Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00058 008269 10493764 na godz. na dobę w sumie
Administracja Microsoft Active Directory - książka
Administracja Microsoft Active Directory - książka
Autor: Liczba stron: 328
Wydawca: Helion Język publikacji: polski
ISBN: 83-7197-474-4 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe >> inne
Porównaj ceny (książka, ebook, audiobook).
Mimo że Active Directory ma bardzo skomplikowaną strukturę, jego zadaniem jest ułatwianie życia administratorom systemu na poziomie przedsiębiorstwa. Z perspektywy Microsoftu, Active Directory jest usługą katalogową przeznaczoną dla przedsiębiorstw, opartą na standardach internetowych, dostarczającą użytkownikom informacji i niezbędnych usług. Active Directory jest włączone we wszystkie produkty dla serwerów z serii Windows 2000 i jest implementacją Microsoftu istniejącego modelu (X.500), istniejącego protokołu komunikacji (LDAP) oraz istniejącej technologii lokalizacji (DNS).

Autor, pisząc tą książkę, obrał sobie następujące cele:

  1. Napisać zrozumiały przewodnik.
  2. Omówić zadania i zagadnienia związane z administracją.
  3. Podzielić na poszczególne elementy złożoną strukturę Active Directory.
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Administracja Microsoft Active Directory Autor: T‡umaczenie: Marcin JŒdrysiak, Agata Dras ISBN: 83-7197-474-4 Format: B5, stron: 328 Mimo ¿e Active Directory ma bardzo skomplikowan„ strukturŒ, jego zadaniem jest u‡atwianie ¿ycia administratorom systemu na poziomie przedsiŒbiorstwa. Z(cid:160) perspektywy Microsoftu, Active Directory jest us‡ug„ katalogow„ przeznaczon„ dla przedsiŒbiorstw, opart„ na standardach internetowych, dostarczaj„c„ u¿ytkownikom informacji i niezbŒdnych us‡ug. Active Directory jest w‡„czone we wszystkie produkty dla serwer(cid:243)w z serii Windows 2000 i jest implementacj„ Microsoftu istniej„cego modelu (X.500), istniej„cego protoko‡u komunikacji (LDAP) oraz istniej„cej technologii lokalizacji (DNS). Autor, pisz„c t„ ksi„¿kŒ, obra‡ sobie nastŒpuj„ce cele: Napisa(cid:230) zrozumia‡y przewodnik. Om(cid:243)wi(cid:230) zadania i zagadnienia zwi„zane z administracj„. Podzieli(cid:230) na poszczeg(cid:243)lne elementy z‡o¿on„ strukturŒ Active Directory. IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TRE(cid:140)CI SPIS TRE(cid:140)CI KATALOG KSI¥flEK KATALOG KSI¥flEK KATALOG ONLINE KATALOG ONLINE ZAM(cid:211)W DRUKOWANY KATALOG ZAM(cid:211)W DRUKOWANY KATALOG TW(cid:211)J KOSZYK TW(cid:211)J KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAM(cid:211)W INFORMACJE ZAM(cid:211)W INFORMACJE O NOWO(cid:140)CIACH O NOWO(cid:140)CIACH ZAM(cid:211)W CENNIK ZAM(cid:211)W CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥flEK ONLINE FRAGMENTY KSI¥flEK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl O Autorze ........................................................................................11 Wprowadzenie..................................................................................13 Rozdział 1. Pojęcie Active Directory ...................................................................15 Główne funkcje techniczne Active Directory.....................................................16 Łatwość administrowania ...........................................................................................16 Bezpieczeństwo...........................................................................................................21 Współdziałanie............................................................................................................24 Główne składniki Active Directory ....................................................................26 Przestrzeń nazw ..........................................................................................................26 Drzewo (Tree) .............................................................................................................27 Las (Forest) .................................................................................................................27 Domena .......................................................................................................................28 Jednostka organizacyjna (Organizational Unit — OU) ..............................................28 Lokacja (Site)..............................................................................................................28 NT 4.0 a Windows 2000 .....................................................................................29 Różnice logiczne .........................................................................................................29 Różnice fizyczne .........................................................................................................29 Różnice w administrowaniu........................................................................................30 Usługi metakatalogowe (Meta-directory) ...........................................................30 Active Directory a Novell 5.x .............................................................................31 Partycje .......................................................................................................................31 Katalogi.......................................................................................................................33 Obsługa standardów internetowych ............................................................................34 Podsumowanie ....................................................................................................34 Rozdział 2. Architektura Active Directory ...........................................................35 Architektura podsystemowa................................................................................35 Podsystem bezpieczeństwa .........................................................................................36 Architektura usługi katalogowej .........................................................................38 Agent katalogu systemowego (DSA)..........................................................................40 Warstwa bazodanowa .................................................................................................40 Silnik bazy danych ......................................................................................................40 Protokoły, interfejsy i usługi Active Directory...................................................40 Usługa katalogowa X.500 ...........................................................................................41 Lightweight Directory Access Protocol (LDAP)........................................................41 Interfejsy usługi Active Directory — Active Directory Services Interface (ADSI)...42 Replikacja w Active Directory....................................................................................42 C:AndrzejPDFAdministracja Microsoft Active Directory!!Spis-11.doc 5 6 Administracja Microsoft Active Directory Podstawy struktury logicznej ..............................................................................42 Hierarchia domen........................................................................................................43 Nazwy domen w Active Directory .............................................................................44 Struktura drzew i lasów ..............................................................................................45 Podstawy struktury fizycznej sieci......................................................................51 Składniki katalogów....................................................................................................52 Partycje katalogowe ....................................................................................................54 