
Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 2 ] --Х администратор (Local Security Authority, LSA);
Х служба Net Logon (Сетевой вход в систему);
Х служба SAM (Диспетчер учетных записей безопасности);
Х служба LSA Server (служба LSA);
Х протокол SSL (Secure Sockets Layer);
Х протоколы проверки подлинности v5 и Подсистема безопасности контролирует политику безопасности и учетные записи в системе. Подсистема безопасности контроллера компьютера, на кото ром выполняется служба Active Directory Ч управляет политиками и учетными записями всего домена. Данные политик и учетных записей хранятся в базе данных Active Directory.
ГЛАВА 2 Хранение данных в Active (Local Authority, Ч это которая поддерживает сведения обо всех параметрах локаль ной системы (в совокупности они и безопасности) и предоставляет службы, прямое и обратное пре и идентификаторов.
В общем случае LSA выполняет следующие Х управляет политикой локальной Х поддерживает службы интерактивной проверки (то есть действующей при вхо де в систему) подлинности пользователей;
Х создает маркеры, о пользователях и их группах, а также об их привилегиях. После входа в систему пользователи различа ются по (security ID, и маркерам Х политикой аудита и ее параметрами. LSA отвечает за регистрацию в соответствующем системном журнале сообщений аудита, инициированных мо безопасности, В политике локальной безопасности определены следующие параметры:
Х каким доменам доверяется проверка подлинности при входе в систему;
Х кто допущен к доступу в систему и порядок этого доступа в инте режиме, по или как служба);
Х кому предоставляются Х каков порядок аудита Х каковы выделяемые но умолчанию квоты памяти (выгружаемый и невыгружае мый пулы памяти).
На рис. 2-2 Active Directory и локальной бе LSA (Lsass.exe). Подсистема LSA предостав ляет службы, работающие как в режиме ядра, так и в режиме и выполняющие допустимости доступа к объектам, привилегий телей и сообщений аудита.
Далее перечислены Служба Net Logon (Сетевой вход в систему), обеспечивающая безо капал между и контроллером по безо на контроллер домена идентификационные данные пользователя и возвращает его доменные и права. В Windows для доменных имен в IP-адреса служба Net Logon использует систему DNS. Net Logon Ч это протокол и резервных контроллеров домена под управлением Microsoft Windows NT версии 4.0.
для проверки подлинности клиентов, не Kerberos.
SSL (Secure Sockets Layer), позволяющий проводить верку подлинности через безопасное закрытое, а не небезопасное открытое нение путем защищенного канала обмена.
Протокол проверки подлинности Kerberos 44 ЧАСТЬ 1 каталогов Active Directory Служба центра распространения (Key Distribution Centre, KDC) и протоколе ответственная за предоставление клиентам билетов TGT.
Lsasrv.dll. Служба сервера проводящая в политику безопасности.
Диспетчер учетных записей безопасности (SAM), который хранит учет ные локальной безопасности, реализует локальную политику безопасности и поддерживает API-интерфейсы.
Ntdsa.dll. Модуль службы каталогов, протокол репликации Windows 2000 и протокол LDAP (Lightweight Directory Access Protocol) и ляющий разделами данных.
Поставщик многосторонней подлинности, объединяющий все остальные компоненты подсистемы безопасности.
о LSA и его компонентах Ч в главе 11 подлинности. Под робнее об управлении доступом Ч в 12 Управление Для компьютеров, не контроллерами доменов SSL NTLM KDC Msv1 Kdcsvc.dll I Secur32.dl Netlogon RPC Netlogon.dll LSASRV Lsasrv.dll RPC Диспетчер учетных записей безопасности Для не Служба каталогов Ntdsa.dll контроллерами доменов Реестр Подмножество данных Рис. 2-2. Взаимодествие Active Directory и подсистемы локальной безопасности (Lsass.exe) Архитектура каталогов Службу Active Directory можно представить в виде многоуровневой структуры, в которой состоят из процессов сервера, предостав ляющих службы каталогов клиентским приложениям. Active Directory состоит из трех уровней служб и нескольких и протоколов, которые в ГЛАВА 2 Хранение данных в Active Directory и предоставляют полный спектр служб каталогов. Три уровня служб содер жат все необходимые для нахождения записей в базе данных Выше уровней служб в этой архитектуре находятся протоколы и которые взаимодействие между клиентами и службами каталогов или при между службами каталогов, На рис. 2-3 показаны уровни служба Active Directory и их интерфейсы и протоко лы. Стрелками отмечены способы доступа клиентов к Active Directory.
LDAP и Messaging API обращаются к каталогу, вызывая функции [одно сторонние стрелки в направлении агента каталогов (directory system agent, SAM существует в виде отдельной динамически подключаемой биб лиотеки (DLL) и может вызывать только точки входа, экспортируемые DLL-биб лиотекой агента системы каталогов Ч Ntdsa.dll. Все другие компоненты, за исклю чением ядра базы данных Extensible Storage Engine (Esent.dll), расположены в мой Ntdsa.dll и с вызываемыми ими функциями. Таким все три DLL-библиотеки связаны между собой и в постоянном взаимодействии.
Репликация резервного Транспорты Функции Net контроллера Клиенты ЮАР, Клиенты репликации API-интерфейса домена ADSI MS или MS IP) в Windows 4.0 Windows NT 4. Агент системы каталогов (DSA) Уровень базы Extensible storage engine (ESE) NTFS Рис. 2-3. Уровни служб и агенты интерфейсов Active Directory Далее перечислены службы-компоненты Active Directory.
Х Агент системы каталогов формирует каталога на основе отношений родитель Ч и обеспечивает API для запросов на доступ к каталогу Х Уровень базы данных Ч уровень абстрагирования между базой данных и программы никогда не обращаются напрямую к базе данных только через уровень базы данных.
Х Extensible storage engine (ESE) ядро базы данных Active Directory, работаю щее непосредственно с отдельными записями различает объекты но атрибуту составного имени.
Х Хранилище данных (файл базы С ним работает только ядро базы данных Ч ESE. Обращаться к этому файлу можно 46 ЧАСТЬ 1 Служба Active Directory служебной программы командной строки (Чтобы наладить доступ к Netdom, Вам придется установить служебные программы, в папке на компакт-диске с системой Windows 2000 Для этого достаточно дважды Setup. Подробнее об установке и исполь зовании служебных программ Windows 2000 и справочной системы про грамм Microsoft Windows 2000 - в файле Sreadme.doc в этой же папке.) Подробнее об использовании служебной программы Ntdsutil Ч в приложении В Ч служебная программа диагностики Active Directory и в главе и устранение неполадок, а также Active Directory, а также Ч в справочной системе служебных программ Windows 2000.
Клиенты получают доступ к Active Directory по одному из перечисленных далее и предоставляемых Active Directory механизмов.
Х LDAP/ADSI. протокол LDAP, используют его для доступа к агенту системы каталогов. LDAP также применяется в ядре ESE, встроенном в Microsoft Exchange Server версии 5.5 (и более ранних) и зуемом приложением для обмена сообщениями между клиентами и серве ром и для обеспечения коллективной работы. Active Directory поддерживает (RFC 2251) и LDAPv2 (RFC 1777). Клиенты под управлением Win dows 2000 (а также под управлением Microsoft Windows 98 или Microsoft Windows 95 с установленным компонентом клиентского доступа к Active Direc tory) подключаются к агенту системы каталогов по протоколу LDAPv3. Интер фейсы службы каталогов Active Directory (Active Directory Service служат для от LDAP API, предоставляя для взаимодействия с Active Directory. Однако нужно иметь в виду, что в Active Directory используется только LDAP. LDAP API является частью WIdap32.dll.
Х MAPI. При обмене и коллективной работе клиенты Microsoft Outlook к агенту системы каталогов по вызова уда ленных процедур MAPI через интерфейс средства доступа к Адресной книге (Address Х SAM. Клиенты под управлением Windows NT 4.0 или более ранних версий под ключаются к системы каталогов (directory system agent, DSA) через ин терфейс SAM. Репликация с резервных контроллеров в домене ного режима также через интерфейс SAM.
Х REPL (репликация). В процессе репликации каталогов агенты систем катало гов Active Directory взаимодействуют Агент системы каталогов Агент системы каталогов (directory system agent, DSA) Ч это процесс, который обеспечивает доступ к хранилищу физическому месту хранения базы данных службы каталогов на жестком диске. DSA процесс сервера, который запускает экземпляр службы каталогов. После (привязки) к DSA через один из доступных интерфейсов клиенты могут проводить считывать или записы вать объекты и их атрибуты в Active Directory.
