα πάντα ως προεπιλογή.
- Θα ξεκινήσει παράθυρο διαμόρφωσηςDNS. Δεδομένου ότι δεν είχε χρησιμοποιηθεί στο διακομιστή στο παρελθόν, δεν δημιουργήθηκε αντιπροσωπεία.
- Επιλέξτε τον κατάλογο εγκατάστασης.
- Μετά από αυτό το βήμα πρέπει να ρυθμίσετε κωδικό πρόσβασης διαχείρισης.
Για να είναι ασφαλής, ο κωδικός πρόσβασης πρέπει να πληροί τις ακόλουθες απαιτήσεις:
Αφού η AD ολοκληρώσει τη διαδικασία διαμόρφωσης στοιχείων, πρέπει να επανεκκινήσετε τον διακομιστή.
Η εγκατάσταση έχει ολοκληρωθεί, το συμπληρωματικό πρόγραμμα και ο ρόλος έχουν εγκατασταθεί στο σύστημα. Μπορείτε να εγκαταστήσετε το AD μόνο σε κανονικές εκδόσεις της οικογένειας Windows Server, για παράδειγμα 7 ή 10, μπορεί να σας επιτρέψει μόνο να εγκαταστήσετε την κονσόλα διαχείρισης.
Διαχείριση στην υπηρεσία καταλόγου Active Directory
Από προεπιλογή, στον Windows Server, η κονσόλα Active Directory Users and Computers λειτουργεί με τον τομέα στον οποίο ανήκει ο υπολογιστής. Μπορείτε να αποκτήσετε πρόσβαση σε αντικείμενα υπολογιστή και χρήστη σε αυτόν τον τομέα μέσω του δέντρου της κονσόλας ή να συνδεθείτε σε άλλο ελεγκτή.
Τα εργαλεία στην ίδια κονσόλα σάς επιτρέπουν να προβάλλετε Επιπλέον επιλογέςαντικείμενα και να τα αναζητήσετε, μπορείτε να δημιουργήσετε νέους χρήστες, ομάδες και να αλλάξετε δικαιώματα.
Παρεμπιπτόντως, υπάρχει 2 είδη ομάδωνστον Κατάλογο περιουσιακών στοιχείων - ασφάλεια και διανομή. Οι ομάδες ασφαλείας είναι υπεύθυνες για την οριοθέτηση των δικαιωμάτων πρόσβασης σε αντικείμενα, μπορούν να χρησιμοποιηθούν ως ομάδες διανομής.
Οι ομάδες διανομής δεν μπορούν να διαφοροποιήσουν δικαιώματα και χρησιμοποιούνται κυρίως για τη διανομή μηνυμάτων στο δίκτυο.
Τι είναι η αντιπροσωπεία AD
Η ίδια η αντιπροσωπεία είναι μεταφορά μέρους των αδειών και ελέγχουαπό τον γονέα σε άλλο υπεύθυνο.
Είναι γνωστό ότι κάθε οργανισμός έχει αρκετούς διαχειριστές συστήματος στα κεντρικά γραφεία του. Διαφορετικές εργασίες πρέπει να ανατίθενται σε διαφορετικούς ώμους. Για να εφαρμόσετε αλλαγές, πρέπει να έχετε δικαιώματα και δικαιώματα, τα οποία χωρίζονται σε τυπικά και ειδικά. Τα συγκεκριμένα δικαιώματα ισχύουν για ένα συγκεκριμένο αντικείμενο, ενώ τα τυπικά δικαιώματα είναι ένα σύνολο υπαρχόντων δικαιωμάτων που καθιστούν διαθέσιμες ή μη διαθέσιμες συγκεκριμένες λειτουργίες.
Εδραίωση εμπιστοσύνης
Υπάρχουν δύο τύποι σχέσεων εμπιστοσύνης στο AD: "μονόδρομος" και "αμφίδρομος". Στην πρώτη περίπτωση, ο ένας τομέας εμπιστεύεται τον άλλο, αλλά όχι το αντίστροφο, ο πρώτος έχει πρόσβαση στους πόρους του δεύτερου και ο δεύτερος δεν έχει πρόσβαση. Στο δεύτερο είδος, η εμπιστοσύνη είναι «αμοιβαία». Υπάρχουν επίσης «εξερχόμενες» και «εισερχόμενες» σχέσεις. Στην εξερχόμενη, ο πρώτος τομέας εμπιστεύεται τον δεύτερο, επιτρέποντας έτσι στους χρήστες του δεύτερου να χρησιμοποιήσουν τους πόρους του πρώτου.
Κατά την εγκατάσταση θα πρέπει να ακολουθούνται οι ακόλουθες διαδικασίες:
- Ελεγχοςσυνδέσεις δικτύου μεταξύ ελεγκτών.
- Ελέγξτε τις ρυθμίσεις.
- Αρμονίαανάλυση ονόματος για εξωτερικούς τομείς.
- Δημιουργήστε μια σύνδεσηαπό τον αξιόπιστο τομέα.
- Δημιουργήστε μια σύνδεση στο πλάι του ελεγκτή στον οποίο απευθύνεται η εμπιστοσύνη.
- Ελέγξτε τις μονόδρομες σχέσεις που δημιουργήθηκαν.
- Αν προκύπτει η ανάγκηστη σύναψη διμερών σχέσεων - κάντε μια εγκατάσταση.
Παγκόσμιος κατάλογος
Αυτός είναι ένας ελεγκτής τομέα που αποθηκεύει αντίγραφα όλων των αντικειμένων στο δάσος. Δίνει στους χρήστες και τα προγράμματα τη δυνατότητα να αναζητούν αντικείμενα σε οποιοδήποτε τομέα του τρέχοντος δάσους χρησιμοποιώντας εργαλεία ανακάλυψης χαρακτηριστικώνπεριλαμβάνονται στον παγκόσμιο κατάλογο.
Ο καθολικός κατάλογος (GC) περιλαμβάνει ένα περιορισμένο σύνολο χαρακτηριστικών για κάθε αντικείμενο δασικού δάσους σε κάθε τομέα. Λαμβάνει δεδομένα από όλα τα διαμερίσματα καταλόγου τομέα στο σύμπλεγμα δομών και αντιγράφεται χρησιμοποιώντας την τυπική διαδικασία αναπαραγωγής της υπηρεσίας καταλόγου Active Directory.
Το σχήμα καθορίζει εάν το χαρακτηριστικό θα αντιγραφεί. Υπαρχει η πιθανοτητα διαμόρφωση πρόσθετων λειτουργιών, το οποίο θα αναδημιουργηθεί στον παγκόσμιο κατάλογο χρησιμοποιώντας το «Σχήμα καταλόγου Active Directory». Για να προσθέσετε ένα χαρακτηριστικό στον καθολικό κατάλογο, πρέπει να επιλέξετε το χαρακτηριστικό αναπαραγωγής και να χρησιμοποιήσετε την επιλογή "Αντιγραφή". Αυτό θα δημιουργήσει αναπαραγωγή του χαρακτηριστικού στον καθολικό κατάλογο. Τιμή παραμέτρου χαρακτηριστικού isMemberOfPartialAttributeSetθα γίνει αληθινό.
Ωστε να μάθετε την τοποθεσίαπαγκόσμιος κατάλογος, πρέπει να εισαγάγετε στη γραμμή εντολών:
Διακομιστής Dsquery –isgc
Αντιγραφή δεδομένων στην υπηρεσία καταλόγου Active Directory
Η αναπαραγωγή είναι μια διαδικασία αντιγραφής που πραγματοποιείται όταν είναι απαραίτητο να αποθηκευτούν εξίσου ενημερωμένες πληροφορίες που υπάρχουν σε οποιονδήποτε ελεγκτή.
Παράγεται χωρίς συμμετοχή χειριστή. Υπάρχουν οι ακόλουθοι τύποι περιεχομένου αντιγράφων:
- Τα αντίγραφα δεδομένων δημιουργούνται από όλους τους υπάρχοντες τομείς.
- Αντίγραφα σχημάτων δεδομένων. Δεδομένου ότι το σχήμα δεδομένων είναι το ίδιο για όλα τα αντικείμενα στο σύμπλεγμα δομών Active Directory, τα αντίγραφά του διατηρούνται σε όλους τους τομείς.
- Δεδομένα διαμόρφωσης. Εμφανίζει την κατασκευή αντιγράφων μεταξύ των ελεγκτών. Οι πληροφορίες διανέμονται σε όλους τους τομείς στο δάσος.
Οι κύριοι τύποι αντιγράφων είναι ενδο-κόμβος και ενδο-κόμβος.
Στην πρώτη περίπτωση, μετά τις αλλαγές, το σύστημα περιμένει και μετά ειδοποιεί τον συνεργάτη να δημιουργήσει ένα αντίγραφο για να ολοκληρώσει τις αλλαγές. Ακόμη και απουσία αλλαγών, η διαδικασία αναπαραγωγής πραγματοποιείται αυτόματα μετά από ένα ορισμένο χρονικό διάστημα. Μετά την εφαρμογή αλλαγών στους καταλόγους, η αναπαραγωγή πραγματοποιείται αμέσως.
Διαδικασία αντιγραφής μεταξύ κόμβων συμβαίνει ενδιάμεσαελάχιστο φορτίο στο δίκτυο, αποφεύγεται η απώλεια πληροφοριών.
Η τεχνολογία Active Directory (AD) είναι μια υπηρεσία καταλόγου που δημιουργήθηκε από τη Microsoft. Μια υπηρεσία καταλόγου περιέχει δεδομένα σε οργανωμένη μορφή και παρέχει οργανωμένη πρόσβαση σε αυτά. Το Active Directory δεν είναι εφεύρεση της Microsoft, αλλά υλοποίηση ενός υπάρχοντος βιομηχανικού μοντέλου (συγκεκριμένα X.500), ενός πρωτοκόλλου επικοινωνίας (LDAP - Lightweight Directory Access Protocol) και τεχνολογίας ανάκτησης δεδομένων (υπηρεσίες DNS).
Η εκμάθηση σχετικά με την υπηρεσία καταλόγου Active Directory θα πρέπει να ξεκινήσει με την κατανόηση του σκοπού αυτής της τεχνολογίας. Σε γενικές γραμμές, ένας κατάλογος είναι ένα κοντέινερ για την αποθήκευση δεδομένων.
Ένας τηλεφωνικός κατάλογος είναι ένα καλό παράδειγμα υπηρεσίας καταλόγου επειδή περιέχει ένα σύνολο δεδομένων και παρέχει τη δυνατότητα λήψης των απαραίτητων πληροφοριών από τον κατάλογο. Ο κατάλογος περιέχει διάφορες καταχωρήσεις, καθεμία από τις οποίες έχει τη δική της σημασία, για παράδειγμα, το όνομα και το επώνυμο των συνδρομητών, τη διεύθυνση κατοικίας τους και, μάλιστα, τον αριθμό τηλεφώνου τους. Σε έναν εκτεταμένο κατάλογο, οι εγγραφές ομαδοποιούνται κατά γεωγραφική θέση, τύπο ή και τα δύο. Με αυτόν τον τρόπο, μπορεί να διαμορφωθεί μια ιεραρχία τύπων εγγραφών για κάθε γεωγραφική τοποθεσία. Επιπλέον, ο τηλεφωνητής πληροί επίσης τον ορισμό της υπηρεσίας καταλόγου επειδή έχει πρόσβαση στα δεδομένα. Επομένως, εάν υποβάλετε αίτημα λήψης δεδομένων καταλόγου, ο χειριστής θα εκδώσει την απαιτούμενη απάντηση στο ληφθέν αίτημα.
