Active Directory предоставляет способ для разработки структуры каталога в зависимости от потребностей вашей организации. При описании каталога Active Directory использует две структуры:
Физическая структура Active Directory представляет собой файл, расположенный на жестком диске каждого контроллера домена, который содержит эту службу.
Логическая структура Active Directory представляет собой контейнеры, содержащие объекты службы каталога.
Логическая структура.
Логическая структура образуется за счет группирования ресурсов и позволяет искать ресурсы по именам, а не физическому расположению. База данных Active Directory содержит следующие структурные объекты:
Как и любая служба каталогов, Active Directory в первую очередь является пространством имен. Пространство имен (namespace) - это любая ограниченная область, где возможно разрешение имени. Разрешение имени (name resolution) - это процесс сопоставления имени некоторому объекту или информации, которую оно представляет. Пространство имен Active Directory основано на схеме именования DNS, обеспечивающей взаимодействие с Интернетом.
Объект Объект (object) - это отличительный набор именованных атрибутов, описывающих ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя включают его фамилию, имя, отдел, адрес электронной почты.
Набор атрибутов объекта определяется классом (class) объекта. Классы объектов и их атрибуты определены в схеме Active Directory.
Кроме того, выделяют контейнерные объекты (container objects), они могут содержать в себе другие объекты. Например, организационная единица и домен - контейнерные объекты.
Организационное подразделение Организационное подразделение (organizational unit) - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена. Организационные единицы могут содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры и т. п. Иерархия организационных единиц домена не зависит от других доменов - каждый домен может поддерживать свою собственную иерархию.
Домен Домен (domain) - основная единица логической структуры в Active Directory. Домен Active Directory является прямым аналогом домена Windows NT и предназначен для логической группировки компьютеров. Обычно группировка осуществляется по подразделениям организации, что позволяет одновременно упростить обмен данными внутри подразделения и защитить данные от изменения сотрудниками из других подразделений.
Все объекты существуют только в пределах домена. Каждый домен хранит сведения только о содержащихся в нем объектах. Теоретически каталог домена может содержать более 10 миллионов объектов, на практике проверена возможность хранения порядка 1 миллиона объектов.
В типичный домен входят следующие компьютеры:
Тип компьютера
ОС
Описание
Контроллеры домена
Windows 2000 Server, Windows Server 2003
Обеспечивают функционирование службы каталогов Active Directory, обычно выполняют и другие функции
Рядовые серверы
Windows Server 2003, Windows 2000 Server, Windows NT Server
Предоставляют различные сервисы как пользователям домена, так и внешним пользователям. Не обслуживают Active Directory
Клиентские компьютеры
Windows XP Professional, Windows 2000 Professional, Windows NT Workstation, Windows 9x
Предоставляют возможность использовать ресурсы компьютеров домена
Дерево Дерево (tree) - это группировка или иерархия одного или нескольких доменов Windows Server 2003 (Windows 2000). Типичное дерево Active Directory может содержать один домен:
Все домены в дереве представляют единый доступ к информации и ресурсам всего дерева. В дереве имеется только один каталог, но каждый домен предоставляет свою часть каталога, содержащую информацию о "своих" объектах. В пределах дерева пользователь, зарегистрировавшийся в одном домене, может обращаться к ресурсам других доменов (в пределах назначенных ему разрешений). Windows Server 2003 осуществляет репликацию информации между доменами, обеспечивая идентичность данных, хранимых на всех контроллерах всех доменов дерева. Кроме того, в каждом домене создается свой собственный индекс, облегчающий поиск объектов в пределах домена. Все домены дерева предоставляют доступ к общему пространству имен и иерархической структуре имен. По стандартам DNS, имя дочернего домена дополняется именем родительского домена. Дерево доменов всегда начинается с одного корневого домена.
Лес Лес (forest) - объединение одного и более деревьев - позволяет группировать сети подразделений организации или нескольких организаций, которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными. Все деревья в лесу используют общую схему и общий глобальный каталог (ГК). Корневые домены деревьев леса связываются доверительными отношениями, что позволяет организовать доступ из одного дерева в другое.
Схема Схема (schema) содержит формальное описание содержания и структуры хранилища Active Directory, включая все атрибуты, классы и свойства классов. Для каждого класса объектов схема определяет, какими атрибутами должен обладать экземпляр класса, какие дополнительные атрибуты он может иметь и какой класс объектов является предком текущего класса. При установке Active Directory на первый контроллер домена в сети создается стандартная схема, содержащая определения наиболее часто используемых объектов и их свойств, таких как пользователи, группы, компьютеры, принтеры и т. п. Стандартная схема также содержит определения собственных объектов и свойств Active Directory. Схема Active Directory расширяема, т. е. вы можете определить новые типы объектов каталога и их атрибуты, в том числе и новые атрибуты для существующих объектов. Схема хранится вместе с данными Active Directory (в ГК) и обновляется динамически. Таким образом, добавленные и измененные атрибуты можно использовать практически сразу после изменения схемы. Схема определяет структуру леса Active Directory, который может содержать несколько деревьев Active Directory, которые, в свою очередь, могут содержать несколько иерархически структурированных доменов Active Directory. В связи с этим в лесе Active Directory один из контроллеров объявляется мастером схемы (schema master) и отвечает за репликацию данных схемы на все контроллеры доменов.
