| Новости | Системы | Настройка | Программы | Форум | Ссылки | | |
|
|
 |
Службы каталога Служба каталога — это распределенный репозитарий информации
или указателей на информацию (например, о пользователях, группах или ресурсах).
Наличие в системе такого элемента позволяет разворачивать на его базе
самые разные приложения. Это могут быть простые приложения: скажем, телефонный
справочник с дополнительной информацией об абонентах или сложные программы
для управления сетевой операционной системой. Подобно другим службам каталога,
таким, как Novell Directory Services (NDS) и StreetTalk компании Banyan,
служба AD формирует каталог объектов сетевой ОС. Это позволяет управлять
не только пользователями и данными о них, но и многими объектами, характерными
именно для NT: томами Dfs, объектами Group Policy Objects (GPO), инфраструктурой
открытых ключей (Public Key Infrastructure, PKI). Число типов объектов,
которые могут содержаться в каталоге, практически неограниченно. Впрочем,
во всем нужно знать меру, ведь существуют и такие факторы, как производительность
системы и потенциальные проблемы репликации данных. Домены. В ОС Windows 2000 система
обеспечения безопасности данных все еще организована по доменам, и по-прежнему
существуют группы Domain Admins. Однако в доменах AD уже не применяется
15-символьный стандарт именования NetBIOS. Хотя для обеспечения обратной
совместимости доменам AD присвоены имена NetBIOS, однако системы Windows
2000 распознают их по DNS-именам. По умолчанию в Windows 2000 применяется
служба имен DNS, и для идентификации доменов AD используется домен DNS
(например, mycompany.com). Деревья и леса доменов. Дерево доменов — это совокупность доменов, объединенных доверительными отношениями и принадлежащих к непрерывному пространству имен (скажем, к дереву, в котором каждый домен является поддоменом своего родительского домена). Примером непрерывного пространства имен может служить следующее дерево доменов. Его корень — домен mycompany.com. Из корня «вырастает» домен east.mycompany .com, который в свою очередь порождает потомка finance.east.mycompany.com. В нашем примере все три домена располагаются в непрерывном пространстве имен и образуют дерево доменов.
Лес — это одно или несколько деревьев доменов, расположенных в отдельных непрерывных пространствах имен. Доверительные отношения устанавливаются с помощью протокола Kerberos на уровне корней деревьев домена. Рисунок 1 иллюстрирует отношения между доменами и деревьями доменов в лесу AD. При установке первого контроллера домена следует указать, является ли данный контроллер частью нового леса или входит в состав существующего. Надо сказать, что в рамках службы AD все домены леса должны строиться по одной схеме; в ОС Windows 2000 слияние нескольких лесов или нескольких схем не допускается. Поэтому, если необходимо создать несколько лесов (например, когда одна компания объединяется с другой, уже сформировавшей лес AD), для объединения этих лесов следует установить явные непереходные отношения доверия «сверху вниз». Существует и другая возможность: перемещать объекты из одного леса в другой с помощью специальных инструментальных средств. Как бы то ни было, до тех пор, пока Microsoft или один из независимых производителей не разработает средство для управления несколькими лесами в рамках одного предприятия, системные администраторы будут стремиться к тому, чтобы в одной организации лесов было как можно меньше. Информационное дерево каталога (Directory Information Tree, DIT). В системе NT 4.0 все данные о пользователях, компьютерах и группах домена содержатся в базе данных Security Accounts Manager (SAM). SAM — это куст системного реестра, поэтому объем базы ограничивается возможностями масштабирования реестра. В контроллерах доменов Windows 2000 функции SAM берет на себя DIT. В основу DIT положен разработанный в Microsoft процессор базы данных Jet, аналогичный одноименному процессору, который используется в сервере Microsoft Exchange Server. Файлу SAM соответствует файл ntds.dit, расположенный в каталоге \%systemroot%\ntds. В этом файле хранится почти вся база данных каталога. Вообще DIT превосходит по объему SAM; дело в том, что Active Directory содержит больше информации и типов объектов, нежели служба каталогов NT 4.0. В рамках домена содержимое файла ntds.dit реплицируется на все контроллеры домена. Может сложиться впечатление, что после миграции с NT 4.0 на Windows 2000 интенсивность связанного с репликацией трафика между контроллерами доменов возрастет. На деле же такого не наблюдается, и связано это с тем, что используемая в Windows 2000 модель репликации внесенных в каталог изменений в корне отличается от модели, применяемой в NT 4.0.