Η υπηρεσία καταλόγου Active Directory έχει σχεδιαστεί για να αποθηκεύει πληροφορίες σχετικά με όλους τους πόρους του δικτύου. Οι πελάτες έχουν τη δυνατότητα να υποβάλουν ερωτήματα στην υπηρεσία καταλόγου Active Directory για να λάβουν πληροφορίες σχετικά με οποιοδήποτε αντικείμενο δικτύου. Οι δυνατότητες του Active Directory περιλαμβάνουν τα ακόλουθα:
- Ασφαλής αποθήκευση δεδομένων. Κάθε αντικείμενο στην υπηρεσία καταλόγου Active Directory έχει τη δική του λίστα ελέγχου πρόσβασης (ACL), η οποία περιέχει μια λίστα πόρων στους οποίους έχει εκχωρηθεί πρόσβαση στο αντικείμενο, καθώς και ένα προκαθορισμένο επίπεδο πρόσβασης σε αυτό το αντικείμενο.
- Μια μηχανή ερωτημάτων πλούσια σε χαρακτηριστικά που βασίζεται στον παγκόσμιο κατάλογο (GC) που δημιουργήθηκε από την Active Directory. Όλοι οι πελάτες που υποστηρίζουν την υπηρεσία καταλόγου Active Directory έχουν πρόσβαση σε αυτόν τον κατάλογο.
- Η αναπαραγωγή δεδομένων καταλόγου σε όλους τους ελεγκτές τομέα απλοποιεί την πρόσβαση στις πληροφορίες, βελτιώνει τη διαθεσιμότητα και βελτιώνει την αξιοπιστία ολόκληρης της υπηρεσίας.
- Μια αρθρωτή ιδέα επέκτασης που σας επιτρέπει να προσθέσετε νέους τύπους αντικειμένων ή να επεκτείνετε υπάρχοντα αντικείμενα. Για παράδειγμα, μπορείτε να προσθέσετε το χαρακτηριστικό "salary" στο αντικείμενο "user".
- Επικοινωνία δικτύου με χρήση πολλαπλών πρωτοκόλλων. Το Active Directory βασίζεται στο μοντέλο X.500, το οποίο υποστηρίζει διάφορα πρωτόκολλα δικτύου όπως LDAP 2, LDAP 3 και HTTP.
- Η υπηρεσία DNS χρησιμοποιείται αντί για το NetBIOS για την υλοποίηση της υπηρεσίας ονομάτων ελεγκτή τομέα και την αναζήτηση διευθύνσεων δικτύου.
Οι πληροφορίες καταλόγου διανέμονται σε ολόκληρο τον τομέα, αποφεύγοντας έτσι την υπερβολική αντιγραφή δεδομένων.
Παρόλο που το Active Directory διανέμει πληροφορίες καταλόγου σε διαφορετικά καταστήματα, οι χρήστες έχουν τη δυνατότητα να υποβάλουν ερωτήματα στην Active Directory για πληροφορίες σχετικά με άλλους τομείς. Παγκόσμιος κατάλογοςπεριέχει πληροφορίες για όλα τα αντικείμενα σε ένα εταιρικό δάσος, βοηθώντας σας να αναζητήσετε δεδομένα σε ολόκληρο το δάσος.
Όταν εκτελείτε το βοηθητικό πρόγραμμα DCPROMO (Βοηθητικό πρόγραμμα προώθησης ελεγκτή τομέα) σε έναν υπολογιστή με Windows για να δημιουργήσετε έναν νέο τομέα, το βοηθητικό πρόγραμμα δημιουργεί τον τομέα στον διακομιστή DNS. Στη συνέχεια, ο πελάτης επικοινωνεί με τον διακομιστή DNS για να λάβει πληροφορίες σχετικά με τον τομέα του. Ο διακομιστής DNS παρέχει πληροφορίες όχι μόνο για τον τομέα, αλλά και για τον πλησιέστερο ελεγκτή τομέα. Το σύστημα πελάτη, με τη σειρά του, συνδέεται με τη βάση δεδομένων τομέα Active Directory στον πλησιέστερο ελεγκτή τομέα για να βρει τα απαραίτητα αντικείμενα (εκτυπωτές, διακομιστές αρχείων, χρήστες, ομάδες, οργανικές μονάδες) που αποτελούν μέρος του τομέα. Επειδή κάθε ελεγκτής τομέα αποθηκεύει αναφορές σε άλλους τομείς στο δέντρο, ο πελάτης μπορεί να πραγματοποιήσει αναζήτηση σε ολόκληρο το δέντρο τομέα.
Μια γεύση της υπηρεσίας καταλόγου Active Directory που παραθέτει όλα τα αντικείμενα σε ένα σύμπλεγμα δομών τομέα είναι διαθέσιμη όταν χρειάζεται να βρείτε δεδομένα εκτός του δέντρου τομέα του πελάτη. Αυτή η έκδοση ονομάζεται παγκόσμιος κατάλογος. Ο καθολικός κατάλογος μπορεί να αποθηκευτεί σε οποιονδήποτε ελεγκτή τομέα στο δάσος AD.
Ο καθολικός κατάλογος παρέχει γρήγορη πρόσβαση σε κάθε αντικείμενο που βρίσκεται στο σύμπλεγμα δομών τομέα, αλλά περιέχει μόνο ορισμένες παραμέτρους αντικειμένων. Για να αποκτήσετε όλα τα χαρακτηριστικά, πρέπει να επικοινωνήσετε με την υπηρεσία Active Directory του τομέα προορισμού (τον ελεγκτή του τομέα ενδιαφέροντος). Ο καθολικός κατάλογος μπορεί να ρυθμιστεί ώστε να παρέχει τις απαιτούμενες ιδιότητες αντικειμένου.
Για να απλοποιηθεί η διαδικασία δημιουργίας αντικειμένων της υπηρεσίας καταλόγου Active Directory, ο ελεγκτής τομέα διατηρεί ένα αντίγραφο και μια ιεραρχία κλάσεων για ολόκληρο το σύμπλεγμα δομών. Η υπηρεσία καταλόγου Active Directory περιέχει δομές κλάσεων σε ένα επεκτάσιμο σχήμα στο οποίο μπορούν να προστεθούν νέες κλάσεις.
Σχήμαείναι μέρος του χώρου ονομάτων διαμόρφωσης των Windows που υποστηρίζεται από όλους τους ελεγκτές τομέα στο σύμπλεγμα δομών. Ο χώρος ονομάτων ρύθμισης παραμέτρων των Windows αποτελείται από πολλά δομικά στοιχεία, όπως φυσική τοποθεσία, τοποθεσίες Windows και υποδίκτυα.
Ιστοσελίδαπεριέχεται σε ένα σύμπλεγμα δομών και μπορεί να συνδυάσει υπολογιστές από οποιονδήποτε τομέα και όλοι οι υπολογιστές στον ιστότοπο πρέπει να έχουν γρήγορες και αξιόπιστες συνδέσεις δικτύου για τη δημιουργία αντιγράφων ασφαλείας των δεδομένων ελεγκτή τομέα.
Υποδίκτυοείναι μια ομάδα διευθύνσεων IP που εκχωρούνται σε έναν ιστότοπο. Τα υποδίκτυα σάς επιτρέπουν να επιταχύνετε την αναπαραγωγή δεδομένων Active Directory μεταξύ ελεγκτών τομέα.
Ενεργό αρχείο
Ενεργό αρχείο("Ενεργοί κατάλογοι", ΕΝΑ Δ) - LDAP-Συμβατή υλοποίηση της υπηρεσίας καταλόγου της εταιρείας Microsoftγια οικογενειακά λειτουργικά συστήματα Windows NT. Ενεργό αρχείοεπιτρέπει στους διαχειριστές να χρησιμοποιούν πολιτικές ομάδας για να διασφαλίζουν ομοιόμορφη διαμόρφωση του περιβάλλοντος εργασίας του χρήστη, να αναπτύσσουν λογισμικό σε πολλούς υπολογιστές μέσω πολιτικών ομάδας ή μέσω System Center Configuration Manager(προηγουμένως Διακομιστής διαχείρισης συστημάτων Microsoft), εγκαταστήστε ενημερώσεις λογισμικού λειτουργικού συστήματος, εφαρμογών και διακομιστή σε όλους τους υπολογιστές του δικτύου χρησιμοποιώντας την υπηρεσία ενημέρωσης Windows Server . Ενεργό αρχείοαποθηκεύει δεδομένα και ρυθμίσεις περιβάλλοντος σε μια κεντρική βάση δεδομένων. Δίκτυα Ενεργό αρχείομπορεί να είναι διαφορετικών μεγεθών: από πολλές δεκάδες έως πολλά εκατομμύρια αντικείμενα.
Εκτέλεση Ενεργό αρχείοπραγματοποιήθηκε το 1999, το προϊόν κυκλοφόρησε για πρώτη φορά με Windows 2000 Server, και αργότερα τροποποιήθηκε και βελτιώθηκε κατά την κυκλοφορία Windows Server 2003. Ακολούθως Ενεργό αρχείοέχει βελτιωθεί σε Windows Server 2003 R2, Windows Server 2008Και Windows Server 2008 R2και μετονομάστηκε σε Υπηρεσίες τομέα Active Directory. Η υπηρεσία καταλόγου κλήθηκε προηγουμένως Υπηρεσία καταλόγου NT (NTDS), αυτό το όνομα μπορεί ακόμα να βρεθεί σε ορισμένα εκτελέσιμα αρχεία.
Σε αντίθεση με τις εκδόσεις Windowsπριν Windows 2000, που χρησιμοποιούσε κυρίως το πρωτόκολλο NetBIOSγια δικτυακή επικοινωνία, υπηρεσία Ενεργό αρχείοενσωματωμένο με DNSΚαι TCP/IP. Το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας είναι Kerberos. Εάν ο πελάτης ή η εφαρμογή δεν υποστηρίζει έλεγχο ταυτότητας Kerberos, χρησιμοποιείται το πρωτόκολλο NTLM .
Συσκευή
Αντικείμενα
Ενεργό αρχείοέχει μια ιεραρχική δομή που αποτελείται από αντικείμενα. Τα αντικείμενα εμπίπτουν σε τρεις κύριες κατηγορίες: πόρους (όπως εκτυπωτές), υπηρεσίες (όπως email) και λογαριασμούς χρηστών και υπολογιστών. Ενεργό αρχείοπαρέχει πληροφορίες σχετικά με αντικείμενα, σας επιτρέπει να οργανώνετε αντικείμενα, να ελέγχετε την πρόσβαση σε αυτά και επίσης να καθορίζετε κανόνες ασφαλείας.
