Основы Active Directory

Курсы повышения квалификации «Администрирование системы»
Администрирование сервера
Лекция 22. Active Directory. Администрирование и конфигурация. Групповая политика
Центральный компонент платформы Windows — служба каталогов
Microsoft Active Directory - предоставляет средства управления объектами и
взаимосвязями сетевой среды, используя в качестве основы ОС Microsoft
Windows 2000, Windows Server 2003 улучшает управляемость, упрощает миграцию и развертывание Active Directory. Кроме того, Active Directory в
Windows Server 2003 — это наилучший выбор для разработки приложений,
использующих службу сетевых каталогов.
Active Directory усовершенствована с целью сокращения совокупной
стоимости владения. Новые возможности и расширения на всех уровнях
продукта направлены на универсализацию, упрощение администрирования,
повышение надежности и снижение затрат.
Основы Active Directory
Active Directory — это служба каталогов для семейства ОС Windows
Server 2003. (Active Directory не может работать на Windows Server 2003, Web
Edition, однако может управлять компьютером, на котором установлен этот
выпуск ОС.)
Active Directory хранит данные об объектах в сети и обеспечивает
удобные средства для поиска и использования этих сведений. В качестве основы для логической, иерархической организации информации каталога
Active Directory использует структурированное хранилище данных.
Хранилище данных сетевого каталога
Хранилище данных сетевого каталога часто называют просто каталогом (directory). Этот каталог содержит сведения о таких объектах, как пользователи, группы, компьютеры, домены, подразделения и правила политики
безопасности. Доступ к этой информации может быть предоставлен пользвателям и администраторам.
Каталог хранится на серверах, известных как контроллеры домена, и
доступен сетевым приложениям и службам. Домен может иметь несколько
контроллеров. На каждом контроллере располагается изменяемая копия каталога домена, в котором он находится. Изменения каталога на одном из
котроллеров реплицируются на другие контроллеры домена, дерева доменов или леса. Репликация каталога и наличие на каждом из контроллеров его
копии, доступной для записи, позволяет гарантировать постоянный доступ к
каталогу пользователям и администраторам по всему домену.
Курсы повышения квалификации «Администрирование системы»
Данные каталога хранятся на контроллере домена в файле Ntds.dit. Рекомендуется располагать этот файл на дисковом разделе NTFS. Некоторые
данные хранятся в файле БД каталога, другие же (такие как сценарии регистрации или правила групповой политики) находятся в реплицируемой файловой системе. Между контроллерами домена выполняется репликация трех
категорий данных каталога.
• Данные домена. Это сведения об объектах внутри домена. Обычно именно
их имеют в виду, когда говорят об информации каталога: адресах электронной почты, атрибутах пользователей и компьютеров, а также сетевых ресурсах, представляющих интерес для администраторов и пользователей.
Так, при создании нового пользователя в данных домена сохраняется объект
его учетной записи. При изменении объекта каталога организации, таком как
создание объекта, удаление объекта или изменение его атрибутов, информация об изменении сохраняется в данных домена.
• Данные конфигурации. Описывают топологию каталога и содержат список
всех доменов, деревьев, лесов, а также расположение котроллеров домена
и глобальных каталогов (ГК).
• Данные схемы. Схема — это формальное определение всех объектов и атрибутов, которые могут быть помещены в каталог. Windows Server 2003
предоставляет стандартную схему, определяющую ряд типов, таких как учетные записи пользователей и компьютеров, группы, домены, подразделения
и правила политики безопасности. Администраторы и программисты могут
расширять схему, определяя новые типы объектов или добавляя новые атрибуты к существующим объектам. Объекты схемы защищены списками
управления доступом (access control lists, ACL) гарантирующими, что схему
могут изменить только пользователи с соответствующими правами.
Администрирование и управление конфигурацией
Windows Server 2003 расширяет возможности эффективной настройки
и управления Active Directory даже в очень больших сетях с большим числом
лесов, доменов и сайтов.
Новые мастера установки
Новый мастер Configure Your Server облегчает установку Active Directory
и предлагает предопределенные параметры для конкретных серверных ролей, что помогает администраторам стандартизовать параметры начального
развертывания серверов.
В процессе установки сервера администраторы могут разрешить пользователям завершить установку дополнительных компонентов, выбранных
ими при установке Windows. Мастер Configure Your Server позволяет:
• установить первый сервер в сети с автоматической настройкой DHCP, DNS и
Active Directory, используя базовые начальные параметры;
Курсы повышения квалификации «Администрирование системы»
• помочь пользователям в настройке других серверов сети, указав на средства, необходимые им для установки файл-сервера, сервера печати, сервера
удаленного доступа (RAS) и маршрутизации или сервера управления IPадресами.