имен Active Directory разбито на разделы. Это позволяет отдельным контроллерам домена не хранить полный каталог. Каждый DSA содержит по край ней мере один раздел каталога Windows 2000 с данными своего домена как ГЛАВА 2 Хранение данных в Active Directory учетные записи пользователей, групп и и два раздела каталога с данными, относящимися ко всему лесу, а именно схему и Далее перечислены и описаны функции, уровнем DSA, Идентификация объектов. У каждого объекта Active Directory есть уникальный в глобальном масштабе идентификатор который связан с сколькими формами строкового имени объекта (имя учетной ей в SAM, имя пользователя, а также с иден тификатором безопасности. Эти имена объекта и идентификатор безопасности не постоянны и могут изменяться, поэтому для создания постоянных ссылок на объект применяется Имя объекта служит для отображения в графическом терфейсе и представления его места в иерархии;
идентификатор безопасности ну жен для управления Агент каталогов (DSA) поддерживает вза имосоответствие между GUID объекта и его именем и идентификатором безопас ности при их изменении.
Реализация изменений схемы. В среде с несколькими хозяевами изменение объек та схемы в реплике вызвать его несогласованность с уже существу ющим объектами этой же реплики, а также с объектами других реплик. В Win dows 2000 изменение схемы выполняется в монопольном режиме как операция оди хозяина, поэтому, если не вызывает конфликта в данной репли оно считается приемлемым и всех остальных реплик. По этой причине в репликации изменений никакая проверка схемы не проводится и не но ждать завершения репликации созданием экземпляра нового класса или атрибута, Реализация управления доступом. Агент системы каталогов контролирует безопасности в каталоге. идентификаторов в маркере считываются на уровне DSA.
Поддержка репликации. DSA уведомления репликации. Для кор ректной работы службы каталогов требуется, чтобы абсолютно все объектов в обязательном порядке через соответствующую процедуру службы каталогов.
Перенаправление. DSA управляет об каталогов (иногда которую получает от уровня базы данных. Агент системы каталогов отвечает за перекрестные ссылки на объекты домена Active Directory вверх и вниз по иерархии, а также на другие иерархии Уровень базы данных базы данных (database layer) обеспечивает объектное представление инфор мации базы данных в соответствии с семантикой схемы, таким образом скрывая от уровней службы каталогов строение системы базы данных.
базы данных является внутренним интерфейсом, и запросы на доступ к базе ных никогда попадают непосредственно в ESE они обязательно проходят рез уровень базы данных, Directory иерархическое пространство имен, в котором объек ты идентифицируются по их именам (distinguished name). Индивидуаль ный атрибут или составное имя (relative distinguished name, в пределах родительского контейнера объектов.
имя объекта создается на основе его относительного составного имени и 48 ЧАСТЬ 1 Служба каталогов Active Directory родительских объектов. В базе данных хранятся относи тельные составные имена каждого из объектов вместе со ссылкой на родительский объект. этим ссылкам, уровень базы данных объединяет инди видуальные имена и формирует составное имя.
Данные, полностью объект, существуют в виде набора атрибутов, хранимых в столбцах базы данных. Уровень базы данных обеспечивает создание, поиск и удаление записей, отдельных атрибутов и их значений. Для получения све дений об атрибутах он использует кэш схемы (структуру в в составе аген та системы каталогов). Подробнее о кэше схемы Ч в главе 4 Схема Active Direc Подробнее о составных именах и относительных составных именах - в гла 1 Логическая структура Active Directory.
Extensible Storage Engine Работа Active Directory на механизме па Sequential Access Method, ISAM) Ч версии базы ESE, исполь зуемой для обмена сообщениями и автоматизации коллективной работы R Mic rosoftо Exchange Server версии 5.5. В Windows 2000 эта база данных находится в файле Escnt.dll.
В ESE хранятся все объекты Active Directory. Ядро ESE способно поддерживать базу данных объемом до Тб, то есть многие объектов в расчете на домен.
Примечание При базы количество объектов достигало 40 мил лионов па Далее характеристики ESE, которые позволили использовать его для хранения данных Active Directory:
Х ESE в службе каталогов и хранилище данных в Exchange Server версии 5.5;
Х поддержка индексации;
Х поддержка многозначных атрибутов;
Х поддержка механизма обеспечивающего устойчивость и целостнос ти данных при сбоях;
Х поддержка горячего архивирования во время работы контроллера домена;
Х поддержка (sparse) строк Ч то есть таких, в которых у многих свойств нет значений.
В схеме Active Directory определены все обязательные и дополнительные атрибуты объектов. При хранении объектов ESE резервирует память только для имеющих определенное значение, а не для всех допустимых атрибутов объекта. На пример, если в схеме определено, что у объекта Ч 50 атрибутов, а у реально существующего объекта этого типа заданы значения только четырех атрибу тов, то память выделяется только для хранения этих а тельный объем памяти будет выделяться по мере появления новых значений.
В Esent.dll поиск и просмотр результатов поиска в базе данных. Кро ме того ESE может хранить атрибуты со многими значениями. Например, нуж создавать атрибуты, если Вы несколько номеров телефонов для пользователя.
ГЛАВА 2 Хранение данных в Active Directory Протоколы и интерфейсы Active Directory На схеме архитектуры Active Directory 2-3) показаны способа к Active Directory: (Lightweight Directory Protocol, Active Directory Interfaces), (репликация), SAM (Security Accounts и MAPI (Messaging API). В них используются наборы протоколов и функций API-интерфейсов для связи со службой каталогов. В 2-1 пере числены API-интерфейсы, Active Directory, которые ки могут использовать, для взаимодействия с Active Directory и ее ресурсами.
Таблица 2-1. API-интерфейсы Active Directory Имя API Описание LDAP С API В соответствии с документом RFC 1823 для LDAPv3, API API-интерфейс языка С протокола ADSI с Directory, который скрывает протокола LDAP. ADST доступ к службам и Directory из каталоги приложений. ADSI поддерживает программирования, в том числе Visual Basic", С и ADSI также тупен из сервера сценариев (Windows Script Host, MAPI API-интерфейс обмена сообщениями, поддерживаемый для совмести мости г и Адресной книги (Outlook Address Book) Windows NT 4.0 Функции сетевого API системы NT 4.0 (Net с клиентами управлением Windows NT 4,0 для к Active через SAM SAM API-интерфейсы с прикладного DSA Для взаимодействия с Active Directory эти API применяют способы доступа, санные в таблице 2-2.
Таблица 2-2. доступа к Active Directory Способ доступа Описание LDAP протокол, Active и 2251 и RFC MAPI Directory IP-транспорту внутри и между сайтами по Протокол репликации, в Active Directory для реплика протоколу SMTP на базе сообщений IP-транспорту только между сайтами (Simple Mail Transfer Protocol) Подробнее об удаленном вызове процедур (RPC) Ч в книге TCP/IP. Ресур сы 2000 (Русская Редакция, LDAP LDAP (Lightweight Directory Access Protocol) - это и и API, что обусловлено как моделью клиент-серверного механизма службы гов, так и которая определяет природу объектов служ бы каталогов на базе 50 ЧАСТЬ 1 Служба каталогов Active Directory LDAP - основной протокол Active точнее, это единственный протокол обмена, который Directory поддерживает. Это предпочтительный и наибо лее популярный способ с Active Directory. API ет доступ к протоколу a Active Directory, рабо тающий по протоколу LDAP.
Примечание LDAP Ч это протокол обмена (wire protocol): он управляет инкапсу ляцией и пересылкой запросов между клиентом и сервером.
Протокол LDAP Протокол службы LDAP способ связи каталогов. Он работа ет поверх TCP/IP или протоколу без создания соединения. LDAP позволяет клиентам запрашивать, создавать, обновлять и удалять хранимую в базе данных службы каталогов по TCP-соединению через стандартный порт 389.
Первоначально LDAP применялся в клиентской части каталогов на базе считается промышленным стандартом, он годен для любой службы ката логов, поддерживающей протокол LDAP (в том числе и в Active Directory). Active Directory поддерживает стандарты LDAPv2 (RFC и (RFC Примечание Active Directory в Windows 2000 не поддерживает протоколы Х. [которые включают Directory Access Protocol (DAP), Directory System Protocol (DSP), Directory Information Shadowing Protocol и Directory Binding Management Protocol (DOP)]. LDAP поддерживает наиболее важные фун кции, существующие в DAP, и работает поверх TCP/IP, создавая ных издержек на при пересылке по TCP/IP. Эта лупаковка необходи ма для протоколов OS1.
