|
|
Компоненты Active Directory (логическая часть) (Глава 3)
После того как вы установили Active Directory в своей организации,{cut}вы будете работать с логической структурой Active Directory. База Active Directory содержит в себе следующие структурные объекты:• Partitions (Разделы)• Domains (Домены)• Domain Trees (Деревья)• Forests (Леса)• Trusts (Доверия)• Sites (Сайты)• Organizational Units OU (Организационные единицы)PartitionsКак было описано ранее, база данных Active Directory хранится в одном файле на жестком диске каждого Домен Контролера. Разделы Active Directory можно просмотреть или редактировать (очень не рекомендуется) через Ldp. exe или ADSI Edit (adsiedit. msc).Domain Directory PartitionЭто раздел, с которым происходит наибольшая работа. Этот раздел содержит всю информацию о домене, информацию о пользователях, группах, компьютерах и контактах. Все что возможно просмотреть через Active Directory Users and Computers вся эта информация хранится в разделе domain directory partition. Этот раздел автоматически реплицируется (копируется) на все домен контролеры в домене. Раздел содержит информацию, которая нужна для контролера домена чтобы он мог аутентифицировать пользователей.Configuration Directory PartitionЭтот раздел содержит информацию о конфигурации всего домена. Например информацию о сайтах, линках между сайтами и связях репликации. Также много приложений сохраняют там свою информацию например Exchange 2000 или ISA Server. Этот раздел автоматически реплицируется (копируется) на все домен контролеры в лесе (Forest). Каждый домен контролер содержит изменяемую копию. Это значит что после внесений изменений она реплицируется на все домены в лесе.Schema Directory PartitionЭтот раздел содержит информацию о схеме всего домена. Как было описано Схема это набор правил о том, какие объекты могут быть созданы в Active Directory. Этот раздел автоматически реплицируется (копируется) на все домен контролеры в лесе (Forest). Только один домен контролер имеет изменяемую копию Схемы а остальные читаемую.Global Catalog Partition.Global Catalog только читаемый раздел его невозможно просмотреть (никак!!!). Global Catalog создается из остальных разделов Active Directory.Application Directory Partitions.Этот раздел можно создавать как и в ручную так и автоматически создают некоторые программы как Microsoft DNS Server. Как эта информация будет реплицироваться уже настраивается в самом разделе.DomainsДомен это базовый строительный блок в модели Active Directory. Домен это административная единица (то есть им управляет одна группа администраторов). Каждый домен состоит из одного домен или больше контролеров. Первый домен контролер называется Forest Root Domain, а также содержит в себе все роли Active Directory (PDC Emulator, Global Controller и. т.д.). Домен бывает dedicated и non-dedicated. Dedicated также называется пустым и не содержит в себе никаких пользователей и групп кроме стандартных. Non-dedicated это домен который в котором создаются пользователи и группы и другие атрибуты. Все остальные домены существуют как ровня (такой же домен только с другим именем) или как дочерние которые продолжают иерархию имени!!! Пример: Domain TreesТе домены которые состоят в отношениях Parent – Child и продолжают пространство имен называются Дерево Домена (или Доменов ?) ForestsЛес может быть описан как: что обобщает все домен контролеры!Общая СхемаВсе домен контролеры в лесу имеют общую схему. Единственный выход если вы хотите использовать разные схемы это создать два или более леса.Общая Configuration Directory Partition.Общий Global Catalog Partition.Общие Администраторы.В лесе создаются две уникальные группы Schema Admins которые могут модифицировать схему и Enterprise Admins которые могут убавлять и добавлять домены, Enterprise Admins автоматически добавляются в группу Administrators в каждом домене леса!!!