Professional Documents
Culture Documents
Administracja Microsoft Active Directory
Administracja Microsoft Active Directory
Administracja Microsoft Active Directory
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
Administracja
Microsoft Active Directory
Autor:
Tumaczenie: Marcin Jdrysiak, Agata Dras
ISBN: 83-7197-474-4
Format: B5, stron: 328
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
"
"
"
O Autorze ........................................................................................11
Wprowadzenie..................................................................................13
Rozdzia 1. Pojcie Active Directory ...................................................................15
Gwne funkcje techniczne Active Directory..................................................... 16
atwo administrowania ...........................................................................................16
Bezpieczestwo...........................................................................................................21
Wspdziaanie............................................................................................................24
Podsumowanie .................................................................................................... 34
Rozdzia 2. Architektura Active Directory ...........................................................35
Architektura podsystemowa................................................................................ 35
Podsystem bezpieczestwa .........................................................................................36
Podsumowanie .................................................................................................... 64
Rozdzia 3. Zarzdzanie domenami, relacjami zaufania i systemem DNS ..............65
Podstawy idei domen .......................................................................................... 65
Zarzdzanie domenami ...............................................................................................67
Dodawanie domen ......................................................................................................67
Modele domen ............................................................................................................68
rodowiska heterogeniczne................................................................................. 90
Posugiwanie si rekordami WINS i WINSR.............................................................90
Posugiwanie si formatem znakw UTF-8................................................................91
Odzyskiwanie danych niezgodnych z RFC ................................................................91
UNIX/BIND................................................................................................................91
Kwestie zwizane z DNS dla Active Directory ..........................................................97
Spis treci
7
Dodawanie i usuwanie uytkownikw .....................................................................112
Modyfikowanie uytkownikw ................................................................................114
Znajdowanie uytkownikw.....................................................................................117
Przenoszenie kont uytkownikw.............................................................................117
Spis treci
9
Wzorzec wzgldnego identyfikatora (RID) ..............................................................254
Emulator gwnego kontrolera domeny
(PDCE Primary Domain Controller Emulator) .................................................255
Wzorzec infrastruktury .............................................................................................257
Rozmieszczenie FSMO.............................................................................................258
Przenoszenie rl wzorca operacji..............................................................................260
Rozmieszczanie wzorcw operacji przy uyciu narzdzia ntdsutil ..........................261
Odnajdywanie wzorcw operacji przy uyciu narzdzia ntdsutil.............................262
Zmiany uprawnie dla wzorca schematu..................................................................263
Zmiany uprawnie dla wzorca nazw domen ............................................................263
Zmiany uprawnie dla PDCE ...................................................................................263
Zmiany uprawnie dla wzorca infrastruktury...........................................................264
Zmiany uprawnie dla wzorca RID ..........................................................................264
Skorowidz ......................................................................................311
Rozdzia 2.
W tym rozdziale:
Architektura podsystemowa
Architektura usugi katalogowej
Protokoy, interfejsy i usugi dla Active Directory
Podstawy struktury logicznej
Podstawy struktury fizycznej
Architektura podsystemowa
W Windows 2000 istniej dwa moliwe tryby dostpu do procesora: tryb jdra i tryb
uytkownika. Zabezpieczaj one aplikacje przed rnicami platform, oddzielajc procesy
niskopoziomowe, specyficzne dla kadej platformy, od procesw wysokopoziomowych. Zapobiegaj rwnie bezporedniemu dostpowi do kodu systemu i do danych.
Aplikacje i usugi pracuj w trybie uytkownika, w ktrym pobieraj usugi systemowe
poprzez interfejs programowy aplikacji (API), otrzymujcy ograniczony dostp do danych
systemowych. Proces jest przekazywany do trybu jdra, aby wykonywa swoje zadania
w rodowisku chronionym. Nastpnie przesyany jest z powrotem do trybu uytkownika.
35
36
Local Security Authority (LSA), cz podsystemu bezpieczestwa w trybie uytkownika, jest moduem, w ktrym dziaa Active Directory.