Глобальный каталог Глобальный каталог (global catalog) - это центральное хранилище информации об объектах в дереве доменов и лесе Active Directory. Содержимое глобального каталога генерируется автоматически во время стандартного процесса репликации данных между контроллерами доменов.
Глобальный каталог является как службой, так и физическим хранилищем части атрибутов всех объектов леса Active Directory. Процесс частичной репликации позволяет находить большинство сведений непосредственно в глобальном каталоге, без обращения к исходному домену. По умолчанию в глобальном каталоге хранятся атрибуты, наиболее часто используемые при поиске (например имя пользователя, его учетной записи и т. п.), а также сведения, необходимые для обнаружения объекта (полный LDAP-путь к соответствующему объекту каталога). Хранение только основных атрибутов объектов в глобальном каталоге позволяет уменьшить его размер, поэтому один сервер глобального каталога может обслуживать много контроллеров домена Windows. Следовательно, глобальный каталог позволяет найти объект в любом месте сети, даже не реплицируя информацию между контроллерами домена.
Вы можете управлять репликацией атрибутов классов в глобальный каталог при помощи оснастки Схема Active Directory, которую можно вызвать командой mmc %systemroot%\system32\schmmgmt.msc. Будьте осторожны при изменении параметров атрибутов, классов и параметров репликации в глобальный каталог - указание некорректных значений может привести к полной или частичной неработоспособности Active Directory.
При установке первого контроллера домена в лесу Active Directory он становится сервером глобального каталога. В зависимости от размеров каталога Active Directory сервер глобального каталога должен быть достаточно мощным - он хранит большое количество информации (до нескольких миллионов объектов) и должен обслуживать запросы большого количества клиентов.
При наличии нескольких контроллеров домена вы можете перенести глобальный каталог на другой сервер или настроить несколько серверов на его поддержку глобального каталога. При выборе сервера глобального каталога необходимо учитывать, что этот сервер является источником трафика большого объема, что может негативно сказаться на производительности сети в целом. Рекомендуется устанавливать по одному серверу глобального каталога в каждом сайте, это позволит выполнять большую часть запросов, не обращаясь к другим сайтам.
Репликация.
Репликация (replication) - это процесс актуализации данных, хранящихся на контроллерах домена. В процессе репликации изменения, внесенные в атрибуты и состав объектов на одном контроллере домена, переносятся на другие. После завершения репликации каждый контроллер домена хранит актуальные сведения об объектах.
Есть несколько видов репликации:
Полная репликация данных. Используется между контроллерами одного домена. В полной репликации участвуют все атрибуты объектов домена.
Частичная репликация данных. Используется между контроллерами домена и сервером глобального каталога. В частичной репликации участвуют только те атрибуты объектов, которые хранятся в глобальном каталоге.
Межсайтовая репликация. Используется между контроллерами домена, расположенными в разных сайтах. Межсайтовая репликация осуществляется реже, чем полная. При межсайтовой репликации данные аккумулируются и передаются только итоговые изменения, что уменьшает трафик репликации.
Физическая структура.
Физическая структура Active Directory - это совокупность мер, направленных на управление репликацией между контроллерами доменов Active Directory. Обычно физическая структура Active Directory соответствует структуре IP-сетей организации.
Контроллер домена Контроллер домена (domain controller) - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена). Все контроллеры домена имеют полную базу данных домена. При внесении изменений в данные каталога они фиксируются в локальной БД на контроллере домена, после чего реплицируются на другие контроллеры. Изменение некоторых критичных атрибутов (допустим, пароля пользователя) реплицируются незамедлительно.
IP-сеть IP-сеть - это описание некоторой IP-сети, являющейся частью сайта Active Directory. Обычно IP-сети Active Directory соответствуют IP-сетям, используемым в локальной сети организации.
При отображении IP-сетей Active Directory используется формат w.x.y.z/m (например, 172.16.6.0/24), где w, x, y, z - октеты IP-адреса сети, а m - количество бит маски подсети. Например, 24 бита соответствуют маске 255.255.255.0, а 22 бита - маске 255.255.252.0.
Сайт Сайт (site) - это совокупность одной или нескольких IP-сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах. Сайты предназначены для управления репликацией между сетями, соединенными каналами связи с низкой пропускной способностью.
Между контроллерами доменов, расположенных в одном сайте, репликация осуществляется с небольшим интервалом времени (по умолчанию - 15 минут). Репликация между сайтами осуществляется по специальному графику, настраиваемому администратором, с гораздо большим временным интервалом. Кроме того, репликация между сайтами осуществляется однократно, понижая тем самым объем передаваемых данных. Кроме того, сайты используются клиентскими компьютерами для определения ближайшего контроллера домена, который будет использован для авторизации пользователя.
Правила именования.
Каждый объект в хранилище Active Directory идентифицируется по имени. Для обращения к объектам используются разные правила именования:
составные имена (distinguished name, DN);
относительные составные имена (relative distinguished name, RDN);
основные имена пользователей (user principal name, UPN).