Служба Active Directory обогащает Windows 2000 рядом свойств, которые облегчают управление сетями крупных предприятий. В числе этих новых свойств и компонентов — общий каталог Global Catalog, организационные блоки OU, возможность создания расширенных групп, средства репликации каталогов и новая структура контроллера домена. Общий каталог. Global Catalog — принципиально
новый элемент Windows 2000. Он представляет собой отдельный индекс объектов
леса AD. По умолчанию индекс содержит все объекты полной базы данных AD,
однако их атрибуты представлены в нем не полностью. С помощью общего каталога
пользователи могут быстро отыскивать объекты в лесу предприятия, не обращаясь
к услугам контроллера домена, в котором размещается тот или иной объект.
Достоинства каталога в наибольшей степени проявляются в ситуациях, когда
приходится иметь дело с несколькими доменами и деревьями доменов в составе
неоднородной сети. Чтобы клиенты имели доступ к ресурсам в доменах AD,
в сети должен быть создан по меньшей мере один Global Catalog. Организационные блоки (OU). Эти компоненты
среды каталога позволяют делегировать полномочия по управлению ресурсами
доменов Windows 2000. Создавая блок OU в домене AD, администратор тем
самым устанавливает границу пространства, внутри которого будет осуществляться
делегирование прав управления объектами, содержащимися в данном блоке.
Как я уже отмечал, блоки OU могут содержать другие OU или объекты-листья
— пользователей, компьютеры или принтеры. В блок OU можно вкладывать сколь
угодно много таких же блоков, но, по практическим соображениям, число
вложений следует ограничивать десятью уровнями или менее того. Вложенные
организационные блоки можно создавать с помощью модуля Active Directory
Users and Computers консоли MMC.
В блоке с именем US размещается блок California, который, в свою очередь,
включает блок Finance. В этом последнем блоке содержится объект «пользователь»
с именем Joe User. Предположим, что Joe User — это локальный администратор
финансового отдела компании в Калифорнии. Так вот, с помощью мастера Delegation
of Control Wizard модуля Active Directory Users and Computers можно делегировать
администратору Joe User полномочия по управлению блоком Finance и всеми
объектами внутри него. Чтобы инициализировать мастер, достаточно щелкнуть
правой кнопкой мыши на данном блоке и выбрать пункт меню Delegate Control.
После этого нужно выбрать пользователя или группу, которым предоставляется
право управлять организационным блоком, и указать, права на какие действия
в отношении этих объектов имеет пользователь или группа пользователей.
Кроме того, в режиме Custom task можно присваивать права по своему усмотрению, выбирая их из полного списка. Делегируемые права соответствуют позициям списков контроля доступа (ACL) объектов OU, на которые они распространяются. При назначении прав доступа к отдельным объектам списки ACL для организационных блоков, пользователей или групп можно редактировать и вручную, но мастер Delegation of Control Wizard предоставляет для делегирования полномочий простой пользовательский интерфейс. Группы Windows 2000. В операционной
системе NT 4.0 предусмотрены группы всего двух типов: глобальные (global)
и локальные (local). Эти группы предназначены исключительно для защиты
данных (т. е. для назначения прав доступа к ресурсам) и могут содержать
только объекты типа «пользователь». В ОС Windows 2000 допускается возможность
формирования глобальных и локальных групп домена (domain local groups),
но наряду с ними имеется новая группа — универсальная (universal group).
Универсальные группы можно формировать при переводе доменов AD из смешанного
режима работы домена Windows 2000 в собственный режим работы домена Windows
2000. Поясню ситуацию. Работая в смешанном режиме, домен может содержать
как контроллеры доменов Windows 2000, так и резервные контроллеры доменов
(BDC), предусмотренные в ОС NT 4.0. В собственном режиме Windows 2000
использование BDC не допускается. Переход в собственный режим — это «улица
с односторонним движением»: вернуться в смешанный режим уже нельзя. Далее,
универсальные группы могут состоять из глобальных групп и из других универсальных
групп любого домена леса. Что же касается глобальных групп, то они ограничены
объектами одного домена и содержат пользователей, компьютеры или другие
глобальные группы, принадлежащие тому же домену. Разумеется, глобальные
группы одного домена могут быть членами локальных групп другого. Отмечу
еще одно обстоятельство: универсальные группы допускают вложение глобальных
и универсальных групп из других доменов леса. В ОС Windows 2000 предусмотрено
создание групп доступа, содержащих объекты типа «компьютер». Таким образом,
права пользования ресурсами можно предоставлять группам, которые состоят
не из пользователей, а из компьютеров. Репликация каталогов. В системе Windows
2000 используется новая модель репликации каталогов, способная обеспечить
самыми последними данными все контроллеры доменов леса. В основу модели
