Add to collection(s) Add to saved
  1. No category

домен Active Directory

advertisement 
Занятие №7. Введение в Active Directory
При использовании продуктов компании Майкрософт возможны два
способа объединения компьютеров в логическую сеть:
1. Рабочая группа
2. Домен Active Directory
Под физическим объединением понимается именно физическое расположение компьютеров и физические способы их связи. Т.е. если компьютеры
физически расположены в разных городах, логически они все равно могут
быть элементами одной и той же компьютерной сети.
Рабочая группа представляет собой прекрасно работающее решение
для организации в том случае если в организации небольшое количество
компьютеров. Считается что если в организации до 10 компьютеров, то рабочая группа — это идеальное решение для того чтобы объединить компьютеры в сеть.
Рабочая группа обладает несколькими особенностями:
 является одноранговой сетью, т.е. в рамках рабочей группы все
компьютеры играют одну роль, нет компьютера, который в рамках этой сети будет выполнять какую-то особую функцию.
 Процесс аутентификации происходит на основе локальной базы
данных, которая хранится на каждом из компьютеров рабочей
группы.
Аутентификация – это процедура сопоставления логина и пароля, которые хранятся в базе данных компьютера с логином и паролем которые мы
вводим с клавиатуры. Если они совпадают, то мы можем войти в систему и
получить доступ к ресурсам. Иначе процедура аутентификации считается не
пройденной.
Пусть имеется два компьютера, которые объединены в рабочую группу, на каждом из которых есть учетная запись Менеджер и Ассистент. Мене1
джер использует компьютер №1, а ассистент - №2. Периодически менеджеру
необходимо подключаться к какой-то папке, хранящейся на компьютере №2
и которую ассистент ему предоставляет в доступ. Пока логины и пароли для
учетной записи Менеджер на обоих компьютерах совпадают, Менеджер без
труда проходит процедуру аутентификации. Пусть пользователь Менеджер
решит изменить свой пароль, тогда пароли для учетной записи Менеджер на
хосте №1 и хосте №2 совпадать не будут, и, следовательно, при проверке
процедура аутентификации пройдена не будет. Значит пользователь не сможет получить доступ к ресурсу, хранящемуся на компьютере №2.
Недостатками такой организации совместного использования ресурсов
является – при смене учетных данных на одном компьютере необходимо изменить их на всех компьютерах, ресурсами которых пользователь с этой
учетной записью будет пользоваться.
Другим способом объединения компьютеров с ОС Windows в сеть является домен Active Directory. В доменной сети появляется компьютер, который выполняет особую функцию и который называется контроллер домена.
Это компьютер, на котором развернута служба Active Directory. На этом контроллере будут храниться учетные записи всех пользователей и компьютеров, которые входят в эту сеть, а так же правила, которые к эти компьютерам
и пользователям могут применяться.
Необходимым условием для функционирования доменной сети Active
Directory является наличие сервера DNS. Это происходит из-за того, что когда компьютер пытается подключиться к контроллеру домена он изначально
не знает его IP-адрес. Поэтому он обращается к DNS-серверу, запрашивая у
того адрес контроллера домена. Для выполнения этого запроса DNS сервер
должен поддерживать записи особого типа SVR.
2
Важно понимать, что контроллер домена — это обычный компьютер,
на котором развернута одна особенная служба. И так же, как и любой другой
компьютер он может выйти из строя. Только последствия выхода из строя
контроллера домена могут быть серьезней. Т.к. на нем хранятся все учетные
записи, то при выходе его из строя ни один из пользователей не сможет подключиться к доменной сети. Именно поэтому необходимо реплицировать
контроллер домена и создать как минимум еще одну копию. Рекомендация
Майкрософт – в сети любого размера контроллеров домена должно быть минимум два. Если выйдет из строя первый контроллер домена, запустится второй контроллер и перебоев в работе сети и в целом организации не будет.
Базовым элементом сети Active Directory является домен, который объединяет в себе учетные записи пользователей и компьютеров, а также правила которые к ним могут применяться. Однако, структура Active Directory может быть более сложной чем один домен.
И так, при создании сети организации изначально будет существовать
один домен, которого достаточно для функционирования сети. Однако организация может расширяться и в этой ситуации может возникнуть необходимость создать несколько доменов, например, для того чтобы облегчить процесс управления всеми учетными записями, которые есть в сети. Домен может быть создан в том же пространстве имен, например, для домена mva.com
будет домен corp.mva.com. Можно также создать и новый домен со своим
новым пространством имен (direct.com). В этом случае совокупность одного
или нескольких доменов будет называться деревом доменов, а совокупность
одного или нескольких деревьев будет называться лесом доменов.
Когда может понадобиться создать несколько доменов?
Пусть в сети организации есть только один домен – mva.com. Пусть в
целях расширения бизнеса происходит приобретение другой организации и
3
точно известно, что пользователи нашей организации и вновь приобретенной
никак пересекаться в сети не будут. В этой ситуации правильнее будет создать для пользователей новой организации свою собственную сеть, свое
собственное дерево и свой собственный лес, например, domain.org. Это безопасно, т.к. лес является вершиной иерархической структуры Active
Directory, нельзя получит доступ за его пределы, и из вне в лес получит доступ тоже нельзя.
Часто возникает необходимость в том, что во вновь приобретенной организации нам понадобится, например, сделать общими какие-либо ресурсы
(почтовые сервера, корпоративные приложения), либо наша организация разрастётся и возникнет необходимость разделить пользователей по географическом признаку для облегчения управления ими.
Поэтому можно создать как еще один домен в рамках того же дерева в
том же пространстве имен, например, corp.mva.com, и в этом случае mva.com
– корневой домен, так и еще один домен со своим собственным пространством имен, но в рамках нашего леса (direct.com).
ИТОГ
В доменной сети появляется контроллер домена, который выполняет
особые функции, на котором хранятся все учетные записи пользователей,
компьютеров и набор правил, с помощью которых эти пользователи и компьютеры управляются. Контроллером домена является тот компьютер, на котором развернута служба Active Directory и который не будет функционировать без пространства имен DNS.
4
Related documents
Модуль 2. Создание первого домена Занятие №8. Создание
Модуль 2. Создание первого домена Занятие №8. Создание
Администрирование и обслуживание сетевой инфраструктуры
Администрирование и обслуживание сетевой инфраструктуры
Вычислительные системы, сети и телекоммуникации Лекция 11. Служба каталогов Active
Вычислительные системы, сети и телекоммуникации Лекция 11. Служба каталогов Active
файл (netadm3)
файл (netadm3)
Санкт-Петербургский Национально
Санкт-Петербургский Национально
Служба каталогов Active Directory
Служба каталогов Active Directory
Lekciya_11
Lekciya_11
ADDS
ADDS
АИС Лекци № 10
АИС Лекци № 10
Проектирование Active Directory
Проектирование Active Directory
С. Реймер, М. Малкер Active Directory для Windows Server 2003
С. Реймер, М. Малкер Active Directory для Windows Server 2003
Download
advertisement