Курс лекций Составитель Соркина В. Е. Введение 12

Вид материала

Курс лекций

Содержание Повышенная безопасность Расширение службы каталогов с помощью схемы (Extensible Schema) Глобальный каталог На Рис. 34 показана структура глобального каталога. Многоуровневая репликация Обновление каталога в многоуровневой среде

Подобный материал:

• Курс лекций. Спб, 639.95kb.
• Курс лекций. Спб, 1118.16kb.
• Курс лекций. Спб, 172.51kb.
• Курс лекций введение в профессию "социальный педагог", 4415.45kb.
• Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
• Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
• Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
• Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
• Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
• Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.

Повышенная безопасность

Система администрирования Active Directory хорошо детализирована и допускает децентрализованное администрирование без ущерба для безопасности. Поскольку в каждом домене свои ограничения доступа, становится возможным наличие многих областей безопасности. В данной схеме администраторы домена А не являются автоматически администраторами домена B. Контейнерная иерархия важна потому, что в настоящее время объектом администрирования является домен, и администратор домена полностью контролируют все объекты и службы в пределах этого домена. В зависимости от конкретных обязанностей пользователям в рамках Active Directory можно делегировать различные полномочия. Область администрирования может включать в себя весь домен, поддерево ОЕ внутри домена или отдельную ОЕ.

При помощи Active Directory можно создавать очень большие структуры пользователей. В этих структурах любой пользователь будет иметь потенциальный доступ ко всей хранящейся в каталоге информации, при этом границы областей безопасности остаются четкими. Области безопасности могут быть намного меньше доменов. Например, при создании учетной записи пользователя она ассоциируется с определенным доменом, но также может входить и в организационную единицу. Полномочия по регистрации пользователей в организационной единице можно делегировать, в результате кто-то другой тоже сможет вводить пользователей или другие объекты каталога, однако только в одном месте, в пределах данной ОЕ. Кроме того, можно создавать иерархии ОЕ. Active Directory предоставляет в распоряжение администратора множество различных условий доступа, которые могут быть делегированы или ограничены в пределах некоторой области.

Расширение службы каталогов с помощью схемы (Extensible Schema)

Чтобы администраторы могли создавать в каталоге собственные типы объектов, в Active Directory предусмотрен специальный механизм под названием схема (schema). Если у пользователя есть важная информация, которую он хочет сделать доступной через службу каталогов, он может создать новый тип объекта и поместить его в каталог. Например, оптовый торговец может создать объект, относящийся к складу, и, записав в него нужную информацию, поместить в каталог. Можно создавать новые классы объектов и переменные.

В службах каталогов определены различные классы. Active Directory, например, предоставляет стандартные объекты для Домена, Организационной единицы, Пользователя, Группы, Машины, Тома, Очереди на печать, а также богатый набор объектов, описывающих соединения и используемых службами Winsock, RPC и DCOM.

Глобальный каталог

Все объекты, хранящиеся в Active Directory, имеют записи в глобальном каталоге (ГК) — отдельной службе, которая содержит информацию из всех доменов данного дерева. ГК предназначен для повышения производительности и позволяет легко находить объекты по заданным параметрам независимо от их места в дереве. Такие параметры хранятся в сокращенном каталоге (abbreviated catalog). Этот метод получил название частичной репликации и позволяет выполнить значительное число запросов при помощи ГК и без обращения к домену.

Глобальный вид (global view) может содержать объекты любого типа, например, Пользователей, Службы или Машины. Типичной функцией глобального вида является предоставление глобальной адресной книги для почтовых программ или других приложений, работающих с почтой.

На Рис. 34 показана структура глобального каталога.

Рис. 34. Структура глобального каталога предусматривает доступ к полным и частичным репликам

Многоуровневая репликация

То, как служба каталогов хранит информацию, непосредственно определяет ее производительность и масштабируемость. Службы каталогов должны отрабатывать очень большое число запросов и гораздо меньше изменений данных. Как правило, на 99 запросов приходится 1 изменение. Поэтому репликация данных так важна. Создавая многочисленные копии каталога и постоянно обновляя их, можно увеличить количество запросов, обслуживаемых без снижения производительности. Такая репликация данных каталога и их синхронизация получила название многоуровневой (multimaster) репликации.

Обновление каталога в многоуровневой среде

В Active Directory встроена действительно многоуровневая репликация. В некоторых службах каталогов для создания обновлений применяется иерархический (master-slave) подход: все обновления заносятся в главную копию каталога, после чего переносятся и на зависимые копии. Такой метод приемлем для каталогов с небольшим числом копий и для среды, в которой все изменения можно вносить централизованно. Однако такой подход применим только в небольших организациях, а кроме того не отвечает потребностям организаций с децентрализованной структурой. Active Directory предлагает многоуровневую репликацию: локальные изменения в какой-либо копии каталога автоматически копируются на все остальные копии (при этом связь между копиями может быть постоянной или периодической).

Некоторые службы каталогов для отслеживания изменений используют метки времени. Это приемлемо для каталога с иерархическим методом внесения изменений, где все обновления делаются централизованно, однако для каталога с многоуровневой репликацией использование временных меток затруднительно. Время во всех копиях каталога должно быть очень точно синхронизировано, иначе возникает опасность утери данных или повреждения каталога. Active Directory не использует временные метки для отслеживания изменений. Вместо этого используются номера обновлений — Update Sequence Numbers (USNs). Каждый раз, когда пользователь записывает что-то в объект каталога, это изменение получает номер USN, собственный для каждого компьютера. USN увеличивается при каждом изменении объекта. Если пользователь на одном компьютере обновляет регистрационную запись, текущее значение USN на этом компьютере увеличивается на единицу и сохраняется в объекте вместе с изменением и уникальной подписью компьютера, на котором это изменение было сделано. В объекте имеется также USN для каждого атрибута. При изменении атрибута USN увеличивается.

Все изменения отслеживаются: другие компьютеры, связанные с исходным отношениями репликации, запрашивают у него информацию о всех изменениях, номер которых превышает имеющиеся у них USN. После этого исходный компьютер просматривает каталог и находит все объекты, чьи USN превышают числа, присланные компьютером-партнером.

Изменения атрибутов согласовываются индивидуально; при репликации обновляются только те атрибуты, у которых более высокий USN. В случае конфликта (когда два разных компьютера обновили один и тот же атрибут) приоритет отдается изменению с более поздней меткой времени. Временная метка используется только для разрешения подобных конфликтов, поэтому синхронизация времени здесь не важна. Поскольку каждый атрибут согласовывается индивидуально, вероятность конфликтов сводится к минимуму.