Общие доверительные отношенияКаждый домен в лесе доверяет каждому домену в лесе!!!TrustsДоверие бывают:• Transitive Trust• One-Way Trust• Forest Trust• Realm TrustTransitive TrustВ дереве все домены доверяют друг другу, то есть из любого домена пользователь имеет доступ к ресурсам в другом домене в этом лесе.One-Way TrustТакже называется Shortcut trust рассмотрим на примере! Когда Sales. Europe. Contoso. com требуется частый доступ к Research. NAmerika. Contoso. com тогда можно собрать One-Way Trust на самом деле он просто будет ускорять доступ из Sales в Research, а так доступ итак будет существовать за счет Transitive Trusts. Просто я опять повторяю УСКОРИТ ДОСТУП!!!Если сделать два One-Way Trust тогда оба домена будут доверять друг другу и между ними ускорится доступ к ресурсам!Forest TrustsПросто доверительные отношения между двумя лесами!!!Настраивается также как и One – way trust из Active Directory Domains and TrustsRealm TrustДоверительные отношения между двумя доменами разных операционных сред которые поддерживают Kerberos v5.Настраивается также как и One – way trust из Active Directory Domains and TrustsSitesТо что описывали до этого были физически независимые компоненты Active Directory а сайты полностью зависят от физического расположения доменов.Сайт это область сети где домен или домены с зарегистрированными в нем компьютерами соединены быстрой, дешевой, надежной сетью.Сайты нужны для управления сетевым трафиком!РепликацияСамая главная роль сайтов чтобы оптимизировать трафик репликации. Внутри сайта репликация происходит каждые 5 минут плюс компрессии НЕТ. Между сайтами как вам захочется так и будет происходит репликация и между сайтами трафик репликации сжимается (компрессируется).АутентификацияКогда пользователь пытается подключится к домен контролеру для аутентификации то с помощью DNS сервера он пытается найти ближайший домен контроллер который находится желательно в том же сайте или для опроса Global Catalog-а тоже самое действие происходит. Как настраивать сайт:каждый домен контроллер появляется в оснастке Active Directory Sites and ServicesТакже есть сайт по умолчанию Default-First-Site-Name. Чтобы добавить сайт надо сперва добавить Subnet (сайты основываются на subnet-ах) нажать на Subnets правой кнопкой мышки и выбрать New Subnet прописать и нажать ОК. Потом нажать на Sites и выбрать New Site и ввести имя сайта и внизу выбрать Site-Linkпотом ОК. Потом перетащить в этот сайт домен контролер который принадлежит этой подсети!Organizational UnitsOU созданы для упрощения управления. OU по идее должны повторять реальную структуру организации. OU можно использовать для двух нужд для делегирования прав и для управления группой объектов.Для делегирования прав:Вы можете передать право на управление OU любому пользователю! Для этого надо на OU нажать правую кнопку мыши и выбрать Delegate Control… дальше объяснять не буду потому что и долго и предельно просто!Для управления группой объектов:На любой OU можно применить любое количество GPO. GPO подразделяется на две части Computer management и User management в зависимости какой настроен он применяется к компьютерам или юзерам находящимися в этом OU. GPO делится еще на 5 частей:Administrative Templates:Используется для настройки регистров, рабочего стола включая доступ к компонентам операционной системы, контрольной панели и настройки Offline файловSecurity:Для настройки локальной, доменной и сетевой безопасности Software Installation:Для установки и управления приложениямиScripts:Для запуска скриптов во время включения и выключения компьютера, во время входа и выхода пользователя из или в систему.Folder Redirections:Для перенаправления Profile-ов или некоторых папок на сетевые сервера.Я описываю общие настройки которые нужны для того чтобы ваш домен мог функционировать как надо и если что-то произойдет вы смогли и понимали в чем дело!!!Если все рассматривать подробно то на это не хватит даже многих лет!!!
Читать далее... Хостинг сайтов отзывы Качественный хостинг Shoutcast хостинг
Источник: http://ucoz |
| Категория: Мои статьи | Запостил материал пользователь: moypo4emy4ka (24.08.2010)
| Автор: ucoz E
|
| Число просмотров: 1506
| Рейтинг: 0.0/0 |
Добавлять отзывы могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