Подробнее о TCP/IP Ч в книге TCP/IP. Ресурсы Microsoft Windows (Русская Редакция, 2001).
Модель службы каталогов LDAP Служба каталогов LDAP базируется на модели клиент Ч сервер: данные, из ко торых и состоит дерево каталогов, хранятся на одном или нескольких к которым обращаются для информации или вы полнения определенных операций. В ответ на клиентский запрос может вы полнить затребованные действия или, если это невозможно, перенаправить клиент на другой удовлетворить запрос. При подключении к оп ределенному дереву LDAP-каталогов совершенно неважно, с каким сервером LDAP клиент;
имя не от сервера Ч все серверы ссылаются на один и тот же объект [иногда его называют (entry) в LDAP]. Это важное свойство глобальной службы каталогов.
LDAP Информационная модель LDAP базируется на записях, которые содержат инфор мацию об объектах (например, пользователях или компьютерах). В Active Directory называются объектами. в свою очередь, состоят из атрибу тов, у каждого из которых имеется свой тип и одно или более значений. Форма допустимых значений атрибута в его синтаксисе (например, строка сим волов Unicode, двоичное значение, число типа integer и т. п.).
ГЛАВА 2 Хранение данных в Active Directory Далее основные характеристики протокола Х протокол работает поверх TCP в случае с ем соединения (обязательное подтверждение получения или поверх для транспорта без Х большинство передаваемых по протоколу данных имеет вид строк пример, имена);
Х клиенты могут получать в ответ на свой запрос на другие сер веры;
Х для обеспечения функций с LDAP пользуются механизмы (Simple Authentication and Security Layer);
Х формат значений атрибутов и составных имен можно к стандартному формату, набор из 10 646 символов Х протокол разрешено расширять для поддержки новых а расшире ния существующих операций допустимо элементы управления;
Х для клиентов схема публикуется в атрибуте корня rootDSE. (Подробнее о схе ме - - в главе 4 Схема Directory. Подробнее о корневом объекте rootDSE Ч в в этой главе.) Подробнее о протоколе Ч на Web-странице Web по адресу ссылка RFC, далее ссыл ки 2251 Directory Access Protocol RFC 2252 e Syntax Definitions, RFC 2253 Representation of RFC The String Representation of LDAP Search RFC LDAP URL RFC 2256 A Summary of the X.500(96) Schema Use with и RFC 2247 Using Domains in LDAP/X.500 Distinguished Names. Подробнее об относящихся к LDAP RFC Ч в Б Документы RFC, относящиеся к протоколу LDAP.
Различия между LDAPv2 и перечислены функции, обеспечиваемые но не поддерживаемые токолом LDAPv2:
Х использование формата UTF-8 во всех строковых атрибутах для ширенных наборов символов. Ответы на запросы клиентов Active Directory во i в формате UTF-8;
Х атрибутов, поддерживаемых каталогом для своих нужд для регистрации даты и времени измене другого атрибута);
Х перенаправления (referrals), которые позволяют серверу переадресовать на другой сервер, где может находиться нужная ему информация. LDAP-сервер возвращает клиенту если не в состоянии выполнить но знает, какой из серверов способен это сделать;
Х публикация схемы в каталоге, что позволяет клиенту узнавать, какие классы объектов и атрибуты поддерживает Х дополнительные управления для в том числе сортировка и по просмотр а также клиентом элементы управления и сортировкой;
52 ЧАСТЬ 1 Служба каталогов Active Directory Х степень безопасности, механизмом SASL;
Х расширение перечня операций версии протокола.
совместимость с Обязательное требова к серверу клиентов LDAP API В отличие от большинства других протоколов Интернета, протокол облада ет API-интерфейсом, упрощающим создание приложений для Интернета. LDAP API Ч это интерфейс на языке С для протокола LDAP. В RFC 1823 описаны интерфейсы LDAP API, которые должен поддерживать клиент, чтобы со службой каталогов, LDAP, Это набор относительно функций, как так и асинхронные запросы к серверу.
Microsoft реализовала в файле Wldap32.dll, который также называют LDAP С или LDAP. написанные в LDAP, совместимы только со службами каталога LDAP. предоставляющий терфейс к Active размешен поверх LDAP и представляет собой самый простой в использовании способ к Active Directory по этому протоколу. Тем не менее для обеспечения доступа к каталогам Active Directory также полностью поддерживает LDAP API-функции.
Подробнее о LDAP API и программировании в LDAP Ч на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK. о LDAP Ч в главе 3 Разрешение имен в Active Directory*. Подробнее о схеме в главе Схема Active (Active Directory Service Interfaces) Ч основной и рекомендуемый API-ин терфейс Active Directory. представляет объекты каталогов Active Directory в виде СОМ-объектов, а управление объектом осуществляется с использованием ме тодов ADSI (ADST providers) представляют объек ты ADSI в соответствующем пространстве имен, то есть они преобразуют вызовы к API конкретной службы каталогов.
Провайдер ADSI LDAP Провайдер ADSI LDAP на клиенте ADSI и обеспечивает доступ к Active Directory и/или другим службам LDAP-каталогов. Он совместим с любыми LDAP-серверами, которые поддерживают по крайней мере LDAPv2. Кроме бы каталогов Active Directory в Windows 2000, обеспечивает дос туп к:
Х Netscape Server;
Х Exchange Х Microsoft Commercial Internet System Address Book Server;
Х of Michigan Stand-alone LDAP Directory (SLAPD) Server;
Х другим серверам каталогов Интернета Ldap.yahoo.com).
ГЛАВА 2 Хранение данных в Active Directory Примечание поддерживает доступ к каталогам Microsoftо Windows NTо версий 3.x и 4.0, связь с основными и кон троллерами Windows NT 4.0. Другие провайдеры содержат NDS для тупа к каталогам Novell Directory Services, Ч для к катало гам Novell NetWare версий 3.x и 4.x, и IIS Ч для доступа к каталогам данных в Internet Information Services протоколу HTTP.
Подробнее о ADSI на Web-странице Web Resources no rosoft.com/windows2000/reskit/webresources, ссылка Platform SDK.
Репликация Active Directory Репликация в Active Directory по протоколам транспорта ко торые представлены элементом REPL на схеме Active Directory (рис. 2-3).
Для репликации внутри сайта протоколы тина RPC поверх IP, а для применяются транспортных кола: IP (RPC поверх IP) и Simple Mail Transfer Protocol (SMTP поверх IP).
Примечание В экранных формах Windows 2000 оснастки Active Directory Sites and Services (Active Directory Ч сайты и службы) все типы подключе ний отображаются как RPC, а подключения Ч как IP (RPC поверх IP) или SMTP (SMTP поверх IP). Такое правило различать и транспорты типа поверх IP.
разрешается планировать (то есть создавать рис писание репликации), а реплицируемые данные Б этом случае сжимаются. Для реп ликации в пределах сайта всегда используется RPC, а пересылаемые данные не сжимаются. Таким образом, существуют три типа для катало гов Windows:
Х надежная быстрая связь поверх для всех разделов логов внутри сайта);
Х синхронная медленная типа точка точка поверх для ликации всех разделов каталогов между сайтами);
Х почтовая связь (лSMTP IP для репликации только недо менных каталогов между сайтами), На каждом DSA действует отдельный поток, обслуживающий получение (и внесе ние в локальную базу данных) от других серверов по механизму синх ронного (RPC) или (для межсайтовых подключений) транспорта.
Выбор транспорта определен в соответствующих объектах подключения (класс автоматически создаваемых службой проверки знаний (Knowledge Consistency Checker, KCC). Объекты подключения здавать вручную в оснастке Active Directory Sites and Services (Active Directory сайты и службы). И и асинхронные транспорты по механиз му Ч ответ.
Подробнее о репликации в Active Directory Ч в главе 6 Репликация Active Directory, MAPI Для сообщениями клиенты доступ к службе каталогов с помощью MAPI-провайдеров книги (Address Book). Для обеспе 54 ЧАСТЬ 1 Служба каталогов Active Directory доступа уже существующим клиентам Directory поддерживает для ад ресной провайдера (например, для номера телефона Примечание В 2000 MAPI-провайдер книги существует исклю для с например с Outlook.
SAM SAM (Security Accounts Manager) Ч это защищенная управляющая данными учетных записей пользователей и групп. В Windows 2000 учетные записи рабочих хранит в реестре локального компьютера, а учетные записи безопасности контроллера домена Ч в Active Directory. В Win dows и локальные, и доменные учетные записи безопасности находятся в системном реестре.