Τα αντικείμενα μπορούν να είναι κοντέινερ για άλλα αντικείμενα (ομάδες ασφαλείας και διανομής). Ένα αντικείμενο προσδιορίζεται μοναδικά από το όνομά του και έχει ένα σύνολο χαρακτηριστικών—χαρακτηριστικών και δεδομένων—που μπορεί να περιέχει. τα τελευταία, με τη σειρά τους, εξαρτώνται από τον τύπο του αντικειμένου. Τα χαρακτηριστικά αποτελούν τη βάση της δομής ενός αντικειμένου και ορίζονται στο σχήμα. Το σχήμα ορίζει ποιοι τύποι αντικειμένων μπορούν να υπάρχουν.
Το ίδιο το σχήμα αποτελείται από δύο τύπους αντικειμένων: αντικείμενα κλάσης σχήματος και αντικείμενα χαρακτηριστικών σχήματος. Ένα αντικείμενο κλάσης σχήματος ορίζει έναν τύπο αντικειμένου Ενεργό αρχείο(όπως ένα αντικείμενο χρήστη) και ένα αντικείμενο χαρακτηριστικού σχήματος ορίζει το χαρακτηριστικό που μπορεί να έχει το αντικείμενο.
Κάθε αντικείμενο χαρακτηριστικών μπορεί να χρησιμοποιηθεί σε πολλά διαφορετικά αντικείμενα κλάσης σχήματος. Αυτά τα αντικείμενα ονομάζονται αντικείμενα σχήματος (ή μεταδεδομένα) και σας επιτρέπουν να αλλάξετε και να επεκτείνετε το σχήμα όπως απαιτείται. Ωστόσο, κάθε αντικείμενο σχήματος είναι μέρος των ορισμών των αντικειμένων Ενεργό αρχείο, επομένως η απενεργοποίηση ή η αλλαγή αυτών των αντικειμένων μπορεί να έχει σοβαρές συνέπειες, καθώς ως αποτέλεσμα αυτών των ενεργειών θα αλλάξει η δομή Ενεργό αρχείο. Οι αλλαγές σε ένα αντικείμενο σχήματος διαδίδονται αυτόματα σε Ενεργό αρχείο. Αφού δημιουργηθεί, ένα αντικείμενο σχήματος δεν μπορεί να διαγραφεί, μπορεί μόνο να απενεργοποιηθεί. Συνήθως, όλες οι αλλαγές σχήματος σχεδιάζονται προσεκτικά.
Δοχείοπαρόμοιος αντικείμενομε την έννοια ότι έχει επίσης ιδιότητες και ανήκει σε έναν χώρο ονομάτων, αλλά, σε αντίθεση με ένα αντικείμενο, ένα κοντέινερ δεν σημαίνει τίποτα συγκεκριμένο: μπορεί να περιέχει μια ομάδα αντικειμένων ή άλλα δοχεία.
Δομή
Το ανώτερο επίπεδο της δομής είναι το δάσος - η συλλογή όλων των αντικειμένων, χαρακτηριστικών και κανόνων (σύνταξη χαρακτηριστικών) στο Ενεργό αρχείο. Ένα δάσος περιέχει ένα ή περισσότερα δέντρα που συνδέονται με μεταβατικό σχέσεις εμπιστοσύνης . Το δέντρο περιέχει έναν ή περισσότερους τομείς, που συνδέονται επίσης σε μια ιεραρχία με μεταβατικές σχέσεις εμπιστοσύνης. Οι τομείς προσδιορίζονται από τις δομές ονομάτων DNS τους - τους χώρους ονομάτων.
Τα αντικείμενα σε έναν τομέα μπορούν να ομαδοποιηθούν σε κοντέινερ - διαιρέσεις. Τα τμήματα σάς επιτρέπουν να δημιουργήσετε μια ιεραρχία εντός ενός τομέα, να απλοποιήσετε τη διαχείρισή του και σας επιτρέπουν να μοντελοποιήσετε την οργανωτική και/ή γεωγραφική δομή μιας εταιρείας σε Ενεργό αρχείο. Τα τμήματα μπορεί να περιέχουν άλλα τμήματα. Εταιρεία Microsoftσυνιστά τη χρήση όσο το δυνατόν λιγότερων τομέων Ενεργό αρχείο, και χρησιμοποιήστε τμήματα για τη διάρθρωση και τις πολιτικές. Συχνά οι πολιτικές ομάδας εφαρμόζονται ειδικά σε τμήματα. Οι πολιτικές ομάδας είναι από μόνες τους αντικείμενα. Το τμήμα είναι το χαμηλότερο επίπεδο στο οποίο μπορεί να ανατεθεί η διοικητική εξουσία.
Άλλος τρόπος διαίρεσης Ενεργό αρχείοείναι τοποθεσίες , που είναι μια μέθοδος φυσικής (και όχι λογικής) ομαδοποίησης που βασίζεται σε τμήματα δικτύου. Οι ιστότοποι χωρίζονται σε αυτούς που έχουν συνδέσεις μέσω καναλιών χαμηλής ταχύτητας (για παράδειγμα, μέσω καναλιών παγκόσμιου δικτύου, χρησιμοποιώντας εικονικά ιδιωτικά δίκτυα) και μέσω καναλιών υψηλής ταχύτητας (για παράδειγμα, μέσω τοπικού δικτύου). Ένας ιστότοπος μπορεί να περιέχει έναν ή περισσότερους τομείς και ένας τομέας μπορεί να περιέχει έναν ή περισσότερους ιστότοπους. Κατά το σχεδιασμό Ενεργό αρχείοΕίναι σημαντικό να λάβετε υπόψη την κίνηση δικτύου που δημιουργείται όταν τα δεδομένα συγχρονίζονται μεταξύ των τοποθεσιών.
Βασική απόφαση σχεδιασμού Ενεργό αρχείοείναι η απόφαση να χωριστεί η πληροφοριακή υποδομή σε ιεραρχικούς τομείς και μονάδες ανώτατου επιπέδου. Τα τυπικά μοντέλα που χρησιμοποιούνται για αυτόν τον διαχωρισμό είναι μοντέλα διαχωρισμού ανά λειτουργικά τμήματα της εταιρείας, κατά γεωγραφική θέση και ανά ρόλους στην υποδομή πληροφοριών της εταιρείας. Συχνά χρησιμοποιούνται συνδυασμοί αυτών των μοντέλων.
Φυσική δομή και αντιγραφή
Φυσικά, οι πληροφορίες αποθηκεύονται σε έναν ή περισσότερους ισοδύναμους ελεγκτές τομέα, αντικαθιστώντας αυτούς που χρησιμοποιούνται σε Windows NTελεγκτές πρωτεύοντος και εφεδρικού τομέα, αν και διατηρείται για ορισμένες λειτουργίες ο αποκαλούμενος διακομιστής "single master operations", οι οποίοι μπορούν να μιμηθούν έναν κύριο ελεγκτή τομέα. Κάθε ελεγκτής τομέα διατηρεί ένα αντίγραφο ανάγνωσης-εγγραφής των δεδομένων. Οι αλλαγές που γίνονται σε έναν ελεγκτή συγχρονίζονται με όλους τους ελεγκτές τομέα μέσω αναπαραγωγής. Διακομιστές στους οποίους η ίδια η υπηρεσία Ενεργό αρχείοδεν είναι εγκατεστημένα, αλλά αποτελούν μέρος του τομέα Ενεργό αρχείο, ονομάζονται διακομιστές μελών.
Αντιγραφή Ενεργό αρχείοπραγματοποιηθεί κατόπιν αιτήματος. Υπηρεσία Έλεγχος συνέπειας γνώσηςδημιουργεί μια τοπολογία αναπαραγωγής που χρησιμοποιεί τοποθεσίες που ορίζονται στο σύστημα για τον έλεγχο της κυκλοφορίας. Η ενδοδικτυακή αναπαραγωγή πραγματοποιείται συχνά και αυτόματα χρησιμοποιώντας έναν έλεγχο συνέπειας (ειδοποιώντας τους συνεργάτες αναπαραγωγής για αλλαγές). Η αναπαραγωγή μεταξύ τοποθεσιών μπορεί να διαμορφωθεί για κάθε κανάλι τοποθεσίας (ανάλογα με την ποιότητα του καναλιού) - μπορεί να εκχωρηθεί διαφορετική "βαθμολογία" (ή "κόστος") σε κάθε κανάλι (π.χ. DS3, , ISDNκ.λπ.), και η κυκλοφορία αναπαραγωγής θα περιοριστεί, θα προγραμματιστεί και θα δρομολογηθεί σύμφωνα με την εκχωρημένη εκτίμηση σύνδεσης. Τα δεδομένα αναπαραγωγής μπορούν να ρέουν μεταβατικά σε πολλούς ιστότοπους μέσω γεφυρών συνδέσμων ιστότοπου, εάν η "βαθμολογία" είναι χαμηλή, αν και η AD εκχωρεί αυτόματα χαμηλότερη βαθμολογία σε συνδέσμους ιστότοπου σε ιστότοπο παρά σε μεταβατικούς συνδέσμους. Η αναπαραγωγή από ιστότοπο σε ιστότοπο εκτελείται από διακομιστές προγεφύρωσης σε κάθε τοποθεσία, οι οποίοι στη συνέχεια αναπαράγουν αλλαγές σε κάθε ελεγκτή τομέα στον ιστότοπό του. Η αναπαραγωγή εντός τομέα ακολουθεί το πρωτόκολλο RPCσύμφωνα με το πρωτόκολλο IP, interdomain - μπορεί επίσης να χρησιμοποιήσει το πρωτόκολλο SMTP.
Αν η δομή Ενεργό αρχείοπεριέχει πολλούς τομείς, χρησιμοποιείται για την επίλυση του προβλήματος της αναζήτησης αντικειμένων παγκόσμιος κατάλογος: Ένας ελεγκτής τομέα που περιέχει όλα τα αντικείμενα στο δάσος, αλλά με ένα περιορισμένο σύνολο χαρακτηριστικών (ένα μερικό αντίγραφο). Ο κατάλογος αποθηκεύεται σε καθορισμένους διακομιστές καθολικού καταλόγου και εξυπηρετεί αιτήματα μεταξύ τομέων.
Η δυνατότητα ενός κεντρικού υπολογιστή επιτρέπει την επεξεργασία αιτημάτων όταν δεν είναι δυνατή η αναπαραγωγή πολλαπλών κεντρικών υπολογιστών. Υπάρχουν πέντε τύποι τέτοιων λειτουργιών: εξομοίωση κύριου ελεγκτή τομέα (εξομοιωτής PDC), κύριος σχετικός αναγνωριστικός (σχετικός κύριος αναγνωριστικός ή κύριος RID), κύριος υποδομής (κύριος φορέας υποδομής), κύριος τομέας (κύριος τομέας) και κύριος τομέας ονομασίας τομέα μάγος ονομασίας). Οι τρεις πρώτοι ρόλοι είναι μοναδικοί εντός του τομέα, οι δύο τελευταίοι είναι μοναδικοί σε ολόκληρο το δάσος.