Podstaw sukcesu Windows 2000 jest zintegrowanie Active Directory i usug bezpieczestwa podsystemu. Wszystkie obiekty katalogowe, do ktrych dostp mona uzyska,
wymagaj uwierzytelniania (przeprowadzanego przez podsystem bezpieczestwa),
a nastpnie sprawdzenia poprawnoci zezwolenia na dostp (przeprowadzaj je: podsystem bezpieczestwa oraz monitor wzorcowego bezpieczestwa). Monitor wzorcowego
bezpieczestwa, ktry rezyduje w trybie jdra, narzuca kontrol dostpu do obiektw
w Active Directory.
Podsystem bezpieczestwa
Jak ju wczeniej wspomniano, Active Directory jest skadnikiem Local Security Authority. Skadniki podsystemu bezpieczestwa dziaaj w kontekcie procesu Lsass.exe
i zawieraj nastpujce elementy:
Local Security Authority,
usuga Net Logon,
usuga Security Accounts Manager,
usuga LSA Server,
Secure Sockets Layer,
protokoy uwierzytelniania Kerberos V5 i NTLM.
36
37
uytkownikw,
uytkownikw posiadajcych moliwo dostpu do systemu i ich wasnych
37
38
aplikacje.
Warstwy te przechowuj rne rodzaje informacji wymagane do lokalizowania wpisw w katalogowej bazie danych. W tej architekturze ponad warstwami usug znajduj si
protokoy i API (API zlokalizowane s tylko na klientach) umoliwiajce komunikacj pomidzy klientami a usugami katalogowymi lub te pomidzy dwiema usugami
katalogowymi w przypadku replikacji.
Na rysunku 2.2 widzimy dwie warstwy usug w Active Directory, ich poszczeglne
interfejsy i protokoy. Kierunki, w jakie zwrcone s strzaki, pokazuj, jak poprzez interfejsy klienty uzyskuj dostp do Active Directory. Klienty LDAP oraz Messaging API
(MAPI) maj dostp do katalogu za pomoc wywoywania funkcji wskazanych przez
jednokierunkowe strzaki do agenta katalogu systemowego. Baza danych SAM funkcjonuje jako osobna biblioteka doczana dynamicznie (DLL) i moe wywoywa jedynie punkty wejcia wysane przez agenta katalogu systemowego. Wszystkie inne
skadniki, poza silnikiem bazy danych (Esent.dll), znajduj si w Ntdsa.dll i s poczone z funkcjami, ktre miay wywoywa. Ze wzgldu na taki ukad pomidzy bibliotekami wymagane jest istnienie trjkierunkowej interakcji.
Gwne skadniki usug wymieniamy poniej.
Directory System Agent (DSA) tworzy hierarchi ze struktury domeny
38
39
Rysunek 2.2.
Warstwy usug
Active Directory
i odpowiadajce
im interfejsy
by zmieniany tylko przez silnik bazy danych ESE. Plikiem tym mona
administrowa za pomoc Ntdsutil, narzdzia wywoywanego z wiersza
polece (wicej informacji o tym narzdziu znajduje si w dodatku A).
Klienty uzyskujce dostp do Active Directory stosuj jeden z poniszych interfejsw
obsugiwanych przez Active Directory.
LDAP/ADSI protok uproszczonego dostpu do katalogw (Lightweight
39
40
Warstwa bazodanowa
Warstwa bazodanowa zapewnia obiektowy wgld w informacje o bazie danych Active
Directory oraz zapobiega bezporedniemu dostpowi grnych warstw usugi katalogowej
do lecego poniej systemu bazodanowego. Warstwa ta jest wewntrznym interfejsem, przechodz przez ni wszystkie wywoania i dania. Nie jest moliwy bezporedni
dostp do silnika bazy danych.
Protokoy, interfejsy
i usugi Active Directory
Model danych w Active Directory pochodzi z informacyjnego modelu obiektw i atrybutw (lub wasnoci) X.500. Na przykad atrybuty obiektu uytkownika mogyby
zawiera informacje o nazwie uytkownika, jego numer telefonu oraz adres e-mail.