SAM в смешанном и Windows 2000 поддерживает интерфейсы безопасности Win32 API как в смешан ном, так и в основном режиме.
В доменах смешанного режима, где возможно наличие резервных контроллеров доменов под управлением Windows NT 4.0, SAM под управлением Mic rosoft Windows NT версий или 4.0 подключаются к через интер фейсы SAM API. Последние используются для репликации и проверки подлинно сти по базе данных диспетчера учетных В доменах основного режима нет контроллеров домена под управлением Win dows NT 4.0, но возможны клиенты под управлением Windows 95, Windows 98, Windows NT 3.x или Windows NT Такие клиенты иногда применяют эти же ин терфейсы SAM API для проверки Клиент SAM и сервера в SAM Ч это чтение и запись свойств. В случае учетных записей рабочей станции это чтение и запись в системный реестр. Операции с учетными записями домена выполняются с объектами Active Directory и их свой ствами, хранимыми в столбцах базы данных каталога. Клиент SAM вызывает от крытые процедуры SAM, которые в свою очередь обращаются к внутренним про цедурам, инкапсулирующим RPC. часть работы на сервере выполняется процедурами SAM.
В Windows все операции к учетным записям выполняются запросы из процедур SAM к базе данных учетных записей, хранящейся в реестре. Windows 2000 SAM весьма эффективно выделять дан ные рабочей станции из полной базы данных об учетных записях на контроллере домена и размещать остальные записи в Active Directory, а не в реестре. Логика управления базой данных участников безопасности в ро лью компьютера. На домена Samsrv.dll хранит данные об участниках безопасности в Active Directory, а на остальных компьютерах под управлением Windows 2000 использует базу SAM в реестре.
Доступ к данным учетных записей на контроллере домена Windows 2000 обеспечи вается процедурами, собой часть процесса DSA на сервере. Они называются (in-process) на и обеспечивают чтение и запись объектов каталогов.
ГЛАВА 2 Хранение данных в Active Directory На рис. 2-4 показана схема взаимодействия клиентского и серверного процессов SAM и способ хранения доменных и учетных записей. Здесь для сер SAM различные варианты логики логики, применяе мой по отношению к домена (API каталога), где все учетные записи доменные, и логики, во всех случаях (API реестра), где все записи локальные для Клиент Net API-интерфейса в Windows NT 4. (Открытые процедуры SAM) Сервер Внутренние процедуры инкапсулирующие RPC Samsrv.dll (Закрытые процедуры SAM) Ntdsa.dll (API каталога) База данных База ESE реестра записи Рис. 2-4. Взаимодействие клиентского и серверного процессов SAM и хранение учетных Хранение данных Active Directory храпит данные обо всем лесс, то есть понятия и фактически означают одно и то же. Несмотря на что каталог Ч данные хранятся в одном или нескольких доменах;
при этом обеспечивается тиворечивость данных леса, относящихся ко всем Компьютеры, на кото рых Active называются домена, Кроме того, обеспечивается разбиение на разделы и Active Поскольку Active Directory способна поддерживать десятки объектов, она разбивается на логические сегменты. Для доступности и поддержки со тен тысяч клиентов каждый логический раздел все свои изменения во все остальные контроллеры доменов леса, содержащие реплики этого раздела.
Одни разделы каталога хранят конфигурации и схемы, относящиеся ко все му лесу;
другие Ч данные отдельных доменов, такие, как сведения о 56 ЧАСТЬ 1 Служба каталогов Active Directory лях, группах и Разделы каталогов с данными домена реплициру ются только на контроллеры этого домена. Разделы каталогов с конфигурацией и схемой реплицируются на контроллеры всех доменов. Таким в Active Directory поддерживается логически но распределен ная база данных. Поскольку конфигурация и схема каждого контроллера домена относятся ко всему лесу, контроллер из может перенаправлять зап росы иа контроллеры в любых других доменах, если затребованной информации у него нет. Кроме того, контроллеры домена, выполняющие роль серверов глобаль ного каталога, содержат полную реплику раздела своего домена и частичные реп лики всех остальных доменов леса. Поэтому на контроллере домена Ч гло бального можно поиск любого объекта леса.
Примечание Разделы каталога и база данных существенно различаются. База дан ных Active не разбита на разделы Ч на разделы поделено только дерево каталогов, которое является логическим представлением данных на контроллере домена.
Далее мы перечислим основные моменты распределения данных Active Directory в дереве каталогов.
Данные, относящиеся к данному Х Данные, относящиеся только к данному домену, хранятся в разделе домена.
Х Полная, доступная для записи реплика раздела домена на каж дый контроллер домена, а также на все серверы глобального каталога в этом домене.
Данные, относящиеся ко всему лесу Х относящиеся ко всему лесу, хранятся в двух разделах каталога Ч кон фигурации и схеме. конфигурации Ч это объект наивысшего в разделе конфигурации, а схемы Ч объект наивысшего уровня в раз деле схемы.
Х Полные, доступные для реплики разделов конфигурации и схемы реп на все контроллеры доменов в лесу.
Х В дополнение к полной, доступной для записи реплике отдельного домена (до мена, для которого контроллер является полномочным) па серверах гло бального каталога хранятся частичные только для чтения) реплики всех остальных разделов в лесе. Реплики только для чтения в глобаль ном каталоге называются потому что в них содержатся лишь от дельные атрибуты каждого из объектов.
Примечание При первичной установке Active Directory на компьютер под управ лением Windows 2000 каталог создается (то есть в него дан ные) из всех полных и частичных реплик. Далее реплицируются только изменения каталога (изменения атрибутов, а также и удаление объектов).
Требования к данным, хранящимся в Active Directory Основные к службы каталогов обусловлены объемом и латент репликации. Объекты Active Directory не быть слишком большими, ГЛАВА 2 Хранение данных в Active Directory чтобы не затруднять и не должны изменяться слишком часто, чтобы корректив успевал попасть во все реплики в лесу. Поэтому хранить в Directory объемные а также чаето изменяю щиеся данные.
В общем случае данные, хранимые в Active Directory, должны соответствовать пе речисленным далее требованиям.
Х Данные, на все контроллеры доменов Active Directory представлять глобальный интерес.
Х Данные должны обладать четко определенными атрибутами объектов и их се мантикой.
Х Необходимо, чтобы среднее время жизни данных по крайней мере в два превышало максимальное время задержки репликации (латентность) в лесе (при также учитываются затраты репликацию данных в каталог). Общее правило таково: если данные могут устареть до цикла репликации или вскоре после него, то они не должны в Directory. Ситуация, когда клиенты не успевают обновить данные во время од ного цикла репликации во всем домене, не быть для Х в расчете не должно быть большим, иначе снизится. Значение атрибута реплицируется как отдельный блок данных;
поэтому атрибут размером несколько мегабайт потребует при пе редаче столько же места в буферах как передающего, так и до менов. требования к буферам в некоторых случаях отри цательно сказываются на домена.
Ограничения на объем хранимых данных Теоретически число объектов Active Directory не ограничено. База данных Active Directory тестировалась для 40 объектов. Как показали измерения, вре мя входа в систему отдельного LDAP одинаково как 10 000 объектов, так и для 100 000 и 1 000 000 объектов - то есть при увеличении базы данных бы стродействие службы каталогов падает, по крайней мере, значительно.
Примечание В среде смешанного режима, где имеются резервные контроллеры под Windows NT рекомендуется ограничивать число объек тов участников безопасности до 40 000 в расчете на домен (суммарное число вателей, групп и компьютеров). Такое ограничение определяется базы данных SAM в Windows NT 4.0. Подробнее о емкости базы данных SAM Ч в книге Microsoft Windows 2000 Server Deployment Planning (Microsoft 2000), Соотношение размера объектов и максимальной длины записи в базе данных объект в представлен отдельной записью (или строкой) в данных, а атрибуты находятся в ее столбцах. Как исключение, значения некоторых атрибутов хранятся отдельно в виде ссылок. Длина записи базы ограничен 800 нессылочными* значениями атрибутов (то есть ссылочные атрибуты не учитываются). о ссылочных атрибутах - в разделе Ссылочные атри далее в этой главе.) Размер объектов вызывает проблем, если в разделе Требования к данным, Active Directory в этой главе.