Βάση Ενεργό αρχείομπορεί να χωριστεί σε τρία λογικά καταστήματα ή "partitions". Το διάγραμμα είναι ένα πρότυπο για Ενεργό αρχείοκαι ορίζει όλους τους τύπους αντικειμένων, τις κλάσεις και τα χαρακτηριστικά τους, τη σύνταξη χαρακτηριστικών (όλα τα δέντρα βρίσκονται στο ίδιο δάσος επειδή έχουν το ίδιο σχήμα). Η διαμόρφωση είναι η δομή του δάσους και των δέντρων Ενεργό αρχείο. Ένας τομέας αποθηκεύει όλες τις πληροφορίες σχετικά με αντικείμενα που δημιουργήθηκαν σε αυτόν τον τομέα. Οι δύο πρώτοι χώροι αποθήκευσης αναπαράγονται σε όλους τους ελεγκτές τομέα στο σύμπλεγμα δομών, το τρίτο διαμέρισμα αναπαράγεται πλήρως μεταξύ ελεγκτών αντιγράφων σε κάθε τομέα και εν μέρει αναπαράγεται σε διακομιστές καθολικού καταλόγου.
Ονομασία
Ενεργό αρχείουποστηρίζει τις ακόλουθες μορφές ονομασίας αντικειμένων: ονόματα γενικών τύπων UNC, URLΚαι URL LDAP. Εκδοχή LDAPΜορφή ονομασίας X.500 που χρησιμοποιείται εσωτερικά Ενεργό αρχείο.
Κάθε αντικείμενο έχει διακεκριμένο όνομα (Αγγλικά) διακεκριμένο όνομα, DN) . Για παράδειγμα, ένα αντικείμενο εκτυπωτή με όνομα HPLaser3στο Marketing OU και στον τομέα foo.org θα έχει το ακόλουθο διακριτικό όνομα: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , όπου CN είναι το κοινό όνομα, OU είναι η ενότητα, DC είναι ο τομέας κλάση αντικειμένου. Τα διακεκριμένα ονόματα μπορεί να έχουν πολλά περισσότερα μέρη από τα τέσσερα μέρη σε αυτό το παράδειγμα. Τα αντικείμενα έχουν επίσης κανονικά ονόματα. Αυτά είναι διακριτικά ονόματα γραμμένα με αντίστροφη σειρά, χωρίς αναγνωριστικά και χρησιμοποιώντας καθέτους προς τα εμπρός ως οριοθέτες: foo.org/Marketing/HPLaser3. Για να ορίσετε ένα αντικείμενο μέσα στο κοντέινερ του, χρησιμοποιήστε σχετικό διακεκριμένο όνομα : CN=HPLaser3. Κάθε αντικείμενο έχει επίσης ένα παγκοσμίως μοναδικό αναγνωριστικό ( ΟΔΗΓΟΣ) είναι μια μοναδική και αμετάβλητη συμβολοσειρά 128-bit που χρησιμοποιείται σε Ενεργό αρχείογια αναζήτηση και αναπαραγωγή. Ορισμένα αντικείμενα έχουν επίσης UPN ( UPN, σύμφωνα με RFC 822) στη μορφή object@domain.
Ενσωμάτωση UNIX
Διάφορα επίπεδα αλληλεπίδρασης με Ενεργό αρχείομπορεί να εφαρμοστεί στα περισσότερα UNIX-όπως λειτουργικά συστήματα μέσω συμβατών με τα πρότυπα LDAPπελάτες, αλλά τέτοια συστήματα, κατά κανόνα, δεν αντιλαμβάνονται τα περισσότερα από τα χαρακτηριστικά που σχετίζονται με τα στοιχεία Windows, όπως πολιτικές ομάδας και υποστήριξη μονόδρομων εξουσιοδοτήσεων.
Τρίτοι προμηθευτές προσφέρουν ενσωματώσεις Ενεργό αρχείοσε πλατφόρμες UNIX, συμπεριλαμβανομένου UNIX, Linux, Mac OS Xκαι μια σειρά από εφαρμογές που βασίζονται σε Ιάβα, με πακέτο προϊόντων:
Οι προσθήκες σχήματος περιλαμβάνονται με Windows Server 2003 R2περιλαμβάνει χαρακτηριστικά που σχετίζονται αρκετά στενά με το RFC 2307 ώστε να χρησιμοποιούνται γενικά. Βασικές υλοποιήσεις των RFC 2307, nss_ldap και pam_ldap, που προτείνονται PADL.com, υποστηρίζουν άμεσα αυτά τα χαρακτηριστικά. Το τυπικό σχήμα για την ιδιότητα μέλους ομάδας ακολουθεί το RFC 2307bis (προτεινόμενο). Windows Server 2003 R2περιλαμβάνει την Κονσόλα διαχείρισης της Microsoft για τη δημιουργία και την επεξεργασία χαρακτηριστικών.
Μια εναλλακτική είναι να χρησιμοποιήσετε μια άλλη υπηρεσία καταλόγου, όπως π.χ Διακομιστής καταλόγου 389(προηγουμένως Διακομιστής καταλόγου Fedora, FDS), eB2Bcom ViewDS v7.1 Κατάλογος με δυνατότητα XMLή Διακομιστής καταλόγου συστήματος Sun Javaαπό Sun Microsystems, το οποίο εκτελεί αμφίδρομο συγχρονισμό με Ενεργό αρχείο, πραγματοποιώντας έτσι την «αντανακλαστική» ολοκλήρωση όταν οι πελάτες UNIXΚαι Linuxείναι πιστοποιημένα FDSκαι πελάτες Windowsείναι πιστοποιημένα Ενεργό αρχείο. Μια άλλη επιλογή είναι να χρησιμοποιήσετε OpenLDAPμε δυνατότητα ημιδιαφανούς επικάλυψης που επεκτείνει τα στοιχεία απομακρυσμένου διακομιστή LDAPπρόσθετα χαρακτηριστικά που είναι αποθηκευμένα στην τοπική βάση δεδομένων.
Ενεργό αρχείοαυτοματοποιούνται χρησιμοποιώντας Powershell .
Βιβλιογραφία
- Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Πλήρης Οδηγός = Microsoft Exchange Server 2003 Unleashed. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0
δείτε επίσης
Συνδέσεις
Σημειώσεις
| Microsoft Windows Components | |
|---|---|
| Βασικός | |
| Υπηρεσίες διαχείριση |
|
| Εφαρμογές |
Επαφές DVD Maker Φαξ και σάρωση Internet ExplorerΠεριοδικό Μεγεθυντικός φακός Media Center Windows Media Player Πρόγραμμα Συνεργασίας Κέντρο συσκευών Windows Mobile Κέντρο ΚινητικότηταςΑφηγητής Paint Επεξεργαστής προσωπικών συμβόλων Απομακρυσμένη βοήθεια Αναγνώρισης ομιλίαςΣημειωματάριο Σημειωματάριο Πλαϊνό πάνελ ΗχογράφησηΗμερολόγιο Αριθμομηχανή Ψαλίδι Ταχυδρομείο πίνακας συμβόλων Ιστορικός: Δημιουργός ταινιών NetMeeting Outlook Express ΔΙΑΧΕΙΡΙΣΤΗΣ προγράμματος Διαχείριση αρχείων άλμπουμ φωτογραφιών |
| Παιχνίδια | |
| Πυρήνας λειτουργικού συστήματος | |
| Υπηρεσίες | |
| Αρχείο συστήματα |
|
| Υπηρέτης |
Ενεργό αρχείο Υπηρεσίες Ανάπτυξης Υπηρεσία αναπαραγωγής αρχείωνΤομείς DNS Ανακατεύθυνση φακέλουΥπηρεσίες πολυμέσων Hyper-V IIS MSMQ Προστασία πρόσβασης δικτύου (NAP) Υπηρεσίες εκτύπωσης για UNIX Απομακρυσμένη διαφορική συμπίεση Υπηρεσίες απομακρυσμένης εγκατάστασης Υπηρεσία Διαχείρισης Δικαιωμάτων Προφίλ χρηστών περιαγωγής Κοινόχρηστο σημείο Διαχείριση πόρων συστήματος Απομακρυσμένη επιφάνεια εργασίας WSUS Πολιτική ομάδας Συντονιστής Κατανεμημένων Συναλλαγών |
| Αρχιτεκτονική | |
| Ασφάλεια | |
| Συμβατότητα | |
| Microsoft | ||
|---|---|---|
| ΜΕ | ||
| Λογισμικό διακομιστή | ||
| τεχνολογίες | ||
| Διαδίκτυο | ||
| Παιχνίδια | ||
| Σκεύη, εξαρτήματα ασφάλεια |
||
| Εκπαίδευση | ||
| Αδειοδότηση | ||
| Τμήματα | ||
Βασικά στοιχεία του Active Directory
Υπηρεσία Ενεργό αρχείο
Επεκτάσιμη και επεκτάσιμη υπηρεσία καταλόγου Ενεργός Ευρετήριοσας επιτρέπει να διαχειρίζεστε αποτελεσματικά τους πόρους του δικτύου.
Ενεργός Ο κατάλογος είναι μια ιεραρχικά οργανωμένη αποθήκη δεδομένων σχετικά με αντικείμενα δικτύου, παρέχοντας βολικά μέσα για την αναζήτηση και τη χρήση αυτών των δεδομένων. Υπολογιστής που λειτουργεί ενεργόΚατάλογος, καλείται ελεγκτής τομέα . ΜΕ Ενεργό αρχείοΣχεδόν όλες οι διοικητικές εργασίες σχετίζονται.
Η τεχνολογία Active Directory βασίζεται σε πρότυπα Πρωτόκολλα Διαδικτύουκαι βοηθά στον ξεκάθαρο καθορισμό της δομής του δικτύου.
Active Directory και DNS
ΣΕ Ενεργός ΔιευθυντήςyΧρησιμοποιείται το σύστημα ονομάτων τομέα.
ΤομέαΟνομα Το σύστημα (DNS) είναι μια τυπική υπηρεσία Διαδικτύου που οργανώνει ομάδες υπολογιστών σε τομείς.Οι τομείς DNS έχουν μια ιεραρχική δομή που αποτελεί τη βάση του Διαδικτύου. Τα διαφορετικά επίπεδα αυτής της ιεραρχίας προσδιορίζουν υπολογιστές, τομείς οργανισμού και τομείς ανώτατου επιπέδου. Το DNS χρησιμεύει επίσης για την επίλυση ονομάτων κεντρικών υπολογιστών, π.χ. z eta.webatwork.com σε αριθμητικές διευθύνσεις IP, όπως 192.168.19.2. Χρησιμοποιώντας DNS, η ιεραρχία τομέα Active Directory μπορεί να ενσωματωθεί στο χώρο του Διαδικτύου ή να αφεθεί ανεξάρτητη και απομονωμένη από εξωτερική πρόσβαση.
Για πρόσβαση σε πόρους σε Ο τομέας χρησιμοποιεί το πλήρως αναγνωρισμένο όνομα κεντρικού υπολογιστή, για παράδειγμα zeta.webatwork.com. Εδώzκαι- το όνομα του μεμονωμένου υπολογιστή, το webwork - ο τομέας του οργανισμού και το com - ο τομέας ανώτατου επιπέδου. Οι τομείς ανώτατου επιπέδου αποτελούν τη βάση της ιεραρχίας DNS και ως εκ τούτου καλούνται τομείς ρίζας (root domains). Είναι οργανωμένα γεωγραφικά, με ονόματα που βασίζονται σε κωδικούς χωρών δύο γραμμάτων (ruγια τη Ρωσία), ανά τύπο οργανισμού (εκατοντάδεςγια εμπορικούς οργανισμούς) και για επιδιωκόμενους σκοπούς (χιλιοστό της ίντσας για στρατιωτικούς οργανισμούς).