Naley zauway, e Active Directory nie jest katalogiem modelu X.500. Nie implementuje protokow modelu X.500, ktre to zawieraj Directory Access Protocol
40
41
Active Directory nie implementuje tych protokow ze wzgldu na mae nimi zainteresowanie, ktre wynika z tego, e protokoy te zalene s od sieci opartych na modelu OSI,
alternatywnie dla TCP/IP, ktry nie zosta powszechnie zaimplementowany (z powodu niskiej efektywnoci transportu). LDAP dostarcza najwaniejsze funkcje oferowane przez DAP i DSP i jest zaprojektowany do pracy na TCP/IP bez dodatkowych kosztw
administracyjnych.
41
42
Wicej informacji o replikacji w Active Directory znajduje si w rozdziale 8. Zarzdzanie lokacjami, replikacj i ruchem w sieci.
42
43
Hierarchia domen
W Windows 2000 domena definiuje zarwno granic administracyjn, jak i granic
bezpieczestwa dla zbioru obiektw, ktre s istotne dla konkretnej grupy uytkownikw w sieci. Przywileje administracyjne nie rozszerzaj si od jednej domeny do
innych, a zaoenia bezpieczestwa domeny odnosz si tylko do kont bezpieczestwa wewntrz niej.
Active Directory skada si z jednej lub wicej domen. Domena jest granic bezpieczestwa sieci opartej na Windows NT lub Windows 2000, w ktrej przywileje nadawane
w jednej domenie nie przenosz si na inne. Wszystkie obiekty i jednostki organizacyjne istniej tylko wewntrz domeny. Std te domena w Windows 2000, podobnie do
domeny w Windows NT 4.0, moe zawiera komputery, grupy i kontakty.
Do korzyci z organizowania sieci w domeny moemy zaliczy:
moliwo ustanowienia zasad bezpieczestwa (prawa i uprawnienia
domeny.
Domeny s jednostkami replikacji, mog otrzymywa zmiany Active Directory i replikowa je do innych kontrolerw domen. Wszystkie kontrolery domen przetrzymuj
modyfikowaln kopi Active Directory.
Posiadanie kilku domen w sieci nie zawsze jest korzystne. Wicej informacji na
ten temat znajduje si w rozdziale 5. Bezpieczestwo w Active Directory.
Domeny mog by organizowane hierarchicznie w zwizki rodzic-dziecko. Jak wspominalimy wczeniej, domena nadrzdna jest domen bezporednio wysz w hierarchii
wzgldem jednej lub wicej podlegych bd potomnych domen.
Rysunek 2.3.
Hierarchia domen
w Windows 2000
Ta hierarchiczna struktura rni si od paskiej struktury domen w poprzednich wersjach NT. Hierarchia domenowa w Windows 2000 umoliwia przeszukiwanie licznych
domen w jednym zapytaniu, poniewa kada z nich zawiera informacje o domenach
43
44
nazwy.
Poniewa domeny Active Directory stosuj& nazwy DNS, oba te standardy odnosz&
si do domen Active Directory.
W konwencji nazw sytemu DNS kropka (.) oddziela kad cz nazwy DNS, tak
samo jak nazw domeny w hierarchicznej strukturze drzewiastej Active Directory.
Przykadowo: w DNS nazwie il.na.kevinkocis.com wszystkie wyraenia il, na, kevinkocis
oraz com odnosz si do domeny DNS. Jak przedstawiono na rysunku 2.4, w Active
Directory nazwa domeny il.na.kevinkocis.com reprezentuje hierarchi, w ktrej kevinkocis.com jest domen nadrzdn (najwysz w hierarchii), .na jest domen potomn
kevinkocis.com, a .il jest domen potomn na.kevnikocis.com.
Domena .com znajduje si na zewntrz Active Directory, pomimo e wydaje si czci nazwy domeny. Domeny, takie jak .com, .org i .edu, s domenami najwyszego
poziomu, stosowanymi w Internecie do klasyfikowania organizacji wedug ich typw.
44
45
Rysunek 2.4.
Hierarchia w Active
Directory wraz
z nazwami DNS
Hierarchia domen jest tworzona jako rezultat cigego schematu przestrzeni nazw, w ktrym kady podlegy poziom odnosi si do poprzedniego poziomu.