58 ЧАСТЬ 1 Служба каталогов Active Directory Примечание Для повышения контроллера домена рекоменду ется размещать файлы системы Windows 2000, файл данных Active Directory и журналы па дисках. (Подробнее о работе с дисками сервера. Ресурсы Microsoft Windows Редакция, 2001). Подробнее о размерах страниц базы данных Ч на Web-странице Web Resources по адресу reskit/webresources, ссылка Microsoft Platform SDK.) Сбор При удалении объекты не удаляются из базы - служба катало гов удаляет их атрибутов, а отмечает объект как (tombstone). Тэг захоронения партнеры репликации о том, что объект Захороненные объекты переносятся в контейнер Objects, где они остаются, пока процесс сбора мусора не удалит их окончательно. Таким образом, используется для удаления объектов.
мусора (garbage collection) Ч это вспомогательный выполняющий ся на каждом контроллере домена. Он регулярно (по умолчанию каждые 12 часов) удаляет объекты, ставшие службе каталотов.
Сбор выполняет следующие задачи:
Х удаляет объекты;
Х файл базы данных.
мусора можно задавая два значения. Это - атрибуты объекта >:
Х жизни объекта (tombstone lifetime) определяет время в ча сах, когда объект существует в каталоге в виде захороненного, пока его не унич тожит процесс сбора Это значение в атрибуте tombs его по Ч 60 дней, а наименьшее Ч 2 дня;
Х период (garbage interval) задает частоту проверки нали чия и удаления захороненных объектов в базе данных и атрибутом По мусора проводится каждые 12 часов, а допустимое атрибута 1 час. Период нужно настраи вать так, чтобы своевременность репликации объектов.
Примечание Если этих двух атрибутов не задать, система присвоит им умолчанию (начальное состояние системы). При попытке установить меньшие в схеме, система все равно присвоит атрибуту наименьшее допустимое значение.
Очень важно, чтобы жизни захороненного объекта было боль ше средней репликации. Интервал между циклами удаления захоро объектов должен по крайней мере превышать максимальное время распро странения данных по всему лесу. Поскольку время жизни захороненного объекта отсчитывается от момента его логического удаления, а не от времени получения сервером реплики с удаленным объектом, объект уничтожается процессом сбора ГЛАВА 2 Хранение данных в Active Directory мусора одновременно на всех серверах. Если на какой-то из серверов реплика с объектом не тот не сможет узнать об и изменить свою базу данных. Аналогично при из архива, которого время жизни объекта, на контроллере домена будут отсутствовать записи о некоторых удаленных что баз данных контроллеров домена.
Максимальный интервал сбора мусора равняется 1/3 времени жизни захоронен ного объекта (в часах). Таким образом, если значение равно дням и то фактический период мусора ставит всего лишь 10 или 240 часов.
Для просмотра и изменения значения этих атрибутов по умолчанию можно вос пользоваться программой ADS1 Edit. Далее показано, как это сделать.
Примечание Чтобы воспользоваться Edit, Вам придется установить служеб программы, хранящиеся в папке на компакт-диске с операцион ной Windows 2000 Server. Для этого достаточно дважды щелкнуть значок Setup в этой папке. об установке и использовании служебных программ Windows 2000 и системы служебных программ Microsoft Windows - в файле R этой же папке.
Просмотр или редактирование значений атрибутов в ADSI Edit В Start (Пуск) выберите Programs (Программы), Win dows 2000 Support Tools, Tools, а затем щелкните ADSI Edit.
2. Если в не Вам раздел, щелкните кнопкой мыши значок Edit ADSI (корень дерева консоли) и в контекстном меню выберите Connect to.
3. Если в Connection не отображен Вам компьютер, в разделе puter щелкните переключатель Select or type a domain controller и или введите имя компьютера.
4. В разделе Connection Point переключатель в положение Naming Context.
5. В Naming Context щелкните раздел каталога и затем ОК.
Примечание В поле Name отображено Вами раздела ката лога. Вы можете заменить его более информативным именем.
6. Перейдите к нужному Вам объекту.
7. В Properties в поле Select which properties to view выберите со списком одно из значений Optional, Mandatory или Both.
8. В списке Select a property to view выберите нужный атрибут.
9. Чтобы изменить значение атрибута, введите повое значение в поле Edit Attribute.
10. Щелкните Set, а затем ОК.
При работе со свойствами новое значение, введенное в поле Edit Attribute, вступит в силу только после нажатия кнопки Set.
60 ЧАСТЬ 1 Служба каталогов Active Directory Подробнее об и Active Directory - в главе хивирование и восстановление данных Active Directory. о Ч в главе 6 Active Directory.
базы данных При обновлении файла данных система применяет самый быстрый способ, но он не самый с точки использования места на диске. Оптимиза ция хранения данных обеспечивается механизмом дефрагментации который реорганизует и сжимает данные. файл базы можно сред ствами Ntdsutil, причем как когда компьютер выполняет фун кции контроллера домена (в подключенном так и когда компьютер ра ботает как изолированный сервер (в Дефрагментация в подключенном ESE на компьютерах, работающих в качестве кон троллеров домена. При этом оптимизируется размещение страниц в файле данных, но пространство в файловую систему не возвращается. ESE регу лярно запускает механизм дефрагментации после сборка мусора. Такая освобождает но не размер файла базы данных.
Только Дефрагментация в состоянии позволяет получить пред ставление о занятом файлом базы данных.
Дефрагментация в автономном состоянии Чтобы вернуть освобожденное в файловую систему, необходимо выпол нить в состоянии. Она осуществляется в режиме вос становления служб каталога, когда компьютер перезапускается как изолированный сервер и выполняет функции контроллера домена. В этом режиме для дефрагмен тации файла Ntds.dit можно воспользоваться утилитой Ntdsutil. В процессе дефраг ментации копия файла базы данных помещается в ка талог. После этого надо заархивировать оригинал Ntds.dit и перенести в текущий рабочий каталог. (Подробнее об использовании Ntdsutil для выполнения дефрагментации в автономном состоянии в главе Выявление и устранение неполадок, а также Active Directory, в В служебная программа диагностики Active Directory, а также в спра вочной системе Microsoft Windows 2000 Support Tools.) Дефрагментацию в автономном состоянии используют также для изучения увели чения объема базы данных начальной и копий файла. Например, на установленном контроллере домена после пол ной загрузки объектов и дефрагментации файла базы данных в автономном режи ме разница в объеме этих файлов точно покажет пространство, занятое новыми объектами.
Можно заставить DSA в течение сборки мусора записывать в журнал службы ката логов сведения о какой объем дискового пространства освободится при деф в отключенном состоянии. Для этого надо изменить значение пара метра Collection в разделе реестра ГЛАВА 2 Хранение данных в Active Включение регистрации сведений об объеме дискового пространства, которое будет освобождено в авгономном режиме 1. В меню Start Run (Выполнить).
2.
или 3. ОК.
4. В системного найдите раздел 5. Дважды параметр Garbage Collection.
6. В введите 1 в поле Data (Значение) или в Rcgedit.exe введите 1 в поле Data value (Значение).
7. Щелкните ОК и закройте редактор реестра.
Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от управления редактор реестра обходит средства защиты, не допускать ввода конфликтующих параметров, а также снизить быстродействие системы или разрушить ее. Не исключено, что по следствия прямого редактирования реестра окажутся не такими, как Вы и, возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон Windows 2000 рекомендуется использовать Control Panel (Панель или Microsoft Management Console (Консоль управления Microsoft).
Перед реестра делать резервную копию. Подробнее о редактировании параметров реестра Ч в справочной системе редактора реестра.
Подробнее о реестре Ч в техническом руководстве Technical Windows 2000 Professional Resource Kit (файл Regentry.chm) Чтобы файла базы данных в автономном состоянии запустите контроллер домена в режиме службы каталогов.
Загрузка контроллера домена в режиме восстановления службы каталогов 1. В процессе начальной момент выбора операционной системы те F8, чтобы выбрать дополнительные варианты загрузки.
2. В меню Windows 2000 Advanced Options (Memo дополнительных вариантов загрузки Windows 2000) с помощью со выберите Directory Services Restore Mode службы каталогов) и нажмите Enter.
Следуйте далее по Х пользуйтесь дефрагментацией в когда известно, что объем базы данных уменьшился если сервер глобаль ного каталога в ранг контроллера домена) или если тре буется освободить пространство для других целей;
62 ЧАСТЬ 1 каталогов Active Directory Х сохраняйте исходный файл до успешной перезагрузки до с данных и удаляйте его, только в и файла данных.