Τακτικοί τομείς, όπως το microsoft.com, λέγονται γονείς (γονικός τομέας) αφού αποτελούν τη βάση της οργανωτικής δομής. Οι γονικοί τομείς μπορούν να χωριστούν σε υποτομείς διαφορετικών κλάδων ή σε απομακρυσμένους κλάδους. Για παράδειγμα, το πλήρες όνομα ενός υπολογιστή στο γραφείο της Microsoft στο Σιάτλ μπορεί να είναι jacob.seattle.microsoft.com , Οπου ιacob- όνομα υπολογιστή, μικρόμιaltle - υποτομέα και το microsoft.com είναι ο γονικός τομέας. Ένα άλλο όνομα για τον υποτομέα είναι θυγατρικό τομέα (παιδικό τομέα).
Συστατικά Ενεργός Ευρετήριο
Η υπηρεσία καταλόγου Active Directory συνδυάζει τη φυσική και τη λογική δομή για στοιχεία δικτύου. Οι λογικές δομές της Active Directory βοηθούν στην οργάνωση των αντικειμένων καταλόγου και στη διαχείριση λογαριασμών και κοινών χρήσεων δικτύου. Η λογική δομή περιλαμβάνει τα ακόλουθα στοιχεία:
οργανωτική μονάδα - μια υποομάδα υπολογιστών, που συνήθως αντικατοπτρίζει τη δομή της εταιρείας.
τομέα ( τομέα) - μια ομάδα υπολογιστών που μοιράζονται μια κοινή βάση δεδομένων καταλόγου.
δέντρο τομέα (τομέα δέντρο) - ένας ή περισσότεροι τομείς που μοιράζονται έναν συνεχόμενο χώρο ονομάτων.
δάσος τομέα - ένα ή περισσότερα δέντρα που μοιράζονται πληροφορίες καταλόγου.
Τα φυσικά στοιχεία βοηθούν στο σχεδιασμό της πραγματικής δομής του δικτύου. Με βάση τις φυσικές δομές, διαμορφώνονται οι συνδέσεις δικτύου και τα φυσικά όρια πόρων δικτύου. Η φυσική δομή περιλαμβάνει τα ακόλουθα στοιχεία:
υποδίκτυο ( υποδίκτυο) - μια ομάδα δικτύου με καθορισμένη περιοχή διεύθυνσης IP και μάσκα δικτύου.
ιστότοπος ( ιστοσελίδα) - ένα ή περισσότερα υποδίκτυα. Ο ιστότοπος χρησιμοποιείται για τη διαμόρφωση της πρόσβασης στον κατάλογο και για αναπαραγωγή.
Οργανωτικά τμήματα
Οι οργανωτικές μονάδες (OU) είναι υποομάδες εντός τομέων που συχνά αντικατοπτρίζουν τη λειτουργική δομή ενός οργανισμού. Τα OU είναι ένα είδος λογικών κοντέινερ που φιλοξενούν λογαριασμούς, μετοχές και άλλα OU. Για παράδειγμα, μπορείτε να δημιουργήσετε σε έναν τομέα microsoft. comτμήματα Πόροι, ΤΟ, Εμπορία. Αυτό το σχήμα μπορεί στη συνέχεια να επεκταθεί ώστε να περιέχει θυγατρικές μονάδες.
Μόνο αντικείμενα από τον γονικό τομέα επιτρέπεται να τοποθετούνται στο OP. Για παράδειγμα, τα OU από τον τομέα Seattle.microsoft.com περιέχουν αντικείμενα μόνο από αυτόν τον τομέα. Προσθέστε αντικείμενα από εκείΜy. ΜΤο icrosoft.com δεν επιτρέπεται. Τα OP είναι πολύ βολικά όταν σχηματίζουν ένα λειτουργικό ή επιχειρηματικές δομέςοργανώσεις.Δεν είναι όμως μόνο αυτός ο λόγος χρήσης τους.
Τα OP σάς επιτρέπουν να ορίσετε πολιτική ομάδας για ένα μικρό σύνολο πόρων σε έναν τομέα χωρίς να χρειάζεται να το εφαρμόσετε σε ολόκληρο τον τομέα. Το OP δημιουργεί συμπαγείς και πιο διαχειρίσιμες προβολές αντικειμένων καταλόγου σε έναν τομέα, κάτι που σας βοηθά να διαχειρίζεστε τους πόρους πιο αποτελεσματικά.
Τα OP σάς επιτρέπουν να εκχωρείτε εξουσιοδότηση και να ελέγχετε την πρόσβαση διαχειριστή στους πόρους τομέα, κάτι που βοηθά στον καθορισμό των ορίων της εξουσίας διαχειριστή στον τομέα. Μπορείτε να δώσετε στον χρήστη Α δικαιώματα διαχείρισης μόνο για ένα OU και ταυτόχρονα να μεταφέρετε δικαιώματα διαχείρισης στον χρήστη Β για όλα τα OU στον τομέα.
Τομείς
Τομέα Η υπηρεσία καταλόγου Active Directory είναι μια ομάδα υπολογιστών που μοιράζονται μια κοινή βάση δεδομένων καταλόγου. Τα ονόματα τομέα Active Directory πρέπει να είναι μοναδικά. Για παράδειγμα, δεν μπορούν να υπάρχουν δύο τομείς Μicrosoft.com, αλλά μπορεί να υπάρχει γονικός τομέας microsoft.com με θυγατρικούς τομείς seattle.microsoft.com και Μy.microsoft.com. Εάν ο τομέας είναι μέρος ενός κλειστού δικτύου, το όνομα που έχει εκχωρηθεί στον νέο τομέα δεν πρέπει να έρχεται σε διένεξη με τυχόν υπάρχοντα ονόματα τομέα σε αυτό το δίκτυο. Εάν ένας τομέας είναι μέρος του παγκόσμιου Διαδικτύου, τότε το όνομά του δεν πρέπει να έρχεται σε αντίθεση με κανένα από τα υπάρχοντα ονόματα τομέα στο Διαδίκτυο. Για να διασφαλιστεί ότι τα ονόματα είναι μοναδικά στο Διαδίκτυο, το γονικό όνομα τομέα πρέπει να καταχωρηθεί μέσω οποιουδήποτε εξουσιοδοτημένου οργανισμού εγγραφής.
Κάθε τομέας έχει τις δικές του πολιτικές ασφαλείας και σχέσεις εμπιστοσύνης με άλλους τομείς. Συχνά, οι τομείς διανέμονται σε πολλές φυσικές τοποθεσίες, δηλαδή αποτελούνται από πολλούς ιστότοπους και οι ιστότοποι συνδυάζουν πολλά υποδίκτυα. Η βάση δεδομένων καταλόγου τομέα αποθηκεύει αντικείμενα που ορίζουν λογαριασμούς για χρήστες, ομάδες και υπολογιστές, καθώς και κοινόχρηστους πόρους, όπως εκτυπωτές και φακέλους.
Οι λειτουργίες ενός τομέα περιορίζονται και ρυθμίζονται από τον τρόπο λειτουργίας του. Υπάρχουν τέσσερις λειτουργικές λειτουργίες τομέα:
μικτή λειτουργία Windows 2000 (μικτή λειτουργία) - υποστηρίζει ελεγκτές τομέα με Windows NT 4.0, Wi ndows 2000 και Windows Υπηρέτης 2003;
Εγγενής λειτουργία Windows 2000 - υποστηρίζει ελεγκτές τομέα με Windows 2000 και Windows Υπηρέτης 2003;
ενδιάμεση λειτουργία Windows Υπηρέτης 2003 ( προσωρινός τρόπος) - υποστηρίζει τους ελεγκτές τομέα που εκτελούνται Windows NT 4.0 και Windows Υπηρέτης 2003;
τρόπος Windows Server 2003 - υποστηρίζει ελεγκτές τομέα που εκτελούν Windows Server 2003.
Δάση και δέντρα
Κάθε τομέας Ενεργός Ευρετήριοέχει DNS- πληκτρολογήστε όνομα microsoft.com. Οι τομείς που μοιράζονται δεδομένα καταλόγου σχηματίζουν ένα δάσος. Τα ονόματα δασικών τομέων στην ιεραρχία ονομάτων DNS είναι μη συνεχόμενες(ασυνεχής) ή γειτονικός(συναφής).
Οι τομείς που έχουν μια συνεχόμενη δομή ονομασίας ονομάζονται δέντρο τομέα. Εάν οι δασικοί τομείς έχουν μη συνεχόμενα ονόματα DNS, σχηματίζουν ξεχωριστά δέντρα τομέων στο δάσος. Ένα δάσος μπορεί να περιλαμβάνει ένα ή περισσότερα δέντρα. Η κονσόλα χρησιμοποιείται για πρόσβαση σε δομές τομέαΕνεργός Ευρετήριο- τομείς και εμπιστοσύνη (ΕνεργόςΕυρετήριο Τομείςκαι καταπιστεύματα).
Οι λειτουργίες των δασών περιορίζονται και ρυθμίζονται από το λειτουργικό καθεστώς του δάσους. Υπάρχουν τρεις τέτοιοι τρόποι λειτουργίας:
Windows 2000 - υποστηρίζει ελεγκτές τομέα με Windows NT 4.0, Windows 2000 και Windows Υπηρέτης 2003;
ενδιάμεσος ( προσωρινός) Windows Υπηρέτης 2003 - υποστηρίζει ελεγκτές τομέα με Windows NT 4.0 και Windows Server 2003.
Windows Server 2003 - υποστηρίζει ελεγκτές τομέα που εκτελούν Windows Server 2003.
Οι πιο πρόσφατες δυνατότητες του Active Directory είναι διαθέσιμες στη λειτουργία Windows Server 2003 Εάν όλοι οι τομείς στο σύμπλεγμα δομών εκτελούνται σε αυτήν τη λειτουργία, μπορείτε να απολαύσετε βελτιωμένη αναπαραγωγή καθολικού καταλόγου και πιο αποτελεσματική αναπαραγωγή δεδομένων Active Directory. Μπορείτε επίσης να απενεργοποιήσετε τις κλάσεις και τα χαρακτηριστικά σχήματος, να χρησιμοποιήσετε δυναμικές βοηθητικές κλάσεις, να μετονομάσετε τομείς και να δημιουργήσετε μονόδρομες, αμφίδρομες και μεταβατικές σχέσεις εμπιστοσύνης στο δάσος.
Ιστότοποι και υποδίκτυα
Δικτυακός τόπος είναι μια ομάδα υπολογιστών σε ένα ή περισσότερα υποδίκτυα IP που χρησιμοποιούνται για τον σχεδιασμό της φυσικής δομής ενός δικτύου. Ο σχεδιασμός τοποθεσίας πραγματοποιείται ανεξάρτητα από τη λογική δομή του τομέα. Η υπηρεσία καταλόγου Active Directory σάς επιτρέπει να δημιουργείτε πολλούς ιστότοπους σε έναν τομέα ή έναν ιστότοπο που εκτείνεται σε πολλούς τομείς.