Poniewa kada domena Windows 2000 posiada nazw DNS (kevinkocis.com) i kady
komputer oparty na Windows 2000 posiada take nazw DNS (dc1.kevinkocis.com),
to domeny i komputery s reprezentowane zarwno jako obiekty w Active Directory,
jak i wzy w systemie DNS.
Warto jednak zauway, e obiekt konta domeny komputera jest w innej przestrzeni
nazw ni zapis wza DNS, ktry reprezentuje ten sam komputer w przestrzeni DNS.
Jeli domeny w tej samej sieci wymagaj rnych przestrzeni nazw, naley utworzy
osobne drzewo dla kadej przestrzeni nazw. Niecige, poczone relacjami zaufania,
drzewa tworz las. Pojedyncze drzewo bez zwizkw z innymi drzewami jest lasem
skadajcym si z jednego drzewa.
Zwizki w strukturze Windows 2000 dla caego lasu s przechowywane w Active
Directory jako obiekty kont relacji zaufania w kontenerze systemowym wewntrz
specjalnej partycji domeny katalogowej. Informacje o poczeniach wybranej domeny
z domen nadrzdn s dodawane do danych konfiguracyjnych, replikowanych do kadego drzewa w lesie. W ten sposb kady kontroler domen w lesie zna struktur drzew
caego lasu, wcznie ze znajomoci pocze pomidzy drzewami.
45
46
Drzewa
Drzewo jest hierarchicznym pogrupowaniem jednej lub wicej domen posiadajcych
wspln struktur nazw. Kocwki drzewa s zwykle obiektami. Wzy w drzewie
(punkty, w ktrych drzewo si rozgazia) s kontenerami, zawierajcymi grup obiektw
lub inne kontenery. Drzewo pokazuje, jak poczone s obiekty albo jak wyglda
cieka od jednego z nich do drugiego (rysunek 2.3).
Standardowe nazwy DNS s wykorzystywane do reprezentowania struktury drzew (na
przykad na.kevinkocis.com). Pierwsza domena w drzewie zwana jest domen-korzeniem
(w tym przypadku, kevinkocis). Dodatkowe domeny w tym samym drzewie zwane s
domenami potomnymi. Na.kevinkocis.com jest domen potomn dla kevinkocis.com.
Active Directory uwaane jest za przestrze nazw, a wszystkie domeny posiadajce
wspln domen-korze tworz cig przestrze nazw.
Drzewa domen w Windows 2000 rozcigaj si w Active Directory przedsibiorstwa.
Wszystkie domeny danego przedsibiorstwa musz nalee do drzewa domenowego
tego przedsibiorstwa. Te przedsibiorstwa, ktre musz obsugiwa niecige nazwy
DNS dla swych domen, s zmuszone do utworzenia lasu.
Lasy
Las moe skada si z jednego lub wicej drzew nietworzcych cigej przestrzeni
nazw. Lasy pozwalaj organizacjom na grupowanie oddziaw, ktre funkcjonuj
niezalenie, ale i tak musz si komunikowa. Lasy posiadaj domeny-korzenie, czyli
pierwsze domeny w lesie, ktre s niezbdne do ustalania relacji zaufania pomidzy
drzewami domen. Las funkcjonuje jako zestaw wzajemnie powizanych obiektw oraz
relacji zaufania. Domeny w drzewach i lasach rwnie wspdziel wsplny schemat
i informacje o konfiguracji. Std te organizacja w programie Exchange moe rozciga
si na cay las, ale nie na kilka lasw.
Lasy bd& ewoluowa gwnie ze spek i fuzji przedsibiorstw. Bdzie to zaleao
od bie&cej struktury katalogowej kadej firmy.
Wiksz liczb lasw i relacji zaufania mona utworzy pomidzy konkretnymi domenami w rnych lasach. Umoliwia to zapewnienie dostpu do zasobw i kont, znajdujcych si na zewntrz konkretnego lasu. Jednak w przypadku programu Exchange infrastruktura nie moe rozciga si na wicej ni jeden las.
Zwi&zki zaufania tworzone pomidzy domenami w rnych lasach s& domylnie
jednokierunkowe i nieprzechodnie.