Так как Active Directory является LDAP-совместимой службой каталога, то все обращения к объектам в каталоге осуществляются по протоколу LDAP.
Составное имя Объекты размещаются в Active Directory согласно иерархическому пути, включающему метки доменного имени Active Directory и всех уровней контейнерных объектов. Каждый объект в хранилище Active Directory имеет составное имя. Оно уникально идентифицирует объект и содержит информацию для клиента, достаточную для извлечения объекта из каталога. Составное имя включает имя домена, содержащего объект, и полный путь к объекту по иерархии контейнеров.
Следующее составное имя идентифицирует объект - пользователя Иванов в домене test.fio.ru :
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович
Имя состоит из атрибутов, разделяемых запятыми. Каждый атрибут состоит из описателя типа, знака равно ("=") и собственно значения атрибута.
Комбинации символов, которые могут использоваться в Active Directory в качестве описателей, приведены в таблице.
Тип
Название
Описание
DC
Domain Component
Компонент доменного имени. Полное имя домена разбивается на компоненты (в DNS разделяемые точками), которые в составном имени записываются в обратном порядке. Например, домен test.fio.ru в LDAP выглядит как DC=ru,DC=fio,DC=test
CN
Common Name
Объект. Может быть как простым, так и контейнерным (содержать другие объекты). Учетные записи пользователей, группы, компьютеры и т. п. являются такими объектами
OU
Organizational Unit
Организационная единица. Контейнерный объект, содержащий в себе другие объекты
UID
User ID
Идентификатор объекта учетной записи пользователя. В Active Directory почти не используется
Символы, которые запрещены стандартом LDAP для использования в значениях атрибутов, приведены в таблице.
Символ
Описание
Пробел, расположенный в начале или в конце значения атрибута. Пробелы в середине значения атрибута допускаются
#
Символ # в начале значения атрибута
=
Символ = отделяет тип атрибута от его значения
,
Запятая является разделителем атрибутов в LDAP-пути и не может использовать в значениях атрибутов
+"
< > Эти символы используются протоколом LDAP для системных нужд
\
Обратный слеш используется как префикс нестандартных символов
;
Точка с запятой может использоваться в качестве разделителя атрибутов LDAP-пути
При необходимости использовать эти символы в именах атрибутов перед ними должен ставиться обратный слеш ("\"). При необходимости использовать сам символ обратного слеша необходимо ввести его дважды. Нестандартные символы UTF-8 должны заменяться на символ обратного слеша и шестнадцатеричное число, представляющее собой код заменяемого символа.
Вот примеры использования запрещенных символов в LDAP-путях:
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов\,Иван Иванович DC=ru,DC=fio,DC=test,OU=Старые\0Dобъекты\20,CN=Объект #1
Относительное составное имя В Active Directory можно найти объект, даже не зная точно его составное имя. Поиск можно вести по атрибутам объекта, одним из которых является относительное составное имя объекта. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович относительным именем будет CN=Иванов Иван Иванович , а для контейнера, в котором он расположен, -< STRONG>CN= Users< /STRONG>. Можно также сказать, что составное имя собирается из относительных составных имен объектов и контейнеров.
Active Directory позволяет многократно использовать одинаковые относительные имена, однако в пределах одного контейнера все они должны быть уникальными.
Глобально уникальный идентификатор Помимо составного имени, каждый объект каталога обладает глобально уникальным идентификатором (Globally Unique Identifier, GUID) - 128-битным числом, генерируемым при создании объекта. GUID принято записывать шестнадцатеричными числами в следующем виде: , например .
GUID не изменяется в течение всего срока жизни объекта, даже при его переименовании или перемещении в другой домен. Поэтому приложения могут хранить GUID объекта и всегда однозначно находить его в каталоге. Если для уникальной идентификации объектов в Windows NT использовался идентификатор безопасности (Security Identifier, SID), который обеспечивал уникальность идентификатора только в рамках домена Windows NT, то в Windows Server 2003 и Windows 2000 для этого используется GUID, который обеспечивает уникальность идентификатора во всем мире. GUID генерируется на основе специального алгоритма, который использует ряд аппаратно-зависимых параметров (номер процессора, MAC-адрес сетевого адаптера и т. п.) для получения гарантированно случайного значения.
Основное имя пользователя Это дружественное имя пользователя, которое гораздо короче составного и легче для запоминания. Как правило, оно состоит из имени учетной записи пользователя и полного DNS-имени домена, в котором расположен соответствующий объект. Имя пользователя и имя домена разделяются символом @, поэтому основное имя пользователя выглядит как адрес электронной почты. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович основным именем пользователя будет IvanovII@test.fio.ru . Основное имя пользователя не зависит от составного имени, что позволяет перемещать объект в пределах домена без изменения основного имени.
При эксплуатации в сети почтового сервера Microsoft Exchange 2000 или другого интегрированного с Active Directory почтового сервера основные имена пользователей действительно будут соответствовать их адресам электронной почты, что существенно упрощает работу в Windows неподготовленных пользователей.
