Служба каталогов Active Directory Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 28 марта 2013 г.
Служба каталогов Active Directory AD – средство именования, хранения и выборки информации в распределенной среде AD – технологическая основа для доменов Windows В AD хранятся учетные записи пользователей, компьютеров, информация о файлах, приложениях, объекты групповых политик и др.
Active Directory с точки зрения практики Создается локальная сеть. В этой сети: 1. Один или несколько контроллеров домена на Windows Server 2. Рабочие станции включены в домен (только профессиональные версии клиентских Windows) 3. Учетные записи пользователей хранятся на контроллере домена
Active Directory с точки зрения практики 4. Авторизация пользователей производится через контроллер домена: происходит поиск К.Д. в DNS происходит аутентификация пользователя при помощи Kerberos пользователю назначаются права
Active Directory с точки зрения практики 5. Возможно использовать групповые политики: на сервере настраивается политика (для компьютера или пользователя) политика применяется на рабочих станциях в момент включения компьютера или авторизации пользователя
Active Directory с точки зрения практики 6. Администратор домена имеет полных контроль над рабочими станциями 7. Возможно создавать «большие» приложения, использующие хранилища и ресурсы AD
Active Directory с точки зрения практики Таким образом, AD обеспечивает: Единую регистрацию в сети Централизованное управление Использование «больших» приложений, опирающихся на инфраструктуру всей сети
Внутренняя структура Active Directory Каталог AD состоит из элементов, содержащих атрибуты, связанные с некоторым реальным объектом Существует 3 категории объектов: Учетные записи пользователей и компьютеров Ресурсы сети (напр., принтеры) Службы Набор атрибутов определяется объектным классом
Внутренняя структура Active Directory В каталоге можно создавать контейнеры (организационные единицы) – специализированные объекты для группировки других объектов Элементы каталога представлены в виде иерархического дерева
Внутренняя структура Active Directory Набор правил, описывающих структуру дерева каталогов, объектные классы, типы атрибутов называют схемой каталога Схема каталога гарантирует его целостность Схема хранится в самом каталоге Можно менять схему каталога – создавать новые объектные классы, атрибуты и др.
Именование в Active Directory Каждый домен имеет свое DNS-имя (в этом понятия домена Windows и интернет-домена совпадают) Для поиска контроллеров домена используются dns-записи типа SRV (т.е. при обращении к элементам явно указывать имя сервера не требуется – только имя домена)
Именование в Active Directory Для именования элементов каталога используются различающиеся или канонические имена: Различающееся имя: cn=Alexander, ou=Users, dc=fizmat, dc=vspu, dc=ru Каноническое имя: //fizmat.vspu.ru/Users/Alexander
Именование в Active Directory Каждый элемент имеет также глобально уникальный идентификатор (GUID) – используются Windows для распознавания объектов {6F9619FF-8B86-D011-B42D-00CF4FC964FF}