46
47
Rysunek 2.5.
Struktura lasu
w Active Directory
47
48
Rysunek 2.6.
Nazwa wyrniajca
dla obiektu uytkownika
Chris Smith
48
49
Dwa obiekty mog& mie identyczne RDN, ale wci& pozostawa unikatowe, poniewa wewn&trz wasnych kontenerw nadrzdnych ich DN nie s& takie same.
Patrz&c kategoriami LDAP, obiekt
jest
identyfikowany jako inny ni
.
RDN kadego obiektu jest przechowywana w bazie danych Active Directory i zawiera referencj do jego obiektu nadrzdnego.
Atrybuty nazywania
Active Directory korzysta ze standardw nazewniczych atrybutw zaproponowanych
w serii dokumentw Request For Comments (RFC) 2253, ale nie implementuje wszystkich standardw. Na przykad Active Directory nie stosuje pewnej nomenklatury, co zaraz zostanie opisane.
W Active Directory typ atrybutowy, stosowany do opisywania RDN obiektu (w tym
przypadku, ), zosta zdefiniowany jako atrybut nazywania. Przykadowo w klasie
User atrybut cn (Common Name) jest atrybutem nazywania. Z tego powodu RDN dla
uytkownika Csmith jest wyraana jako .
Atrybuty nazywania przedstawione w tabeli 2.1 s stosowane w Active Directory, jak
zostao to opisane w RFC 2253.
Tabela 2.1. Atrybuty nazywania w Active Directory (domylne)
Klasa obiektu
Nazwa wy+wietlana
Nazwa atrybutu
nazywania LDAP
User
cn
Organizational Unit
ou
Domain
Skadnik domenowy
(Domain-Component)
dc
49
50
Jeli nazwa jednostki organizacyjnej posiada znak (/), na przykad nazwa OU to finance/gl, system wymaga specjalnego znaku steruj&cego w formie ukonika (\).
Robi si to dla rozrnienia pomidzy znakiem (/) oddzielaj&cym nazw kanoniczn& i znakiem (/) bd&cym te czci& nazwy jednostki organizacyjnej.
Nazwa kanoniczna pojawiajca si we waciwociach Active Directory Users and Computers (Uytkownicy i komputery usugi Active Directory) wywietla znak sterujcy,
wystpujcy zaraz po znaku forward slash (/) w nazwie jednostki organizacyjnej. Na
przykad, jeli nazw jednostki organizacyjnej jest Fiance/GL, a nazwa domeny to Kevinkocis.com, nazwa kanoniczna wywietlana jest jako Kevinkocis.com/Finance\/GL.
50
51
Active Directory korzysta z algorytmu do automatycznego przyznawania DN protokou LDAP dla kadej nazwy domeny w systemie DNS. Algorytm ten dostarcza etykiety typu atrybutowego skadnika domenowego kadej etykiecie w nazwie domenowej
DNS. Na przykad domena DNS na.kevinkocis.com jest tumaczona na DN protokou
LDAP w formie
.
Jeli nie chcemy stosowa domylnej nazwy domeny (na przykad bardzo dugiej nazwy
DNS), mona tworzy i przyznawa dodatkowe sufiksy gwnej nazwy uytkownika
(User Principal Name Suffix). Dlatego Chris Smith, zamiast nazwy csmith@na.kevinkocis.com, moe uywa nazwy csmith@kk.com (zilustrowano to na rysunku 2.7). Wicej
informacji na temat tworzenia dodatkowych sufiksw do nazw UPN znajduje si w rozdziale 4. Zarzdzanie uytkownikami, grupami i komputerami.
51
52
Rysunek 2.7.
Dodawanie sufiksw
do nazw UPN w oknie
Active Directory
Domains and Trusts
Properties
(Waciwoci domen
i relacje zaufania
w Active Directory)
Active Directory stosuje replikacj w celu zapewnienia, e cao zmian w kontrolerach domen zostaa zaktualizowana we wszystkich innych kontrolerach w danej domenie.
