Цель работы: приобретение студентами практических навыков установки и настройки Active Directory.
Общие сведения
Каталог представляет собой иерархическую структуру, которая хранит све-дения об объектах в сети. Служба каталогов, такая как Active Directory, обеспечи-вает возможность хранения данных каталога и доступа к этим данным сетевых пользователей и администраторов. Например, в Active Directory хранятся сведе-ния об учетных записях пользователей, такие как имена, пароли, номера телефо-нов и тому подобные, к которым могут получать доступ другие пользователи той же сети, прошедшие проверку.
Служба каталогов - одна из наиболее важных составных частей развитой компьютерной системы. Пользователи и администраторы зачастую не знают точ-ных имен нужных им объектов, которые им в данный момент требуются. Они мо-гут знать один или несколько их признаков или атрибутов (attributes) и могут по-слать запрос (query) к каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с указанными в запросе. Служба каталогов позволяет найти любой объект по одному из его атрибутов.
Служба каталогов Active Directory может быть установлена на серверах, ра-ботающих под управлением операционных систем Microsoft Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition. Она хранит сведения об объектах сети и упрощает поиск и ис-пользование этих сведений пользователям и администраторами. В Active Directory основой для логической, иерархической организации сведений каталога служит структурированное хранилище данных. Это хранилище данных, называемое так-же каталогом, содержит сведения об объектах Active Directory. В число этих объ-ектов обычно входят общие ресурсы, такие как серверы, тома, принтеры, а также учетные записи сетевых пользователей и компьютеров.
Служба каталогов позволяет обеспечивать защиту информации от вмеша-тельства посторонних лиц в рамках, установленных администратором системы. Группа безопасности интегрирована с Active Directory посредством проверки подлинности при входе в сеть и управления доступом к объектам в каталоге. В рамках одного входа в сеть администраторы могут управлять данными каталога и организацией через их сеть, а прошедшие проверку сетевые пользователи могут иметь доступ к ресурсам во всей сети. Администрирование, основанное на поли-тике, облегчает управление даже самой сложной сетью.
В состав службы Active Directory входят также следующие элементы:
Набор правил - схему, определяющую классы объектов и атрибуты, содер-жащиеся в каталоге, а также пределы и ограничения на экземпляры этих объек-тов, и формат их имен.
Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения каталога не-зависимо от того, в каком из доменов каталог в действительности содержатся эти данные.
Механизм запросов и индексации, позволяющий опубликовывать и нахо-дить объекты и их свойства сетевым пользователям или приложениям.
Службу репликации (тиражирования), распространяющую данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех сведений каталога для своего домена. Любое изменение дан-ных каталога реплицируется во все контроллеры домена в домене.
Поддержка для программного обеспечения клиента Active Directory, кото-рая предоставляет многие возможности Microsoft Windows 2000 Professional или Windows XP Professional компьютерам, работающих под управлением операцион-ных систем Windows 95, Windows 98 и Windows NT® Server 4.0. Для клиентских компьютеров без клиентского программного обеспечения Active Directory каталог будет выглядеть как каталог Windows NT.
Определим основные понятия, используемые для описания Active Directory.
Область действия (scope) Active Directory достаточно обширна. Она может включать отдельные сетевые объекты (принтеры, файлы, имена пользователей), серверы и домены в отдельной глобальной сети. Она может также охватывать не-сколько объединенных сетей.
Active Directory, как и любая другая служба каталогов, является, прежде всего, пространством имен. Пространство имен - это такая ограниченная область, в которой может быть распознано данное имя. Распознавание имени заключается в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует. Файловая система Windows образует пространство имен, в котором имя файла может быть поставлено в соответствие конкретному файлу. Active Directory образует пространство имен, в котором имя объекта в каталоге может быть поставлено в соответствие самому этому объекту.
Объект - это непустой, именованный набор атрибутов, обозначающий не-что конкретное, например, пользователя, принтер или приложение. Атрибуты со-держат информацию, однозначно описывающую данный объект. Атрибуты поль-зователя могут включать имя пользователя, его фамилию и адрес электронной почты.
Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имен. Однако, в отличие от объекта, контейнер не обозначает ничего конкретного - он может содержать группу объектов или дру-гие контейнеры.