Lokacje........................................................................................................................62 Lokacje a domeny .......................................................................................................62 Przechowywanie danych.............................................................................................62 Podsumowanie ....................................................................................................64 Rozdział 3. Zarządzanie domenami, relacjami zaufania i systemem DNS ..............65 Podstawy idei domen ..........................................................................................65 Zarządzanie domenami ...............................................................................................67 Dodawanie domen ......................................................................................................67 Modele domen ............................................................................................................68 Zarządzanie relacjami zaufania...........................................................................69 Relacje zaufania ..........................................................................................................69 Dodawanie relacji zaufania.........................................................................................72 Modyfikowanie relacji zaufania .................................................................................72 Tłumaczenie nazw w Active Directory...............................................................73 Standardy nazywania ..................................................................................................73 Ograniczenia nazw......................................................................................................74 Funkcje serwera DNS .................................................................................................75 Rekordy zasobów........................................................................................................76 Strefy i pliki strefowe..................................................................................................79 Strefy wyszukiwania ...................................................................................................80 Dynamiczne DNS i transfery stref ..............................................................................80 Transfer strefowy ........................................................................................................82 Integracja DNS i Active Directory......................................................................84 Kreator instalacji DNS ................................................................................................84 Konfigurowanie stref ..................................................................................................86 Środowiska heterogeniczne.................................................................................90 Posługiwanie się rekordami WINS i WINSR .............................................................90 Posługiwanie się formatem znaków UTF-8................................................................91 Odzyskiwanie danych niezgodnych z RFC ................................................................91 UNIX/BIND................................................................................................................91 Kwestie związane z DNS dla Active Directory ..........................................................97 DNS i WINS .....................................................................................................100 DHCP w Active Directory ................................................................................101 Korzyści ....................................................................................................................102 Nowe funkcje Windows 2000 DHCP .......................................................................102 Proces dzierżawienia.................................................................................................103 Integracja DHCP z dynamicznym DNS ...................................................................104 Konfiguracja DHCP..................................................................................................106 Ustawianie aktualizacji DDNS dla zakresu ..............................................................107 Podsumowanie ..................................................................................................108 Rozdział 4. Zarządzanie użytkownikami, grupami i komputerami .......................109 Podstawy zarządzania obiektami ......................................................................109 Zarządzanie użytkownikami .............................................................................111 Konta użytkowników ................................................................................................111 Wstępnie zdefiniowane konta użytkowników ..........................................................112 6 C:AndrzejPDFAdministracja Microsoft Active Directory!!Spis-11.doc Spis treści 7 Dodawanie i usuwanie użytkowników .....................................................................112 Modyfikowanie użytkowników ................................................................................114 Znajdowanie użytkowników .....................................................................................117 Przenoszenie kont użytkowników.............................................................................117 Zarządzanie profilami użytkowników i katalogami macierzystymi.................118 Zalety profili użytkowników.....................................................................................118 Typy profili ...............................................................................................................118 Zalety katalogów macierzystych...............................................................................119 Zarządzanie grupami.........................................................................................120 Typy grup..................................................................................................................121 Zakres grupy i ruch replikacyjny ..............................................................................127 Jak tryb domeny wpływa na grupy? .........................................................................127 Modyfikowanie grup.................................................................................................129 Konwersja typu grupy...............................................................................................130 Konflikty replikacji ...................................................................................................133 Zarządzanie kontami komputerów....................................................................133 Tworzenie kont komputerów ....................................................................................134 Znajdowanie komputerów ........................................................................................135 Edycja kont komputerów ..........................................................................................136 Resetowanie kont komputerów.................................................................................137 Wyłączanie i włączanie kont komputerów ...............................................................137 Podsumowanie ..................................................................................................139 Rozdział 5. Bezpieczeństwo w Active Directory ................................................141 Model bezpieczeństwa Active Directory ..........................................................141 Uwierzytelnianie w Active Directory .......................................................................142 Uwierzytelnianie Kerberos .......................................................................................142 Wstępne uwierzytelnianie Kerberos .........................................................................144 Infrastruktura kryptografii klucza publicznego ........................................................147 IPSec .........................................................................................................................149 Zabezpieczenia obiektowe ................................................................................156 Listy kontroli dostępu (Access Control Lists — ACL) ............................................157 Prawa i uprawnienia..................................................................................................159 Deskryptor zabezpieczeń ..........................................................................................159 Bezpieczeństwo obiektów Active Directory.....................................................161 Obiekty Active Directory..........................................................................................162 Publikacja zasobów Active Directory...............................................................165 Publikowanie współdzielonych folderów .................................................................166 Publikowanie drukarek .............................................................................................167 Wskazówki dotyczące publikowania ........................................................................168 Własność i przekazywanie własności .......................................................................168 Dziedziczenie uprawnień ..........................................................................................169 Najlepsze zastosowanie kontroli dostępu .................................................................170 Podsumowanie ..................................................................................................170 Rozdział 6. Administracja zasadami grup ..........................................................171 Podstawy zasad grup.........................................................................................171 Porównanie zasad Windows NT 4.0 i Windows 2000 .............................................172 Wymagania administracyjne zasad grup ..................................................................173 Obiekty zasad grup ...................................................................................................173 Tworzenie obiektów zasad grup ...............................................................................175 Konfiguracja zasad grup ...........................................................................................176 C:AndrzejPDFAdministracja Microsoft Active Directory!!Spis-11.doc 7 8 Administracja Microsoft Active Directory Model rozszerzeń przystawek MMC ........................................................................178 Ustawienia i szablony ...............................................................................................181 Zasady specjalne (zasady kont) ................................................................................192 Łączenie GPO ...........................................................................................................193 Dziedziczenie ............................................................................................................193 Delegowanie administracji GPO...............................................................................195 Zasady grup w trybie mieszanym .............................................................................197 Filtrowanie i delegacja zasad grup w przypadku grup zabezpieczeń .......................198 Zasady grup dla wielu obiektów ...............................................................................199 Relacje zaufania z poprzednimi wersjami Windows ........................................200 Podsumowanie ..................................................................................................200 Rozdział 7. Zarządzanie i modyfikacja schematu Active Directory .....................201 Podstawowe informacje o schemacie Active Directory ...................................201 Struktura schematu — eksploracja drzewa informacji katalogu ......................203 Uruchamianie przystawki Active Directory Schema................................................204 Obiekty schematu Active Directory..........................................................................206 Modyfikacja schematu ......................................................................................208 Planowanie rozszerzenia schematu...........................................................................209 Dodawanie klasy .......................................................................................................216 Weryfikacja zmian w schemacie ..............................................................................217 Problemy związane z rozszerzaniem schematu ........................................................218 Systemowe kontrole modyfikacji w schemacie ........................................................219 Dezaktywacja obiektów schematu ....................................................................219 Dezaktywacja istniejących klas i atrybutów .............................................................220 Podsumowanie ..................................................................................................221 Rozdział 8. Zarządzanie lokacjami, replikacją i ruchem w sieci..........................223 Podstawy topologii lokacji................................................................................223 Lokacje......................................................................................................................224 Kiedy tworzyć nową lokację? ...................................................................................226 Podsieci .....................................................................................................................228 Połączenia .................................................................................................................229 Łącza lokacji .............................................................................................................230 Serwery przyczółkowe..............................................................................................232 Mostek łączący lokacje .............................................................................................234 Model replikacji w Active Directory ................................................................236 Repliki partycji katalogowych ..................................................................................236 Korzyści ....................................................................................................................237 Składniki replikacji ...................................................................................................238 Aktualizacje ..............................................................................................................240 Topologia replikacji ..........................................................................................241 Protokoły i transport IP .............................................................................................241 Replikacja wewnątrz lokacji .....................................................................................243 Replikacja międzylokacyjna .....................................................................................244 Narzędzia replikacyjne..............................................................................................245 