Active Directory для Windows Server 2003

         

В этой главе вы узнали,


В этой главе вы узнали, как за эти годы развивалась служба каталога Microsoft по мере развития сетевой среды обработки данных, на которую она опирается. Начиная с выпуска системы Windows 2000, в качестве службы каталога в ядре NOS Windows использовалась Active Directory. В этой главе было дано краткое введение в платформу службы каталога и объяснено, как ее конструкция удовлетворяет запросам современной сетевой среды обработки данных. Были обсуждены ключевые функции, показывающие выгоды от использования Active Directory, и в заключение дан краткий обзор ее новых функций.


В этой главе вы рассмотрели основные физические и логические компоненты службы Active Directory Windows Server 2003. Валено иметь представление о физических компонентах, особенно управляя базами данных и схемой, размещая контроллеры домена. Но все-таки большая часть работы в Active Directory будет связана с логическими компонентами. Далее вы познакомитесь с логической структурой службы Active Directory.


Служба DNS является необходимой сетевой службой для сетей Windows Server 2003. Без нее практически любой вход в систему и усилия по поиску расположения ресурсов потерпят неудачу в Windows Server 2003. Как сетевой администратор вы должны стать экспертом по службе DNS. В данной главе был дан краткий обзор того, как работает DNS в качестве сетевой службы в любой среде, показана специфика интеграции DNS с Active Directory. Наиболее важным компонентом интеграции является процесс поиска контроллера домена, при котором контроллеры домена в Active Directory регистрируют записи SRV в DNS, а затем клиенты используют эти записи для поиска контроллеров домена. Кроме того, было приведено описание некоторых улучшений DNS в Windows Server 2003.


Ключевым аспектом управления службой Active Directory Windows Server 2003 является понимание того, как работает репликация. Устойчивая среда репликации необходима для поддержания новейших копий всей информации каталога на всех контроллерах домена в лесу, что необходимо для гарантии согласованного входа пользователей в систему и функционирования поиска в каталоге. В этой главе было дано описание работы репликации каталога: создание топологии репликации между контроллерами домена Active Directory в одном сайте и между контроллерами домена, расположенными в разных сайтах, описание самого процесса репликации, принципов ее оптимизации для уменьшения объема сетевого трафика.
Часть II. Реализация службы Active Directory Windows Server 2003
Задача авторов при написании части I данной книги состояла в том, чтобы помочь вам понять работу службы каталога Active Directory Microsoft Windows Server 2003. Часть II поможет вам реализовать Active Directory. Первый шаг в этом направлении состоит в создании архитектуры Active Directory для вашей организации. Структуры леса, домена, сайта и организационной единицы (OU) уникальны для каждой компании, поэтому разработка правильного проекта для вашей среды потребует знаний и усилий. В главе 5 приводится краткий обзор процесса проектирования. Как только вы создадите свою модель Active Directory, можно начать ее установку. Глава 6 содержит описание процедур, необходимых для развертывания Active Directory. Многие компании, реализующие Active Directory Windows Server 2003, переходят к ней от Microsoft Windows NT 4. Поскольку Active Directory Windows Server 2003 сильно отличается от службы каталога Windows NT, этот переход достаточно сложен и является главной темой главы 7.


Проектирование Active Directory - это тема отдельной книги. В этой главе говорилось, что проектирование Active Directory начинается с компонентов высшего уровня, а затем проектируются компоненты низших уровней. Это означает, что первый шаг состоит в создании проекта леса, затем следует проект доменов, проект DNS и, наконец, проект OU. Для компаний, расположенных в нескольких местах, проектирование сайтов — это еще один компонент проекта Active Directory.


В этой главе обсуждались решения, которые вы должны принять в процессе инсталляции Active Directory Windows Server 2003. В то время как механизм установки Active Directory достаточно прост, решения должны быть тщательно спланированы и согласованы с проектом Active Directory. Удаление Active Directory — тоже простая процедура, но необходимо рассмотреть воздействие удаления данного контроллера домена на остальную часть вашей инфраструктуры службы каталога. В главе был также рассмотрен новый способ инсталляции Active Directory — установка дополнительного или содержащего реплику контроллера домена из восстановленных резервных файлов. Этот способ значительно уменьшает время, необходимое для установки дополнительного контроллера домена, за счет уменьшения времени на синхронизацию разделов каталога.