Термин дерево используется для описания иерархии объектов и контейне-ров. Как правило, конечными элементами дерева являются объекты. В узлах (точ-ках ветвления) дерева располагаются контейнеры. Дерево отражает взаимосвязь между объектами или указывает путь от одного объекта к другому. Простой ката-лог представляет собой контейнер. Компьютерная сеть или домен тоже являются контейнерами.
Домен - это единая область, в пределах которой обеспечивается безопас-ность данных в компьютерной сети под управлением ОС Windows Server 2003. Active Directory состоит из одного или нескольких доменов. Применительно к от-дельной рабочей станции доменом является сама рабочая станция. Границы одно-го домена могут охватывать более чем одно физическое устройство. Каждый до-мен может иметь свои правила защиты информации и правила взаимодействия с другими доменами. Если несколько доменов связаны друг с другом доверитель-ными отношениями и имеют единую логическую структуру, конфигурацию и глобальный каталог, то говорят о дереве доменов. Несколько доменных деревьев могут быть объединены в лес.
Дерево доменов (дерево) состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непрерывное про-странство имен. Домены в дереве связаны между собой доверительными отноше-ниями. Active Directory является множеством, которому принадлежат одно или несколько деревьев.
Лесом называется одно или несколько деревьев, которые не образуют не-прерывного пространства имен. Все деревья одного леса имеют общие логиче-скую структуру, конфигурацию и глобальный каталог. В отличие от дерева, лес может не иметь какого-то определенного имени.
Узлом называется такой элемент сети, который содержит серверы Active Directory. Узел обычно определяется как одна или несколько подсетей, поддержи-вающих протокол TCP/IP и характеризующихся хорошим качеством связи. "Хо-рошее" качество связи в данном случае подразумевает высокую надежность и скорость передачи данных. Определение узла как совокупности подсетей позво-ляет администратору быстро и без больших затрат настроить топологию доступа и репликации в Active Directory и полнее использовать достоинства физического расположения устройств в сети. Когда пользователь входит в систему, клиент Active Directory ищет серверы Active Directory, расположенные в узле пользовате-ля. Поскольку компьютеры, принадлежащие к одному узлу, в масштабах сети можно считать расположенными близко друг к другу, связь между ними должна быть быстрой, надежной и эффективной. Распознавание локального узла в момент входа в систему не составляет труда, так как рабочая станция пользователя уже знает, в какой из подсетей TCP/IP она находится, а подсети напрямую соответст-вуют узлам Active Directory.
В Windows Server 2003 Active Directory может быть интегрирована с DNS воедино. DNS представляет собой распределенное пространство имен, которое используется в Интернет и в котором именам отдельных компьютеров и служб ставятся в соответствие адреса, формируемые по правилам протокола TCP/IP. При создании контроллера домена, то есть сервера, управляющего работой Active Directory, мастер предлагает создать и настроить DNS-сервер. В этом случае за-пускается DNS-сервер и создается зона (контейнер, объединяющий несколько до-менов в структуру с общими разрешениями на управление), одноименная с доме-ном.
Контроллеры домена хранят данные и управляют взаимодействием пользо-вателей с доменом, включая процесс входа в домен, проверку подлинности и по-иск в каталогах. Чтобы предоставить сетевым пользователям и компьютерам службу каталогов Active Directory, нужно настроить данный сервер как контрол-лер домена.
Для настройки сервера в качестве контроллера домена необходимо устано-вить на данный сервер Active Directory. В мастере установки Active Directory дос-тупны четыре параметра: можно создать дополнительный контроллер домена в существующем домене, контроллер домена для нового дочернего домена, кон-троллер домена для нового доменного дерева или новый контроллер домена для нового леса. Рассмотрим создание контроллера домена для нового леса.
Операционная система Windows Server 2003 позволяет настроить данный сервер как контроллер домена. Для этого нам необходимо выполнить следующие действия: открыть оснастку "Управление данным сервером"; выбрать ссылку "Добавить или удалить роль"; на странице "Предварительные шаги" прочитать информацию о сетевых соединениях и подтвердить, что все они доступны; на странице "Параметры настройки" выбрать вариант "Особая конфигурация".
На экран будет выведена новая страница, представленная на рис. 20 - Роль сервера.
Рис. 20. Роль сервера
Далее