Podsumowanie ..................................................................................................246 Rozdział 9. Zarządzanie aktualizacjami przy użyciu Flexible Single-Master Operations .................................247 Podstawy FSMO ...............................................................................................247 FSMO i aktualizacje schematu katalogu...................................................................248 Role wzorca operacji i ich rozmieszczenie.......................................................249 Wzorzec schematu ....................................................................................................251 Wzorzec nazw domen ...............................................................................................252 8 C:AndrzejPDFAdministracja Microsoft Active Directory!!Spis-11.doc Spis treści 9 Wzorzec względnego identyfikatora (RID) ..............................................................254 Emulator głównego kontrolera domeny (PDCE — Primary Domain Controller Emulator) .................................................255 Wzorzec infrastruktury .............................................................................................257 Rozmieszczenie FSMO.............................................................................................258 Przenoszenie ról wzorca operacji..............................................................................260 Rozmieszczanie wzorców operacji przy użyciu narzędzia ntdsutil ..........................261 Odnajdywanie wzorców operacji przy użyciu narzędzia ntdsutil.............................262 Zmiany uprawnień dla wzorca schematu..................................................................263 Zmiany uprawnień dla wzorca nazw domen ............................................................263 Zmiany uprawnień dla PDCE ...................................................................................263 Zmiany uprawnień dla wzorca infrastruktury...........................................................264 Zmiany uprawnień dla wzorca RID ..........................................................................264 Kontrolowanie przekazywania ról ....................................................................264 Kontrolowanie wymuszania ról ........................................................................265 Rozwiązywanie problemów związanych z wzorcami operacji ........................266 Reakcje na awarie wzorca operacji...........................................................................266 Awarie emulatora głównego kontrolera domeny......................................................267 Awarie wzorca infrastruktury ...................................................................................267 Awarie innych wzorców operacji .............................................................................268 Rozwiązywanie problemów i szczegóły techniczne.................................................269 Inne błędy FSMO i ich wyjaśnienia..........................................................................270 Podsumowanie ..................................................................................................271 Rozdział 10. Niezawodność i optymalizacja Active Directory ...............................273 Narzędzia...........................................................................................................273 Archiwizacja Active Directory .........................................................................274 Wykonywanie archiwizacji Active Directory...................................................275 Używanie kreatora archiwizacji w programie Backup .............................................275 Terminarz archiwizacji .............................................................................................277 Przywracanie Active Directory.........................................................................278 Przywracanie Active Directory poprzez reinstalację i replikację .............................278 Przywracanie Active Directory.................................................................................279 Przywracanie Active Directory na innym sprzęcie...................................................283 Autorytatywne przywracanie ....................................................................................283 Monitorowanie wydajności Active Directory...................................................287 Monitorowanie wydajności kontrolera domeny .......................................................287 Monitor systemu .......................................................................................................287 Dzienniki wydajności i alarmy .................................................................................293 Menedżer zadań ........................................................................................................299 Dzienniki zdarzeń .....................................................................................................300 Monitor sieci .............................................................................................................301 Podsumowanie ..................................................................................................303 Dodatek A Typowe narzędzia Active Directory..................................................305 Active Directory Service Interface (ADSI) ......................................................305 Comma-Separated Value Directory Exchange (CSVDE) ................................306 LDAP Data Interchange Format Directory Exchange (LDIFDE) ....................306 Movetree ...........................................................................................................308 Składnia Movetree ....................................................................................................310 Skorowidz ......................................................................................311 C:AndrzejPDFAdministracja Microsoft Active Directory!!Spis-11.doc 9 Rozdział 2. W tym rozdziale:  Architektura podsystemowa  Architektura usługi katalogowej  Protokoły, interfejsy i usługi dla Active Directory  Podstawy struktury logicznej  Podstawy struktury fizycznej Wiedza o wzajemnym oddziaływaniu składników architektury Active Directory dostarcza podstaw do zrozumienia, jak Active Directory zarządza danymi. Pierwsza część tego rozdziału została poświęcona związkom Active Directory z resztą systemu operacyj- nego Windows 2000 Server. Następnie przyjrzymy się strukturze logicznej i fizycznej bazy danych Active Directory, jej składnikom i ich właściwościom. Architektura podsystemowa W Windows 2000 istnieją dwa możliwe tryby dostępu do procesora: tryb jądra i tryb użytkownika. Zabezpieczają one aplikacje przed różnicami platform, oddzielając procesy niskopoziomowe, specyficzne dla każdej platformy, od procesów wysokopoziomo- wych. Zapobiegają również bezpośredniemu dostępowi do kodu systemu i do danych. Aplikacje i usługi pracują w trybie użytkownika, w którym pobierają usługi systemowe poprzez interfejs programowy aplikacji (API), otrzymujący ograniczony dostęp do danych systemowych. Proces jest przekazywany do trybu jądra, aby wykonywać swoje zadania w środowisku chronionym. Następnie przesyłany jest z powrotem do trybu użytkownika. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 35 36 Administracja Microsoft Active Directory Local Security Authority (LSA), czlć podsystemu bezpiecze(cid:21)stwa w trybie uryt- kownika, jest modułem, w którym działa Active Directory. Monitor bezpieczeństwa (security reference monitor) pracuje w trybie jądra. Narzuca zasady zabezpieczeń podsystemu bezpieczeństwa. Obiekty Active Directory chronione są przez listy kontroli dostępu (Access Control Lists — ACL). Lokalizacja Active Directory wewnątrz Windows 2000 jest pokazana na rysunku 2.1. Rysunek 2.1. Lokalizacja Active Directory w systemie Windows 2000 Podstawą sukcesu Windows 2000 jest zintegrowanie Active Directory i usług bezpie- czeństwa podsystemu. Wszystkie obiekty katalogowe, do których dostęp można uzyskać, wymagają uwierzytelniania (przeprowadzanego przez podsystem bezpieczeństwa), a następnie sprawdzenia poprawności zezwolenia na dostęp (przeprowadzają je: podsys- tem bezpieczeństwa oraz monitor wzorcowego bezpieczeństwa). Monitor wzorcowego bezpieczeństwa, który rezyduje w trybie jądra, narzuca kontrolę dostępu do obiektów w Active Directory. Podsystem bezpieczeństwa Jak już wcześniej wspomniano, Active Directory jest składnikiem Local Security Autho- rity. Składniki podsystemu bezpieczeństwa działają w kontekście procesu Lsass.exe i zawierają następujące elementy:  Local Security Authority,  usługa Net Logon,  usługa Security Accounts Manager,  usługa LSA Server,  Secure Sockets Layer,  protokoły uwierzytelniania Kerberos V5 i NTLM. 36 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 37 Podsystem bezpieczeństwa monitoruje założenia bezpieczeństwa i w efekcie ma wpływ na cały system operacyjny. Local Security Authority (LSA) Local Security Authority (LSA) jest modułem chronionym, który utrzymuje bezpie- czeństwo lokalne systemu (zwane założeniami bezpieczeństwa lokalnego — Local Security Policy). Generalnie LSA pełni cztery podstawowe funkcje:  zarządza założeniami bezpieczeństwa lokalnego,  dostarcza interaktywnych usług logowania użytkownika,  generuje znaczniki, zawierające informacje o użytkownikach i grupach, dotyczące przywilejów użytkownika w zakresie bezpieczeństwa,  zarządza zasadami i ustawieniami nadzorowania oraz zapisuje ostrzeżenia do właściwego dziennika systemowego. Zasady bezpieczeństwa lokalnego identyfikują następujące elementy:  domeny zaufane w celu uwierzytelnienia procesów uwierzytelniania użytkowników,  użytkowników posiadających możliwość dostępu do systemu i ich własnych metod (dostępu lokalnego, zdalnego lub poprzez usługę),  użytkowników, którym nadano przywileje,  poziom kontroli bezpieczeństwa,  domyślne ilości przydzielanej pamięci. LSA zawiera następujące, wymienione niżej, komponenty.  Netlogon.dll — usługa bezpiecznie przekazująca kontrolerowi domen uwierzytelnienia użytkowników i zwracająca identyfikatory bezpieczeństwa domen (Domain Security Identifiers — SID) oraz prawa użytkownika. W przypadku kontrolerów domen w systemie Windows NT 4.0 działa ona także jako protokół replikacji.  Msv1_0.dll — protokół uwierzytelniania NT Lan Manager (NTLM) stosowany wobec klientów, które nie wykorzystują uwierzytelniania przez Kerberos.  Schannel.dll — protokół uwierzytelniania Secure Sockets Layer (SSL), który zapewnia uwierzytelnianie na szyfrowanym kanale.  Kerberos.dll — protokół uwierzytelniający Kerberos V5 zapewniający uwierzytelnianie Windows 2000.  Kdcsvc.dll — usługa Kerberos Key Distribution Center (KDC) odpowiedzialna za przyznawanie znaczników klientom.  Lsasrv.dll — usługa serwera LSA narzucająca zasady bezpieczeństwa. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 37 38 Administracja Microsoft Active Directory  Samsrv.dll — usługa Security Accounts Manager (SAM) przechowująca lokalne konta bezpieczeństwa, narzucająca lokalnie przechowywane zasady oraz obsługująca API.  Ntdsa.dll — moduł usług katalogowych obsługujący protokół replikacji Windows 2000 i protokół LDAP oraz zarządzający partycjami danych.  Secur32.dll — operator wielokrotnego uwierzytelniania łączący wszystkie aplikacje. Architektura usługi katalogowej Działanie Active Directory opiera się na architekturze warstwowej, w której warstwy re- prezentują działania serwerów dostarczające usług katalogowych aplikacjom klientów. Active Directory składa się z trzech warstw usług, wielu interfejsów i protokołów, które, współdziałając ze sobą, dostarczają usług katalogowych. Tymi trzema warstwami są:  Directory System Agent (DSA),  warstwa bazodanowa (Database Layer),  silnik bazy danych (Extensible Storage Engine — ESE). Warstwy te przechowują różne rodzaje informacji wymagane do lokalizowania wpi- sów w katalogowej bazie danych. W tej architekturze ponad warstwami usług znajdują się protokoły i API (API zlokalizowane są tylko na klientach) umożliwiające komunika- cję pomiędzy klientami a usługami katalogowymi lub też pomiędzy dwiema usługami katalogowymi w przypadku replikacji. Na rysunku 2.2 widzimy dwie warstwy usług w Active Directory, ich poszczególne interfejsy i protokoły. Kierunki, w jakie zwrócone są strzałki, pokazują, jak poprzez in- terfejsy klienty uzyskują dostęp do Active Directory. Klienty LDAP oraz Messaging API (MAPI) mają dostęp do katalogu za pomocą wywoływania funkcji wskazanych przez jednokierunkowe strzałki do agenta katalogu systemowego. Baza danych SAM funk- cjonuje jako osobna biblioteka dołączana dynamicznie (DLL) i może wywoływać je- dynie punkty wejścia wysłane przez agenta katalogu systemowego. Wszystkie inne składniki, poza silnikiem bazy danych (Esent.dll), znajdują się w Ntdsa.dll i są połą- czone z funkcjami, które miały wywoływać. Ze względu na taki układ pomiędzy bi- bliotekami wymagane jest istnienie trójkierunkowej interakcji. Główne składniki usług wymieniamy poniżej.  Directory System Agent (DSA) — tworzy hierarchię ze struktury domeny przechowywanej w katalogu oraz dostarcza API który umożliwia wykonywanie wywołań dostępu do katalogu.  Warstwa bazodanowa — dostarcza abstrakcyjnej warstwy pomiędzy aplikacjami i bazą danych. Przechodzą przez nią wywołania z aplikacji. Nigdy nie wykonuje się wywołań bezpośrednio do bazy danych. 38 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 39 Rysunek 2.2. Warstwy usług Active Directory i odpowiadające im interfejsy  Silnik bazy danych (ESE) — komunikuje się z zapisami w danych katalogowych opartych na atrybucie obiektów zwanym względnie wyróżnioną nazwą.  Magazyn danych (Ntds.dit) — element bazy danych Active Directory. Może być zmieniany tylko przez silnik bazy danych ESE. Plikiem tym można administrować za pomocą Ntdsutil, narzędzia wywoływanego z wiersza poleceń (więcej informacji o tym narzędziu znajduje się w dodatku A). Klienty uzyskujące dostęp do Active Directory stosują jeden z poniższych interfejsów obsługiwanych przez Active Directory.  LDAP/ADSI — protokół uproszczonego dostępu do katalogów (Lightweight Directory Access Protocol — LDAP) oraz interfejsy usługi Active Directory (Active Directory Service Interfaces — ADSI).  MAPI — Messaging API, stosowane przez program Microsoft Outlook. Klienty Outlooka łączą się z agentem DSA przez zdalne wywołanie procedury (Remote Procedure Call — RPC) operatora interfejsu książki adresowej.  SAM — emulacja starszej wersji systemu, łączy się z DSA, opierając się na głównej bazie danych użytkowników SAM. Zapasowe kontrolery domen dla trybu mieszanego wykorzystują też interfejs bazy danych SAM do replikacji.  REPL — agenci DSA w Active Directory, łączą się ze sobą za pomocą własnych interfejsów RPC podczas replikacji katalogowej.  RPC — zdalne wywołanie procedury (Remote Procedure Call) stosowane dla TCP/IP w celu transmisji i synchronizacji informacji w szybkich, niezawodnych sieciach. Działa także jako interfejs zezwalający na zdalne przeprowadzanie operacji systemowych. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 39 40 Administracja Microsoft Active Directory Agent katalogu systemowego (DSA) Agent katalogu systemowego (DSA) jest procesem zachodzącym po stronie serwera, który tworzy egzemplarz usługi katalogowej i dostarcza dostęp do danych katalogowych. Klienty wykorzystują jeden z obsługiwanych interfejsów do uzyskania połączenia z DSA w celu odniesienia się do obiektów Active Directory, zarządzania nimi i ich atrybutami. Warstwa DSA zapewnia identyfikację obiektów, obsługę replikacji oraz narzucenie odniesień i schematu. Warstwa bazodanowa Warstwa bazodanowa zapewnia obiektowy wgląd w informacje o bazie danych Active Directory oraz zapobiega bezpośredniemu dostępowi górnych warstw usługi katalogowej do leżącego poniżej systemu bazodanowego. Warstwa ta jest wewnętrznym interfej- sem, przechodzą przez nią wszystkie wywołania i żądania. Nie jest możliwy bezpośredni dostęp do silnika bazy danych. Silnik bazy danych Silnik bazy danych (ESE) przechowuje wszystkie dane Active Directory w pliku ntds.dit i jest zbudowany na podstawie bazy danych ESE z programu Microsoft Exchange. Wersją tej bazy danych w Windows 2000 jest Esent.dll. Według Microsoftu ESE może obsługiwać bazę danych do wielkości 16 TB. Testy wykazały, że jest w stanie utrzy- mywać do 40 milionów obiektów na domenę. Active Directory posiada predefiniowany schemat, który określa wszystkie wymagane i możliwe dla danego obiektu atrybuty. ESE rezerwuje obszar tylko dla używanej przestrzeni (wyłącznie atrybuty z wartościami) i rozszerza się w miarę dodawania atry- butów. Gdy pracujesz w sieci, możesz wykonać kopie zapasowe ESE. Więcej informacji o przechowywaniu danych znajdziesz w podrozdziale „Przechowywa- nie danych” przy końcu tego rozdziału. Protokoły, interfejsy i usługi Active Directory Model danych w Active Directory pochodzi z informacyjnego modelu obiektów i atry- butów (lub własności) X.500. Na przykład atrybuty obiektu użytkownika mogłyby zawierać informacje o nazwie użytkownika, jego numer telefonu oraz adres e-mail. Należy zauważyć, że Active Directory nie jest katalogiem modelu X.500. Nie imple- mentuje protokołów modelu X.500, które to zawierają Directory Access Protocol — 40 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 41 DAP, Directory System Protocol — DSP, Directory Information Shadowing Protocol — DISP oraz Directory Operational Binding Management Protocol — DOP. LDAP dostarcza najważniejszych funkcji oferowanych przez DAP i jest zaprojektowane do pra- cy na TCP/IP, bez dodatkowych kosztów związanych z kapsułkowaniem protokołów mo- delu OSI poprzez TCP/IP. Usługa katalogowa X.500 Model informacji w Active Directory pochodzi z modelu informacyjnego X.500. Defi- niuje rozmaite protokoły komunikacji, których nie implementuje Active Directory. Protokoły te to:  DAP — Directory Access Protocol,  DSP — Directory System Protocol,  DISP — Directory Information Shadowing Protocol,  DOP — Directory Operational Binding Management Protocol. Active Directory nie implementuje tych protokołów ze względu na małe nimi zaintereso- wanie, które wynika z tego, że protokoły te zależne są od sieci opartych na modelu OSI, alternatywnie dla TCP/IP, który nie został powszechnie zaimplementowany (z powo- du niskiej efektywności transportu). LDAP dostarcza najważniejsze funkcje oferowa- ne przez DAP i DSP i jest zaprojektowany do pracy na TCP/IP bez dodatkowych kosztów administracyjnych. Lightweight Directory Access Protocol (LDAP) W Active Directory LDAP służy zarówno jako protokół, jak i API. LDAP jest podstawo- wym protokołem Active Directory, co oznacza, że jest jedynym protokołem komunikacji obsługiwanym przez Active Directory. API dla LDAP zapewnia dostęp do protokołu LDAP. Protokół LDAP wykorzystywany jest przez ADSI. LDAP jest protokołem komunikacyjnym, co oznacza, re zarzdza kapsułkowaniem przeprowadzanym przez klienta i serwer oraz wysyła rdania transmisji. LDAP był początkowo stosowany z katalogami modelu X.500. LDAPv3 to standard przemysłowy, który może być stosowany z jakąkolwiek usługą katalogową implementu- jącą protokół LDAP. Active Directory obsługuje wersje LDAPv2 oraz LDAPv3. Wersja LDAPv3 jest kompatybilna ze starsz wersj — LDAPv2. Wymogiem wersji LDAPv3 jest, aby klienty LDAPv2 ter mogły si z ni połczyć. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 41 42 Administracja Microsoft Active Directory Interfejsy usługi Active Directory — Active Directory Services Interface (ADSI) Podstawowym i zalecanym API dla Active Directory jest ADSI. Udostępniając obiekty przechowywane w katalogu jako obiekty COM, ADSI dostarcza prostego, zo- rientowanego obiektowo interfejsu o dużych możliwościach. ADSI składa się z inter- fejsów programowania obiektów COM. Obiektu katalogowego używamy, stosując metody na jednym lub większej liczbie interfejsów COM. Implementując wymagane in- terfejsy, operatory ADSI tłumaczą je na wywołania konkretnych usług katalogowych. ADSI ułatwia programistom i administratorom tworzenie programów za pomocą wyso- kopoziomowych narzędzi, takich jak Microsoft Visual Basic, Java, C lub Visual C++, bez potrzeby troszczenia się o podstawowe różnice pomiędzy różnymi przestrzeniami nazw. ADSI umożliwia też budowanie lub kupowanie programów, które dają pojedynczy punkt dostępu do wielu katalogów w sieci, niezależnie od tego, czy są oparte na LDAP, czy na innym protokole. ADSI można zmieniać za pomocą pisanych skryptów, co jest wygodne dla administratorów. ADSI ukrywa przed użytkownikami szczegóły dotyczące LDAP. Jest to interfejs prostszy w strukturze niż API LDAP. Replikacja w Active Directory Replikacja w Active Directory zachodzi poprzez protokoły transmisji replikacji. Active Directory przeprowadza replikację na różne sposoby, w zależności od tego, czy znaj- duje się wewnątrz lokacji, czy pomiędzy lokacjami (międzylokacyjna). W przypadku replikacji wewnątrz lokacji Active Directory stosuje protokoły transportu RPC ponad IP. W międzylokacyjnej replikacja Active Directory posługuje się wyborem dwóch pro- tokołów replikacji: IP (RPC ponad IP) i Simple Mail Transfer Protocol (SMTP ponad IP). RPC ponad IP jest stosowane zawsze, poza jednym wyjtkiem — w wypadku gdy za- chodzi ruch zwizany z replikacj midzylokacyjn pomidzy rórnymi kontrolerami domen w odmiennych domenach i administrator zdecydował si na wybór SMTP. Więcej informacji o replikacji w Active Directory znajduje się w rozdziale 8. „Zarzą- dzanie lokacjami, replikacją i ruchem w sieci”. Podstawy struktury logicznej Zasoby w Active Directory organizuje się w strukturę logiczną, która umożliwia defi- niowanie i grupowanie zasobów tak, że mogą być lokowane według nazw, a nie lokaliza- cji fizycznej. W poprzednich wersjach Microsoft Exchange zasoby były tradycyjnie organizowane jako „siedziby” i „serwery” ze względu na wygodę administracji. Zasoby wActive Directory zawierają obiekty, jednostki organizacyjne, domeny, drzewa i lasy. 42 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 43 Hierarchia domen W Windows 2000 domena definiuje zarówno granicę administracyjną, jak i granicę bezpieczeństwa dla zbioru obiektów, które są istotne dla konkretnej grupy użytkow- ników w sieci. Przywileje administracyjne nie rozszerzają się od jednej domeny do innych, a założenia bezpieczeństwa domeny odnoszą się tylko do kont bezpieczeń- stwa wewnątrz niej. Active Directory składa się z jednej lub więcej domen. Domena jest granicą bezpie- czeństwa sieci opartej na Windows NT lub Windows 2000, w której przywileje nadawane w jednej domenie nie przenoszą się na inne. Wszystkie obiekty i jednostki organiza- cyjne istnieją tylko wewnątrz domeny. Stąd też domena w Windows 2000, podobnie do domeny w Windows NT 4.0, może zawierać komputery, grupy i kontakty. Do korzyści z organizowania sieci w domeny możemy zaliczyć:  możliwość ustanowienia zasad bezpieczeństwa (prawa i uprawnienia administracyjne), które nie przechodzą przez granice domen,  możliwość delegowania uprawnień administracyjnych przez domenę lub jednostkę organizacyjną w celu zmniejszenia liczby administratorów z uprawnieniami na poziomie całej sieci,  możliwość przechowywania informacji obiektowej wewnątrz specyficznej domeny. Domeny są jednostkami replikacji, mogą otrzymywać zmiany Active Directory i re- plikować je do innych kontrolerów domen. Wszystkie kontrolery domen przetrzymują modyfikowalną kopię Active Directory. Posiadanie kilku domen w sieci nie zawsze jest