Active Directory generuje wewntrz lokacji topologi piercienia suc do replikacji pomidzy kontrolerami w domenie. Zapewnia to przynajmniej dwie cieki replikacji od jednego do drugiego kontrolera domen. Replikacja moe mie miejsce nawet
wtedy, gdy kontroler domeny uleg awarii lub nie jest podczony do sieci. Jeli doda
si lub usunie kontroler domeny z sieci lub lokacji, Active Directory automatycznie
rekonfiguruje topologi, aby odzwierciedli zmian.
Wicej informacji znajduje si w rozdziale 8. Zarzdzanie lokacjami, replikacj i ruchem w sieci.
Skadniki katalogw
Active Directory posiada rnorodne obiekty pogrupowane za pomoc kontenerw
(w formie jednostek organizacyjnych OU). Katalog jest ponadto podzielony na partycje zwane katalogowymi lub Naming Contexts.
52
53
Obiekty
Obiekt jest w Active Directory podstawowym elementem, oddzielnym zestawem atrybutw i reprezentuje na przykad uytkownika, drukark, komputer lub aplikacj. Atrybuty
s cechami charakterystycznymi kadego obiektu zdefiniowanego w katalogu. Atrybuty obiektw zawieraj informacje o lokalizacji i cechach danego obiektu. Kady uytkownik jest rwnie uznawany za obiekt. W Microsoft Exchange do atrybutw uytkownika wliczalimy: jego imi (np. Chris), nazwisko (Smith), adres e-mail (csmith@
kevinkocis.com) i moliwo odbierania przez niego poczty elektronicznej, jej rodzajw i miejsca, gdzie mg j otrzymywa. Obiekty s przypisanymi zezwoleniami na
dostp i mog by gromadzone oraz organizowane w elementy zwane kontenerami.
Nazwy obiektw
Wszystkie obiekty w Active Directory stosuj si do konwencji nazewniczych, ktrych
w Active Directory jest wiele. Mimo e DNS jest efektywnym narzdziem do tumaczenia nazw internetowych, nie przechowuje szczegowoci wymaganej dla nazewnictwa
w Active Directory. LDAP jest bardziej adekwatnym narzdziem, poniewa potrafi
jednoznacznie identyfikowa obiekty w Active Directory.
Kontenery
Kontenerem w drzewie katalogowym moe by kady element, do ktrego dodane s
obiekty. Oczywistym przykadem kontenera jest folder. W kadym razie MMC mona
uywa przy dodawaniu narzdzia do elementw innych ni foldery, ktre nastpnie
rwnie staj si kontenerami.
Podstawowym kontenerem w Active Directory jest jednostka organizacyjna.
Jednostki organizacyjne
Jednostka organizacyjna to kontener uywany do przechowywania obiektw. Jest najmniejszym zasigiem lub jednostk, do ktrej mona przydzieli lub oddelegowa
uprawnienia administracyjne. Jednostek organizacyjnych uywamy do tworzenia w domenie kontenerw reprezentujcych hierarchiczne, logiczne lub wydziaowe (biznesowe)
struktury wewntrz danej organizacji.
Wiele domen z Windows NT 4.0 przechodz&cych do Active Directory w Windows
2000 moe by przekonwertowanych do postaci jednostek organizacyjnych w ich
nowym modelu domenowym i otrzyma delegowane uprawnienia.
53
54
Partycje katalogowe
W Active Directory las jest partycjonowany na domeny. Kontrolery wewntrz tej samej domeny wspdziel ze sob informacje. Kontrolery z rnych domen wspdziel ze
sob konfiguracj, schemat i informacje o katalogu globalnym (GC), ale nie wspdziel
danych o domenach. Partycja katalogowa (Naming Context NC) umoliwia dystrybucj archiww. Wspomaga to skalowalno bazy danych w Active Directory do
milionw obiektw.
Kada partycja katalogowa zawiera podkatalog obiektw w drzewie. Kopie tej partycji
mog by przechowywane pomidzy kontrolerami domen, ktre s uaktualniane poprzez replikacj.
Informacje o kadym kontrolerze domeny, przechowywane w Active Directory (niezalenie od tego, czy jest to serwer GC, czy nie), s partycjonowane na trzy kategorie:
dane domeny, schematu i konfiguracji. Partycje katalogowe s jednostkami replikacji.
