Л Домен Сети

лекция

Лекция

Тема: «Особенности организации домена и его структуры при управлении компьютерной сетью»

План

  1. Понятие Active Directory.
  2. Структура каталога Active Directory.
  3. Объекты каталога и их именование.
  4. Иерархия доменов.
  5. Доверительные отношения.
  6. Организационные подразделения.

Понятие Active Directory

В средних и крупных сетях задача настройки параметров протокола TCP/IP является очень сложной для администратора и вручную практически не выполнима. Для решения этой проблемы был разработан протокол DHCP, реализованный посредством службы DHCP.

Однако настройка сетевых параметров – лишь одна из множества задач, встающих перед системным администратором. В частности, в любой сети важнейшей является задача управления её ресурсами (файлами и устройствами, предоставленными в общий доступ), а также компьютерами и пользователями.

Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами.

Группа компьютеров, имеющая общий каталог и единую политику безопасности, называется доменом. Каждый домен имеет один или несколько серверов, именуемых контроллерами домена, на которых хранятся копии каталога.

Основные преимущества, предоставляемые службой каталога Active Directory:

  • централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;
  • простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;
  • обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;
  • масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.

Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.

Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.

Цель такой структуризации – облегчение процесса администрирования.

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов.

Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена, которой связаны высокоскоростным соединением.

Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2).

Рис. 7.2. Физическая структура Active Directory

Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.

Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

  • раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);
  • раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;
  • раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;
  • раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;
  • раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

– раздел домена реплицируется между контроллерами одного домена;

– разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

– репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.

Объекты каталога и их именование

Объект каталога Active Directory – это элемент, содержащийся в базе данных Active Directory и имеющий набор атрибутов (характеристик).

Например, объектом является пользователь, а его атрибутами – имя, фамилия и адрес электронной почты.

Некоторые объекты являются контейнерами. Это означает, что данные объекты могут содержать в своем составе другие объекты. Например, объект домен является контейнером и может включать пользователей, компьютеры, другие домены и т. д.

Каталог Active Directory содержит следующие основные типы объектов, не являющихся контейнерами:

• пользователь (user);

• группы пользователей (group);

• контакты (contact);

• компьютеры (computer);

• принтеры (printer);

• общедоступные папки (shared folder).

В Active Directory для именования объектов используется несколько способов.

Различающееся имя (Distinguished Name, DN) – состоит из нескольких частей, например для пользователя Петрова, принадлежащего к организационному подразделению Teachers домена faculty.ru, различающееся имя выглядит так:

DC = ru, DC = faculty, OU = teachers, CN = users, CN = petrov.

При этом используются следующие сокращения:

• DC (Domain Component) – домен;

• OU (Organizational Unit) – организационное подразделение;

• CN (Common Name) – общее имя.

Различающиеся имена являются уникальными в пределах всего каталога Active Directory. В целях упрощения именования может использоваться относительное различающееся имя (Relative Distinguished Name, RDN). Для приведенного примера это имя CN = petrov. Имя RDN

должно быть уникально в рамках объекта-контейнера, т. е. в пределах контейнера CN = users пользователь petrov должен быть единственным.

Основное имя пользователя (User Principal Name, UPN) – используется для входа пользователя в систему и состоит из двух частей: имени __________учетной записи пользователя и имени домена, к которому принадлежит пользователь.

Например: petrov@faculty.ru.

Глобальный уникальный идентификатор (Global Unique Identifier, GUID) – это 128-битовое шестнадцатеричное число, которое ассоциируется с объектом в момент его создания и никогда не меняется. В случае перемещения или переименования объекта его GUID остается прежним.

Иерархия доменов

Домен является основным элементом в логической структуре Active Directory. В рамках домена действуют единые административные полномочия и политика безопасности, применяется общее пространство доменных имен.

Каждый домен имеет по крайней мере один контроллер домена, на котором хранится каталог Active Directory с информацией о домене.

Для организаций со сложной структурой может создаваться иерархия доменов. Первый образованный домен называется корневым (root domain). У него могут быть дочерние домены, имеющие общее пространство доменных имен. В свою очередь, у дочерних доменов могут быть свои домены-потомки. Таким образом, создается иерархия доменов, называемая доменным деревом (domain tree).

Если требуется в рамках одной организации организовать ещё одно пространство имен, то создается отдельное дерево доменов. При этом несколько деревьев, входящих в состав одного каталога Active Directory, образуют лес доменов (forest).

Для именования доменов используются правила, принятые в системе доменных имен DNS. Вследствие этого доменная структура организации может при необходимости (и соблюдении требования уникальности имен) встраиваться в доменную структуру Интернета. Кроме того, для разрешения доменных имен становится возможным использование службы DNS.

На рис. 7.4 приведен фрагмент доменной структуры университета. В данном примере лес состоит из двух деревьев – дерева головной организации (домен univ) и дерева филиала-института (домен institute). Корневой домен головной организации имеет три дочерних домена – rector (ректорат), math (факультет математики), physics (факультет физики). Корневой домен института является родителем для двух доменов – director (руководство __________института) и chemistry (факультет химии).

Рис. 7.4. Фрагмент возможной доменной структуры вуза Следуя правилам DNS, полное имя (FQDN) домена rector будет иметь следующий вид: rector.univ, а полное имя домена chemistry: chemistry.institute.

Вопросы планирования доменной структуры рассмотрены в следующей лекции.

Доверительные отношения

Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.

При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).

Существует два вида доверительных отношений: односторонние (oneway trust relationship) и двусторонние (two-way trust relationship).

Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно (рис. 7.5).

Рис. 7.5. Односторонние доверительные отношения

Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.

Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации (рис. 7.6).

Рис. 7.6. Двусторонние доверительные отношения

При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.

Перечислим автоматически устанавливаемые двусторонние доверительные отношения:

− внутри дерева доменов;

− между корневыми доменами деревьев одного леса;

− между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).

В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).

Организационные подразделения

Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).

Организационные подразделения можно использовать в качестве контейнера для следующих объектов:

− пользователей;

− групп пользователей;

− контактов;

− компьютеров;

− принтеров;

− общих папок;

− других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей:

  1. управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);
  2. делегирование прав администрирования, – например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики

Организационные подразделения не могут использоваться для назначения прав доступа к объектам. Для этих целей следует применять группы безопасности (security group).

algebra

dekanat

geometry

math

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).

Резюме

В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.

Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности.

Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.

Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением.

Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.

Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.

Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.

1 Политика безопасности – набор правил по применению средств обеспечения сетевой безопасности – паролей, учетных записей, протоколов аутентификации и защищенной передачи информации, шифрованной файловой системы и т. д.