Σε αντίθεση με τους ιστότοπους, οι οποίοι μπορούν να εκτείνονται σε πολλαπλά πεδία διευθύνσεων IP, τα υποδίκτυα έχουν καθορισμένο εύρος διεύθυνσης IP και μάσκα δικτύου. Τα ονόματα υποδικτύων καθορίζονται στη μορφή δίκτυο/bitmask, για παράδειγμα 192.168.19.0/24, όπου η διεύθυνση δικτύου 192.168.19.0 και η μάσκα δικτύου 255.255.255.0 συνδυάζονται στο όνομα υποδικτύου 192.168.19.0/24.
Οι υπολογιστές εκχωρούνται σε τοποθεσίες με βάση τη θέση τους σε ένα υποδίκτυο ή ένα σύνολο υποδικτύων. Εάν οι υπολογιστές σε υποδίκτυα μπορούν να επικοινωνούν με αρκετά υψηλές ταχύτητες, καλούνται καλά συνδεδεμένο (καλά συνδεδεμένο).
Στην ιδανική περίπτωση, οι ιστότοποι αποτελούνται από καλά συνδεδεμένα υποδίκτυα και υπολογιστές Εάν η κυκλοφορία μεταξύ υποδικτύων και υπολογιστών είναι αργή, μπορεί να χρειαστεί να δημιουργήσετε πολλούς ιστότοπους. Η καλή συνδεσιμότητα δίνει στους ιστότοπους ορισμένα πλεονεκτήματα.
Όταν ένας πελάτης συνδέεται σε έναν τομέα, η διαδικασία ελέγχου ταυτότητας αναζητά πρώτα έναν ελεγκτή τοπικού τομέα στον ιστότοπο του πελάτη, που σημαίνει ότι οι τοπικοί ελεγκτές ερωτώνται πρώτα όταν είναι δυνατόν, περιορίζοντας την κυκλοφορία δικτύου και επιταχύνοντας τον έλεγχο ταυτότητας.
Οι πληροφορίες καταλόγου αναπαράγονται πιο συχνά μέσα τοποθεσίες παρά μεταξύ τοποθεσίες. Αυτό μειώνει την κυκλοφορία μεταξύ δικτύων που προκαλείται από την αναπαραγωγή και διασφαλίζει ότι οι ελεγκτές τοπικού τομέα λαμβάνουν γρήγορα ενημερωμένες πληροφορίες.
Μπορείτε να διαμορφώσετε τη σειρά με την οποία τα δεδομένα καταλόγου αντιγράφονται χρησιμοποιώντας συνδέσμους ιστότοπου (σύνδεσμοι ιστότοπου). Για παράδειγμα, ορίστε διακομιστής προγεφύρωσης (προγεφύρωμα) για αναπαραγωγή μεταξύ τοποθεσιών.
Το μεγαλύτερο μέρος του φορτίου από την αναπαραγωγή μεταξύ τοποθεσιών θα πέσει σε αυτόν τον αποκλειστικό διακομιστή και όχι σε οποιονδήποτε διαθέσιμο διακομιστή ιστότοπου. Ιστοσελίδεςκαι τα υποδίκτυα έχουν ρυθμιστεί στην κονσόλα Ενεργό αρχείο -τοποθεσίες και υπηρεσίες(Ιστότοποι και υπηρεσίες Active Directory).
Εργασία με τομείς Ενεργό αρχείο
Σε σύνδεση Windows Υπηρέτηςυπηρεσία 2003 ΕνεργόςΕυρετήριορυθμίζεται ταυτόχρονα μεDNS. Ωστόσο, οι τομείς Active Directory και οι τομείς DNS έχουν διαφορετικούς σκοπούς. Οι τομείς Active Directory βοηθούν στη διαχείριση λογαριασμών, πόρων και ασφάλειας.
Η ιεραρχία τομέα DNS έχει σχεδιαστεί κυρίως για ανάλυση ονομάτων.
Οι υπολογιστές που εκτελούν Windows XP Professional και Windows 2000 μπορούν να εκμεταλλευτούν πλήρως την υπηρεσία καταλόγου Active Directory. Λειτουργούν στο δίκτυο ως πελάτες της υπηρεσίας καταλόγου Active Directory και έχουν πρόσβαση σε μεταβατικές σχέσεις εμπιστοσύνης που υπάρχουν σε ένα δέντρο ή δάσος τομέων. Αυτές οι σχέσεις επιτρέπουν στους εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε πόρους σε οποιονδήποτε τομέα στο δάσος.
Σύστημα Ο Windows Server 2003 λειτουργεί ως ελεγκτής τομέα ή ως διακομιστής μέλους. Οι διακομιστές μελών γίνονται ελεγκτές μετά την εγκατάσταση του Active Directory. Οι ελεγκτές υποβιβάζονται σε διακομιστές μελών μετά την κατάργηση της υπηρεσίας καταλόγου Active Directory.
Εκτελούνται και οι δύο διαδικασίεςΟδηγός εγκατάστασης Active Directory. Μπορεί να υπάρχουν πολλοί ελεγκτές σε έναν τομέα. Αναπαράγουν δεδομένα καταλόγου μεταξύ τους χρησιμοποιώντας ένα μοντέλο αναπαραγωγής πολλαπλών κυρίων, το οποίο επιτρέπει σε κάθε ελεγκτή να επεξεργάζεται αλλαγές καταλόγου και στη συνέχεια να τις διαδίδει σε άλλους ελεγκτές. Με μια δομή multi-master, όλοι οι ελεγκτές έχουν την ίδια ευθύνη από προεπιλογή. Ωστόσο, μπορείτε να δώσετε προτεραιότητα σε ορισμένους ελεγκτές τομέα έναντι άλλων για ορισμένες εργασίες, όπως η δημιουργία ενός διακομιστή προγεφύρωσης που έχει προτεραιότητα κατά την αναπαραγωγή δεδομένων καταλόγου σε άλλους ιστότοπους.
Επιπλέον, ορισμένες εργασίες εκτελούνται καλύτερα σε έναν ειδικό διακομιστή. Καλείται ένας διακομιστής που επεξεργάζεται έναν συγκεκριμένο τύπο εργασίας πλοίαρχος των επιχειρήσεων (κύριος λειτουργιών).
Δημιουργούνται λογαριασμοί για όλους τους υπολογιστές Windows 2000, Windows XP Professional και Windows Server 2003 που είναι συνδεδεμένοι σε έναν τομέα και, όπως και άλλοι πόροι, αποθηκεύονται ως αντικείμενα της υπηρεσίας καταλόγου Active Directory. Οι λογαριασμοί υπολογιστή χρησιμοποιούνται για τον έλεγχο της πρόσβασης στο δίκτυο και στους πόρους του Για να μπορέσει ένας υπολογιστής να αποκτήσει πρόσβαση σε έναν τομέα χρησιμοποιώντας τον λογαριασμό του, πρέπει να υποβληθεί σε διαδικασία ελέγχου ταυτότητας.
Δομή καταλόγου
Τα δεδομένα καταλόγου διατίθενται σε χρήστες και υπολογιστές μέσω αποθήκευση δεδομένων (αποθήκες δεδομένων) και παγκόσμιους καταλόγους (παγκόσμιακαταλόγους). Αν και τα περισσότερα χαρακτηριστικάΕνεργόςΕυρετήριοεπηρεάζουν την αποθήκευση δεδομένων, οι καθολικοί κατάλογοι (GC) δεν είναι λιγότερο σημαντικοί επειδή χρησιμοποιούνται για τη σύνδεση στο σύστημα και την αναζήτηση πληροφοριών. Εάν το GC δεν είναι διαθέσιμο, οι τακτικοί χρήστες δεν θα μπορούν να συνδεθούν στον τομέα.Ο μόνος τρόπος για να παρακάμψετε αυτήν την κατάσταση είναι να αποθηκεύσετε προσωρινά τη συνδρομή τοπικά καθολικές ομάδες.
Η πρόσβαση και η διανομή των δεδομένων Active Directory παρέχεται με μέσα πρωτόκολλα πρόσβασης καταλόγου (Ευρετήριο πρόσβασηπρωτόκολλα) Και αντιγραφή (αντιγραφή).
Απαιτείται αναπαραγωγή για τη διανομή ενημερωμένων δεδομένων στους ελεγκτές. Η κύρια μέθοδος διανομής ενημερώσεων είναι η πολλαπλή αναπαραγωγή, αλλά ορισμένες αλλαγές υποβάλλονται σε επεξεργασία μόνο από εξειδικευμένους ελεγκτές - πλοίαρχοι των επιχειρήσεων (κύριοι επιχειρήσεων).
Ο τρόπος με τον οποίο εκτελείται η πολλαπλή αναπαραγωγή στον Windows Server 2003 έχει επίσης αλλάξει με την εισαγωγή του ενότητες καταλόγου εφαρμογές (εφαρμογήΕυρετήριοχωρίσματα). Μέσω αυτών, οι διαχειριστές συστήματος μπορούν να δημιουργήσουν κατατμήσεις αναπαραγωγής σε ένα σύμπλεγμα δομών τομέα, οι οποίες είναι λογικές δομές που χρησιμοποιούνται για τη διαχείριση της αναπαραγωγής μέσα σε ένα σύμπλεγμα δομών τομέα. Για παράδειγμα, μπορείτε να δημιουργήσετε ένα διαμέρισμα που θα χειρίζεται την αναπαραγωγή των πληροφοριών DNS σε έναν τομέα. Άλλα συστήματα στον τομέα δεν επιτρέπεται να αναπαράγουν πληροφορίες DNS.
Τα διαμερίσματα καταλόγου εφαρμογών μπορεί να είναι θυγατρική ενός τομέα, θυγατρική ενός άλλου διαμερίσματος εφαρμογής ή ένα νέο δέντρο σε ένα δάσος τομέων. Τα αντίγραφα των κατατμήσεων μπορούν να φιλοξενηθούν σε οποιονδήποτε ελεγκτή τομέα Active Directory, συμπεριλαμβανομένων των καθολικών καταλόγων. Παρόλο που τα διαμερίσματα καταλόγου εφαρμογών είναι χρήσιμα σε μεγάλους τομείς και δομές, αυξάνουν το κόστος προγραμματισμού, διαχείρισης και συντήρησης.
Αποθήκευση δεδομένων
Το αποθετήριο περιέχει πληροφορίες σχετικά με τα πιο σημαντικά αντικείμενα της υπηρεσίας καταλόγου Active Directory - λογαριασμούς, κοινόχρηστους πόρους, OP και πολιτικές ομάδας. Μερικές φορές μια αποθήκη δεδομένων ονομάζεται απλώς κατάλογος (Ευρετήριο). Στον ελεγκτή τομέα, ο κατάλογος αποθηκεύεται στο αρχείο NTDS.DIT, η θέση του οποίου προσδιορίζεται κατά την εγκατάσταση του Active Directory (πρέπει να είναι μονάδα NTFS). Ορισμένα δεδομένα καταλόγου μπορούν επίσης να αποθηκευτούν χωριστά από τον κύριο χώρο αποθήκευσης, όπως πολιτικές ομάδας, σενάρια και άλλες πληροφορίες που είναι αποθηκευμένες στο κοινόχρηστο στοιχείο συστήματος SYSVOL.