Trzy, niej opisane, partycje przechowywane s na kadym kontrolerze domeny.
Partycja konfiguracji zawiera informacje o topologii lokacji i replikacji
54
55
Rysunek 2.8.
Partycje domenowe
widok w edytorze
ADSI Edit
zmieni atrybuty, w menu Computer kliknij opcj Select albo wpisz kontroler
domeny i wybierz go lub wejd do nazwy komputera.
4. Aby wybra partycj katalogow w menu Connection Point, kliknij Naming
Context.
5. Na licie Naming Context kliknij partycj katalogow i OK.
W okienku Name wywietlona zostaje nazwa wybranej partycji katalogowej. Mona
j& zmieni na tak&, ktra lepiej identyfikuje dane po&czenie.
6. Wybierz obiekt, ktrego wartoci atrybutw chcesz zobaczy lub zmieni.
7. W okienku dialogowym Properties, w opcji Select Which Properties to View
55
56
Jeli kontroler domeny jest serwerem GC, posiada rwnie czwart kategori informacji czciow replik partycji katalogu danych domenowych.
56
57
Partycja konfiguracji
Katalogowa partycja konfiguracji jest tworzona wraz z pierwsz domen w Windows
2000. W przyszoci partycja konfiguracji bdzie replikowana do nowego kontrolera
domen przy tworzeniu domen potomnych, nowych domen-korzeni lub wtedy, gdy
dodatkowy kontroler zostanie dodany do domeny.
Nastpujce obiekty s kontenerami potomnymi wewntrz kontenera konfiguracji
(Configuration Container):
DisplaySpecifiers,
Extended-Rights,
LostAndFoundConfig,
Partitions,
Physical Locations,
Sites,
Services,
Well-Known Security Principals.
57
58
Active Directory).
Active Directory Schema (Schemat usugi Active Directory).
Przystawka schematu wymaga osobnej instalacji. Szczegy na temat instalacji
kontenera schematu znajduj& si w rozdziale 9. Zarz&dzanie aktualizacjami przy
uyciu Flexible Single-Master Operations.
58
59
59
60
Podczas instalacji Windows 2000 Server domylny plik bazodanowy (Ntds.dit) umieszczany jest w katalogu %SystemRoot%\System32. W tej lokalizacji plik nie funkcjonuje jako katalogowa baza danych. Istnieje jako kopia dystrybucyjna, dziki ktrej nie trzeba
uywa dysku CD do instalacji Active Directory.
Ntds.dit zawiera domyln kopi schematu i partycje konfiguracji oraz domyln partycj
domenow. Podczas instalacji Active Directory domylne kopie partycji schematu
i konfiguracji (wraz z partycj domeny, jeli kontroler domeny jest w niej kontrolerem
dodatkowym) s synchronizowane z istniejcymi kontrolerami z tej domeny. Po ukoczeniu procesu instalacji Active Directory jest w peni zsynchronizowane i otwarte dla aktualizacji na nowym serwerze.
Podczas instalowania Active Directory moesz zatrzyma proces replikacji, klikajc
przycisk Finish Replication Later (Zakocz replikacj pniej), kiedy si pojawi. Replikacja bdzie kontynuowana po ponownym uruchomieniu komputera. Kontroler domeny nie
ujawnia si, dopki replikacja nie zakoczy si w peni.
Jeli baza danych do replikacji jest maa, przycisk Finish Replication (Zakocz replikacje) nie pojawi si wcale albo tylko na krtko.
Kontrolery domen
Active Directory musi rezydowa na kontrolerze domeny, przechowujcym kompletn kopi wszystkich informacji, jakie Active Directory posiada na temat tej domeny.
Zarzdza on rwnie zmianami w tej kopii i replikuje je do innych kontrolerw domen
w tej samej i innych domenach. Informacje o schemacie i infrastrukturze s replikowane pomidzy wszystkimi kontrolerami domen w lesie.
60
61
Serwer czonkowski
Mimo e tylko kontrolery domen zawieraj obiekty Active Directory, inne serwery
Windows 2000 mog zwikszy funkcjonalno implementacji Windows 2000.