В этой главе были рассмотрены различные пути перехода от службы каталога Windows NT 4 или Active Directory системы Windows 2000 к Active Directory Windows Server 2003. Были описаны три главных пути перехода: обновление, реструктуризация и обновление с последующей реструктуризацией. Существует несколько критериев, которые можно использовать для определения подходящего пути перехода для вашей организации. Для организаций, которые удовлетворены своей текущей доменной структурой, обновление домена является наименее сложным и опасным средством модернизации службы каталога. Если ваша доменная структура не соответствует организационной модели, вы должны реструктуризировать ваш домен. Независимо от выбранного пути, осторожное планирование, тестирование и пробная реализация вашего плана перехода являются важными условиями для успеха вашего проекта модернизации.
В главе описаны также основные этапы, необходимые при реализации обновления систем Windows NT Server 4 и Windows 2000 Server. Затем показан процесс реструктуризации домена учетных записей и домена ресурсов с системой Windows NT 4 с помощью инструмента ADMT. Обсуждены отличия пути обновления с последующей реструктуризацией, известного как перемещение в пределах леса, от реструктуризации домена. Заканчивает эту главу обсуждение функции доверительных отношений между лесами, имеющейся в Windows Server 2003.


Часть III. Администрирование службы каталога Active Directory Windows Server 2003
В частях I и II этой книги были объяснены концепции и компоненты Active Directory — службы каталога Microsoft Windows Server 2003, а также дана информация о том, как проектировать, реализовывать, и развертывать Active Directory. После развертывания Active Directory вы должны управлять ею для обеспечения максимальной выгоды вашей компании. В части III показаны административные процессы, которые вы будете использовать для выполнения этой задачи. Одна иэ основных причин развертывания службы каталога состоит в том, чтобы обеспечить защиту, поэтому глава 8 рассказывает про концепции, лежащие в основе безопасности Active Directory Windows Server 2003. В главе 9 дается описание способов, которыми вы можете делегировать административные разрешения в пределах вашего домена. Глава 10 знакомит вас с управлением объектами службы каталога Active Directory. Одна из наиболее мощных функций в Active Directory - это Group Policy (Групповая политика), которая может применяться для управления тысячами компьютеров, использующих Active Directory. Главы 11, 12 и 13 посвящены групповым политикам, в них объясняется, как использовать эти инструментальные средства, чтобы осуществить распределение программ и управление клиентскими компьютерами.


В этой главе сделан краткий обзор основных концепций безопасности службы Active Directory Windows Server 2003, включая участников безопасности, списки управления доступом, аутентификацию и разрешения. Большая часть этой главы посвящена основным средствам обеспечения аутентификации и разрешений службы Active Directory через протокол Kerberos. Протокол Kerberos предлагает безопасный механизм подтверждения подлинности пользователей в Active Directory и получения доступа к сетевым ресурсам. Обсуждена также интеграция протокола Kerberos с инфраструктурой открытых ключей PKI, смарт-картами и другими реализациями Kerberos.


Возможность делегирования административных разрешений в Active Directory Windows Server 2003 дает большую гибкость в управлении вашим доменом. Оно основано на модели безопасности Active Directory, в которой все объекты и все атрибуты объектов имеют список ACL, контролирующий разрешения на доступ к объекту для различных участников безопасности. Согласно этой модели по умолчанию все разрешения наследуются от контейнерных объектов к объектам, находящимся в пределах контейнера. Эти особенности модели защиты подразумевают, что вы можете назначить любой уровень разрешений на доступ к любому объекту Active Directory. Такая гибкость может привести к увеличению сложности, если защита Active Directory не поддерживается настолько простой, насколько это возможно. В этой главе был дан краткий обзор разрешений защиты, делегирования административных прав в Active Directory и некоторых из инструментальных средств, которые могут использоваться для этой работы.


В этой главе приведен краткий обзор стандартных объектов Active Directory Windows Server 2003 и процедур, позволяющих ими управлять. Наибольшие административные усилия вы потратите на управление этими объектами. В частности, вы будете управлять учетными записями пользователей и групп по мере притока и оттока служащих из вашей компании или по мере создания новых групп для защиты сетевых ресурсов. Одно из осложнений, с которыми вы столкнетесь, - у вас может быть три различных объекта, представляющих индивидуальных пользователей: объекты user, inetOrgPerson и contact. Кроме того, имеется два типа групп и три области действия, с которыми вам придется работать. Ваше время будет также занято управлением такими объектами как computer, printer или shared folder.