korzystne. Wicej informacji na ten temat znajduje si w rozdziale 5. „Bezpiecze(cid:21)stwo w Active Directory”. Domeny mogą być organizowane hierarchicznie w związki rodzic-dziecko. Jak wspomi- naliśmy wcześniej, domena nadrzędna jest domeną bezpośrednio wyższą w hierarchii względem jednej lub więcej podległych bądź potomnych domen. Rysunek 2.3. Hierarchia domen w Windows 2000 Ta hierarchiczna struktura różni się od płaskiej struktury domen w poprzednich wer- sjach NT. Hierarchia domenowa w Windows 2000 umożliwia przeszukiwanie licznych domen w jednym zapytaniu, ponieważ każda z nich zawiera informacje o domenach C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 43 44 Administracja Microsoft Active Directory nadrzędnych i potomnych. Eliminuje to potrzebę dokładnej znajomości lokalizacji obiektu, jeśli chce się go odnaleźć. W poprzednich wersjach NT, chcąc zlokalizować obiekt, trzeba było znać domenę i serwer, w których znajdował się obiekt. W dużych sieciach było to nieefektywne. Nazwy domen w Active Directory Active Directory używa hierarchicznych standardów nazewniczych dla domen i kom- puterów. Obiekty domenowe i komputerowe istnieją w hierarchii domen DNS i domen Active Directory. Mimo re te hierarchie domen maj identyczne nazwy, to reprezentuj osobne przestrzenie nazw. Konwencje nazewnicze w systemie DNS Active Directory stosuje standardy przestrzeni nazw pochodzące z systemu DNS, aby móc obsługiwać mapowanie nazw domen DNS na adresy IP. Kontrolery domen w Active Directory są identyfikowane ze względu na ich specy- ficzne usługi, takie jak serwery LDAP, kontrolery domen i serwery przechowujące katalog globalny. Hierarchia DNS jest narzucona przez następujące wymagania:  domena potomna może mieć tylko jedną domenę nadrzędną,  dwóch potomków tej samej domeny nadrzędnej nie może mieć tej samej nazwy. Poniewar domeny Active Directory stosuj nazwy DNS, oba te standardy odnosz si do domen Active Directory. W konwencji nazw sytemu DNS kropka (.) oddziela każdą część nazwy DNS, tak samo jak nazwę domeny w hierarchicznej strukturze drzewiastej Active Directory. Przykładowo: w DNS nazwie il.na.kevinkocis.com wszystkie wyrażenia il, na, kevinkocis oraz com odnoszą się do domeny DNS. Jak przedstawiono na rysunku 2.4, w Active Directory nazwa domeny il.na.kevinkocis.com reprezentuje hierarchię, w której kevin- kocis.com jest domeną nadrzędną (najwyższą w hierarchii), .na jest domeną potomną kevinkocis.com, a .il jest domeną potomną na.kevnikocis.com. Domena .com znajduje się na zewnątrz Active Directory, pomimo że wydaje się czę- ścią nazwy domeny. Domeny, takie jak .com, .org i .edu, są domenami najwyższego poziomu, stosowanymi w Internecie do klasyfikowania organizacji według ich typów. 44 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 45 Rysunek 2.4. Hierarchia w Active Directory wraz z nazwami DNS Hierarchia domen jest tworzona jako rezultat ciągłego schematu przestrzeni nazw, w któ- rym każdy podległy poziom odnosi się do poprzedniego poziomu. Ponieważ każda domena Windows 2000 posiada nazwę DNS (kevinkocis.com) i każdy komputer oparty na Windows 2000 posiada także nazwę DNS (dc1.kevinkocis.com), to domeny i komputery są reprezentowane zarówno jako obiekty w Active Directory, jak i węzły w systemie DNS. Warto jednak zauważyć, że obiekt konta domeny komputera jest w innej przestrzeni nazw niż zapis węzła DNS, który reprezentuje ten sam komputer w przestrzeni DNS. Struktura drzew i lasów Liczne domeny mogą zostać połączone w struktury zwane drzewami i lasami dome- nowymi. Domeny w Active Directory są tworzone w odwróconej strukturze drzewa (podobnie jak w systemie DNS), gdzie korzeń znajduje się na szczycie. Hierarchie w Active Directory są połączone dwukierunkowymi, przechodnimi relacjami zaufania. Liczba relacji zaufania wymaganych do połczenia domen wynosi n–1, przy czym n oznacza liczb wszystkich domen. Jeśli domeny w tej samej sieci wymagają różnych przestrzeni nazw, należy utworzyć osobne drzewo dla każdej przestrzeni nazw. Nieciągłe, połączone relacjami zaufania, drzewa tworzą las. Pojedyncze drzewo bez związków z innymi drzewami jest lasem składającym się z jednego drzewa. Związki w strukturze Windows 2000 dla całego lasu są przechowywane w Active Directory jako obiekty kont relacji zaufania w kontenerze systemowym wewnątrz specjalnej partycji domeny katalogowej. Informacje o połączeniach wybranej domeny z domeną nadrzędną są dodawane do danych konfiguracyjnych, replikowanych do każde- go drzewa w lesie. W ten sposób każdy kontroler domen w lesie zna strukturę drzew całego lasu, włącznie ze znajomością połączeń pomiędzy drzewami. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 45 46 Drzewa Administracja Microsoft Active Directory Drzewo jest hierarchicznym pogrupowaniem jednej lub więcej domen posiadających wspólną strukturę nazw. Końcówki drzewa są zwykle obiektami. Węzły w drzewie (punkty, w których drzewo się rozgałęzia) są kontenerami, zawierającymi grupę obiektów lub inne kontenery. Drzewo pokazuje, jak połączone są obiekty albo jak wygląda ścieżka od jednego z nich do drugiego (rysunek 2.3). Standardowe nazwy DNS są wykorzystywane do reprezentowania struktury drzew (na przykład na.kevinkocis.com). Pierwsza domena w drzewie zwana jest domeną-korzeniem (w tym przypadku, kevinkocis). Dodatkowe domeny w tym samym drzewie zwane są domenami potomnymi. Na.kevinkocis.com jest domeną potomną dla kevinkocis.com. Active Directory uważane jest za przestrzeń nazw, a wszystkie domeny posiadające wspólną domenę-korzeń tworzą ciągłą przestrzeń nazw. Drzewa domen w Windows 2000 rozciągają się w Active Directory przedsiębiorstwa. Wszystkie domeny danego przedsiębiorstwa muszą należeć do drzewa domenowego tego przedsiębiorstwa. Te przedsiębiorstwa, które muszą obsługiwać nieciągłe nazwy DNS dla swych domen, są zmuszone do utworzenia lasu. Lasy Las może składać się z jednego lub więcej drzew nietworzących ciągłej przestrzeni nazw. Lasy pozwalają organizacjom na grupowanie oddziałów, które funkcjonują niezależnie, ale i tak muszą się komunikować. Lasy posiadają domeny-korzenie, czyli pierwsze domeny w lesie, które są niezbędne do ustalania relacji zaufania pomiędzy drzewami domen. Las funkcjonuje jako zestaw wzajemnie powiązanych obiektów oraz relacji zaufania. Domeny w drzewach i lasach również współdzielą wspólny schemat i informacje o konfiguracji. Stąd też organizacja w programie Exchange może rozciągać się na cały las, ale nie na kilka lasów. Lasy bd ewoluować głównie ze spółek i fuzji przedsibiorstw. Bdzie to zalerało od biercej struktury katalogowej kardej firmy. Większą liczbę lasów i relacji zaufania można utworzyć pomiędzy konkretnymi dome- nami w różnych lasach. Umożliwia to zapewnienie dostępu do zasobów i kont, znajdują- cych się na zewnątrz konkretnego lasu. Jednak w przypadku programu Exchange infra- struktura nie może rozciągać się na więcej niż jeden las. Zwizki zaufania tworzone pomidzy domenami w rórnych lasach s domyllnie jednokierunkowe i nieprzechodnie. Rysunek 2.5 przedstawia związki w lesie. Lasy są na szczycie hierarchii składającej się z drzew zawierających domeny. Domeny składają się z innych domen lub jednostek organizacyjnych. 46 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 47 Rysunek 2.5. Struktura lasu w Active Directory Nazwa wyróżniająca (Distinguished Name — DN) Nazwa wyróżniająca jest unikalna i identyfikuje pojedynczy obiekt w sieci. LDAP nazy- wa osobno każdy obiekt w sieci dzięki liście oddzielonych przecinkami wartości. Pełna ścieżka dostępu do obiektu jest identyfikowana za pomocą nazwy DN. W Active Directory nie mog istnieć dwie identyczne nazwy wyrórniajce. Jelli ta- kie nazwy pojawi si w tej samej grupie (na przykład dwóch urytkowników nazy- wajcych si Chris Smith, pracujcych w dziale zarzdzania w tej samej lokacji), more być konieczna zmiana konwencji nazewniczej. Nazwa wyróżniająca zawiera informacje dla klienta LDAP niezbędne do pobrania danych o obiekcie z katalogu. Na przykład użytkownik nazywający się Chris Smith pracuje w wydziale finansów wymyślonej przez nas firmy. Jego konto użytkownika jest tworzone w jednostce organi- zacyjnej, która przechowuje konta pracowników wydziału finansowego, pracujących z księgą główną (GL). Identyfikator użytkownika dla Chrisa Smitha to 78 (on sam pracuje w północnoamerykańskim oddziale tej firmy). Domeną-korzeniem firmy jest kevinkocis.com, a domeną lokalną jest na.kevinkocis.com. DN dla tego konta wy- glądałby następująco: -278(cid:10)39(cid:10)392+2-/(cid:10).