Особенности системы защиты Windows 2000 - Active Directory
ОГЛАВЛЕНИЕ
Active Directory
Active Directory (AD) — это ключевой компонент Windows 2000, позволяющий решить характерные для системы Windows NT 4.0 проблемы масштабируемости, расширяемости, администрирования и открытости. Windows NT 4.0 не приспособлена в полной мере для работы в крупных организациях, поскольку число пользователей домена не может превышать 20 000, а основные (PDC) и резервные (BDC) контроллеры домена используют схему репликации «один ко многим». Что касается Windows 2000, то здесь один домен AD способен содержать более миллиона объектов и, в большинстве случаев, не требует наличия PDC. Так, изменения, зарегистрированные на одном из контроллеров домена, реплицируются на все остальные. Надлежащая настройка мультисерверной репликации позволяет обеспечить требуемую производительность, а также гарантированную полосу пропускания для связи находящихся в разных географических зонах подразделений. Для решения этой задачи в операционной системе используются новые объекты типа сайт (site), которые описывают подсети IP. Благодаря таким объектам домены, которые обычно базируются на организационных подразделениях, не зависят от того, где эти подразделения расположены.
Служба AD существенно расширяет возможности администрирования. Теперь можно объединять пользователей и компьютеры в иерархию, соответствующую организационной структуре компании. Формирование такой структуры внутри домена обеспечивается с помощью организационных единиц (Organizational Unit, OU). Домены могут иметь родительские и дочерние домены (за исключением корневого, который не имеет родительского домена). Также разрешается назначать индивидуальные административные привилегии на любом уровне иерархии.
Windows 2000 позволяет заменить механизмы разрешения имен WINS и широковещательного NetBIOS динамическим DNS (DDNS). Базу данных DNS можно хранить в AD, увязывая ее с доменной иерархией Active Directory. Как известно, расширяемость Windows NT 4.0 не распространялась на службу каталога. Поэтому разработчики должны были самостоятельно заниматься атрибутами пользователей, специфичными для приложения, и размещать прикладные службы.
Благодаря AD разработчики могут формировать новые объекты, а также добавлять дополнительные свойства в уже существующие объекты, не занимаясь обслуживанием специального каталога приложений. (Однако AD не подходит для хранения часто изменяющихся данных.) Active Directory даже позволяет публиковать ресурсы, например общие папки, таким образом, что пользователям не нужно выяснять, где именно расположен сервер. Кроме того, в Windows 2000 предусмотрен незаметный для пользователей перенос приложений с одного сервера на другой. Дифференцированное управление и поддержка транзитивных доверительных отношений между доменами Windows 2000 (если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С) избавляют от необходимости использовать типовые доменные модели Windows NT 4.0 (в частности, модели с полностью доверительными отношениями или с одним главным доменом).
Рисунок 1. Взаимодействие Active Directory с операционной системой. |
Методы доступа к данным в Active Directory, LDAP и Active Directory Service Interfaces (ADSI) и их иерархическая структура позволяют говорить о службе AD как об открытой архитектуре. Таким образом закладывается интеграция с операционными системами и приложениями, поддерживающими службы каталогов. Как показано на Рисунке 1, между AD и остальными компонентами операционной системы имеет место своеобразный симбиоз. В частности, Windows 2000 использует AD в качестве хранилища данных учетных записей и политик, а также управляет процессом наследования политик с помощью иерархической структуры службы каталогов. AD же доверяет операционной системе аутентификацию и контроль доступа к своим объектам.