Η κοινή χρήση πληροφοριών καταλόγου ονομάζεται δημοσίευση (δημοσιεύω). Για παράδειγμα, όταν ανοίγει ένας εκτυπωτής για χρήση σε δίκτυο, δημοσιεύεται. Οι πληροφορίες κοινόχρηστου φακέλου δημοσιεύονται, κ.λπ. Οι ελεγκτές τομέα αντιγράφουν τις περισσότερες αλλαγές στον χώρο αποθήκευσης με τρόπο πολλαπλών βασικών. Ένας διαχειριστής σε έναν οργανισμό μικρού ή μεσαίου μεγέθους σπάνια διαχειρίζεται την αναπαραγωγή αποθήκευσης επειδή είναι αυτόματη, αλλά μπορεί να ρυθμιστεί ώστε να ταιριάζει στις ιδιαιτερότητες της αρχιτεκτονικής δικτύου.
Δεν αναπαράγονται όλα τα δεδομένα καταλόγου, μόνο:
Δεδομένα τομέα - πληροφορίες σχετικά με αντικείμενα στον τομέα, συμπεριλαμβανομένων αντικειμένων λογαριασμών, κοινόχρηστων πόρων, πολιτικών OP και ομάδων.
Δεδομένα διαμόρφωσης - πληροφορίες σχετικά με την τοπολογία καταλόγου: μια λίστα με όλους τους τομείς, τα δέντρα και τα δάση, καθώς και τη θέση των ελεγκτών και των διακομιστών GC.
Δεδομένα σχήματος - πληροφορίες για όλα τα αντικείμενα και τους τύπους δεδομένων που μπορούν να αποθηκευτούν στον κατάλογο. Το τυπικό σχήμα του Windows Server 2003 περιγράφει αντικείμενα λογαριασμού, κοινόχρηστα αντικείμενα πόρων κ.λπ. και μπορεί να επεκταθεί ορίζοντας νέα αντικείμενα και χαρακτηριστικά ή προσθέτοντας χαρακτηριστικά σε υπάρχοντα αντικείμενα.
Παγκόσμιος κατάλογος
Εάν η τοπική αποθήκευση μελών Οι καθολικές ομάδες δεν εκτελούνται.
Παρέχει επίσης αναζήτηση καταλόγου σε όλους τους τομείς στο δάσος. Ελεγκτής, παιχνίδι ρόλουΟ διακομιστής GK αποθηκεύει ένα πλήρες αντίγραφο όλων των αντικειμένων καταλόγου στον τομέα του και ένα μερικό αντίγραφο αντικειμένων σε άλλους τομείς του δάσους.
Απαιτούνται μόνο μερικές ιδιότητες αντικειμένων για σύνδεση και αναζήτηση, επομένως μπορούν να χρησιμοποιηθούν μερικά αντίγραφα. Για να σχηματιστεί ένα μερικό αντίγραφο, η αναπαραγωγή απαιτεί τη μεταφορά λιγότερων δεδομένων, γεγονός που μειώνει την κίνηση του δικτύου.
Από προεπιλογή, ο πρώτος ελεγκτής τομέα γίνεται ο κύριος ελεγκτής τομέα. Επομένως, εάν υπάρχει μόνο ένας ελεγκτής σε έναν τομέα, τότε ο κύριος διακομιστής τομέα και ο ελεγκτής τομέα είναι ο ίδιος διακομιστής. Μπορείτε να τοποθετήσετε το GC σε άλλο χειριστήριο για να μειώσετε το χρόνο που χρειάζεται για να περιμένετε μια απάντηση κατά τη σύνδεση και να επιταχύνετε την αναζήτηση. Συνιστάται η δημιουργία ενός GC σε κάθε τοποθεσία τομέα.
Υπάρχουν διάφοροι τρόποι επίλυσης αυτού του προβλήματος. Φυσικά, μπορείτε να δημιουργήσετε έναν διακομιστή GC σε έναν από τους ελεγκτές τομέα σε ένα απομακρυσμένο γραφείο. Το μειονέκτημα αυτής της μεθόδου είναι ότι αυξάνει το φόρτο στον διακομιστή GK, κάτι που μπορεί να απαιτεί πρόσθετους πόρους και προσεκτικό σχεδιασμό του χρόνου λειτουργίας αυτού του διακομιστή.
Μια άλλη λύση είναι η προσωρινή αποθήκευση των καθολικών συνδρομών ομάδων τοπικά. Σε αυτήν την περίπτωση, οποιοσδήποτε ελεγκτής τομέα μπορεί να εξυπηρετήσει αιτήματα σύνδεσης τοπικά, χωρίς να επικοινωνήσει με τον κύριο διακομιστή τομέα. Αυτό επιταχύνει τη διαδικασία σύνδεσης και διευκολύνει την κατάσταση σε περίπτωση αποτυχίας του διακομιστή GK. Επιπλέον, αυτό μειώνει την κυκλοφορία αναπαραγωγής.
Αντί να ενημερώνετε περιοδικά ολόκληρη την ομάδα σε ολόκληρο το δίκτυο, αρκεί να ενημερώνετε τις αποθηκευμένες πληροφορίες σχετικά με την καθολική ιδιότητα μέλους ομάδας. Από προεπιλογή, η ενημέρωση πραγματοποιείται κάθε οκτώ ώρες σε κάθε ελεγκτή τομέα που χρησιμοποιεί τοπική καθολική προσωρινή αποθήκευση μελών ομάδας.
Συνδρομή σε καθολική ομάδα ξεχωριστά για κάθε τοποθεσία. Ας θυμηθούμε ότι ένας ιστότοπος είναι μια φυσική δομή που αποτελείται από ένα ή περισσότερα υποδίκτυα που έχουν ένα μεμονωμένο σύνολο διευθύνσεων IP και μια μάσκα δικτύου. Ελεγκτές τομέα WindowsΟ διακομιστής 2003 και το GC στον οποίο έχουν πρόσβαση πρέπει να βρίσκονται στην ίδια τοποθεσία. Εάν υπάρχουν πολλοί ιστότοποι, θα πρέπει να διαμορφώσετε την τοπική προσωρινή αποθήκευση σε κάθε έναν από αυτούς. Επιπλέον, οι χρήστες που συνδέονται στην τοποθεσία πρέπει να αποτελούν μέρος ενός τομέα Windows Server 2003 που εκτελείται σε δασική λειτουργία Windows Server 2003.
Αναπαραγωγή στην υπηρεσία καταλόγου Active Directory
Ο κατάλογος αποθηκεύει τρεις τύπους πληροφοριών: δεδομένα τομέα, δεδομένα σχήματος και δεδομένα διαμόρφωσης. Τα δεδομένα τομέα αντιγράφονται σε όλους τους ελεγκτές τομέα. Όλοι οι ελεγκτές τομέα έχουν ίσα δικαιώματα, π.χ. Όλες οι αλλαγές που γίνονται από οποιονδήποτε ελεγκτή τομέα θα αντιγραφούν σε όλους τους άλλους ελεγκτές τομέα. Επιπλέον, όλα τα αντικείμενα ενός μεμονωμένου τομέα και ορισμένες από τις ιδιότητες των δασικών αντικειμένων αντιγράφονται στο GC. Αυτό σημαίνει ότι ο ελεγκτής τομέα αποθηκεύει και αναπαράγει το σχήμα για ένα δέντρο ή δάσος, πληροφορίες διαμόρφωσης για όλους τους τομείς στο δέντρο ή το σύμπλεγμα δομών και όλα τα αντικείμενα καταλόγου και τις ιδιότητες για τον δικό του τομέα.
Ο ελεγκτής τομέα στον οποίο είναι αποθηκευμένος το GC περιέχει και αναπαράγει πληροφορίες σχήματος για το σύμπλεγμα δομών, πληροφορίες διαμόρφωσης για όλους τους τομείς στο σύμπλεγμα δομών και ένα περιορισμένο σύνολο ιδιοτήτων για όλα τα αντικείμενα καταλόγου στο σύμπλεγμα δομών (αναπαράγεται μόνο μεταξύ διακομιστών GC), καθώς και όλα τα αντικείμενα καταλόγου και ιδιότητες για τον τομέα σας.
Για να κατανοήσετε την ουσία της αναπαραγωγής, εξετάστε αυτό το σενάριο για τη δημιουργία ενός νέου δικτύου.
1. Στον τομέα Ο πρώτος ελεγκτής έχει εγκατασταθεί. Αυτός ο διακομιστής είναι ο μόνος ελεγκτής τομέα. Είναι επίσης ο διακομιστής GK. Η αναπαραγωγή δεν συμβαίνει σε ένα τέτοιο δίκτυο, αφού δεν υπάρχουν άλλοι ελεγκτές.
2. Στον τομέα Και ένας δεύτερος ελεγκτής εγκαθίσταται και ξεκινά η αναπαραγωγή. Μπορείτε να ορίσετε έναν ελεγκτή ως κύριο υποδομής και τον άλλο ως διακομιστή GC. Ο ιδιοκτήτης της υποδομής παρακολουθεί και ζητά ενημερώσεις GL για αλλαγμένα αντικείμενα. Και οι δύο αυτοί ελεγκτές αναπαράγουν επίσης δεδομένα σχήματος και διαμόρφωσης.
3. Στον τομέα Και έχει εγκατασταθεί ένας τρίτος ελεγκτής, ο οποίος δεν έχει κύρια μονάδα ελέγχου. Η κύρια υποδομή παρακολουθεί για ενημερώσεις GC, τις ζητά για αλλαγμένα αντικείμενα και, στη συνέχεια, αναπαράγει τις αλλαγές σε έναν τρίτο ελεγκτή τομέα. Και οι τρεις ελεγκτές αναπαράγουν επίσης δεδομένα σχήματος και διαμόρφωσης.
4. Δημιουργείται ένας νέος τομέας B και προστίθενται ελεγκτές σε αυτόν. Οι διακομιστές GC στον τομέα Α και στον τομέα Β αντιγράφουν όλα τα δεδομένα σχήματος και διαμόρφωσης, καθώς και ένα υποσύνολο των δεδομένων τομέα από κάθε τομέα. Η αναπαραγωγή εντός του τομέα Α συνεχίζεται όπως περιγράφεται παραπάνω, συν η αναπαραγωγή εντός του τομέα Β αρχίζει.
ΕνεργόςΕυρετήριοΚαι LDAP
Το Lightweight Directory Access Protocol (LDAP) είναι ένα τυπικό πρωτόκολλο για συνδέσεις Διαδικτύου σε δίκτυα TCP/IP. Το LDAP έχει σχεδιαστεί ειδικά για πρόσβαση σε υπηρεσίες καταλόγου με ελάχιστη επιβάρυνση. Το LDAP ορίζει επίσης τις λειτουργίες που χρησιμοποιούνται για την αναζήτηση και την αλλαγή πληροφοριών καταλόγου.