Эта глава объясняет опции конфигурации групповых политик в Active Directory Windows Server 2003, создавая предпосылки для понимания последующих глав. В ней обсуждаются вопросы создания и управления групповыми политиками с помощью инструментов, поставляемых вместе с Windows Server 2003, вопросы наследования групповых политик и применения их к компьютерам клиентов. Вы можете использовать заданную по умолчанию модель наследования групповой политики, установленной высоко в иерархии OU, и получить параметры настройки GPO для многих объектов домена. Вы можете также изменить заданное по умолчанию наследование параметров настройки групповой политики, блокируя или фильтруя наследование. Главы 12 и 13 посвящены тому, что вы фактически можете делать с групповой политикой. Глава 12 показывает, как использовать групповые политики при распространении программного обеспечения на компьютеры-клиенты, глава 13 — как использовать групповые политики для управления разнообразными опциями конфигурации рабочего стола.


Групповые политики в Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства для развертывания и управления программным обеспечением на рабочих станциях. Используя групповые политики и технологию инсталлятора Windows, вы можете развертывать программное обеспечение на рабочих станциях, а затем управлять этим программным обеспечением в течение всего жизненного цикла программы. В этой главе рассмотрены вопросы, касающиеся использования групповых политик для развертывания программного обеспечения и управления им.


В Active Directory Windows Server 2003 имеется множество инструментальных средств и опций, предназначенных для управления рабочими столами пользователей. Групповые политики могут использоваться для управления данными и профилями пользователей, чтобы обеспечить им знакомую рабочую среду, оставляя централизованным управление некоторыми данными. Они применяются также для конфигурирования параметров настройки защиты, чтобы все компьютеры, на которые воздействует данная групповая политика, имели стандартную и постоянную конфигурацию защиты. Групповые политики используются для определения административных шаблонов, которые могут конфигурировать параметры настройки системного реестра для управления рабочими столами пользователей. В этой главе дан краткий обзор того, как можно реализовать эти варианты управления рабочими столами пользователей.
Часть IV. Обслуживание Active Directory Windows Server 2003
Части I, II и III этой книги дали вам понятие об основных концепциях и компонентах, проектировании и реализации службы каталога Active Directory в системе Microsoft Windows Server 2003, а также ознакомили с управлением пользователями и компьютерами вашей сети. Эта заключительная часть книги подготовит вас к обслуживанию инфраструктуры Active Directory после ее развертывания. В главе 14 детально рассказывается, как следить за состоянием Active Directory, включая информацию о мониторинге эксплуатационных качеств Active Directory и ее репликации. Обсуждается также управление базой данных Active Directory. В главе 15 обсуждается создание резервной копии и восстановление Active Directory. Active Directory — это критическая служба в вашей сети, и вы должны уметь восстанавливать ее после любых видов сбоя, которые могут произойти во время работы.


В этой главе были представлены некоторые инструменты, которые необходимы для мониторинга Active Directory и «здоровья» систем контроллеров домена, на которых она выполняется. Выполняя регулярный мониторинг работы службы, вы сможете идентифицировать потенциально разрушительные и дорогостоящие «узкие места» системы и другие проблемы ее функционирования, прежде чем они произойдут. Эффективный мониторинг Active Directory обеспечит вас ценными данными о тенденциях функционирования системы, чтобы вы могли подготовиться к будущим системным усовершенствованиям. Мониторинг является одним из способов запустить выполнение необходимых задач обслуживания службы каталога, которые нужно выполнять, чтобы сохранить инфраструктуру вашей Active Directory на высоком рабочем уровне. Даже при отсутствии ошибок и предупреждений в журнале регистрации событий вы все равно должны регулярно выполнять программу обслуживания базы данных, чтобы сохранить ее эффективное функционирование. В этой главе описан также процесс онлайновой и автономной дефрагментации, а также процесс сборки мусора, предназначенный для удаления из Active Directory объектов-памятников.


Эта глава охватывает важнейшую тему восстановления службы Active Directory сервера Windows Server 2003 после сбоя. Восстановление после сбоя — это одна из сетевых задач администрирования, с которой вы надеетесь никогда не сталкиваться. Однако, как знает любой опытный администратор, с высокой степенью вероятности когда-нибудь вам придется воспользоваться процедурой восстановления системы после сбоя. В начале этой главы были обсуждены основные элементы данных в Active Directory, затем методы создания резервной копии службы каталога Active Directory. Большая часть этой главы посвящена объяснению процедуры восстановления Active Directory в разных режимах. При восстановлении системы после сбоя придется также управлять ролями хозяев операций и решать специальные задачи предварительного планирования, связанные с их восстановлением.

Содержание раздела