положена идея мультисерверной репликации. В ОС NT 4.0 доступная для чтения
и записи копия базы данных SAM хранится только на основном контроллере
домена (PDC). Система Windows 2000 организована иначе: допускающая чтение
и запись данных копия информационного дерева каталогов (DIT) имеется на
каждом контроллере домена. Пользователи могут вносить изменения в данные
на любом контроллере домена, и эти изменения реплицируются на все остальные
контроллеры домена. В операционной системе Windows 2000 используется
элемент, именуемый «номер варианта корректировки» (update sequence number,
USN), на основании которого принимается решение о необходимости переноса
изменений с одного контроллера домена на другой. В службе AD элемент USN
назначается всем объектам и всем свойствам объектов, а контроллеры домена
с его помощью определяют момент времени, в который происходят изменения
на контроллере — партнере по цепочке. В ходе цикла репликации передаются
только изменения свойств, а не объект целиком. К примеру, если в контроллере
домена 1 изменяется номер телефона объекта «пользователь», в контроллере
домена 2 дублируется только новый номер телефона, а не весь объект. Если
же значение одного и того же свойства изменяется на двух контроллерах
домена, система с помощью метки времени определяет, какое изменение произошло
позднее; оно и принимается для репликации. Структура контроллеров домена. В операционной
системе NT 4.0 главный контроллер домена является единственным источником
изменений содержимого базы данных SAM (и, кстати говоря, единственным
потенциальным источником сбоев в работе БД). Как я уже отмечал, в системе
Windows 2000 изменения в БД SAM вносятся без участия главных контроллеров
доменов, ибо данная ОС обеспечивает мультисерверную репликацию данных
AD. Но основные контроллеры доменов тоже остаются. Функционирование леса
Windows 2000 требует наличия контроллеров домена, выполняющих пять функций
или ролей — Operations Master roles. Перечислим их: основной контроллер
домена (PDC), контроллер пула относительных идентификаторов (Relative
Identifier — RID — Pool), контроллер инфраструктуры (Infrastructure),
контроллер именования доменов (Domain Naming) и контроллер схемы (schema). Переход к использованию службы AD Самый простой способ миграции — модернизация существующих
доменов NT 4.0. Начинать надо с PDC первого основного домена. После его
модернизации первый домен будет функционировать в смешанном режиме. Т.
е., хотя контроллеры домена Windows 2000 уже перешли в «новое состояние»,
с точки зрения систем NT 4.0 они выглядят как домены NT 4.0. С другой
стороны, как только первый PDC модернизируется до уровня Windows 2000,
все функционирующие под управлением этой ОС рабочие станции и серверы
смогут воспользоваться некоторыми новыми возможностями, предоставляемыми
AD, в том числе такими, как организационные блоки и объекты Group Policy.
Каждый последующий домен NT 4.0, модернизируемый до уровня Windows 2000,
становится частью леса, который был создан в ходе модернизации первого
домена. Если в сети выделены домены ресурсов, их тоже нужно модернизировать;
затем можно переместить ресурсы этих доменов в организационные блоки другого
существующего домена, тем самым сокращая число последних. (Напомню, что
с появлением организационных блоков потребность в доменах ресурсов отпадает.)
После приведения всех доменов в соответствие со стандартом Windows 2000
можно приступать к консолидации доменов так, чтобы их число соответствовало
потребностям организации. Для этого можно воспользоваться как инструментальными
средствами независимых поставщиков, так и утилитами комплекта Microsoft
Windows NT Server 4.0 Resource Kit. Наконец-то Microsoft вводит в состав NT службу каталога, способную составить конкуренцию средствам, которые компании Novell и Banyan выпускают уже несколько лет. Благодаря таким средствам AD, как общий каталог, организационные блоки, новые группы пользователей и компьютеров, репликация каталога и новая структура контроллеров доменов, управлять ресурсами NT становится легче, чем когда-либо прежде. И хотя среда AD еще не свободна от недоработок, думаю, что в конечном итоге получится вполне зрелая служба каталога. Кроме того, как мне представляется, AD со временем станет настоящей службой каталогов, и разработчики начнут писать специализированные бизнес-приложения, в которых будет реализован немалый потенциал этой среды. Одной из первых крупных программ, в которых используется такая особенность AD, как расширяемость, стал сервер Exchange 2000; в нем все функции управления каталогами для организации обмена сообщениями возложены на AD. Кстати, Microsoft недавно приобрела фирму Zoomit. Вполне возможно, что это событие сыграет важную роль в продвижении АД на рынок метакаталогов. И кто знает, может быть, доминирующее положение Microsoft на рынке информационных технологий, в конце концов, поможет службам каталога получить признание в качестве основной платформы приложений.
|