Πελάτες Η υπηρεσία καταλόγου Active Directory χρησιμοποιεί το LDAP για να επικοινωνεί με υπολογιστές που εκτελούν την υπηρεσία καταλόγου Active Directory κάθε φορά που συνδέονται στο δίκτυο ή αναζητούν κοινόχρηστους πόρους. Το LDAP απλοποιεί τη διασύνδεση καταλόγου και τη μετεγκατάσταση στην υπηρεσία καταλόγου Active Directory από άλλες υπηρεσίες καταλόγου. Για να βελτιώσετε τη συμβατότητα, μπορείτε να χρησιμοποιήσετε τις διεπαφές των υπηρεσιών καταλόγου Active Directory (ΕνεργόςΕυρετήριο Υπηρεσία- Διεπαφές, ADSI).
Κύριοι Ρόλοι Επιχειρήσεων
Η κύρια λειτουργία χειρίζεται εργασίες που δεν είναι βολικό να εκτελεστούν σε ένα μοντέλο αναπαραγωγής πολλαπλών κυρίων. Υπάρχουν πέντε κύριοι ρόλοι λειτουργιών που μπορούν να εκχωρηθούν σε έναν ή περισσότερους ελεγκτές τομέα. Ορισμένοι ρόλοι πρέπει να είναι μοναδικοί σε επίπεδο δάσους, ενώ άλλοι πρέπει να είναι μοναδικοί σε επίπεδο τομέα. Οι ακόλουθοι ρόλοι πρέπει να υπάρχουν σε κάθε δάσος Active Directory:
Master Schema) - διαχειρίζεται ενημερώσεις και αλλαγές στο σχήμα καταλόγου. Για να ενημερώσετε ένα σχήμα καταλόγου, πρέπει να έχετε πρόσβαση στο κύριο σχήμα. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος το κύριο σχήμα στον τομέα, απλώς ανοίξτε ένα παράθυρο γραμμής εντολών και πληκτρολογήστε: dsquery server -έχειφάsmo σχήμα.
Κύριο όνομα τομέα - διαχειρίζεται την προσθήκη και αφαίρεση τομέων στο δάσος. Για να προσθέσετε ή να αφαιρέσετε έναν τομέα, χρειάζεστε πρόσβαση στην κύρια ονομασία τομέα. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος ο κύριος ονομασίας τομέα, απλώς εισαγάγετε στο παράθυρο της γραμμής εντολών: διακομιστής dsquery -έχειφάsmo όνομα.
Αυτοί οι ρόλοι, κοινοί στο δάσος στο σύνολό του, πρέπει να είναι μοναδικοί για αυτό.
Οι ακόλουθοι ρόλοι απαιτούνται σε κάθε τομέα της υπηρεσίας καταλόγου Active Directory.
Σχετικό κύριο ID - εκχωρεί σχετικά αναγνωριστικά σε ελεγκτές τομέα. Κάθε φορά που δημιουργείτε ένα αντικείμενο χρήστη, ομάδας ή οι ελεγκτές υπολογιστών εκχωρούν σε ένα αντικείμενο ένα μοναδικό αναγνωριστικό ασφαλείας, το οποίο αποτελείται από ένα αναγνωριστικό ασφαλείας τομέα και ένα μοναδικό αναγνωριστικό που έχει εκχωρηθεί από τον κύριο των σχετικών αναγνωριστικών. Για να προσδιορίσετε ποιος διακομιστής είναι ο κάτοχος των σχετικών αναγνωριστικών στον τομέα, απλώς εισαγάγετε στο παράθυρο της γραμμής εντολών: dsqueryδιακομιστής -έχειφάsmoαπαλλάσσω.
Εξομοιωτής PDC - Σε λειτουργία μικτού ή ενδιάμεσου τομέα, λειτουργεί ως κύριος ελεγκτής τομέα των Windows NT. Πραγματοποιεί έλεγχο ταυτότητας των συνδέσεων των Windows NT, χειρίζεται αλλαγές κωδικών πρόσβασης και αναπαράγει ενημερώσεις στο P DC. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος ο εξομοιωτής PDC στον τομέα, απλώς εισαγάγετε το παράθυρο της γραμμής εντολών dsquery υπηρέτης - χασφσμο pdc.
Ιδιοκτήτης υποδομής κύριος ) - ενημερώνει τους συνδέσμους αντικειμένων συγκρίνοντας τα δεδομένα του καταλόγου του με τα δεδομένα GK. Εάν τα δεδομένα είναι παλιά, ζητά ενημερώσεις από το GC και τις αναπαράγει στους υπόλοιπους ελεγκτές στον τομέα. Για να προσδιορίσετε ποιος διακομιστής είναι ο κάτοχος της υποδομής στον τομέα, απλώς στο παράθυρο της γραμμής εντολών και εισάγετε dsqueryδιακομιστής -hasfsmo infr .
Αυτοί οι ρόλοι, οι οποίοι είναι κοινοί σε ολόκληρο τον τομέα, πρέπει να είναι μοναδικοί εντός του τομέα. Με άλλα λόγια, μπορείτε να διαμορφώσετε μόνο μία κύρια σχετική ταυτότητα, έναν εξομοιωτή PDC και μία κύρια υποδομή ανά τομέα.
Οι κύριοι ρόλοι λειτουργιών συνήθως εκχωρούνται αυτόματα, αλλά μπορούν να ανατεθούν ξανά. Όταν εγκαθίσταται ένα νέο δίκτυο, ο πρώτος ελεγκτής τομέα του πρώτου τομέα αναλαμβάνει όλους τους κύριους ρόλους λειτουργιών. Εάν αργότερα δημιουργηθεί ένας νέος θυγατρικός τομέας ή ένας ριζικός τομέας στο νέο δέντρο, οι κύριοι ρόλοι λειτουργιών εκχωρούνται επίσης αυτόματα στον πρώτο ελεγκτή τομέα. Σε ένα νέο σύμπλεγμα δομών τομέα, στον ελεγκτή τομέα εκχωρούνται όλοι οι κύριοι ρόλοι λειτουργιών. Εάν ένας νέος τομέας δημιουργηθεί στο ίδιο σύμπλεγμα δομών, στον ελεγκτή του εκχωρείται ο ρόλος του σχετικού κύριου αναγνωριστικού, του εξομοιωτή PρεΓ και τον ιδιοκτήτη της υποδομής. Οι ρόλοι του κύριου σχήματος και του κύριου τομέα ονομασίας τομέα παραμένουν στον πρώτο τομέα στο δάσος.
Εάν υπάρχει μόνο ένας ελεγκτής σε έναν τομέα, εκτελεί όλους τους κύριους ρόλους λειτουργιών. Εάν υπάρχει μόνο μία τοποθεσία στο δίκτυο, η τυπική τοποθεσία των βασικών λειτουργιών είναι η βέλτιστη. Αλλά καθώς προσθέτετε ελεγκτές τομέα και τομείς, μερικές φορές χρειάζεται να μετακινήσετε τους κύριους ρόλους λειτουργιών σε άλλους ελεγκτές τομέα.
Εάν υπάρχουν δύο ή περισσότεροι ελεγκτές τομέα σε έναν τομέα, συνιστάται η διαμόρφωση δύο ελεγκτών τομέα ώστε να χρησιμεύουν ως κύριοι ρόλοι λειτουργιών. Για παράδειγμα, ορίστε έναν ελεγκτή τομέα ως τον κύριο κύριο των λειτουργιών και τον άλλο ως αντίγραφο ασφαλείας, το οποίο θα χρειαστεί εάν ο κύριος αποτύχει.
Διαχείριση Ενεργό αρχείο
ντοΧρησιμοποιώντας την υπηρεσία Active Directory, δημιουργούνται λογαριασμοί υπολογιστή, συνδέονται με τον τομέα και γίνεται διαχείριση υπολογιστών, ελεγκτών τομέα και οργανωτικών μονάδων (OU).
Παρέχονται εργαλεία διαχείρισης και υποστήριξης για τη διαχείριση του Active Directory. Τα εργαλεία που αναφέρονται παρακάτω υλοποιούνται επίσης ως συμπληρωματικά προγράμματα κονσόλας MMC (Microsoft ΔιαχείρισηΚονσόλα):
Active Directory - Χρήστες και Υπολογιστές (Active Directory Χρήστες και Υπολογιστές) σας επιτρέπει να διαχειρίζεστε χρήστες, ομάδες, υπολογιστές και οργανωτικές μονάδες (OU).
Ενεργός Ευρετήριο- τομείς και εμπιστοσύνη ( Ενεργός Ευρετήριο Τομείςκαι Εμπιστεύματα ) χρησιμεύει για εργασία με τομείς, δέντρα τομέα και δάση τομέων.
Ενεργό αρχείο - τοποθεσίες ΚαιΥπηρεσίες (Ιστότοποι και υπηρεσίες Active Directory) σας επιτρέπει να διαχειρίζεστε τοποθεσίες και υποδίκτυα;
Επακόλουθο πολιτική (Προκύπτον σύνολο πολιτικών) χρησιμοποιείται για την προβολή της τρέχουσας πολιτικής ενός χρήστη ή συστήματος και για τον προγραμματισμό αλλαγών στην πολιτική.
ΣΕ Στον Microsoft Windows 2003 Server, μπορείτε να αποκτήσετε πρόσβαση σε αυτά τα συμπληρωματικά προγράμματα απευθείας από το μενού Εργαλεία διαχείρισης.
Ένα άλλο διαχειριστικό εργαλείο είναι το snap-in Σχέδιο ΕνεργόςΕυρετήριο (Ενεργός Ευρετήριο Σχήμα) - σας επιτρέπει να διαχειρίζεστε και να τροποποιείτε το σχήμα καταλόγου.
Βοηθητικά προγράμματα γραμμής εντολών Ενεργός Ευρετήριο
Για τη διαχείριση αντικειμένων Ενεργός ΕυρετήριοΥπάρχουν εργαλεία γραμμής εντολών που σας επιτρέπουν να εκτελείτε ένα ευρύ φάσμα διοικητικών εργασιών:
DSADD - προσθέτει σε Ενεργός Ευρετήριουπολογιστές, επαφές, ομάδες, ΕΠ και χρήστες.
DSGET - εμφανίζει ιδιότητες υπολογιστών, επαφών, ομάδων, OP, χρηστών, τοποθεσιών, υποδικτύων και διακομιστών που είναι εγγεγραμμένοι σε Ενεργός Ευρετήριο.
DSMOD - αλλάζει τις ιδιότητες των υπολογιστών, των επαφών, των ομάδων, των OP, των χρηστών και των διακομιστών που είναι εγγεγραμμένοι Ενεργός Ευρετήριο.
DSMOVE - Μετακινεί ένα μεμονωμένο αντικείμενο σε μια νέα θέση σε έναν τομέα ή μετονομάζει ένα αντικείμενο χωρίς να το μετακινήσει.
DSQXJERY - αναζητά υπολογιστές, επαφές, ομάδες, OP, χρήστες, τοποθεσίες, υποδίκτυα και διακομιστές σε Ενεργός Ευρετήριοσύμφωνα με καθορισμένα κριτήρια.
DSRM - αφαιρεί ένα αντικείμενο από Ενεργός Ευρετήριο.
NTDSUTIL - σας επιτρέπει να προβάλλετε πληροφορίες σχετικά με έναν ιστότοπο, τομέα ή διακομιστή, να διαχειρίζεστε πλοίαρχοι των επιχειρήσεων (επιχειρήσεις πλοίαρχοι) και να διατηρήσετε τη βάση δεδομένωνΕνεργός Ευρετήριο.