Serwer czonkowski (member server) jest serwerem pracujcym pod Windows 2000
i bdcym czonkiem domeny, ale nie jest kontrolerem i nie zawiera Active Directory.
Serwery czonkowskie wspdziel cechy bezpieczestwa, takie jak zaoenia domen
oraz prawa uytkownikw.
Serwery czonkowskie mog pracowa jako:
serwery plikw,
serwery drukarek,
serwery internetowe,
serwery proxy,
serwery routingu i zdalnego dostpu (RRAS),
serwery aplikacji, zawierajce: serwery skadowe, serwery terminalowe,
Zamiana rl
Serwer wewntrz domeny moe funkcjonowa w jednej z dwch rl: jako kontroler
domeny lub jako serwer czonkowski.
Poniewa wymagania uytkownikw dotyczce rodowisk komputerowych zmieniaj
si, moe pojawi si potrzeba zmiany roli serwera. Za pomoc narzdzia Kreator Instalacji Usugi Active Directory wywoywanego przez polecenie
! mona
wypromowa serwer czonkowski na kontroler domeny lub te zdegradowa kontroler domeny do roli serwera czonkowskiego (jak wspomniano wczeniej).
61
62
Lokacje
Lokacja jest grup serwerw mogcych komunikowa si ze sob przez stae, synchroniczne cza o wysokim poziomie niezawodnoci i szerokiej przepustowoci. Tworzenie
lokacji pozwala konfigurowa dostp do Active Directory i topologi replikacji, dziki
czemu mona lepiej wykorzystywa fizyczn struktur sieci. Kiedy uytkownik loguje
si, klient Active Directory znajduje serwery z jego lokacji. Poniewa komputery z tej
samej lokacji s, z punktu widzenia sieci, pooone blisko siebie, komunikacja pomidzy nimi jest niezawodna, szybka i efektywna.
Dwa podstawowe powody dla tworzenia lokacji to kontrola ruchu replikacyjnego oraz
ruchu zwizanego z logowaniem si i uwierzytelnianiem uytkownikw. Lokacje tworzymy za pomoc moduu Active Directory Sites and Services (Lokacje i usugi Active
Directory). Nie ma bezporedniego zwizku pomidzy domenami i lokacjami, wic
pojedyncza domena moe obejmowa wiele lokacji i podobnie lokacja moe rozciga si
na wiele domen. Zwykle granice lokacji pokrywaj si z granicami sieci lokalnej.
Jedn z korzyci pyncych z Active Directory jest ta, e domeny mog obejmowa
fizyczne lokalizacje o rnych topologiach, powizane czami sieci rozlegych WAN, ale
wci s przezroczyste dla uytkownika. Jednym z gwnych problemw pozostaje
jednak przepustowo czy sieci WAN.
Lokacje a domeny
Wane jest zrozumienie faktu, i lokacje s niezalene od domen. Mapuj one fizyczn
struktur sieci, za domeny (jeli uywa si wicej ni jednej) zwykle mapuj jej struktur
logiczn. Struktury fizyczna i logiczna s od siebie niezalene, co niesie ze sob nastpujce konsekwencje.
Nie musi istnie poczenie pomidzy lokacjami i przestrzeniami nazw
domen.
Niekonieczne jest powizanie pomidzy fizyczn struktur sieci a struktur
Przechowywanie danych
Dane w Active Directory przechowywane s w pliku bazodanowym Ntds.dit. Dwie
kopie pliku Ntds.dit istniej na danym kontrolerze w osobnych lokalizacjach:
%SystemRoot%\NTDS\Ntds.dit kopia przechowujca baz danych,
62
63
63
64
Podsumowanie
Architektura Active Directory (zbyt zoona dla tej ksiki) jest znacznie bogatsza
w porwnaniu do poprzednich wersji systemw NT. Struktura logiczna Active
Directory tworzy kopie lustrzane systemw DNS, jest do nich podobna i wypenia ich
standardy. Active Directory skada si logicznie z obiektw, domen i drzew, za fizycznie
z kontrolerw domen i lokacji.
64