-2+(cid:10).-/:23-7(cid:10).--3 Rysunek 2.6 przedstawia warstwy wyznaczające nazwę wyróżniającą. Należy zauważyć, że każda część DN jest powiązana z klasą obiektu schematem nazw zaadaptowanym z protokołu LDAP. Istnieją trzy ważne zasady przy używaniu atrybutów klas, wymieniamy je poniżej.  Atrybut DC jest przyznawany składnikom systemu DNS.  Atrybut OU jest przyznawany jednostkom organizacyjnym.  Atrybut CN jest przyznawany wszystkim innym atrybutom. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 47 48 Administracja Microsoft Active Directory Rysunek 2.6. Nazwa wyróżniająca dla obiektu użytkownika Chris Smith Nazwę wyróżniającą czyta się, rozpoczynając od nazwy najbardziej szczegółowej i kończąc na najbardziej ogólnej, czyli od lewej do prawej. W przypadku nazw wyróż- niających w LDAP rozpoczynają się one od lewej i kończą po prawej nazwą korzenia. Moduły z MMC nie wyświetlają skrótów LDAP domenowego składnika atrybutów nazw (.-), jednostki organizacyjnej (39) ani wspólnej nazwy (-2). Te skróty pokazywane są tylko w celu zilustrowania sposobu, w jaki LDAP rozpoznaje części nazwy wyróżnia- jącej. Większość narzędzi w Active Directory umożliwia zobaczenie nazw obiektów w formie kanonicznej (ponieważ nazwy wyróżniające są trudne do zapamiętania), co opi- szemy w dalszej części tego rozdziału. Karda czlć nazwy wyrórniajcej jest wyrarana w formie 84)+86,989;+683 (na przykład -278). Względna nazwa wyróżniająca Względna nazwa wyróżniająca obiektu (Relative Distinguished Name — RDN) jest czę- ścią nazwy odróżniającej ten obiekt od innych w jego hierarchii nazw. Sama nazwa obiektu (atrybut CN), występująca oddzielnie od ścieżki obiektu, jest zdefiniowana przez RDN. Na rysunku 2.6 w poprzednim podrozdziale RDN obiektu jest 78. Dozwolona maksymalna długość RDN wynosi 255 znaków, ale schemat narzuca bardziej wyspe- cyfikowane ograniczenia. Przykładowo typ atrybutowy cn, często stosowany do okre- ślania RDN, jest ograniczony do 64 znaków. RDN w Active Directory są unikatowe wewnątrz konkretnego kontenera nadrzędnego. Active Directory nie zezwala na istnienie dwóch identycznych RDN w tym samym kontenerze nadrzędnym, ale mogą one istnieć w różnych hierarchiach. 48 C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc Rozdział 2.  Architektura Active Directory 49 Dwa obiekty mog mieć identyczne RDN, ale wcir pozostawać unikatowe, po- niewar wewntrz własnych kontenerów nadrzdnych ich DN nie s takie same. Patrzc kategoriami LDAP, obiekt -278(cid:22).-2+(cid:22).-/:23-7(cid:22).--3 jest identyfikowany jako inny nir -278(cid:22).-/:23-7(cid:22).--3. RDN każdego obiektu jest przechowywana w bazie danych Active Directory i zawie- ra referencję do jego obiektu nadrzędnego. Atrybuty nazywania Active Directory korzysta ze standardów nazewniczych atrybutów zaproponowanych w serii dokumentów Request For Comments (RFC) 2253, ale nie implementuje wszyst- kich standardów. Na przykład Active Directory nie stosuje pewnej nomenklatury, co za- raz zostanie opisane. W Active Directory typ atrybutowy, stosowany do opisywania RDN obiektu (w tym przypadku, -2), został zdefiniowany jako atrybut nazywania. Przykładowo w klasie User atrybut cn (Common Name) jest atrybutem nazywania. Z tego powodu RDN dla użytkownika Csmith jest wyrażana jako -278. Atrybuty nazywania przedstawione w tabeli 2.1 są stosowane w Active Directory, jak zostało to opisane w RFC 2253. Tabela 2.1. Atrybuty nazywania w Active Directory (domyślne) Klasa obiektu Nazwa wylwietlana Nazwa atrybutu nazywania LDAP User Nazwa wspólna (Common-Name) Organizational Unit Nazwa jednostki organizacyjnej (Organizational-Unit-Name) Domain Składnik domenowy (Domain-Component) cn ou dc Inne atrybuty nazywania opisane w RFC 2253 (3361+2+-+ i -6+ 6/132) nie zostały zaimplementowane do Active Directory, pomimo faktu, że są rozpoznawane przez LDAP. Atrybutów nazywania (takich jak DN i RDN) używa się tylko przy programowaniu pod LDAP, użytkowaniu ADSI czy innych języków skryptowych lub języków programowania. Torsamolć i unikalnolć obiektów Każdy obiekt w Active Directory posiada unikatową tożsamość, nawet jeśli został on przeniesiony lub usunięty. Tożsamość obiektu jest zdefiniowana poprzez globalnie unikal- ny identyfikator (Globally Unique Identifier — GUID), 128-bitowy numer przyznawany przez systemowego agenta katalogowego (DSA) w czasie tworzenia obiektu. GUID jest stale przechowywany w atrybucie objectGUID obecnym w każdym obiekcie. Atrybut objectGUID jest zabezpieczony i nie może być zmieniany ani usuwany. C:AndrzejPDFAdministracja Microsoft Active Directory2-11.doc 49 50 Administracja Microsoft Active Directory Zwykle nazw GUID czyta si jako „głid”. Formaty nazw w Active Directory Active Directory obsługuje wiele formatów nazw obiektów. Formaty te zależą od sposo- bu, w jaki obiekt został utworzony. Active Directory wyświetla nazwy w formacie kanonicznym, co przedstawia poniższa lista. Wymienione tu formaty są obsługiwane przez Active Directory i oparte na nazwach wyróżniających protokołu LDAP.  LDAP Distinguished Name — wersje LDAPv2 i LDAPv3 rozpoznają standardowe konwencje nazw, w których -2 oznacza nazwę wspólną, 39 — jednostkę organizacyjną, 3 — organizację, - — kraj/region. Active Directory implementuje składnik domenowy (.-) zamiast oznaczającego organizację i nie obsługuje - oznaczającego kraj/region. Przykładowo: 2-78(cid:10)391(cid:10)3902+2-/(cid:10).-2+(cid:10).-/:23-7(cid:10).--3  LDAP Uniform Resource Locator (URL) — Active Directory wspomaga dostęp LDAP dla każdego klienta obsługującego LDAP. URL w protokole LDAP nazywa serwer posiadający usługi Active Directory i DN obiektu. Przykładowo:   7/6:/6 2+ /:23-7 -3 -278(cid:10)391(cid:10)3902+2-/(cid:10).-2+(cid:10).-/:23-7(cid:10) .--3  Active Directory Canonical Name — w interfejsach użytkowników w Windows 2000 nazwy obiektów są domyślnie wyświetlane według nazw kanonicznych (potocznych), przy wykorzystaniu nazw domen DNS (oddzielonych kropkami). Odpowiednia nazwa kanoniczna dla poprzedniego przykładu wyglądałaby następująco: 2+ /:23-7 -3 02+2-/ 1 -78 Jelli nazwa jednostki organizacyjnej posiada znak (/), na przykład nazwa OU to fi- nance/gl, system wymaga specjalnego znaku sterujcego w formie ukolnika (). Robi si to dla rozrórnienia pomidzy znakiem (/) oddzielajcym nazw kano- niczn i znakiem (/) bdcym ter czlci nazwy jednostki organizacyjnej. Nazwa kanoniczna pojawiająca się we właściwościach Active Directory Users and Com- puters (Użytkownicy i komputery usługi Active Directory) wyświetla znak sterujący, występujący zaraz po znaku forward slash (/) w nazwie jednostki organizacyjnej. Na przykład, jeśli nazwą jednostki organizacyjnej jest Fiance/GL, a nazwa domeny to Kevin- kocis.com, nazwa kanoniczna wyświetlana jest jako Kevinkocis.com/Finance/GL. Mapowanie nazw wyrórniajcych dla DNS-do-LDAP Ponieważ nazwy domen w systemie DNS tworzą kopie lustrzane nazw domen z Active Directory, może powstać zamieszanie z powodu obecnej przestrzeni nazw. Nazwy w Active Directory mają inny format, wymagany przez LDAP do identyfikowania obiektów katalogowych. Dlatego nazwy domen w systemie DNS są mapowane do nazw dom
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Administracja Microsoft Active Directory
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: