Книги, научные публикации Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 15 | -- [ Страница 1 ] --

Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft

Corporation Распределенные системы. Книга 1. Ресурсы Microsoft Windows 2000 с англ. Ч дом Русская Редак ция, 2001. Ч 864 ил.

ISBN 5-7502-0160-0 Эта книга посвящена технологиям систем в 2000 Server, в том построению и распределенных сис а также работе службы каталогов Active Directory. Здесь описаны центра управление группами, службами и сетевыми ре сурсами посредством службы Active Directory, расширение схемы Active Directory для определения новых классов и свойств объектов, разреше ние имен в Active Directory, репликация с несколькими хозяевами в среде рав ноправных контроллеров доменов, а также безопасность сис тем в среде Windows 2000, в том числе проверка подлинности, управление до ступом и поддержка шифрования, Книга состоит из двух частей (16 приложений и предметно го Книга предназначена сетевым инженерам, системным квалифицированным и всем, кто хочет изучить работу распределенных систем на базе операционной системы Windows 2000, УДК ББК 32.973.26-018. Подготовлено к печати домом Редакция но ному договору с Вашингтон, Active Active Channel, Active Client, Active Desktop, Active Directory, Animation, DirectPlay, DriveSpace, From Hotmail, JScript, Links, Microsoft, Microsoft MSDN, MS-DOS, MSN, NetMeeting, Outlook, PowerPoint. Sidewalk. Slale, Stuns Here, Basic, Visual Visual J++, Visual Studio, WebBot, Win32, Windows, Windows являются либо охраняемыми либо товарными Microsoft в США и/или странах. NT Ч товарный знак компании Limited.

другие товарные знаки собственностью соответствующих фирм.

приведенная в книге, том числе и другие ссылки ни Web-узлы, мо жет изменена уведомления. Все организаций и продуктов, а также имена используемые в примерах, и имеют никакого от к реальным продуктам и й издание па языке.

Microsoft Corporation, й Перевод на русский Corporation, ISBN 1-57231-805-8 (англ) й Оформление и к 5 7502-0160- дом Оглавление Введение XXIV ЧАСТЬ 1 Служба каталогов Active Directory ГЛАВА 1 Логическая структура Active Directory Иерархия доменов Active Directory Имена доменов в Active Directory Соглашения об именовании в DNS NetBIOS-имена доменов Active Directory и DNS Иерархия DNS и Active Directory DNS и Интернет Active Directory и Интернет, хостов и компьютеров под управлением Windows Серверы имен и зоны в Э Служба DNS, интегрированная с Active Directory Поддержка динамического обновления Деревья и леса Реализация иерархии доменов и пространства имен DNS в дереве Реализация деревьев леса Корневой домен леса Доверительные отношения Транзитивные и нетранзитивные доверительные отношения Направление доверительных отношений Протоколы проверки подлинности Путь доверительных отношений Обработка перенаправления проверки подлинности Типы доверительных отношений Доверительные отношения между доменами Windows и Пример смешанного режима Объекты Active Directory Именование объектов Составное имя Относительное составное имя Атрибуты именования Индивидуальность и уникальность объекта Форматы имен Active Directory Соответствие между составными именами в DNS и LDAP Имя входа в систему Контроллеры доменов Операции с несколькими хозяевами Операции одиночного хозяина Серверы глобального каталога Атрибуты, включенные в глобальный каталог VI Оглавление Назначение компьютера сервером глобального каталога Глобальный каталог и процедура входа в домен Поиск и глобальный каталог Подразделения Административная иерархия Групповая политика Делегирование управления Безопасность объектов Управление доступом Делегирование административных полномочий Наследование Дополнительные материалы ГЛАВА 2 Хранение данных в Active Directory Архитектура Active Directory Active Directory и архитектура Windows 2000 Архитектура подсистемы безопасности Архитектура службы каталогов Агент системы каталогов Уровень базы данных Extensible Storage Engine Протоколы и интерфейсы Active Directory LDAP Репликация Active Directory SAM Хранение данных Требования к данным, хранящимся в Active Directory Ограничения нз. объем хранимых данных Соотношение размера объектов и максимальной длины записи в базе данных Сбор мусора базы данных Оценка увеличения объема базы данных Active Directory при добавлении и подразделений Исследование размера базы данных каталога Подразделения Добавление атрибутов Хранение данных в SAM Windows 2000 Особенности хранения данных в доменах смешанного режима Структура SAM Учетные записи SAM на сервере под управлением Windows 2000 Server, назначаемым контроллером домена Переход от учетных записей SAM в Windows NT 4.0 к объектам Active Directory Модель Объекты-контейнеры и конечные объекты Дерево каталогов RootDSE Дополнительные элементы управления LDAP VII Параметр Range Разделы каталога Поддеревья разделов каталогов Корневой домен леса Раздел конфигурации Раздел схемы Разделы доменов Хранилище данных каталога Ссылочные атрибуты Поиск по обратным ссылкам Члены групп из внешних доменов Записи-фантомы Операции записи в данных Восстановление на основе записей журнала Индексация атрибутов Безопасность на основе Идентификаторы безопасности Дескрипторы безопасности Безопасность объектов по умолчанию Установка Active Directory Конфигурации Active Directory Требования для установки Проверка уникальности имен Проверка наличия TCP/IP Проверка конфигурации клиента DNS Получение и проверка правильности DNS-имени домена Получение и проверка правильности NetBIOS-имени Введение пароля администратора Получение реквизитов пользователя Получение и проверка путей файлов Конфигурирование сайта Конфигурирование службы каталогов Конфигурирование разделов каталога Настройка автоматического запуска служб Настройка политики безопасности Создание нового домена Установка и конфигурирование DNS Операции, выполняемые после установки Удаление Active Directory Административные реквизиты Удаление Active Directory с дополнительного или последнего контроллера домена. Удаление дополнительного контроллера домена Удаление последнего контроллера домена Автоматическая установка и удаление Active Directory ГЛАВА 3 Разрешение имен в Active Directory Поиск серверов Active Directory Регистрация имен контроллеров домена Регистрация доменных имен в VIII Оглавление Регистрация доменных имен NetBIOS Записи ресурса SRV Записи SRV, регистрируемые службой сетевого входа в систему Записи для клиентов, не SRV Другая содержащаяся в записях SRV Поиск контроллеров домена Функция DsGetDcName Поиск контроллера домена в ближайшем сайте Объекты-сайты и в Active Directory Отображение IP-адресов на имена сайтов Автоматическое перекрытие сайтов Тайм-аут кэша и ближайший сайт Клиенты определенного сайта Типы локаторов Локатор, поддерживающий IP/DNS, на клиентах под управлением Windows 2000 Локатор, совместимый с Windows NT 4.0, для клиентов, не поддерживающих IP/DNS Поиск информации в Active Directory Разрешение имен в операциях каталога Параметры для LDAP-поиска Фильтры поиска Использование или ObjectClass в фильтре поиска Перенаправления LDAP Ссылки на данные Нисходящие ссылки Перекрестные ссылки Создание перекрестных ссылок ссылки Неоднозначное разрешение имен Анонимные запросы Использование управления доступом для предоставления анонимного доступа анонимным пользователям доступа для чтения всех свойств Предосторожности при предоставлении анонимного доступа Глобальный каталог и LDAP-поиск Серверы глобального каталога Отличия поиска в глобальном каталоге и в доменах Поиск удаленных объектов Клиенты, использующие LDAP-поиск клиенты Адресная книга Windows Служебная программа Ldp ГЛАВА 4 Схема Active Directory Общие сведения о схеме Active Directory Местоположение схемы в Active Directory Поиск контейнера Schema Запись subschema Файлы схемы.

Оглавление IX Объекты схемы Active Directory Объекты класса attribute Однозначные и многозначные атрибуты Индексированные атрибуты 16: Атрибуты объектов класса attributeSchema Объекты класса Категории классов объектов Наследование Пары атрибутов изменяемый Обязательные атрибуты Атрибуты объектов класса>

Оно выходит в двух книгах.

системы. Книга 1 посвящена технологиям поддержки распреде ленных систем в Windows 2000 Server. В этом практическом руководстве рассказа но о построении и защите систем, а также о работе службы ката логов Active Directory. Здесь описаны централизованное управление пользователя группами, службами безопасности и сетевыми ресурсами посредством службы каталогов Active Directory, расширение схемы Active Directory для определения классов и объектов, разрешение имен в Active Directory, реплика ция с несколькими хозяевами в среде равноправных контроллеров доменов, а так же распределенных систем в среде Windows 2000, в том числе провер ка подлинности, доступом и поддержка шифрования.

Распределенные системы. Книга 2 и рас систем и работе службы каталогов Active Directory. Здесь рассмотре ны механизмом кластеризации Windows Clustering для эффективной балансировки нагрузки и повышения серверов, распределенная фай система и службы файлов для повышения надежности и доступ ности файловых систем, управление и ями компьютеров пользователей средствами политики, в том числе удаленная установка и поддержка программного и управле ние групповой политикой.

Введение XXV Соглашения, принятые в этой книге В этой книге приняты следующие правила оформления текста.

Примечание Полужирное начертание Им символы, именно так, как показано Е тексте, в том числе команды и а интерфейса Курсив Выделяет фрагменты, вместо которых Вы можете вставить собственные например вместо Ч имя файла Моноширинный шрифт Листинги работы программ командной строки и фрагмента текстовых файлов Папка, в которую установлена Windows Совет Дополнительные сведения, необязательные для выполнения рассматриваемой задачи Примечание касающиеся обсуждаемой темы Особо важная касающаяся конкретной операции.

Так же предупреждения о потери данных, сбоев системы, появления брешей в защите и других серьезных проблемах, возникающих в результате или иных действий Компакт-диск Ресурсы Microsoft Windows Прилагаемый к книге компакт-диск Windows 2000 Resource Kit содержит инструментальных средств и ресурсов, облегчающих работу в среде Windows Примечание Служебные программы созданы и с американской версии 2000. этих программ в других версиях Windows 2000 или в Windows NT может привести к Компакт-диск содержит следующие материалы (на английском языке) и программ ное обеспечение.

Windows 2000 Server Resource Kit Online Books. Электронные книг этой серии в формате HTML позволяют быстро находить информацию, мую для какой-либо операции.

Windows 2000 Server Resource Kit Tools and Tools Help. Более 200 служебных программ с для и другие ресурсы, которые позволят Вам пол нее использовать Windows 2000. Они для службой каталогов Active Directory, служб защиты, работы с рутинных и многих других важных задач. Правила использования служебных программ к документации Tools Help.

XXVI Windows 2000 Server Resource Kit References. Набор справочных материалов в формате HTML (перечислены ниже).

Х Error and Event Messages Help. Содержит полный сообщений об ошибках и событиях, генерируемых Windows 2000. Здесь подробно описаны воз можные условия появления каждого сообщения и перечислены дей ствия для возникшей проблемы.

Х Technical Reference to the Registry. Детальное ветвей, разделов, под разделов и параметров реестра Windows 2000, в частности тех, которые могут опытным пользователям и которые изменить средствами Windows 2000 или через программные интерфейсы.

Х Performance Counter Reference. Сведения обо всех объектах и счетчиках, пре доставляемых для работы с инструментами оснастки (snap-in) Performance (Производительность) в Windows 2000. Из этого справочника Вы узнаете, как различные счетчики (показатели) для диагностики проблем и выяв ления лузких мест в Вашей системе.

Х Group Policy Reference. описание всех параметров групповой полити ки в Windows 2000.

Условия поддержки Resource Kit Техническая поддержка программного обеспечения, прилагаемого к книгам книг се рии Ресурсы Microsoft Windows 2000 предусматривается. Microsoft не гарантирует безошибочную работу инструментальных средств и служебных про грамм, содержащихся на предлагаемом немедленный ответ на ка кие-либо вопросы или ошибок в программном обеспечении. Однако, если Вы обнаружите какие-либо ошибки в книгах или программном обеспечении этой серии, сообщайте о них по адресу rkinput@microsoft.com Ч вполне возможно, Вам будут предоставлены соответствующие и обновления. Обратите внимание, что на этот адрес следует направлять сообщения лишь по вопросам, каса ющимся книг серии Ресурсы Microsoft Windows 2000 а не самой операци онной системы Windows 2000. О том, как получить техническую поддержку по Windows 2000, Вы узнаете из документации, поставляемой с этим программным продуктом.

I Служба каталогов Active Directory Служба каталогов Active Directory Ч это ключевой компонент распределенных си стем Windows 2000. В этой части подробно описаны архитектура и особенности ра боты Active Directory. Эта информация пригодится администраторам сетей при внедрении и устранении неполадок служб каталогов.

В этой Глава 1 Логическая структура Active Directory Глава 2 Хранение данных в Active Directory Глава 3 Разрешение имен в Active Directory Глава 4 Схема Active Directory Глава 5 Публикация служб в Active Directory Глава 6 Репликация Active Directory Глава 7 Управление операциями одиночного хозяина Глава 8 Наблюдение за производительностью в Active Directory Глава 9 Архивирование и восстановление данных в Active Directory Глава 10 Выявление и устранение неполадок, а также восстановление Active Directory !

Логическая структура Active Directory DirectoryЩ Ч это служба каталогов, включенная в Microsoftо Windowsо 2000, Она хранит информацию объектах сети и доступ к этой информа ции пользователям, компьютерам и приложениям. Иерархическая система имено вания DNS в совокупности с системой доверительных отношений Windows образуют непротиворечивую логическую структуру, облегчающую создание пред сказуемой и эффективной доменов и их ресурсов.

В этой главе Иерархия доменов Active Directory Имена доменов в Active Directory Active Directory и DNS Деревья и леса Объекты Active Directory См. также Х Подробнее об архитектуре Active Directory и физическом хранении ее данных Ч в главе 2 Хранение данных в Active Directory.

Х Подробнее о планировании пространства имен иерархии доменов и струк туре Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Х Подробнее о стандартных концепциях DNS и об использовании Windows 2000 Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server 2001).

Иерархия доменов Active Directory В Windows 2000 домен является как границей администрирования, так и границей безопасности для совокупности объектов, относящихся к группе пользователей, объединенных сетью. Административной Ч потому что админист ративные привилегии не простираются на домены, а граница безопасности потому что политика распространяется на все учетные записи данно ГЛАВА 1 Логическая структура Active го домена. В Active Directory хранятся сведения об объектах одного или более да Домены могут быть посредством четкой иерархии с отношениями Ч потомок;

в такой структуре родительский домен на или более выше подчиненного, или дочернего, домена. Дочерний домен, в свою может быть родителем одного или более дочерних как по казано на рис.

Родитель доменов В и С Потомок домена В \ С Потомок домена А и родитель домена D Потомок домена С и внук домена А Рис. 1-1, Пример иерархии доменов Эта иерархия отличается от плоской структуры доменов в Microsoft Windows NT версий 4.0 и 3.51. Иерархия доменов Windows 2000 позволяет с помощью одного запроса поиск в нескольких доменах, поскольку каждый уровень хии обладает об уровнях, в непосредствен но выше и ниже данного уровня. Такое устройство избавляет от необходимости точ но знать, где находится искомый объект. В Windows NT 4.0 и более ранних версиях для этого требовалось знать и домен, и сервер, на котором он расположен.

об Active Directory Ч в главе 3 в Имена доменов в Active Directory Для иерархического именования и компьютеров в Active Directory в Win dows 2000 используется система DNS. Поэтому объекты доменов и компьютеров являются как частью иерархии доменов так и иерархии Active Di rectory. Хотя их имена идентичны в обеих системах, они относятся к пространствам Примечание Иерархия доменов определяет имен. Это любая ченная область, в которой для символического определенной инфор мации (такой, как объекты каталога или IP-адреса) используются имена стандарт ного вида, а имена могут разрешаться в сам объект. В каждом существуют свои правила и порядок создания и использования имен. Одни имен, такие, как и Active Directory, обладают четкой иерархической структурой и разбиваются на отдельные разделы по заранее прави лам. Другие, например NetBIOS, плоскими (неструктурированными) и на разделы не делятся.

ЧАСТЬ 1 Служба каталогов Active Directory Основная функция DNS в прямом и обратном имен ком удобных для восприятия пользователями, в IP-адреса, понятные компь ютеру. В Windows NT 4.0 и более ранних версиях не требовались, скольку для именования доменов и компьютеров применялись имена ко торые и разрешались в IP-адреса средствами службы WINS (Windows Internet Name Service). Хотя для различения и компьютеров в Windows 2000 использу ются DNS-имена, система также поддерживает именование NetBIOS. Таким обра зом обратная совместимость с доменами и клиентами под ем Windows NT 4.0 (и ранних версий), Microsoft Windows for Workgroups, Microsoft Windows 98 и Microsoft Windows 95.

Примечание В среде, где все компьютеры работают под управлением Windows 2000, WINS и NetBIOS не Тем не менее WINS для взаимодействия контроллеров доменов под управлением Windows 2000 с компьютерами под управ лением более ранних версий Windows и с приложениями, зависящими от простран ства имен NetBIOS, например с приложениями, обращающимися к и другим функциям API, имена которых с приставки Net.

Соглашения именовании в DNS доменов и их IP-адресов в Active Directory реали в согласии с соглашениями об именовании в DNS. Разре шая имена компьютеров в IP-адреса, сервер DNS позволяет приложениям, живающим протокол TCP/IP (Transmission Control Protocol/Internet Protocol), об ращаться к ним по их IP-адресам.

Кроме компьютеров, контроллеры домена Active Directory идентифици руются по видам предоставляемых ими служб: серверы протокола (Light weight Directory Access Protocol), контроллеры доменов и серверы глобального ка (Global Catalog). Поэтому, получив указание на имя домена и службу, сер вер DNS способен найти контроллер со службой искомого типа в данном домене.

(Подробнее о поиске контроллеров Ч в главе 3 Разрешение имен в Active Существуют правила иерархии DNS:

Х у дочернего домена один и только один родительский домен;

Х имена любых двух дочерних одного родителя должны отличаться.

Эти же правила применимы к Active Directory, поскольку в этой службе каталогов используется DNS-именование.

В структуре именования DNS каждая часть имени, отделенная точкой (.), относит ся к отдельному узлу древовидной иерархической структуры DNS, а в структуре доменов Windows 2000 - к имени домена Active Directory.

Примечание В DNS узлом в иерархии может быть домен или Например, в имени домена DNS каждая из частей -- calif, reskit и com Ч относится к отдельным доменам DNS. Как показано на рис. 1-2, в Active Directory имя домена calif.noam.reskit.com представляет иерархию, в которой reskit.com является корневым (самым верхним в иерархии) доменом, noam дочер ним reskit.com (noam.reskit.com), a calif потомком домена noam.reskit.com.

ГЛАВА 1 структура Active Directory reshit.com calif.noam.reskit.com Рис. 1-2. Пример иерархии DNS-имен в Active Directory Примечание В домен является внешним по отношению к Active Directory, тем не менее он включен в полное имя. Домены типа и а также многие другие, называются доменами верхнего уровня и используют ся в Интернете для классификации по типам. (Подробнее о верхнего уровня Ч в справочной системе Microsoft Windows 2000 Server).

Иерархия доменов формируется в неразрывного именования, в котором имя каждого последующего уровня включает имя предыдущего.

Части разделенные точкой, называются метками. Просматривая имя домена справа приложения корректно интерпретируют уровень каждой меток в иерархии. Кроме того, имя домена всегда уникально, поскольку у любой пары потомков одного родителя имена разные. Каждый домен иерархии задает часть полного пространства имен.

В от дерева Active Directory, которое содержит только домены, дерево включает как так и компьютеры;

то есть крайняя левая метка может быть компьютера.

Примечание Подробнее о стандартных именах хостов Интернете Ч в документе RFC на Web-странице Resources по адресу Этот же стандарт именования узлов рекоменду ется, но обязателен для Active Directory.

Подробнее об именовании и функциональности DNS Ч в справочной системе Windows 2000 Server и книге Сети TCP/IP. Ресурсы Microsoft Windows (Русская 2001).

NetBIOS-имена доменов Windows 2000 приложения, использующие сетевые API-функции протокола NetBIOS, и применяемые приложениями Это ет компьютерам под управлением Windows NT 4.0 и более ранних версий, а Windows 95 или Windows 98 идентифицировать домены Windows 2000. Например, в среде резервные контроллеры доменов (backup domain controllers, BDC) под управлением Windows NT 4.0 контроллер домена под ЧАСТЬ 1 Служба каталогов Active Directory 2000 как домена (primary domain controller, PDC). Поскольку при этом имена NetBIOS, то, быть доступ ным из систем, отличных от Windows 2000, каждый контроллер домена об ладать NetBIOS-именем. Аналогично другие серверы и рабочие распозна ются по их NetBIOS-именам.

В процессе установки Active при создании нового домена система по умолчанию присваивает домену NetBIOS-имя, соответствующее крайней левой метке в но обрезанное до первых 15 байт (длина NetBIOS-име ни не должна превышать 15 байт). Вы можете изменить это имя, однако только в процессе установки Ч позже домен не удастся. Имя, или компьютеру рабочей станции, используется как его NetBIOS-имя, а полное имя компьютера образуется объединением (конкатенаци ей) этого имени и имени домена.

Примечание Длина каждого из символов ASCII равна 1 байту. Однако имена DNS узлов записываются в формате в котором длина может быть раз ной 2001).

Подробнее об именах доменов, компьютеров и хостов в Ч в книге Сети TCP/IP Ресурсы Microsoft Windows 2000 Server 2001). Подробнее установке службы каталогов Active Directory Ч в главе 3 имен в Active Active Directory и DNS DNS является стандартом системы именования в IP-сетях и использу ется для нахождения компьютеров в Интернете. В Windows 2000 система меняется для поиска компьютеров и контроллеров доменов (то есть для нахожде ния Active Рабочие станции и рядовые серверы отыскивают контрол лер домена, обращаясь к DNS. Поэтому при установке или переходу на Microsoft Windows 2000 Server необходимо наличие инфраструктуры в противном слу чае ее придется устанавливать вместе с Windows 2000.

Windows 2000 DNS-сервер, входящий в состав Windows 2000 Server и Windows Advanced Server, позволяет интегрировать DNS и Active Directory, а также упрос тить управление DNS. Windows 2000 Server DNS можно установить как вместе с Windows 2000 Server, так и с Active а также вручную, пос ле завершения установки систем.

Подробнее об установке и Windows 2000 DNS-сервера Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server. Подробнее об установке службы каталогов Active Directory Ч в главе 2 Храпение данных в Active Direc (Русская 2001).

Иерархия ONS и Active Directory У каждого домена Windows 2000 и у каждого компьютера под управлением Win dows 2000 есть свое (например, Поэтому домены и можно представлять в виде объектов Active Directory, а также как узлы DNS.

ГЛАВА 1 Логическая Active Directory В DNS и в Active Directory действуют имена доменов, поэтому их лег ко Нужно что, невзирая на имен доменной структуры, эти пространства хранят и управляют ными объектами: DNS содержит записи о зонах и о ресурсах, a Active Directory записи о и их объектах. Для разрешения имен в каждой из этих систем используется своя отдельная база данных:

Х DNS разрешает имена доменов и компьютеров в записи ресурсов через вызовы DNS-сервера в виде DNS-запросов к базе данных DNS;

Х Directory разрешает имена доменных объектов в объектов посред вызовов контроллеров доменов в запросов на или за просов на изменение базы Active Directory.

Таким образом, объект учетной записи компьютера в Active Directory и пись о DNS-хосте, этот же компьютер в зоне находятся в различных пространствах имен. Подробнее об использовании Windows 2000 DNS сервера Ч в книге TCP/IP. Microsoft 2000 Server ская 2001).

DNS и Интернет Интернет Ч это в которой каждый компьютер его IP-адресу. Для хостов TCP/IP сеть DNS разрешает имена компью теров, удобные для пользователям, в IP-адреса, попятные программам (например, имя разрешается в IP-адрес В Интернете адреса средствами глобальной базы данных DNS, во DNS можно создать и в локальном масштабе для адресами в частных сетях TCP/IP. При подключении серверов сети к Интернету реко мендуется зарегистрировать имя домена компании в регистриру ющей организации, чтобы другие не могли использовать данное до имя.

Интернет единое глобальное разделенных на ны верхнего уровня, которые, в свою очередь, подразделяются па домены домены пространства имен управляются соответству ответственными за делегирование админис тративной ответственности за верхнего уровня и регистрацию имен доменов второго уровня. Домены верхнего уровня Ч это основные категории доме нов: коммерческие образовательные правительственные и дру гие. Пространства имен второго уровня обычно (регист рируются) частным лицам или организациям. Их присутствие в Интернете обеспе чивается указателями в соответствующих базах данных верхнего уровня на ответственные за корневой домен.

серверы имен, ответственные за базу данных DNS домена содержат указатели на серверы корпя частного reskit.com, что позволяет его в Точно так же за корневой корпоративный поддерживают указатели па дочерних доменов и так вниз по иерархии. Аналогично серверы доменных имен DNS в частной сети могут содержать указатели на серверы имен Интернета, если требуется другие до мены Всемирной паутины.

8 ЧАСТЬ 1 Служба каталогов Active Directory Подробнее о DNS и Интернете Ч книге сети Сети TCP/IP. Ресурсы Microsoft Windows 2000 (Русская 2001). Подробнее о доменах и второго уровня Ч в справочной системе, Microsoft 2000 Server.

Active Directory и Интернет Active Directory может входить в состав глобального пространства DNS-имен Ин тернета. Если требуется присутствие в Интернете, пространство имен Active Di rectory создается в виде одного или более доменов Windows 2000 в корневом доме зарегистрированном в пространстве имен DNS. Регистрация корне вого домена DNS обеспечивает глобальную уникальность всех DNS-имен и регист рацию выделенных сетевых адресов в глобальной базе данных DNS. Кроме того, регистрация корневого домена предоставляет владельцу полную свободу ния иерархией дочерних доменов, и узлов в пределах этого домена, Примечание Служба должна присутствовать в системе независимо от изоли рованности или интеграции в глобальное пространство имен Интернета, то есть наличия или отсутствия регистрации в пространстве DNS-имен Интернета. Она необходима для нахождения компьютеров под управлением Windows 2000 и, в час тности, для поиска контроллеров доменов под управлением Windows 2000.

Подробнее о DNS и серверах имен в справочной системе Windows 2000 Server и книге Сети TCP/IP. Windows 2000 Редак 2001).

Имена хостов DNS и компьютеров под управлением Windows В Windows 2000 компьютеру присваивается удобное для восприятия человеком имя, разрешаемое системой в сетевой по которому и фи зический поиск данного компьютера. Б Windows NT 4.0 и более ранних версиях компьютер идентифицировался прежде всего по разрешаемым WINS в статический IP-адрес или в адрес, конфигурируемый в соот ветствии с протоколом DHCP (Dynamic Host Configuration Protocol). В более них версиях Windows NT в случае использования DNS приложения, поддерживаю щие запрашивали пространство имен DNS, добавляя к NetBIOS-имени доменное имя DNS.

Для совместимости с именами компьютеров под управлением систем, от личных от Windows 2000, Windows 2000 включает NetBIOS-имя как имя узла DNS, а имя домена DNS в качестве основного суффикса DNS. Из этих двух частей со стоит полное имя компьютера (то что и Это позволяет обеспечить под держку и, по мере необходимости, NetBIOS.

Таким образом, в Windows 2000 имя компьютера состоит из двух частей:

Х имени Крайняя левая - это полноценное имя DNS-узла, тифицирующее учетную запись компьютера, хранящуюся в Active Directory.

Кроме того, это также имя локальной учетной записи компьютера в диспетчере безопасности записей (Security Accounts Manager, SAM) на рабочей станции или на рядовом (компьютере, работающем под управлением Windows NT Server или 2000 Server, но не являющимся контроллером домена). По умолчанию имя DNS-узла также используется в NetBIOS ГЛАВА 1 Логическая структура Active имени;

это делается для с доменами Windows NT 3.5x и Windows NT 4.0, а также с компьютерами под управлением Windows Windows 98;

и имя узла DNS не обязательно идентичны, потому что длина NetBIOS-имени ограничена 15 байтами*, но они совпадают, если дли на DNS-имени меньше или равна 15 байтам. Подробнее об именах хоста DNS - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 (Русская дакция, 2001).

Х основного суффикса DNS-имени домена. По умолчанию Ч это домен к которому относится данный компьютер. Создаваемое по умолчанию значение можно изменить.

На рис. 1-3 проиллюстрировано, как создается полное имя компьютера.

суффикс Имя DNS-узла DNS-имени домена noam.reskit.com client1.noam.reskjt.com Рис. 1-3. Элементы полного имени компьютера Подробнее о DNS Ч в книге TCP/IP. Ресурсы Microsoft Windows Server 2001).

Серверы имен и зоны в DNS DNS - это распределенная база данных, работающая по механизму клиент Ч сер в котором серверная часть, сервер имен, отвечает за поддержку базы данных и обработку запросов и обновлений. DNS-сервер Windows 2000 можно установить на любой компьютер управлением Windows 2000 Server или Windows Advanced Server. При установке на контроллере домена DNS-сервер оптимизиру ется для с Active Directory. В реализации протокола TCP/IP клиенты DNS, называемые распознавателями (resolvers), являются встро енными компонентами и поэтому всегда доступны для обеспечения связи с хранят данных DNS в зонах. Зона Ч это неразрывный раздел пространства содержащий записи принадлежащих ей ресурсов Состав этих разделов задается в процессе конфигурирования ку между доменами Active Directory и DNS существует соответствие, то зоны DNS могут включать о компьютерах одного или более Active Directory Ч то есть зонами и доменами не обязательно есть однознач ное Пространство DNS домены, и отдель ные компьютеры, или узлы.

* На самом деле длина 16 байт: первые 15 байт каждого имени зада ются регистрации, а 16-й символ каждого клиентами в качестве суффикса имени для идентификации и указания о ресурсе, имя которого в Ч Прим ЧАСТЬ 1 Служба каталогов Active Directory содержат записи, к компьютерам, объекты которых также имеются в Active Directory. На рис. 1-4 взаимоотношения между объектом в Active Directory и узлом с записью ресурса хоста для этого же компьютера. Объект-компьютер и запись ресурса хоста находятся в разных простран ствах имен, но представляют один и тот же реально существующий компьютер.

имен DNS Пространство имен Directory Reskit reskit.com Домен Reskit.com Х Запись Controllers узлов Users clien11.reskit.com IN A A Рис. 1-4. Объект-компьютер clientl.reskit.com в Active Directory и соответствующая ему запись ресурса в DNS Данные зоны идентифицируют каждый хост по его и IP-адресу;

в час тности, компьютеры Ч домена определяются путем связывания служ бы, поддерживаемой ими (Lightweight Directory Access LDAP), с именем компьютера и его IP-адресом. Файлы зоны также содержат о которая находить контроллеры доменов в этом же узле, а также другие контроллеры доменов, в домене особые роли, например глобальный ка талог или сервер v5. зоны могут храниться в файлах или в Active Directory. В последнем случае зона конфигурируется как интегриро ванная с Active Directory.

Примечание Для поддержки Active Directory не обязательно встро енным в Windows 2000 Однако при использовании другого DNS требуется, чтобы тот поддерживал записи о (service resource records), или записи в соответствии с обновлением RFC 2052 доку мента сообщества IETF A DNS RR for Specifying the Location of Services (лDNS RR для определения местонахождения Кроме того, для автоматического зон DNS-сервер должен поддерживать протокол динамического обнов ления, определенный в RFC 2136. Подробнее о проектах документов группы IETF (Internet Engineering Task Force) Ч ссылки на проекты документов на Web-страни це ГЛАВА 1 Логическая структура Active Directory Подробнее о DNS, зонах DNS и а также об интегрирован ных с Active Directory зонах Ч в книге TCP/IP. Ресурсы Microsoft 2000 Server (Русская 2001). Подробнее об определении того, использовать - в книге Microsoft Windows 2000 Server. Deployment (Microsoft Press, 2000). Подробнее о ресурсов службы DNS в главе 3 имен в Active Directory.

Служба DNS, интегрированная с Active Directory Интегрированная с Active Directory служба DNS, позволяет хранить и реплициро вать данные зон DNS в Active Directory. Эти функции поддерживаются DNS-ccp в Windows 2000 Server. В процессе конфигурирования ютера в качестве DNS-сервера зоны сохраняются в виде текстовых па серверах Ч то еств все необходимые DNS в тексто вом файле на сервере. Эти текстовые файлы должны во серверах имен с помощью системы с отдельной топологией репликации и гра фиком;

такая система название передача (zone transfer). Однако этих удается избежать, если в процессе контроллера домена в качестве сервера DNS интегрировать его в Active Directory: данные зоны дут сохранены в объекте Active Directory, и их репликация станет частью ной процедуры репликации Примечание Загружать интегрированные с Active Directory зоны могут только расположенные на контроллерах доменов.

Для интеграции DNS в Active Directory нужно при зоны выбрать в каче стве типа Active Directory-integrated в Active Directory) (Под робнее о создании зон Ч в справочной системе 2000 Server.) Объекты, представляющие записи базы данных зоны, будут созданы в контейнере MicrosoftDNS, находящемся в свою очередь в System (его можно уви деть, если установить флажок Advanced Features (Дополнительные функции) в меню View (Вид) консоли Active Directory Users and Computers [Active Directory пользователи и и в дальнейшем зона будет реплицироваться во все контроллеры данного домена. В условиях интегрированных с Active Directory, образом настроенные контроллеры домена Active на которых имеется Windows 2000, функции ос новного сервера имен.

Если данные DNS хранятся в Active Directory, каждая представлена кон тейнером (объектом класса в Active Directory. Каждому уникальному ни в зоне соответствует объект (класс в объекте класса Эти имена включают сведения о функциях конкретного узла, например об ном контроллере домена или сервере глобального каталога. В многозначном атри буте объекта класса dnsNode содержатся для каждой ре сурса, связанной с именем этого объекта.

На рис. показана между узлами DNS (объектами класса в интегрированной с Active Directory зоне и объектами компьютеров, изображенны ми на рис. 1-4. В такой DNS каждому DNS-узлу компьютера соответствует объект класса dnsNode в каталоге. Записи ресурсов, зарегистрированные компьютером в представлены значениями атрибута объекта dnsNode.

ЧАСТЬ 1 Служба каталогов Active Directory имен Directory Пространства имен (Корень) Reshit.com Reskit.com Копия в и с 72.16. Re класса Users Рис. 1-5. Зоны и узлы DNS в Active Directory Даже если в системе уже есть отличные от поставляемого с Win dows 2000, и домены Active Directory представляют только часть всего простран ства имен стандартная зонная передача остается пригодной для синхрониза ции данных между Active Directory и другими DNS-серверами (то использо вание с Active Directory основных DNS не исключает другие в виды реализации DNS). Подробнее об других серверов DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 (Русская Редак 2001).

Если Windows 2000 с интегрированными с Active Directory зонами ус тановлен хотя бы на одном контроллере домена, данные зон будут реплицировать ся на все остальные контроллеры данного домена.

Подробнее о размещении DNS Ч в справочной системе Windows Server, а также в книге Сети TCP/IP. Ресурсы Microsoft Windows (Русская 2001). Там же Вы дополнительную информацию о зонной и поиске данных в Active Directory. Подробнее об объектах DNS в Active Directory в справочной системе Microsoft Windows 2000 Server.

Поддержка динамического обновления Windows 2000 поддерживает протокол динамического обновления позволяющий хостам самостоятельно регистрировать свои в базе данных DNS. Таким образом упрощается администрирование DNS. Если зоны DNS ГЛАВА 1 Логическая структура Active Directory хранятся в Active Directory, то по умолчанию настраивается для поддержки динамического обновления. Спецификация протокола динамического описана в документе RFC 2136.

Безопасное динамическое обновление Ч полезная возможность Windows 2000, по зволяющая проводить проверку подлинности клиентов, динамически регистрир} ющих своих в DNS. Сервер не динамическое обновление от имени клиента, пока в Active Directory не будут проверены его подлинность и на выполнение такого обновления.

Безопасное обновление только в зонах, интег рированных с Directory.

об обычном и безопасном обновлении в книге TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Деревья и леса В соответствии со стандартами именования в DNS структура доменов Active Di rectory имеет вид перевернутого дерева. Иерархия доменов Windows 2000 также базируется на доверительных отношениях, которые связывают домены.

По умолчанию доверительные отношения между доменами система устанавливает в момент создания контроллера домена. Число отношений доверия, необходимых для подключения п доменов, равно независимо от вида иерархии доменов Ч единой, типа родитель или совокупности двух или более связанных иерархий типа родитель - потомок.

При необходимости создания в одной организации различных пространств для каждого из них можно организовать отдельное дерево. В Windows 2000 корни деревьев автоматически связываются двунаправленными транзитивными довери отношениями. Деревья, связанные доверительными отношениями, объе диняются в лес. Изолированное дерево (не связанное с другими явля ется частным случаем леса, состоящего из дерева.

Сведения о древовидных структурах Windows 2000 хранятся в Active Directory в форме отношений родитель Ч потомок и дерево - Эти от ношения хранятся в виде объектов учетной записи доверительного (класс в контейнере System в разделе домена. Для каждого домена в лесу о его связи с родительским (или, в случае корня с другим корневым доменом) помещается в данные конфигурации, реплицируются во все домены леса. Таким образом, каждый контроллер домена леса обладает полным знанием о древовидной структуре всего леса, в том числе и п связи между деревьями. Увидеть древовидную структуру можно в оснастке Active Directory Domains and Trusts (Active Directory Ч домены и доверие). Подробнее п данных конфигурации Ч в главе 2 Хранение данных в Active Directory.

Реализация иерархии доменов и пространства имен DNS в дереве Дерево Windows 2000 Ч это пространство имен у него один домен четкая иерархическая структура;

у каждого некорневого домена имеется един ЧАСТЬ 1 Служба каталогов Active Directory вышестоящий, родительский, домен. Поэтому созданное иерар хией пространство имен является связанным каждый уровень иерархии непос редственно связан с вышестоящим и нижестоящим (если таковой имеется) уров как проиллюстрировано на рис. 1-6.

Дерево reskit.com eu.reskit.com cali1.noam.reskit.com Рис. 1-6. Пример связанной иерархии деревьев В Windows 2000 существуют следующие правила реализации деревьев в этом про странстве имен:

Х у дерева имеется одно и только одно имя Ч корневого домена DXS в данном Х имена доменов, создаваемых ниже корня (дочерние домены), всегда связны с именем домена;

Х эта структура отражена в дочерних доменов корневого домена де рева;

например, у корневого домена somedomain имена таковы:

и т.

Имена дочерних доменов могут отражать названия географических регионов (на пример, США или Европа), наименование административных орга низации (например, отдел продаж или отдел маркетинга) или др. Домены создают ся корневого домена, это позволяет репликацию Active Directory и создавать неизменяемые имена доменов. Крупномасштабные изменения архитектуры доменов, такие, как свертывание или развертывание домена, сложны и могут потребовать значительных усилий со стороны ИТ. Грамот но пространство имен должно выдерживать неоднократную ре организацию компании без перестройки уже действующей иерархии доменов.

Примечание Административные привилегии не наследуются от родительских к до черним доменам Ч их надо задавать явно для каждого домена.

Подробнее о пространстве имен и приемах именования корневого и создания до черних доменов Ч книге Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000). Подробнее об административных привилегиях Ч в 11 Проверка подлинности и в главе 12 Управление доступом.

ГЛАВА 1 Логическая структура Active Directory Реализация деревьев леса Лес Ч это одного или более равноправных деревьев Windows Active Directory, связанных двусторонними транзитивными доверительными отно шениями. Дерево может состоять из одного домена, а лес - из одного дерева. Та ким образом, лес является синонимом Active Directory Ч то есть набора всех делов каталогов в определенном экземпляре службы каталогов (включающей все домены, а также данные конфигурации и схемы) образует лес.

имен леса несвязанно Ч оно состоит из совокупности участков, ба зирующихся на различных корневых доменов DNS. Тем не менее деревья одного леса характеризуются общими схемой, конфигурацией и глобальным ката логом, что в совокупности с доверительными между нами и отличает лес от простого набора независимых деревьев. на чия в корневых именах деревьев, их объединяет единое общее (хотя и несвязанное) пространство имен, так как имена объектов разрешаются одной и той же службой каталогов Active Directory. Лес существует в виде множества объектов перекрестных ссылок и отношений, известных деревьям Ч членам этого леса.

имный доступ к ресурсам обеспечивается транзитивными доверительными отноше ниями на уровне корневого домена каждого пространства имен. (Подробнее об объек тах перекрестных ссылок Ч в главе 3 Разрешение имен в Active Иерархия и лесов - это особенность доменов Windows 2000.

Домен Windows NT 4.0, в котором настроены доверительные отношения (в любую строну) с доменом Windows 2000, не может быть частью леса, к которому тот отно сится, леса позволяют компаниям конструировать про странство предприятия из отдельных, четко определенных, странств имен. В условия желательно создать отдельное имен, например пространство имен приобретенной компании, которое изменяться не должно. Для с четко заданными можно создавать деревья. Пример такой организации показан на рис.

- Отношения доверия - дерево приобретенной Reskit.com reskit.com eu.reskit.com Рис. 1-7. Пример леса из двух деревьев ЧАСТЬ 1 Служба каталогов Active Directory У доменов леса Active Directory общие схема, конфигурация и глобальный ката а созданные между ними отношения позволяют пользователям в каждом из доменов доступ к ресурсам в других доменах дерева.

Примечание Схема и конфигурация используются так как находятся в отдельных логических разделах реплицируемых в контроллеры каждого из доменов леса. (Подробнее о разделах каталогов Ч в главе 2 Хранение данных в Active Данные домена реплицируются только в кон троллеры этого домена. (Подробнее о Ч в главе 6 Репликация Active Глобальный каталог это контроллер домена, все объекты всех доменов леса Active Directory;

это проводить поиск на уровне леса, а не отдельных деревьев.

Подробнее о схеме и глобальном каталоге Ч в главе 2 Хранение данных в Active о поиске в Active Directory Ч в главе 3 Раз решение имен в Active Directory.

Корневой домен леса Первый созданный в лесу домен называется корневым доменом леса. Его нельзя удалить, изменить или переименовать. В момент создания нового дерева указыва ется корневой домен начального дерева, и между корневыми доменами дере ва и леса устанавливаются доверительные отношения. Аналогично устанавливают ся доверительные корневым доменом третьего дерева и корне вым доменом леса. Будучи транзитивными и доверительные отно шения автоматически устанавливаются между корневыми доменами третьего и вто рого дерева.

Составное имя корневого домена леса для разделов конфигу рации и схемы в пространстве имен. имена контейнеров конфигурации и схемы в Active Directory всегда изображаются в виде дочерних объектов корне вого домена леса. Например, в дочернем домене имя кон тейнера конфигурации а составное имя контей нера схемы Ч Однако это всего лишь о логическом местонахождении этих контейнеров. В действительности они не являются дочерними объектами леса, так же как раздел ка талога схемы Ч не часть раздела каталога конфигурации. Схема и конфигурация это отдельные разделы каталога. Каждый контроллер домена в лесу хранит свою копию разделов конфигурации и схемы, и у всех этих копий - одинаковое состав ное имя.

В процессе установки Active Directory на компьютер под управлением Win dows 2000 Server конфигурация и данные схемы копируются па новый сервер с ро дительского домена. Обновления конфигурации и схемы реплицируются во все контроллеры доменов а распространение этих данных гарантирует, что на каж дом контроллере имеется информация о топологии репликации и обо всех осталь ных доменах, объединенных доверительными отношениями, что позволяет нахо дить и использовать ресурсы в других доменах. о поиске информации в Active Directory Ч в главе 3 имен в Active Примечание Active Directory - это условный (фигуральный) объект, у которого нет составного он также не является настоящей записью ГЛАВА 1 Логическая структура Active Directory каталога и представлен пустым именем Тем не менее у есть атрибуты, и различает его как rootDSE и использует в качестве точки входа в каталог.

Нужно четко различать этот корень Ч набор атрибутов, LDAP для подключения к конкретному отделу каталога на контроллере домена, Ч и корневой домен Кроме того, оба корня отличаются от пустого кор ня иерархии DNS, представленного точкой и используемого как точка входа в иерархию DNS.

Подробнее об атрибутах rootDSE и дереве каталогов Ч в главе в Active Подробнее о корне DNS в книге Сети TCP/IP. Ресурсы Microsoft Windows Доверительные отношения Безопасность в совокупности доменов Active Directory обеспечивается посредством междоменных доверительных отношений. При наличии таких механизм проверки каждого из доменов доверяет механизму всех остальных доверенных доменов. подлинности пользователя (или жения) одним из доменов остальными доверяющими ему доменами, и тот получает доступ к под управлением доступом в дове ряющем домене.

Примечание При обсуждении доверительных доступ к все гда подразумевает системы управления доступом. Доверительные от ношения позволяют пользователям и компьютерам проходить проверку сти в домене, а управление доступом им обращаться к ресурсам лам, папкам и виртуальным контейнерам), к которым у них есть и закрыва ет им доступ (или даже видимость) к для них ресурсам. Подробнее об авторизации ресурсов -- в главе 12 Управление Транзитивные и нетранзитивные доверительные отношения В Windows NT 3.51 и 4.0 доверительные создавались только и только в одном направлении. доверительные лись результатом задания двух односторонних доверия. Домены разре шалось связывать явными одно- или двусторонними доверительными отношения ми для управления доступом к ресурсам, но никак не зависело от любых дру гих видов взаимоотношений доменов.

В Windows 2000 домены можно объединять в деревья или при этом каждый дочерний домен автоматически связывается двухсторонними транзитивными рительными отношениями с родителем. Под транзитивностью подразумевается, что при установлении отношений с одним такие же отноше ния автоматически распространяются на все домены, которому доверяет данный домен. Транзитивные доверительные автоматически всеми доменами Ч членами или доменов. По этой причине здаваемый автоматически существующие доверительные отно шения между родительским и дочерними доменами и наоборот. Например, если подлинность учетной записи подтверждена родительским доменом, го пользователь получает доступ к ресурсам Точно так же ЧАСТЬ 1 Служба каталогов Active Directory которого дочерним доменом, получает доступ к ресур сам обоих доменов Ч как родителя, так и внука.

В результате транзитивности в Windows 2000 устанавливаются полные доверитель отношения между всеми доменами леса Active Directory: у каждого домена имеются транзитивные доверительные отношения с его родительским доменом, а у каждого корневого домена дерева такие же отношения устанавливаются с корне вым доменом леса.

Б Windows 2000 транзитивные всегда дву сторонние.

В случае необходимости разрешается явно установить нетранзитивные доверитель отношения доменами Windows 2000. такие отношения могут быть созданы между двумя доменами Windows 2000, относящимися к разным лесам.

Доверительные отношения между доменами Windows 2000 и Windows 4.0 всегда Если один из них Ч домен учетной записи, а другой Ч ресур са, то обычно создаются односторонние отношения. С другой сторо ны, если в обоих доменах имеются пользовательские учетные записи, то между ними обычно создается пара встречных доверительных отношений.

Доверительные между двумя доменами, независимо от их типа одно или двусторонние, транзитивные или нетранзитивные - хранятся в Active Directory как объекты учетной записи междоменных отно шений.

Подробнее о природе и управлении объектами междоменных доверительных отно шений в главе Проверка подлинности. Подробнее о доверительных отно шениях в смешанных средах Ч в книге Microsoft Windows 2000 Server Planning Guide (Microsoft Press, 2000).

Направление доверительных В доверительных отношений стрелки иллюстрируют направление дове рительных отношений между Х Если В Ч а А - доверенный то запись указы вает на то, что домен В доверяет домену А (это же можно записать и в виде Х Когда домен В доверяет домену А (В пользователи, учетные записи кото рых находятся в домене А, смогут пройти проверку подлинности для доступа к ресурсам в домене В. Однако пользователи с учетными записями в В не будут для доступа к ресурсам А.

Иерархия Windows 2000 базируется на отношениях. Меж ду родительским и дочерним в Active Directory двусто ронние со Х родственные между парой доменов в дереве заданы имен. Например, потомок reskit.com, в то время когда noam.com не потомком reskit.com. Доверительные отношения типа ро дитель Ч потомок требуют как родственных отношений (родитель потомок), так и направления доверия: домен Л может быть родителем В только при условии, что и имя В подчинено имени А;

1 Логическая структура Active Directory Х при добавлении в дерево нового домена в качестве потомка автоматически уста навливаются двусторонние родственные доверительные отноше ния.

Примечание Для автоматического конфигурирования топологии буется, чтобы все доверительные отношения между родителями и потомками были двусторонними и транзитивными.

Использование двусторонних доверительных отношений сокращает время на их управление, уменьшая более чем наполовину количество нуждающих ся в управлении доверительных отношений. Это проиллюстрировано на схеме, веденной на рис. 1-8.

создаваемые Заданные двусторонние двусторонние отношения доверительные между между доменами в Windows доменами в Windows NT 4. Рис. 1-8. Двусторонние доверительные отношения в Windows NT 4. и Windows Протоколы проверки Для подлинности и приложений в Windows 2000 можно выбрать один из двух протоколов проверки - v5 или Выбор протокола зависит от возможностей клиентов и сервера. Если клиент не поддерживает Kerberos (например, компьютер под управление Windows NT 3. или 4.0), используется протокол работающий по схеме запрос Ч И если сервер ресурса не поддерживает Kerberos, клиент может при менить NTLM для проверки подлинности в нем.

По умолчанию для сетевой в Windows 2000 используется beros в то время когда протокол NTLM по умолчанию поддерживается терами под управлением Windows NT 4.0, Windows 95 и Windows на которых ра ботает клиент распределенных систем (Distributed Systems Client). NTLM поддержи вается в Windows 2000 для В ситуациях, в которых можно между Kerberos v5 или NTLM, в Windows 2000 всегда выбирается Kerberos v5.

При проверке подлинности в доменах Windows 2000 по Kerberos v5 не обходимо соблюдать несколько условий:

Х должен входить в систему по учетной записи домена Windows 20 ЧАСТЬ 1 Служба каталогов Active Directory Х входящий в систему компьютер должен работать под управлением Windows 2000;

Х входящий в систему компьютер должен быть членом домена 2000;

Х учетные записи компьютера и пользователя должны относиться к одному лесу.

Если хотя бы одно из этих условий не соблюдается (например, компьютер под уп равлением Windows NT 3.51 или 4.0, учетная запись пользователя в домене Win dows NT 3.51 или Windows NT 4.0), для проверки подлинности входа в систему применяется протокол NTLM.

Между протоколами NTLM и существуют различия:

Х в NTLM для проверки реквизитов клиента сервер должен обратиться в службу проверки подлинности на контроллере домела. Для этого он пересылает эти рек визиты в контроллер домена, в котором хранится учетная запись этого клиента;

Х при использовании протокола Kerberos сервер не обязан обращаться к контрол леру домена. Клиент получает билет на доступ к данному серверу, запросив его (билет) у контроллера домена, на котором хранится учетная запись сервера;

про верка действительности билета проходит на самом сервере.

Подробнее о протоколах проверки Kerberos v5 и NTLM Ч в главе Проверка подлинности.

Путь доверительных отношений Путь доверительных отношений - это ряд доверительных отношений между доме нами, которым должны следовать запросы на проверку подлинности. Например, когда пользователь запрашивает находящуюся на сервере другого домену необходимо проверить подлинность этого пользователя. Но преж де всего служба безопасности Windows определяет состояние доверительных отно шений между пользовательским и запрашиваемым доменами. Для этого вычисля ется путь доверительных отношений между контроллерами этих доменов.

В модели распределенной безопасности Windows 2000 для каждого клиента и сер вера определен прямой путь доверительных отношений с контроллером своего домена. Этот путь поддерживается службой Net Logon (Сетевой вход в систему) по подключению механизма удаленного вызова процедур (remote procedure call, к контроллеру домена. Кроме того, этот защищенный канал на другие домены Windows 2000 через междоменные доверитель ные отношения и используется для получения и проверки связанной с безопасностью, в том числе идентификаторов безопасности (security ID, SID) пользователей и групп.

Каждый домен Windows 2000 располагает сведениями обо всех остальных доменах леса, а также обо всех внешних доменах, с которым связан какими-либо довери тельными отношениями. Подобная информация используется при поиске кратчай шего пути проверки подлинности. Создавая путь доверия, домен сначала выясняет, не является ли он сам искомым, а затем проверяет наличие сокращенных довери отношений (shortcut trust relationships) с запрашиваемым доменом. В слу чае неудачи он перенаправляет запрос родительскому домену (поскольку, по опре делению, потомок доверяет родителю). Однако, если между родителем и потомком нет транзитивных доверительных отношений, то запрос будет отклонен.

пройдя по всей цепочке, запрос попадет в корневой домен, тот переадресует его в ГЛАВА 1 Логическая структура Active Directory другой корневой домен дерева леса или при доверительных от ношений Ч в домен другого леса.

Примечание доверительные отношения создаются явно служат для сокращения пути доверия между доменами одного леса.

При запроса на подлинности вычисляется путь сквозной проверки подлинности по протоколу либо переадресации по про токолу Kerberos на основании информации об обычных и сокращенных доверитель ных отношениях между деревьями. При этом сокращенные доверительные отноше ния позволяют обойти вышестоящие домены. На каждом уровне дерева ется проверка на наличие сокращенных доверительных отношений с искомым до меном, и, если они обнаруживаются, вышестоящий домен в дереве не проверяется.

Обработка перенаправления подлинности Переадресация проверки подлинности, в процессе которой проверяется направле ние и вид (транзитивные или нет) доверительных по-разному обраба протоколами проверки подлинности Windows.

Протокол проверки Kerberos v При применении протокола Kerberos клиент у контроллера своего домена билет на доступ к серверу в искомом домене. распространения (Kerberos Distribution Centre, KDC), выполняя роль доверенного посред ника между клиентом и сервером, предоставляет взаимодействующим сторонам (в нашем случае и серверу) ключ предназначенный для их проверки подлинности. Если искомый и Ч разные домены, то для ления возможности запроса выясняет следующие вопросы.

Х Доверяет ли искомый домен текущему напрямую?

Х Да Ч клиент перенаправляется на требуемый домен.

Х Нет Ч переход к следующему действию, Х Установлены ли транзитивные доверительные отношения между текущим ном и следующим доменом на пути доверительных отношений?

Х Да -- клиент перенаправляется на следующий домен на пути доверительных отношений.

Х Нет Ч клиенту передается сообщение об отклонении запроса на вход в Протокол проверки При применении протокола NTLM исходный клиентский запрос на под линности передается на сервер ресурса в искомом домене, а вер в свою очередь пересылает реквизиты пользователя контроллеру домена, хра нящему учетную запись компьютера. Контроллер проверяет учетную запись вателя по своей базе данных учетных записей безопасности. Не обнаружив ее, кон домена в процессе принятия решения переадресовать или отклонить зап рос Ч выясняет следующие вопросы.

Х Доверяет ли искомый текущему напрямую?

Х Да Ч контроллер домена посылает реквизиты клиента в контроллер домена пользователя для сквозной проверки подлинности.

22 ЧАСТЬ 1 каталогов Active Directory Х Нет Ч к следующему Х ли доверительные отношения между доме ном и доменом Х Да на аутентификацию передастся следующему домену на пути доверительных на котором повторяется проверка удостоверения пользователя по базе учетных записей безопасности.

Х Нет Ч клиенту передается об отклонении запроса на вход в домен.

Подробнее о протоколе и проверки подлинности в v Ч в главе 11 Проверка Подробнее об объектах ссы лок в контейнере конфигурации Ч в главе 3 имен в Active Directory.

Типы доверительных отношений Существует несколько типов доверительных отношений, устанавливаемых с доме нами Windows 2000.

Доверительные по корню дерева (tree-root trust relationship) устанав ливаются в момент добавления лес нового Процесс установки Active Directory автоматически создает доверительные между создаваемым доменом (новый корень дерева) и корневым доменом леса. У этого типа отноше ний есть следующие Х они устанавливаются только между корнями одного леса;

Х они бывают только и Родственные доверительные отношения, или доверительные отношения роди тель Ч потомок (parent-child trust relationship), устанавливаются в момент созда ния нового домена в дереве. Процесс установки Active Directory автоматически создает доверительные отношения между новым доменом и доменом в иерархии пространства имен (например, при создании как потомка reskit.com). доверительные отношения имеют следующие особенности:

Х возможны только между двумя доменами дерева и в одном пространстве имен;

Х дочерний домен всегда доверяет родительскому;

Х в Windows 2000 они обязательно и Последнее по зволяет глобальную информацию каталогов по всей иерархии.

Сокращенные доверительные отношения (shortcut trust relationship), или перекре стные доверительные отношения trust relationship), создаются вручную для повышения входа в систему посредством сокраще ния пути отношений. если пользователям домена А час то приходится обращаться к ресурсам домена С, то можно создать сокращенный путь отношений в обход домена В, через который проходит обыч ный путь доверия. Сокращенные доверительные отношения имеют следующие осо бенности:

Х устанавливаются между любыми двумя доменами одного леса;

Х задаются явно в каждом из Х обязательно должны быть ГЛАВА 1 Логическая структура Active Directory Внешние доверительные отношения trust relationship) создаются вручную доменами Windows 2000, находящимися в различных или между до меном Windows 2000 и доменом с под управлением Windows NT 4, или более ранней версии. доверительные отношения имеют особенности:

Х Х для создания двухсторонних внешних доверительных отношений требуется за дать явно в каждом Х они Доверительные отношения со сферой Kerberos не под управлением Windows (non-Windows Kerheros realm trust relationship) между доменом Windows 2000 и сферами, поддерживающими Kerberos и на отличных от Windows системах MIT Kerberos). Этот тин доверитель ных отношений обеспечивает взаимодействие со службами безопасности на других платформах на основе протокола Kerberos о взаимодействии со рами MIT Kerberos и установлении доверительных отношений между такими сфе рами и доменами Windows 2000 - на Web-странице (см. ссылку на Microsoft Windows 2000 Server, a также ссылки и Security Services).

Этот тип отношений характеризуется следующими и:

Х поддерживаются только для Kerberos v5 и не для NTLM и дру гих протоколов проверки подлинности;

Х по умолчанию При создании двухсторонние внешние довери тельные требуется задать явно в каждом из направлений;

Х по умолчанию Х когда доверие от сферы Kerberos не Windows к домену Windows 2000, эта сфера доверяет всем участникам безопасности (security principals) домена Windows 2000;

Х когда от домена Windows 2000 к сфере Kerberos не под уп равлением Windows (сферы на основе MIT), для внешних сущностей этой сферы Kerberos в Active Directory создаются особые локальные учетные записи.

Для определения степени доступа к обладающим дескрипторами безопасности объектам домена домен Windows 2000 использует учетные записи, созданные и поставленные в участникам безопасности по к Windows 2000 сферы. этих особых учетных записей обуслов лена тем, что билеты Kerberos отличных от Windows систем не содержат псе для Windows 2000 данные. Такие учетные в Windows 2000 могут использоваться в группах и списках управления доступом (access control list, ACL) для управления доступом отличного от Windows участника безопасности.

Учетные записи MIT-сфер управляются в оснастке Active Directory Users and Computers (Active Directory Ч и компьютеры). (Подробнее о с Kerberos и управлении внешними сущностями на Web-странице (см.

ссылку Microsoft Windows 2000 Server, а также ссылки Deployment и Security Services).

24 ЧАСТЬ 1 Служба каталогов Active Directory Примечание Вновь с оснастки Active Directory Domains and Trusts (Active Directory -- домены и доверие) доверительные отношения со сфера ми MIT Kerberos односторонними и нетранзитивными. Для ния двусторонних можно служебной программой также применять для на стройки уже созданных в Active Directory доверительных отношений этого типа средствами оснастки Active Directory Domains and Trusts. Например, чтобы преоб разовать нетранзитивные отношения в транзитивные, надо задать в Netdom метр (Чтобы наладить доступ к Netdom, Вам придется установить служебные программы, находящиеся в папке Support\Tools на компакт-диске с опе рационной системой Windows 2000 Server. Для этого достаточно дважды щелкнуть значок Setup этих программ.) Подробнее об использования Netdom Ч в справоч ной системе Microsoft Windows 2000 Support Tools.

Для управления доверительными отношениями используйте оснастку Active Di rectory Domains and Trusts (Active Directory Ч домены и доверие). Для этого нуж но открыть окно Properties (Свойства) требуемого домена. В нем на вкладке Trust (Доверия) расположены два списка: в одном Ч trusted by this domain (До мены, которым доверяет этот домен) перечислены домены, которым доверяет данный, а в другом Ч Domains that trust this domain (Домены, которые доверяют этому домену) Ч домены, доверяющие данному.

Подробнее о создании доверительных отношений средствами оснастки Active Directory Domains and Trusts Ч в справочной системе Windows 2000 Server. Под робнее о планирования отношений Ч в книге Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Доверительные отношения между доменами Windows Windows 4. Домены Windows 2000 и Windows NT 4.0 могут доверять друг другу. Если между доменами явно заданы однонаправленные доверительные отношения (и только тог да) пользователи любого их них получают право проходить проверку подлинности в другом домене и получать доступ к ресурсам.

В приведенных ниже примерах показано влияние направления от ношений между доменами Windows 2000 и Windows NT 4.0.

Х А (домен Windows 2000) В (домен Windows NT 4.0). В этом случае пользо ватели домена В имеют доступ только к ресурсам домена А, а к ресурсам других доменов дерева Ч нет.

Х В (домен Windows NT 4.0) А (домен Windows 2000). В этом случае только домена А (и никаких других доменов данного дерева) имеют дос туп к ресурсам В.

Вид доверительных отношений в Windows 2000 с точки зрения компьютера под управлением Windows NT 4.0 зависит от типа домена, к которому он принадлежит:

Х в основного (native) режима клиент увидит полное перечисление доме нов леса;

Х в домене смешанного (mixed) режима клиент увидит только те домены, которым непосредственно доверяет его домен. В домене смешанного режима клиент может использовать резервный контроллер под управлением Windows NT 4.0.

ГЛАВА 1 Логическая структура Active Directory Независимо от операционной системы контроллера Ч Windows NT 4.0 или Windows 2000 Ч получит один и тот же список Пример среды смешанного режима На рис. 1-9 пример среды смешанного режима, состоящей из двух Windows 2000 и домена Windows NT 4.0 и объединяющей четыре отдельных про странства имен: D.com, и Лес 1 Лес Односторонние Двусторонние транзитивные нетранзитивные доверительные внешние доверительные между корнями деревьев отношения f Двусторонние транзитивные доверительные отношения типа "родитель Ч E.D сокращенные Односторонние нетранзитивные внешние доверительные отношения Домен Windows NT 4. Рис. 1-9. Среда смешанного режима, состоящая из двух лесов Windows домена Windows NT 4. На рис.

Х и D.com Ч корни отдельных деревьев леса 1, объединенных двухсторон ними транзитивными доверительными отношениями корней, что полное доверие типа доменами двух этого леса;

Х использует ресурсы в для деловых операций, по этому для простоты между этими двумя доменами созданы сокращенные дове рительные отношения. Сокращение пути за счет уменьшения числа переходов от трех (от к D.com, от D.com к А.сот и от А.сот к до одного (от к позволяет ускорить проверку подлинности;

Х G.com Ч корень дерева, из которого состоит лес 2. Двухсторон ние, транзитивные доверительные отношения между G.com и ют обоим доменам использовать ресурсы друг друга;

Х домен G.com леса 2 явно заданными односторонними внешними довери тельными отношениями с доменом D.com леса 1;

пользователи ны к ресурсам домена G.com. Поскольку такие доверительные не 26 ЧАСТЬ 1 Служба каталогов Active Directory то у всех остальных доменов леса 1 нет доступа к ресурсам а у - к ресурсам Х домен F Ч это домен Windows NT предоставляющий услуги по поддержке пользователям домена доверительные объе его с не распространяются на остальные домены леса 1.

Объекты Active Directory Объекты Active Directory представляют физические объекты, из которых состоит сеть. Объект это экземпляр класса. Класс определяется в схеме Active Directory как определенный набор обязательных и дополнительных атрибутов. Кроме того, он содержит правила, задающие порядок наследования, то есть классы, объекты которых могут порождать (быть родителями) объекты данного класса. Все атрибу ты также определены в схеме каталога Ч для каждого из них задан синтаксис его допустимых значений.

В момент создания объекта Active Directory задаются его атрибуты в соответствии со структурой его класса и правилам схемы каталога. Например, при создании объекта необходимо указать значения имени и фамилии, иденти фикатор входа в систему (в соответствии со схемой Ч обязательные атрибуты без которых объект создан не будет), а также, вероятно, другие как помер телефона и Для определения и дополнительных атрибутов, а также их вида, то структуры и ограничений синтаксиса, приложения, создающие или объекты в Active Directory, используют схему каталогов. Таким образом, всех объектов обеспечивается поддержкой единой схемы для всего леса.

Объекты подразделяются на конечные (или листовые) и контейнеры. Контейнеры могут содержать другие объекты Ч тогда они занимают определенное положение в древовидной иерархии в иерархии поддеревьев. Класс является контейнером, если хотя бы в одном из остальных классов он определен в качестве возможного над класса. листовой объект не может содержать другие объекты и поэтому занимает конечную позицию в древовидной иерархии.

о объектов Active Directory Ч в главе 2 Хранение данных в Active Подробнее о схеме каталогов Ч в главе 4 Схема Active Именование объектов Основным протоколом доступа в Active Directory является Его требования к форматам имен объектов каталога указаны в RFC 1779 и RFC 2247.

Составное имя Поиск объектов доменов Active Directory выполняется но иерархическому пути, включающему метки имен доменов и каждого из контейнерных объектов. Полный путь к объекту задается составным именем (distinguished name, DN), а имя самого объекта Ч (relative distinguished name, Охватывая полный путь к объекту, включающий имя объекта и всех его родителей, с корня домена, составное имя (указывает только на данный и (в каталоге нет другого объекта с данным ГЛАВА 1 Логическая структура Active Directory объект в иерархии доменов и получить в ката логе об этом Например, пользователь по имени James Smith работает в отделе маркетинга в должности координатора рекламных кампаний. По этой причине его пользо вательская учетная запись в подразделении, объединяющем учетные за писи отдела маркетинга, занимающихся рекламными кампаниями.

Идентификатор пользователя James Smith а работает он Североамери канском (North American) филиале компании. Корневой и локальный домены ком пании - reskit.com и noam.reskit.com соответственно. На рис. 1-10 ком поненты, из которых состоит составное имя объекта пользователя JSmith в домене етка доменного имени (Domain | Mетка доменного имени (Domain M етка доменного (Domain П J П пользователя (Common Рис. 1-Ю. Составное имя JSmith Примечание Оснастки Active Directory не отображают при име меток имен единиц общего име ни и т. д. Эти сокращения показаны только для иллюстрации имени. Большинство служебных программ Active Directory отображает имена объектов в канонической форме (подробнее Ч далее в этой главе). Состав ные имена довольно трудны для запоминания, в Active Directory поддер живается поиск по атрибуту (например, по номеру здания, где может находиться искомый то есть, чтобы найти объект, не обязательно знать его полное составное имя. (Подробнее о поиске в Active Directory в главе 3 Разрешение в Active Относительное составное имя Относительное составное имя (relative distinguished name, RDN) Ч это часть име ни объекта, являющаяся атрибутом его самого и отличающая его от других объек тов па одном уровне иерархии имен. В примере, приведенном на рис. 1-10, относ и составное имя объекта пользователя Ч JSmith, а родительского объекта Ч Users. Но умолчанию максимальная относительного составного имени Ч символов, но в схеме каталога могут быть дополнительные на 28 ЧАСТЬ 1 каталогов Active Directory атрибуты. Например, длина атрибута сп, который часто используется в качестве относительного составного имени, не превышать 64 символа.

Относительные составные имена в Active Directory уникальны среди потомков од ного родителя, то есть в одном родительском контейнере не могут существовать два объекта с одним Однако, два объекта одного каталога могут иметь одинако вые относительные составные имена и оставаться находясь в разных родительских контейнерах. Например, объект рассматривается отличным от объекта Относительные составные имена а также ссылки на родительские объекты, хранятся в базе данных Active При выполнении полное составное имя реконструируется прохождения по ссылкам вплоть до имени корневого домена. (Подробнее о Ч в главе имен в Active Атрибуты именования Как было показано ранее, имя объекта состоит из совокупности относительных со ставных имен, представляющих как его самого, так и все объекты, находящиеся в иерархии выше него вплоть до Каждая часть составного имени имеет вид (например, Тип атрибута, используемого для описания относительного составного имени (в данном случае сп =), называется атрибутом именования (naming При нового класса в схеме Active Directory (то есть нового объекта класса для определения атри бута именования можно воспользоваться необязательным атрибутом Со по умолчанию стандартные объекты обладают стандартными (по умолча нию) атрибутами именования. Например, в определении класса User атрибут сп яв ляется атрибутом именования, поэтому относительное составное имя для пользо задается в виде cn=JSmith.

В 1-1 приведены атрибуты именования, используемые в Active в соответствии с RFC 2253.

Таблица 1-1. Принятые по умолчанию в Active Directory атрибуты именования Класс Форма экранного представления атрибута именования имени атрибута user Common-Name (Обшее имя) сп (Имя подразделения) domain (Имя домена) Другие атрибуты в RFC 2253, такие, как о= для имени орга низации и с= для названия страны/региона, в Active Directory не используются, хотя LDAP их и поддерживает.

понимать, что составные и относительные составные имена, а также атри буты только при создании для LDAP, зовании интерфейсов службы Directory (Active Directory Service или других языков сценариев или программирования. В Windows 2000 за дания этих значений не ГЛАВА 1 Логическая структура Active Directory Подробнее о создании новых объектов класса Ч в главе 4 Схема Active Directory. Дополнительную информацию о работе с ADSI Вы найдете па Web странице ссылка Microsoft Platform SDK.

Индивидуальность и уникальность объекта В к своему составному имени у каждого объекта Active Directory име ется идентификатор, по которому служба Active Directory их различает и который не изменяется при перемещении или переименовании объекта. Этот называется идентификатором (globally uni que identifier, и имеет вид номера, присваиваемого объекту в момент его создания. хранится в от изменения и атрибуте имеющемся у каждого объекта. В отличие от составного или относительного составного имен, которые можно изменять, GUID модифицировать нельзя. При создании ссылки на объект Active Directory во внешнем хранилище (например, в базе данных типа Microsoft SQL Server) необходимо значение objectGUID, Форматы имен Active Directory Служба каталогов Active поддерживает несколько форматов имен тов, служащих для совместимости с различными формами имен в зависимости от их Административные инструментальные Active Directory отображают строку имени в по умолчанию каноничес ком формате. Ниже перечислены форматы, поддерживаемые Active Directory и ба зирующиеся на составных именах LDAP.

Составные имена версий 2 и 3 поддерживает соглашения об имено вании, определенные в документах RFC и RFC 2247 и предусматривающие следующую форму представления:

В Active Directory вместо метка доменного домена (dc) и не В составного или относительного со ставного имени представлена слева направо, начиная с оконечного объек та и заканчивая именем корня, как показано LDAP URL-адреса используются в Active Directory при создании сценариев. В LDAP URL-адресах сначала указывается сервер службы каталогов Active Directory, а него атрибуты имени объекта (составное имя):

Каноническое имя (Active Canonical Name). По умолчанию Windows отображает имена объектов в каноническом виде, в котором корень предшествует составному имени объекта без тегов атрибутов LDAP (таких, как или Сегменты имени разделяются косой чертой (/). для приведенного выше составного канонический вид выглядит так:

30 ЧАСТЬ 1 Служба каталогов Active Примечание Если имя подразделения содержит прямую наклонную черту (/), то после нее необходимо вставить символ Ч обратную наклонную вле во черту (\). Это позволить системе отличить наклонную черту, разделяющую час ти имени и такую черту, являющуюся частью имени подразделе ния. Такой символ присутствует в канонических именах, представленных на стра ницах свойств оснастки Active Directory Users and Computers (Active Directory и компьютеры). если имя подразделения Promotions/ Northeast, а имя домена Ч Reskit.com, то каноническое имя будет иметь вид Соответствие между составными именами в DNS и ШАР Хотя между доменов DNS и Directory существует однозначное со ответствие, они не суть одно и то же. Формат имен Active Directory отличается и приспособлен для нужд идентификации объектов каталогов в LDAP. Необходимо задать взаимное соответствие (mapping) между именами доменов DNS и Active Directory, как определено в документе RFC 2247.

Доступ к Active Directory исключительно по протоколу LDAP, в котором для выделения имен объектам каталогов их со ставные LDAP-имена. Алгоритм составного имени заключается в форми ровании строки с именами компонентов иерархии, начиная с самого объекта и за канчивая корневым объектом дерева доменов. Такой алгоритм автоматически со здает соответствие между составными LDAP-именами и именами доменов DNS. В каждой метке домена DNS ставится в соответствие тег (domain component, dc). Каждой метке домена DNS соответствует относительное составное имя домена Active Directory. Например, домен noam.reskit.com бу дет преобразован в составное Имя входа в систему Уникальное имя входа в систему необходимо участникам безопасности для полу чения доступа к домену и его ресурсам. безопасности (security principal) Ч это объект, к которому применимы процедуры Windows Ч провер ка и авторизация. Пользователи являются участниками безопаснос ти, они проходят проверку подлинности (проверку их аутентичности) при попыт ке входа в домен или локальный компьютер, а также авторизуются (то есть им пре доставляется или закрывается доступ) для ресурсов.

Существуют два типа имен, по которым клиенты входят в систему как участники безопасности.

Имя учетной записи SAM (SAM Name) необходимо для совместимости с Windows NT 3.x и Windows NT 4.0. иногда называют плоски ми, поскольку из них невозможно построить какую-либо иерархию имен, и каждое имя в домена. Этим они отличаются от иерархических DNS Основное имя пользователя (User Principal Name, UPN) короче составного имени и проще для запоминания. имя пользователя состоит из имени пользователя и, как дерева доменов, в котором распо лагается объект данного пользователя или любого другого выделенного ГЛАВА 1 Логическая структура Active Directory Формат основного имени состоит из имени учетной записи знака @ и суффикса основного имени (суффикса Напри мер, основное имя пользователя James Smith с учетной записью в домене reskit.com может иметь вид Основное имя пользователя не от ставного имени, поэтому объект пользователя может быть или переиме нован, и это никак не повлияет на вид имени входа.

Основное имя пользователя это атрибут объекта участника безопасности, принимающий по вид По умолчанию в качестве суффикса будет использоваться имя в ко тором создана соответствующая учетная запись (например, В необходимости (например, когда имя домена довольно и трудно наемое) этот суффикс можно изменить. Кроме того, в качестве разрешается адрес электронной почты, например: в большой с многими доменами, адрес электронной почты пользователя может вид Для управления суффиксами в доменах в Directory используется стка Active Directory Domains and Trusts (Active Directory Ч домены и доверие).

Чтобы добавить или удалить суффикс откройте в этой оснастке окно свойств узла Active Directory. Основные имена назначаются в со здания пользователя или группы, и, если для данного домена суф фиксы уже созданы, суффикс UPN можно выбрать из списка, Суффиксы списке размешаются в порядке:

Х суффиксы Первым в списке размещается последний со зданный суффикс;

Х имя корневого домена;

Х имя текущего домена.

Подробнее о создании основных имен пользователей Ч в справочной системе Microsoft Windows 2000 Server.

Контроллеры доменов Контроллер домена Ч это компьютер под Windows 2000 Server, на котором работает служба каталогов Active Directory. На контроллерах доменов так находится центр распространения ключей отвечающий за проверку линности входа в систему пользователей этого домена. На контроллере домена хра нятся разделы каталога также как логическим сегментам Active Directory, реплицируемым неделимые единицы:

Х разделы домена, количество которых в данном лесу (каталоге) Х схема Ч единая для всего леса (каталога);

Х контейнер конфигурации единый для всего леса (каталога).

Кроме обычных разделов домена на каждом контроллере хранятся реплики схемы и конфигурации каталога. (Подробнее о разделах каталогов Ч в главе данных в Active 32 ЧАСТЬ 1 Служба каталогов Active Directory Операции с несколькими хозяевами В домене быть множество контроллеров домена, и каждый из них способен изменять Active Directory. Предыдущие версии Windows NT также допускали на личие многих контроллеров доменов, но только один из них Ч контрол лер домена (primary domain controller, PDC) Ч модифицировать данных каталога, и все изменения реплицировались с него на резервные контроллеры доме на (backup domain controller, BDC).

В Windows 2000 каждый из контроллеров домена изменять базу каталогов, и эти изменения во все остальные контроллеры. Обыч ные рутинные по группами и компьютера ми обычно выполняются как операции с несколькими хозяевами opera tions), то есть изменения в любое время на любом из контролле ров домена.

Операции одиночного хозяина Большинство операций выполнять на любом из контроллеров и результат их (например, удаление объекта-пользователя) копируется на осталь контроллеры домена, копию соответствующего раздела каталога. Од существуют операции одиночного (single-master operations), которые дол жны выполняться в любой момент времени только в одном месте домена (то есть монопольно), и ими управляют выделенные контроллеры домена.

Контроллер управляющий монопольными называется владель цем роли (role owner) или хозяином (operations master) данного тина.

(Подробнее об управлении операциями одиночного Ч в главе 7 Управле ние операциями Операций одиночного хозяина, их также называют от Flexible Single-Master Operations несколько.

Выделение пула относительных идентификаторов. Один контроллер домена от вечает за выделение пулов относительных идентификаторов остальным контрол лерам. В совокупности с идентификатором домена относительные идентификато ры (relative ID, RID) используются для назначения ти (security ID, SID) для каждого из участников безопасности Active Directory.

Уникальность этих идентификаторов в границах домена гарантируется таких операций, относительных идентификаторов, который выделяет идентификаторы из единого доменного Модификация схемы. Изменения и тех же объектов схемы различными кон троллерами способно нарушить ее данных, поэтому в имеется только один хозяин схемы, отвечающий за любые этого раздела каталога.

Эмуляция основного контроллера домена выполняется для совместимости с сер верами под Windows NT 3.51 и 4.0, которые могут роль резервных контроллеров в домене Windows 2000 режима. Для эмуля ции PDC выделяется один контроллер домена под управлением Windows 2000, то есть контроллеры под управлением Windows NT 3.51 и Windows NT 4.0 восприни мают его как основной контроллер домена.

о переходе с доменов Windows NT 3.51 и Windows NT 4.0 к Windows 2000 Ч в книге Windows 2000 Server Deployment Planning Guide (Microsoft 2000).

ГЛАВА 1 Логическая структура Active Directory Определенные изменения инфраструктуры. При или удалении объек тов хозяин инфраструктуры за обновление ссылок группа Ч переименовании или изменении членов группы.

Именование доменов. Хозяин именования доменов управляет операциями добав ления или удаления доменов в составе леса и отвечает за уникальность доменных имен леса и поддержку объектов перекрестных ссылок па каталоги.

об ролями Ч в главе 7 Управле ние операциями одиночного Серверы глобального каталога Каждый контроллер домена в лесу хранит три полных (доступных для записи) раз дела каталога: домена, схемы и конфигурации. Глобальный каталог Catalog, GC) Ч это контроллер домена, содержащий кроме этих изменяемых разделов час тичные реплики (только для чтения) всех остальных разделов каталогов доменов леса. Частичными они называются потому, что, хотя в совокупности они и содержат все объекты каталогов, набор атрибутов каждого из этих объектов ограничен. Гло бальный каталог автоматически создается системой репликации Active Directory, Все разделы каталогов на сервере каталога, как полные, так и частич хранятся в одной базе данных каталога (Ntds.dit). В этой же базе находятся атрибуты глобального каталога, как некая дополнительная ин формация в базе данных каталога контроллера домена.

Сведения о новом домене, добавленном в лес, сохраняется в разделе конфигурации и попадает на сервер глобального каталога (и все остальные контроллеры доменов) посредством репликации информации, относящейся ко всему лесу. Аналогично об рабатывается информация о нового сервера глобального каталога.

Атрибуты, в глобальный каталог Как говорилось выше, выполняя роль контроллера глобального ка талога содержит один раздел домена с изменяемыми объектами, обладающими пол ным набором атрибутов, а объекты остальных разделов каталогов до менов леса хранятся как объекты только для с неполным набором атри бутов. Выбор атрибутов, попадающих в каталог, определен в и управляется флажком Replicate this attribute to the Global Catalog (Репликация этого атрибута в глобальный каталог) на страницах свойств в оснастке Active Directory Schema (Схема Active Directory). При установленном флажке атрибута объекта устанавливается в TRUE, указывая на то, что атрибут будет реплицироваться в глобальный каталог в процессе стандартной репликации Active Directory. Топология репликации глобаль ного каталога автоматически создается службой проверки знаний (Knowledge Consistency KCC) Ч встроенным реализующим топологию репликации, гарантирующую доставку каждого из разделов каталога все серверы глобального каталога. По умолчанию в глобальный каталог попадают атрибуты, включенные Microsoft в базовый набор. В соответствии с местными тре бованиями администраторы дополнительные свойства средства ми оснастки Active Directory (Схема Active Directory).

34 ЧАСТЬ 1 Служба каталогов Active Directory о добавления атрибута в атрибутов каталога Ч в справочной системе Windows 2000 и в главе 4 Схема Active Directory. Под робнее о службе КСС Ч в главе 6 Active Directory.

Назначение компьютера сервером глобального каталога Первый контроллер домена леса автоматически становится каталогом.

Дальнейшее компьютера сервером глобальных каталогов проводится в окне NTDS Settings Properties (Свойства NTDS Settings) в оснастке Active Directory Sites and Services (Active Directory Ч сайты и службы). В дереве консоли нужно найти объект NTDS Settings (в следующей последовательности:

Active Directory Ч сайты и Sites, Servers, NTDS Settings) и щелкнуть его мыши, после выбрать в кон текстном Properties (Свойства). Для назначения домена серве ром глобального каталога установите флажок Global Catalog Server (Глобальный каталог) на вкладке General (Общие). При этом будет добавлен в топологию репликации глобальных каталогов и данными посредством процесса репликации. Все любого из атрибутов глобального каталога в домене автоматически будут реплицироваться во все серверы глобального каталога.

У объекта NTDS Settings есть многозначный атрибут в котором ука разделы каталога, хранимые на контроллере домена (здесь NC чает naming context контекст синоним термина раздел три полные и модифицируемые разделы каталога домена, схемы и конфигура ции. Если данный контроллер домена является глобальным каталогом, то в другом многозначном атрибуте объекта NTDS Settings, перечис лены разделы каталогов домена леса, и именно с этими разделами он обмени вается изменениями по Поскольку объект NTDS Settings находится в разделе конфигурации, мого во все контроллеры домена леса, то у всех контроллеров доменов имеются одинаковые сведения о серверах глобального каталога.

Подробнее о назначении компьютера сервером глобального каталога Ч в ной системе Microsoft Windows 2000 Server.

Глобальный каталог и процедура входа в домен сервера глобального каталога необходимо для входа в домен основного режима, поэтому в каждом из сайтов иметь хотя бы один такой сер вер. Тем не менее, если в каком-то из них глобального каталога нет, для входа мо жет использоваться сервер глобального каталога удаленного сайта. глобаль ных каталогов нет или они недоступны, то для входа в систему используется ин формация из кэша.

Примечание Члены группы Domain Admins (Администраторы домена) могут ус пешно войти в систему (без использования кэша), даже глобальный каталог ГЛАВА 1 Логическая структура Active Directory Членство в универсальных группах Необходимость наличия глобального каталога вызвана тем, что сведения о член стве в группах (universal group) не на доменов, а полный список таких членов реплицируется только на серверы глобаль ного каталога.

Примечание группы существуют только в доменах основного режима.

В процессе входа в систему с пользователем ассоциируется маркер содержащий указание на группы, к которым он принадлежит. Если в списке доступом (access control list, ACL) для объекта указана запись управления доступом (access control entry, АСЕ) универсальной группы, то для рещения или предоставления доступа необходимо, чтобы маркер безопасности со держал эту универсальную группу (но членство в универсальной группе может под твердить только сервер глобального каталога). Иначе (на основе членства в другой пользователь мог бы получить доступ к объекту, доступ к которому ему как члену группы запрещен. Обратное также верно: мо жет не получить доступ к ресурсам, к которым допущен как член Примечание доступа обрабатывается до поэтому, если с в одной группе доступ запрещен, а в другой Ч то получить доступ пользователю не удастся.

имя пользователя и поддержка входа в систему с глобальным каталогом Войти в Windows 2000 пользователь может по своему имени (user principal name) или имени учетной записи SAM При входе в Windows 2000 разрешается ввести имя пользователя и из списка имя домена или просто ввести основное имя пользователя. В последнем случае пос ле ввода символа список доменов становится недоступным, а имя домена систе ма извлекает из суффикса Формат имени пользователя шается сервером глобального каталога, поэтому его применять в системах, содержащих больше одного леса или в которых существуют доверительные отно шения между доменами различных лесов. Подробнее о том, как назначать глобального каталога, чтобы облегчить вход в домены Ч в книге Microsoft Win dows 2000 Server Deployment Planning (Microsoft Press, 2000).

Поиск и глобальный каталог Поскольку глобальный каталог хранит сведения обо всех объектах леса, его можно для поиска таких объектов без переадресации на другие серверы. Если запрос на поиск послать в порт 389 (стандартный порт то про сматривается только один раздел каталога (а также разделы схемы и конфигура ции), после чего (в случае неудачи) он переадресуется на контроллер другого до выбираемый на основе составного имени искомого объекта. же послать запрос в порт (стандартный порт глобального каталога), то за один раз каталога просматривает все разделы леса. Если в запросе 36 ЧАСТЬ 1 каталогов Active Directory но указать атрибуты из набора атрибутов глобального каталога, то результат мо жет быть получен без в контроллеры других доменов.

Подробнее о перенаправлении в и поиске в глобальном каталоге Ч в главе 3 Разрешение имен в Active Directory.

Подразделения Active Directory позволяет администраторам создавать иерархическое пространство имен внутри каждого домена. Для этого существует Ч класс-кон тейнер общего назначения, позволяющий создавать группы администрирования из объектов большинства других классов. (organizational unit, OU) в Active Directory аналогично каталогу в файловой системе: это контейнер, способ ный содержать другие объекты.

Административная иерархия Подразделения можно вкладывать друг в друга, образуя иерархию и создавая логические административные единицы для пользователей, групп и объектов ресурсов, таких, как компьютеры, приложения и общие фай В каждом из доменов создается собственная иерархия подразделений, и эти не связаны друг с другом. Однако внутреннюю иерархию доме нов, управляемых из единого центра, можно строить по заданному образцу.

структура чрезвычайно гибка, и предприятие вправе построить любую среду, отражающую административную структуру самой организации, независимо от ее централизации.

Подробнее о и реализации иерархии подразделений Ч в книге Mic rosoft Windows 2000 Server Deployment Planning (Microsoft Press, 2000).

Групповая политика Для задавать групповую политику, которая определяет пол групп компьютеров и пользователей этих единиц: от полного запрещения доступа до выделения пользователям довольно широких полномочий.

При этом можно указать для определенных приложений, (а также возможность выполнения определенных функций этих приложений на ука занном компьютере), задать места хранения документов и порядок доступа пользо к ним, определить время, место и порядок обновления приложений и опе рационной системы, а также определенных сценариев.

Параметры групповой политики хранятся в объектах групповой политики Active Directory, которые, в свою могут ассоциироваться с одним или более кон Active Directory, такими, как сайты, домены, или подразделения.

Подробнее о групповой политике в главах 21, 22 и 23 книги Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская 2001).

Делегирование управления В объектно-ориентированной модели безопасности Windows 2000 управление дос тупом по умолчанию распространяется по иерархии определенного поддерева объектов. Такой порядок применяется для задания условий безопас ности для группы объектов, к определенному что позволяет эффективно делегировать полномочия вниз по иерархии вплоть до от ГЛАВА 1 структура Active Directory дельных пользователей. В таких условиях решение организа ция иерархии в с задачами администрирования.

Примечание Поскольку Active Directory индексируется, нет никакой потребности создавать для наглядности дерево, призванное облегчить просмотр, поскольку это может противоречить целям администрирования.

Полномочия административного управления объектами каталога разрешается менять (или делегировать) к подразделениям средствами механизма управления (Подробнее об административном управлении Ч в разделе Делегирова ние административных далее в этой главе.) Безопасность объектов При проверке подлинности учетных записей входящих в домен Windows 2000, выясняется, действительно ли пользователь является тем, за себя выдает, а также имеется ли соответствующая учетная запись в данном или до веренном домене. При положительном результате проверки подлинности служба каталогов Active Directory выполняет авторизацию, то есть определяет порядок доступа пользователя к объектам. Авторизация осуществляется ления доступом.

Примечание Здесь кратко описан механизм безопасности службы каталогов Active Directory. Подробнее о безопасности в Active Directory Ч в главах части пасность в распределенных системах.

Управление доступом Все объекты Active Directory защищены списками управления (access control list, ACL). B ACL кто может видеть объект и какие действия над объектом каждому из пользователей разрешены. Если пользователю не разре шено видеть данный объект, то у него и нет никаких средств, чтобы узнать о его существовании.

Список управления доступом состоит из записей доступом (access control entries, ACEs). B Windows 2000 список ACL хранится в двоичном формате в дескрипторе (Security Descriptor). Каждая запись АСЕ (security identifier, SID), который указывает на (security principal) Ч им может быть отдельный пользова тель или группа пользователей, и содержит информацию о том, какой тип доступа к объекту разрешен или запрещен записью АСЕ.

Списки ACL содержат записи, относящиеся к объекту Active Directory в целом, и записи, относящиеся к отдельным атрибутам объекта. Это позволяет администра тору не только указывать, какие пользователи могут видеть данный объект, но и какие свойства этого объекта будут видны пользователям. всем пользователям может быть чтение таких атрибутов, как телефонные но мера и адреса электронной почты других пользователей, но доступ к параметрам данных открыт только группы администраторов Отдельным пользователям может быть разрешена запись в их личные например внесение исправлений в номера их телефонов или адреса электронной почты.

38 ЧАСТЬ 1 каталогов Active Directory Подробнее об управлении доступом Ч в главе 12 Управление Подроб нее о встроенной безопасности объектов Ч в главе 2 Хранение данных в Active Directory*. Подробнее об анонимном доступе для чтения Ч в главе 3 Разрешение имен в Active Делегирование административных полномочий Делегирование (delegation) Ч одно из наиболее важных средств безопасности дан в Active Directory. Передача полномочий позволяет администратору системы, имеющему более высокий приоритет, передавать права по управле нию контейнерами и поддеревьями отдельным пользователям или группам. Деле гирование избавляет домена от необходимости управлять целыми подмножествами огромной совокупности пользователей.

Записи АСЕ могут предоставлять четко определенные права доступа к объектами в контейнере отдельным пользователям или Эти права распространяются на определенные операции над определенными классами объектов через записи АСЕ соответствующего контейнера. Например, чтобы пользо вателю с именем James Smith права администрирования в Corporate Accounting (Бухгалтерия), в список управления доступом ACL Cor porate Accounting нужно добавить указанные в 1-2.

Таблица 1-2. Пример списка управления доступом АСЕ-запись Участник Разрешения К каким объектам применяется Allow James Create, Delete objects Только данный (Разрешить) (Создание и удаление объектов пользователя) Allow James Smith Full control Объект пользователь (Разрешить) (Полный Allow James Create, Delete User objects Только данный объект (Разрешить) (Создание и удаление пользователя) Allow James Smith Full control Объекты (Полный доступ) Allow James Smith Set Password Объекты (Разрешить) пароля) Теперь пользователь James Smith получил право создавать новые ватели и объекты-группы в контейнере Corporate Accounting, а также устанавли вать пароли для уже пользователей. Однако он не может со здавать объекты других классов и параметры пользователей в других кон тейнерах (если, конечно, в других нет соответствующих Подробнее о делегировании административных Ч в главе ление доступом. Подробнее о делегирования Ч в справочной системе Microsoft Windows 2000 Server.

ГЛАВА 1 Логическая структура Active Directory Принцип наследования (inheritance) позволяет распространять влия ние записей определенного контейнера на все его объекты. Наследование можно с и таким образом в одной передавать адми нистративные права целому поддереву каталога. Подробнее о наследовании в главе 12 доступом.

Дополнительные материалы о Ч в книге Paul Albitz и Cricket Liu DNS and BIND 3-е изд., Sebastopol, CA: O'Reilly & Associates.

Подробнее о RFC-спецификациях и проектах документов Интернета (Internet Drafts) на Web-странице с/ webresources Ч по ссылке на IETF.

Хранение данных в Active Directory Служба каталогов состоит из хранилища каталога (directory store) Ч системы хра каталога - и поиска и выборки Служба катало гов Active DirectoryЩ в Windowsо 2000 хранит объекты, которые содер жат сведения о таких реально объектах сети предприятия, относя щихся к или более доменам, как пользователи и их компьютеры, службы, файлы и списки Active Directory предоставляет эти пользователям и приложениям.

В этой главе Архитектура Active Directory данных Установка Удаление Active Directory Автоматическая установка и удаление Active Directory См. также Х Подробнее об иерархии Active Directory, именования в DNS, розыске домена, структуре деревьев и леса Ч в главе 1 Логическая струк тура Active Х Подробнзе о и репликации Ч в главе 6 Реплика ция Active Directory.

Х Подробнее о строении и модификации схемы Active Directory Ч в главе 4 Схе ма Active Х о системе доменных DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server Редакция, 2001).

ГЛАВА 2 Хранение данных Active Directory Архитектура Active Directory Чтобы понять, как хранятся и данные Active Directory, необходи мо представлять как отдельные этой службы каталогов. Первый шаг на этом пути изучение взаимосвязей Active Directory с элементами операционной системы Microsoft Windows 2000 Server.

Active Directory и архитектура Windows Для предоставления служб системы в Windows используются и комбинируются отдельные модули и режимы. В частности, для от деления низкоуровневых процессов от процессов более вы сокого уровня, а также для изоляции приложений от различий аппаратной реали зации и предотвращения прямого доступа из приложений к системному коду и дан ным в Windows 2000 существуют два режима (user) и ядра (kernel). Все приложения (включая службы) выполняются в отдельном моду ле в пользовательском режиме, а системные службы дог им только через интерфейс (application programming interface, API), предоставляющий доступ к м данным. Переход прикладного из пользовательского режима в режим ядра возможен только в отдельных, строго защищенной операцион ной системы случаях. Завершив работу в режиме ядра, процесс немедленно возвра щается в пользовательский режим. Служба каталогов Active Directory ся в подсистеме (security subsystem) пользовательского режима.

(security reference monitor), который выполняется в тельском режиме, собой основной соблюде ние правил защиты в подсистеме безопасности. На рис. 2-1 показано место Active Directory в общей структуре 2000.

Тесная связь службы каталогов и служб подсистемы играет ведущую роль в реализации распределенных систем на базе Windows 2000. Доступ ко всему каталогу возможен только после проверки (authentication), выполняе мой компонентами безопасности, а затем (authorization) - проверки и разрешений на доступ, осуществляемой подсистемой безопас ности совместно с монитором безопасности. Монитор управляет дос тупом к объектам Active Directory.

об операционной системе Windows 2000 Ч в статье Overview of Net working in Windows 2000 (Обзор сетевых технологий в Windows из Microsoft 2000 Professional Resource Kit. В ней рассмат риваются технологии, лежащие в основе операционных систем Windows 2000 Pro fessional и Windows 2000 Server. Подробнее о проверке подлинности Ч в главе ' подлинности. о - и ступом.

42 ЧАСТЬ 1 Служба каталогов Active Directory Подсистема Win32 J ! Directory спетчер РпР у Win А Пользовательский режим Режим ядра службы Диспетчер Диспетчер Монитор Диспетчер Диспетчер Диспетчер вызова ввода/ безопас- ити процессов питания внутренних вывода ности процедур (IPC) Файловые графических системы Драйверы устройств Микроядро Оборудование Рис. Место Active Directory в общей структуре операционной системы Windows Архитектура подсистемы безопасности Модель Windows 2000 состоит нескольких компонентов безопас ности, которые следят за тем, приложения не получили доступ к ресурсам без предварительной проверки и Компоненты подсис темы безопасности в процесса Lsass.exe. Они перечислены далее:

Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 15 |    Книги, научные публикации