Модель доменов и Active Directory
Так как база данных SAM не подходит для поддержки сетевых приложений типа
Exchange Server, то, когда была выпущена четвертая версия Exchange Server, она
имела свою собственную службу каталога - Exchange Directory, которая была
предназначена для поддержки вычислительной среды больших предприятий, в более
поздних версиях она основывалась на открытых стандартах Internet. Например, она
удовлетворяет спецификации облегченного протокола службы каталогов (LDAP) TCP/IP
и имеет легкий программный доступ.
Служба Active Directory заменила базу данных SAM в качестве службы каталога для
сетевых сред от Microsoft. Она направлена на преодоление ограничений службы
Windows NT 4 SAM и обеспечивала дополнительные выгоды сетевым администраторам.
Главная выгода Active Directory в реализации Windows 2000 состоит в том, что она
масштабируема. Новый файл базы данных учетных записей может достигать 70 Тбайт.
Фактически Active Directory была реализована в испытательной среде в модели
отдельного домена, содержащей более ста миллионов объектов. Сетевые
администраторы больше не должны делить свои среды на несколько доменов, чтобы
обойти ограничения размеров службы каталога.
Сложные доменные модели, которые преобладали ранее, теперь могут быть объединены
в меньшее количество доменов с помощью организационных единиц (OU -
organizational unit), предназначенных для группировки содержимого ресурсного или
регионального домена Windows NT 4. На рисунке 1 показана типичная модель
отдельного домена системы Windows 2000.
Любые изменения в инфраструктуре Active Directory должны быть тщательно
реализованы в соответствии с проектом Active Directory, который предусматривает
такой рост.
В Active Directory претерпел механизм реализации функции контроллера домена.
Здесь нет деления на первичный и вторичный контроллеры домена, изменения могут
вноситься на любом из серверов, а их синхронизация осуществляются в обоюдном
направлении. Этот процесс часто занимает много времени.
Физическое проявление службы Active Directory состоит в наличии отдельного файла
данных, расположенного на каждом контроллере домена в домене. Физическая
реализация службы Active Directory описывается местоположением контроллеров
домена, на которых расположена служба. При реализации службы Active Directory
можно добавлять столько контроллеров доменов, сколько необходимо для поддержания
служб каталога в данной организации. Имеется пять определенных ролей, которые
может играть каждый из контроллеров домена. Все они выполняют роли FSMO
(Flexible Single Master Operations - гибкие операции с одним хозяином):
• хозяин схемы;
• хозяин именования доменов;
• хозяин относительных идентификаторов RID;
• хозяин эмулятора PDC;
• хозяин инфраструктуры.
Одно из ограничений базы данных Windows NT 4 SAM состояло в том, что
административные права были доступны только в виде «все или ничего». Чтобы дать
пользователю любую степень административных прав требовалось, чтобы вы сделали
пользователя членом группы Domain Admins. Этот уровень административных прав
давал пользователю безграничную власть в пределах домена, включая право удалять
других пользователей из группы Domain Admins.
Active Directory предоставляет администраторам возможность делегировать
административные права. Используя мастер Delegation Of Control Wizard
(Делегирование управления) или устанавливая определенные разрешения на объекты
Active Directory, администраторы могут предлагать тонко настроенные
административные права. Например, можно назначить определенной учетной записи
пользователя административное право сбрасывать пароли в домене, но не создавать,
удалять или как-либо изменять пользовательский объект.