Администраторы могут задействовать это средство для восстановления при
сбоях, репликации серверной конфигурации на несколько компьютеров, завершения установки, настройки паролей сервера или конфигурирования
первого или первичного сервера сети.
В области администрирования Active Directory также имеются другие
усовершенствования.
• Автоматическое создание зон DNS Зоны и серверы Domain Name System
(DNS) в ОС семейства Windows Server 2003 могут быть созданы и настроены
автоматически. Они создаются в сети для размещения новой зоны. Это может существенно ускорить настройку каждого сервера DNS.
• Усовершенствованный генератор топологии межсайтовой
Репликации. Средство Inter-Site Topology Generator (ISTG) использует теперь
улучшенные алгоритмы, масштабируемые для поддержки лесов с большим
числом сайтов, чем в Windows 2000. Так как все контроллеры доменов в лесу, исполняющие роли ISTG, должны договориться между собой о топологии
межсайтовой репликации, новые алгоритмы не применяются, пока лес не
переведен в режим Windows Server 2003 Forest Native Mode. Новые алгоритмы ISTG обеспечивают повышение производительности репликации между
лесами.
• Усовершенствования настройки DNS. Данное средство упрощает отладку и
выдачу информации о неверной конфигурации DNS и помогает правильно
настраивать инфраструктуру DNS, необходимую для работы Active Directory.
Один из примеров преимуществ нового средства — продвижение контроллера домена в существующем лесу, когда Active Directory Installation
Wizard связывается с существующим контроллером домена для обновления
каталога и репликации нужной его части. Если мастер не нашел контроллер
домена из-за неверной настройки DNS или из-за того, что контроллер домена недоступен, мастер анализирует причины ошибки и выдает информацию
о ней, а также рекомендации по ее устранению.
Чтобы контроллер домена можно было отыскать в сети, он должен зарегистрировать в DNS записи поиска контроллера домена (domain controller
locator). Мастер Active Directory Installation проверяет правильность настройки инфраструктуры DNS, чтобы позволить новому контроллеру домена динамически обновить свои записи в DNS. Если проверка обнаруживает неверную
конфигурацию инфраструктуры DNS, пользователю выдается информация об
этом с рекомендациями по исправлению ошибок.
Курсы повышения квалификации «Администрирование системы»
Управление групповой политикой
Microsoft Group Policy Management Console (GPMC) — новое решение
для управления групповой политикой (Group Policy) — позволяет снизить
расходы на управление сетью. В состав GPMC входит новая оснастка
Microsoft Management Console (MMC) и набор интерфейсов управления групповой политикой, доступный из сценариев. На момент выхода Windows
Server 2003 GPMC предполагается поставлять в качестве отдельного компонента. GPMC предназначена для решения следующих задач.
• Упрощение управления групповой политикой за счет сосредоточения всех
основных параметров управления в одном месте. GPMC можно рассматривать как единый центр управления групповой политикой.
• Реализация основных требований пользователей к развертыванию групповой политики путем предоставления:
1. пользовательского интерфейса, значительно облегчающего работу с
групповой политикой;
2. резервного копирования и восстановления объектов групповой политики (group policy object — GPO); D поддержки для GPO операции импорта/экспорта и копирования/вставки, а также фильтров Windows
Management Instrumentation (WMI);
3. упрощенного управления аспектами безопасности, связанными с групповой политикой;
4. вывода параметров настройки GPO в формате HTML: вывода в формате
HTML данных Group Policy Results и Group Policy Modeling (ранее известных как Resultant Set of Policy);
5. выполнение из сценариев операций над GPO, доступных из этого средства, но не доступ из сценариев к самим GPO, до GPMC администраторы использовали для управления групповой политикой несколько инструментов. GPMC интегрирует эти инструменты в единую, унифицированную консоль и расширяет их возможности.
Управление доменами
GPMC позволяет управлять доменами как Windows 2000, так и Windows
Server 2003 с установленной Active Directory. В обоих случаях на компьютере
администратора, где исполняется этот инструмент, должна быть установлена
одна из следующих ОС:
• Windows Server 2003;
• Windows XP Professional с Service Pack 1 (SP1) плюс дополнительный post-SPl
hot fix, а также Microsoft .NET Framework.