Подробнее о в состоянии Ч в главе 10 Выявление и а также восстановление Active влияние добавления определенного набора объектов на объем базы данных, имейте в виду следующее:
Х сразу (или спустя после добавления новых объек база данных находится во состоянии, поэтому оценить пространство, занимаемое ими невозможно;
Х с в состоянии не размер файла базы данных это происходит только R в отключенном состоянии;
Х если параметр сбора мусора установлен в единицу, то узнать об кото рый освободится в автономном состоянии можно в жур службы каталогов, открыв его в окне Event Viewer (Просмотр событий).
Оценка увеличения объема данных Active Directory при добавлении пользователей и подразделений В этой рассказывается об и оценке среднего размера объектов Directory. Сначала исследовался размер стандартного файла Ntds.dit сразу повышения роли сервера до контроллера Ntds.dit увеличивается фиксированными порциями, занимая отдельные страницы, что позволяет избежать разбиения. Поэтому при добавлении объек тов размер базы данных кажется больше, чем на самом деле.
Размер открытого файла базы обновляется. Так как Active Directory дер жит этот файл постоянно открытым, а также потому что в подключенном состоя файл базы данных никогда не сжимается, контроллера доме на сведения о размере файла, предоставляемые Windows 2000, всегда преувеличе ны. сведения о наличии пространства на диске отображаются Таким образом, вычтя его Вы можете узнать фактический размер файла.
Чтобы оценить размер данных вместе с индексами включите в реестре регистрацию в журнале сведений о дисковом пространстве, которое может быть освобождено при дефрагментации (см. инструкции Включение регистрации сведений об объеме дис кового которое будет в автономном ре жиме ранее в этой главе) и утилитой для базы данных в автономном состоянии. (Подробнее об использовании Ntdsutil для выполнения дефрагментации в автономном режиме Ч в главе Выяв ление и устранение неполадок, а также восстановление Active Directory и приложе нии В Ntdsutil.exe служебная программа диагностики Active В таблице 2-3 показан средний объем, занимаемый записями под и атрибутов. Вам эти числа пригодятся при оценке размера файла базы ГЛАВА 2 Хранение данных в Active Directory Таблица 2-3. объем дискового пространства, необходимого для хранения отдельных объектов Active Directory Объект Приблизительный объем дискового пространства Кб Атрибут (10 байт) 100 байт Исследование размера базы данных каталога Мы исследовали размер базы данных двумя способами. Первый способ таков: в множество объектов и контролируется ние ее объема в зависимости от типа объектов. Во второй серии испытаний загру жалась типовая база содержащая объекты пользователей и и общие файлы;
в в нее добавлялись новые записи порциями 100 000 что позволило оценить размер базы в небольших, сред них и крупных компаниях.
В большинстве загрузка проводилась в несколько Сначала мы создавали базу данных и в загружали объектов, после чего выполняли базы данных в автономном режиме. этом определялся объем и копий.
щую мы загружали во копию.
загрузке одинаковых объектов мы как увеличивается размер ба данных по возрастания длины атрибутов. Поскольку ядро Storage Engine, ESE) выделяет намять только для атрибутов с данными число таких атрибутов влияет на место, тое объектами. В испытаниях с объектами и чения присваивались только атрибутам. Чтобы служба каталогов объект, его атрибутам задать хотя бы одно чение. Ниже показано, как атрибутов влияет на размер объекта.
Поскольку объекты чрезвычайно важны а развертывании гов, знать увеличится объем базы данных при том или ином числе пользователей. В процессе исследования загружалось 500 000 объек тов порциями но 100 000 единиц (таблица 2-4).
Таблица 2-4. Рост базы данных по мере добавления новых пользователей база данных база данных Объем Число Объем базы Прирост, кб Число байт кб прироста в базы Кб прироста в данных, на расчете на шт Кб одного пользователя Ч 516064 505 808 5 179 364 560 354 304 3 200 000 899 088 383 024 356 1 079 300 000 1 294 352 395 1 435 400 000 1 675 280 380 928 356 352 3 1 356 500 000 2 060 328 385 64 ЧАСТЬ 1 Служба каталогов Active Directory Итак, объем растет линейно: приблизительно па 385 000 кб при загрузке очередной порции для файла и около 000 кб Ч для Единственное исключение - первых 100 000 объектов: размер фай ла на существенно большую величину (примерно 000 кб).
Между временем 000 объектов и провер кой размера файла на следующий день система провела в подклю ченном состоянии и оптимизировала объекты данных, освободив место для новых объектов, но не сократив размер файла. Поэтому размер файла намного больше файла с загруженной следующей порцией 100 тов. Увеличение файла не сильно отличается от Для загрузки в базу данных 500 000 пользователей (только с обязательным набором атрибутов) приблизительно 1,8 Гб. Чтобы определить место, занятое од ной пользовательской записью, требуется вычесть свободное пространство, а затем поделить объем занятого дискового пространства на число пользователей. В нашем случае эта величина составила 3 649 байт. Объекты занимают боль ше места, чем другие объекты, так как содержат много обязательных атрибутов.
Подразделения Поскольку информация в Active Directory организована виде иерархии подразде лений, мы попытались определить, как увеличение числа под разделений влияет на размер базы данных. этих приведены в таблице 2-5.
Таблица 2-5. Росг базы данных по мере добавления новых подразделений база данных база данных Прирост, Число байт Объем базы Прирост, кб Число байт объектов базы Кб прироста в данных, кб прироста в данных, расчете на расчете на шт. одно подраз- одно подраз деление деление 0 - Ч 1 049 0 4 136 1 8 000 1 311 1 24 592 1 468 1 1 398 1 2 048 1 348 1 1 1 Итак, рост базы данных подразделений линеен. Объем, занимаемый одним подразделением, равен 1 049 байт.
Добавление атрибутов В серии испытаний в объекты добавлялись значения дополнительных строковых атрибутов - от одного до десяти. значений ат рибутов составляла символов, ГЛАВА 2 Хранение данных в Active Directory Испытание проводилось с базой, содержащей объектов с набором только атрибутов. Роль сервера понижали до рядового сер вера, затем снова назначали его контроллером домена, и на него повторно загружали объектов на сей раз с одним дополнительным атрибутом. Процесс повторяли для двух, трех и атрибутов.
Результаты в таблице 2-6.
Таблица 2-6. Рост базы по мере добавления новых дополнительных база данных база данных Число Объем Число байт Объем базы Число байт Число байт данных, кб в расчете на данных, кб в расчете на в расчете на тельных одного одного один атрибут атрибутов _ 0 522 256 364 1 4 130 364 560 2 4 130 364 560 |) 3 485 392 382 992 3816 i 663 568 405 520 5 698 384 405 520 -;
i 706 576 7 129 407 ;
704 528 7 108 444 432 ;
8 702 480 444 432 Хч< 9 497 680 444 432 !') 497 680 444 ] ! 497 680 444 На отдельных этапах шаг прироста базы данных существенно больше обычного. Это обусловлено тем, что ESE выделяет место для новых стра ниц. В базе таких объема данных не наблюдалось, Рост файла линейный и в этом случае. Один дополнитель ный атрибут длиной 10 символов размер объекта примерно на Подробнее об объемом и емкостью Active Directory - в книге rosoft Windows Server Deployment Planning (Microsoft Press, 2000), a также на Web-странице Web Resources по адресу ссылка Microsoft Windows 2000 Server.
Хранение данных в SAM Windows В Windows NT 4.0 как контроллеры домена, так и рабочие станции хранят учетные записи участников безопасности в базе данных SAM, который в свою очередь раз мещает постоянные (persistent) данные в реестре. В Windows 2000 такие учетные записи хранятся не в реестре, а в Active Directory;
диспетчер учетных записей бе зопасности сохранен для совместимости с доменами и приложениями, в нем SAM также используется на компьютерах под управлением Win dows 2000, контроллерами и ответственных за дан о локальных записях. Таким образом, SAM управляет учетными за писями участников На контроллере домена данные SAM хранит в Active Directory, а па рабочих изолированных и рядовых серверах 66 ЧАСТЬ 1 Служба каталогов Active Directory в реестре. Диспетчер учетных записей обеспечивает про стейшее разрешение механизм небольших транзакций, и безо пасное базы учетных записей В 2000 возможны два типа учетных записей: станций (workstation accounts) и домена (domain accounts). Диапазон действия учетных записей рабочих которые включают и групповые учетные записи на ра бочих станциях, рядовых и изолированных серверах, одним физическим компьютером, где они расположены. Область видимости учетных записей домена больше и распространяется на все физические компьютеры домена. К примеру, администратор рабочей станции обладает административными привиле гиями только на локальном компьютере (рабочей станции или рядовом сервере), а администратор домена на всех домена.
В Windows NT 3.51 и 4.0 обе категории учетных записей хранятся в базе данных (в реестре). В 2000 контроллеры домена размещают учетные за писи пользователей, групп и компьютеров только в Active Directory;
рабочие стан ции и рядовые серверы хранить учетные записи я базе дан ных SAM. На контроллерах Windows 2000 база данных SAM удаляется и заменяется новой реестра, где расположена сокращенная база данных SAM. Последняя преимущественно в режиме восстановления службы каталогов. При запуске контроллера в режиме в качестве базы данных участников безопасности используется SAM, a Active Directory.
Кроме того, SAM в Windows 2000 следующие Х репликацию записей между контроллерами домена в среде со хозяевами;
Х создание и удаление свойств объектов Х чтение, запись и поиск свойств, определенных в продуктах разработ чиков. (Подробнее о Ч в главе 12 Управление Контроллеры домена под управлением Windows 2000 Server полностью совмести мы с контроллерами домена под управлением Windows NT то есть клиент под управлением Windows NT 4.0 допускается к проверке подлинности на контроллере домена под Windows 2000, а резервный домена под управ лением Windows NT 4.0 может обмениваться с кон троллерами доменов под управлением Windows 2000. В Windows 2000 один контроллер домена под управлением Windows 2000 может (а точнее, эмулировать) роль контроллера домена (выполнять хозяи на эмулятора Подробнее о роли эмулятора PDC контроллером домена под управлением Win dows 2000 Ч в главе 7 операциями хозяина и в книге Microsoft Windows 2000 Server Deployment Guide (Microsoft Press, 2000), а также справочной системе Microsoft Windows 2000 Server.
Особенности хранения данных в доменах смешанного режима В смешанном режиме число ограничено базы данных которая по-прежнему используется для хранения учетных записей на резервных контроллерах На контроллере домена под управле нием Windows NT 4.0 можно разместить 40 000 записей ГЛАВА 2 Хранение данных в Active Directory участников безопасности группы, При объектов базы SAM не уменьшается Ч она становится и содержит Это свободное пространство заполняется (но всегда эффективно) по мере добавления таким реальная емкость базы уменьшается: база уже хранить теоретически можное число учетных записей.
Примечание Применив утилиту Regback к базе данных SAM, Вы освободите сво бодное пространство, но при условии, что объем физической оперативной памяти компьютера по крайней в два раза превышает текущий размер SAM условие продиктовано особенностями работы Regback). о сжа тия базы данных SAM Ч на Web-странице Resources по dows.microsoft.com/windows2000/reskit/webresources, ссылка Knowledge Base (про ведите поиск в Knowledge Base по ключевым словам и Структура SAM И в Windows NT 4.0, и в Windows 2000 SAM хранит доменные учетные Понятие домен в SAM относится либо ко всем учетным на компьютере, либо ко всем учетных записях в Windows. Папка содержит стандартные записи локальных групп [таких, как Admi nistrators Users (Пользователи) и Guests автоматичес ки предоставляемые Windows 2000 на вновь установленных рабочих станциях, сер верах и контроллерах домена. Она включает основные типы учетных записей, по зволяющих оператору добавлять новые учетные записи в или домене, Идентификаторы безопасности (S1D) учетных в папке Builtin во всех копиях Windows 2000 и более ранних систем. Это дает возможность разме щать в списках управления доступом от конкретных доменов стандар тные группы. Поэтому объекты этой папки нельзя изменить.
В Windows 2000 домены содержат такие же объекты, как и в Windows NT 4.0, но у некоторых объектов существуют несколько дополнительных Учетные записи SAM на сервере под управлением Windows 2000 Server, назначаемым контроллерам домена В момент установки Active на компьютер под управлением Windows Server, который назначить контроллером домена, можно новый либо ввести его в состав уже домена (тогда он будет содержать копию домена). В любом случае ветка реестра, содержащая базу данных SAM, удаляется и на новую, версию SAM, участники бе которой будут только при загрузке в режиме ления службы каталогов.
Размещение участников безопасности в базе данных SAM отличается в каждом из случаев. Далее описаны особенности этого размещения.
Х При создании дополнительного контроллера в домене на серне ре удаляются все учетные записи существующей базы данных SAM. Учетные записи данного реплицируются в Active Directory на но вом контроллере домена.
68 ЧАСТЬ 1 Служба каталогов Active Directory Х При создании нового домена учетные записи существующей базы данных SAM по следующим правилам:
Х учетные записи пользователей преобразуются в объекты пользователь в Directory;
Х группы в доменных учетных записях преобразуются в объекты групп в Active Directory с типом Х локальные группы преобразуются в объекты групп в Active Directory с типом локальная. Эти группы сохраняют свои постоянные (STD) и в папке Переход от учетных записей SAM в Windows NT 4.0 к объектам Active Directory Когда контроллер домена под управлением Windows NT 4.0 до Win dows 2000, учетные записи безопасности SAM преобразуются в объекты Active Directory по следующим правилам:
Х учетные записи пользователей (то есть людей) преобразуются в объекты класса User в Active Directory;
Х учетные записи компьютеров Windows NT 4.0 они назывались за писями машины (machine которые представляют устройства, преоб разуются в объекты класса класса, производного от класса User, Ч и видны клиентам более ранних версий Windows как объекты класса user.
(Подробнее о и базовых классах в главе 4 Схема Active Direc По умолчанию после эти учетные записи размещаются в пап ке Computers, хотя нет никак жестких ограничений на их Кон флаг в учетной записи пользователя указывает на ее сервер или рабочая станция, контроллер домена или учетная запись пользователя.
В Windows 2000 сохраняется принятая в Windows NT 4.0 семантика (флаги, ука зывающие на природу объектов, например или пользователь) учет ных рабочих станций;
В оснастке Active Directory Users and Computers Directory Ч и компьютеры) свойство (атрибут) Role (Роль) в учетной запи си компьютера указывает на тип учетной записи. Это свойство отображает зна чение флага Account в свойстве Ч 4096 для сервера или рабочей станции или 8192 для контроллера домена.
Х учетные записи глобальных групп преобразуются в объекты групп в Directory;
Х учетные локальных из доменных записей SAM преобра зуются в объекты групп в Active Directory;
Х учетные встроенных групп из домена SAM группа Administrators в объекты локальных групп домена в Active Directory в папке Builtin. У группы домена Builtin SAM постоянные идентификаторы безопасности, которые сохраняются в Active Directory;
Х учетные компьютеров резервных контроллеров домена представляются так как и учетные записи рабочих станций, за исключением другого значе ния флага, который позволяет их отличить;
ГЛАВА 2 Хранение данных Active Directory Х объекты учетных записей LSA конкретным учетным на рабочей станции. Они хранятся в системном реестре и синхронизи руются между контроллерами домена путем в политику рабочей станции. Но умолчанию политика рабочих станций на контрол лерах одного домена, поэтому объекта LSA вызывает обновление политики рабочих станций на эмуляторе Изменения рабочей станции реплицируется во все остальные контрол леры домена Windows 2000.
Сводные правила преобразования учетных записей SAM в объекты Active Directory при переходе с Windows NT 4.0 на Windows 2000 перечислены в таблице 2-7.
Таблица 2-7. Преобразование учетных записей SAM в объекты Active Directory при переходе с Windows NT 4.0 на Windows Windows NT 4.0 SAM Windows Active Directory Обычная учетная запись Объект класса User Учетная запись компьютера Объект класса Computer, в котором флаг учет ной записи указывает на запись рабочей станции Учетная запись контроллера домена Объект класса Computer, в котором флаг учет записи пользователя указывает на учетную запись сервера Глобальная группа в Объект класса Group, в котором тип группы на глобальную группу группа в Объект класса Group, в котором тип группы ука зывает на локальную группу Локальная в домене Объект класса Group, тип как на локальную группу, так и Builtin Administrators Backup Operators (Операторы архива) и т. п.] Учетная запись доверенного домена Объект домена. (Перенимает роли как входящих, так и исходящих отношений;
для обратной совместимости поддер живается также учетная запись доверенного до класса User.) доверенного домена Обновленный объект доверенного домена Подробнее об особенностях перехода па Windows 2000 Ч в книге Microsoft Win dows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).
Модель данных данных Active Directory построена на базе стандарта и ат (object) Ч это отдельный, набор атрибутов, пред ставляющий что-то конкретное Ч принтер или образом, в Active Directory содержатся объекты, которые представляют разнообраз ные описанные с применением атрибутов (их также ми). Например, атрибуты объекта могут содержать имя, и электронной почты.
Совокупность объектов, возможных в Active Directory, определена схеме. Для каждого класса объектов указаны его атрибуты, которые у ров класса должны быть непременно определены, 70 ЧАСТЬ 1 Служба каталогов Active Directory буты, задание которых а также допустимые классы Ч только объекты таких могут быть родителями ного. В качестве протокола доступа и модификации данных каталогов использует ся Примечание Active Directory не является каталогом поэтому он не поддер живает протоколы Х.500.
Объекты-контейнеры и конечные объекты Конечный (или листовой) объект Ч это объект, у которого дочерних объектов.
Термин контейнер подразумевает хотя бы из двух понятий:
Х объект класса container, Х объект, у которого имеются дочерние объекты.
Выражение Ч это структурный класс объекта что контейнер ные объекты могут создаваться (и храниться) Active Directory. В схеме структур ные классы классы, объектов которых разрешено суще ствование в Active Directory. Другие объекты считаются в общем смысле этого слова (то есть они могут иметь дочерние объекты), по не принадле жат классу container. Например, Ч это контейнерный объект, хотя и относится к классу а не container. У объекта подразделения много обеспечивающих возможности, недоступные контейнеру.
о структурных классах - в главе 4 Схема Active Дерево каталогов Дерево каталогов отображает иерархию объектов Active Directory в данном лесе.
Иерархия использовать имена для передвижения и среди Active Directory, а также область поиска.
Active хранит о родителе каждого из объектов;
у каждого объекта возможно не более одного родителя. На основании этих ссылок Active Directory формирует иерархию объектов - структуру, верши ны которой собой каталога (экземпляры классов объекты), а соединительные линии - родственные (лродитель Ч пото мок) между элементами. Объекты, из которых состоит каталог, организованы в этой древовидной структуре в с правилами схемы, определяющими порядок Например, в схеме указано, объекты каких клас сов могут быть потомками класса, а каких Ч не могут, Ниже перечислены некоторые ограничения и требования к архитектуре дерева ката логов.
Х могут быть потомками только других объектов доменов. Например, домен не может быть потомком подразделения.
Х Корень дерева каталогов называется rootDSE, или RootDSE это мнимый, фигуральный объект, которому не соответствует иерархи ческое имя или класс схемы, по у которого есть набор атрибутов, отображаю ГЛАВА 2 Хранение данных в Active Directory вдих данного контроллера домена. Таким образом, rootDSE Ч пред ставляет корень дерева каталогов с точки зрения текущего контроллера домена.
Х Ниже корня дерева в каждом каталоге находится домен (root domain) Ч первый домен, в данном лесе. У этого домена всегда дочер ний контейнер, называемый конфигурацией. Он содержит сведения о конфигу рации конкретного леса: информацию обо всех службах, сайтах и других доме нах леса. У контейнера конфигурации есть дочерний контейнер схемы. Раздел домена и контейнер конфигурации вместе со своим дочерним контейнером схе мы считаются тремя стандартными разделами каталога Active Directory.
Подробнее об типа родитель Ч Ч в главе 4 Схема Active и главе 1 структура Active RootDSE RootDSE (особый элемент DSA) представляет вершину логического пространства имен контроллера домена и поэтому считается вершиной дерева LDA Р В данном каталоге есть только один но информация, хранимая в корне, относится именно к контроллеру домена, с которым создается Атрибуты rootDSE указывают как разделы каталогов (домен, схема и конфигу рация) определенного контроллера домена, так и на раздел корневого домена леса.
Таким образом, rootDSE является неким данного контроллера мена.
RootDSE публикует информацию о LDAP-ссрвере, в том числе сведения о поддер живаемой им версии протокола (Simple Authentication and Security Layer), управления, а также о составном имени атрибута сервера.
Далее перечислены атрибуты объекта rootDSE. Все еры распознают имена этих атрибутов, но атрибут если функция, обозна ченная им, не Это имя записи которая используется для админи стрирования информации о в частности о поддерживаемых классах тов и типах атрибутов. (Подробнее о Ч в главе Контексты именования каталога), хозяином которых является данный сервер (хранит доступную для записи реплику), или контексты, хозяином которых данный сервер не является (хранит реплики только для чтения).
Этот атрибут позволяет клиенту выбирать для поиска на сервере подходящие ба зовые объекты.
supported Идентификаторы объектов, указывающие на элементы ления поддерживаемые сервером. Этот атрибут отсутствует, если сервер не никаких поддерживаемых сервером механизмов которые обеспечивают выбор процедуры проверки подлинности при создании со единения и (при необходимости) механизма Этот атрибут ет, если сервер не поддерживает ни один из механизмов.
Версии поддерживаемых 72 ЧАСТЬ 1 Служба Active Directory Идентификаторы объектов (известные как которые указывают на дополнительные операции, поддерживаемые сервером. Этот атрибут отсутствует, если сервер не поддерживает никаких расширений. Для серверов Active Directory этот атрибут отсутствует но умолчанию.
altServer. Значения этого атрибута Ч это URL-адреса серверов, к которым можно подключаться в случае текущего сервера. Этот атрибут отсутствует, если серверу неизвестны серверы. Для серверов Active Directory этот атри бут отсутствует по умолчанию.
Кроме описанных операционных атрибутов, Active Directory поддерживает допол нительные справочные атрибуты.
время в обобщенном формате времени.
настройки Контекст именования по умолчанию (раздела каталога) сервера. этого атрибута Ч составное имя раздела для которого данный контроллер домена является schemaNamingContext. Контекст именования (раздел каталога) схемы леса.
Контекст именования (раздел каталога) конфигура ции леса.
имя домена (разде ла каталога), который был первым в данном лесе. Этот домен выполняет функции корня леса.
Поддерживаемые политики LDAP.
Максимальный порядковый обновления (update se quence внесенного в базу данных на данном (Подробнее о порядковых номерах обновления Ч в главе 6 Репликация Active dnsHostName. DNS-имя контроллера домена.
serverName. Полное имя данного контроллера Значение объекта (1.2.840.113556,1.4.800), которое указывает на дополнительные возможности сервера Active Directory, на пример динамическое обновление, интегрированные зоны DNS или политики LDAP.
Имя основного LDAP-сервера, используемого для взаимной проверки подлинности.
Булево значение, информирующее о том, завершил или нет кон троллер домена процесс начальной синхронизации с партнерами репликации.
isGlobalCatalogReady. Булево значение, информирующее о том, готов ли контрол лер домена оповещать о себе в глобального каталога.
Подробнее о rootDSE и его атрибутах на Web-странице Web Resources по адресу ссылка Request for Comments (RFC) и далее - ссылки RFC 2251 и RFC 2252.
Для просмотра rootDSE контроллера домена применяются служебные программы ADST Edit или Ldp.
ГЛАВА 2 Хранение данных в Active Directory Примечание Чтобы воспользоваться Edit, Вам придется установить служеб ные программы, находящиеся в папке на компакт-диске с операци онной системой Windows 2000 Для достаточно дважды щелкнуть зна чок Setup в этой папке. об установке и служебных про грамм Windows 2000 и справочной системы служебных Windows 2000 Ч в файле в этой же папке.
Просмотр свойств с помощью ADSI Edit 1. В ADSI Edit, щелкните правой кнопкой мыши значок Edit ADSI и в контекст ном меню щелкните Connect to.
2. Чтобы подключиться к контроллеру домена, отличному от заданного но умол чанию (контроллер домена, в который Вы вошли), щелкните Select or type a domain or server и введите имя домена или сервера.
3. В разделе Connection Point установите переключатель в положение Naming Context.
4. В поле со списком Naming Context RootDSE и щелкните ОК.
узел G. Щелкните кнопкой мыши папку RootDSE и в контекстном меню выбе рите Properties (Свойства).
7. В RootDSE Properties можно свойства, выби рая их поочередно в поле со списком Select a property to view.
ADSI Edit позволяет просматривать свойства rootDSE только по одному. Чтобы уви деть полный список свойств и их нужно воспользоваться Ldp.cxe служебная программа с графическим интерфейсом, позволяющая выпол нять такие операции как обновление, добав ление и удаление в любых каталогах, в том числе в Active Directory. При к контроллеру Ldp отображает полный список атрибутов rootDSE вместе с их которые хранятся на этом контролле ре домена.
Примечание несколько способов запуска Ldp: выбрать в меню dows 2000 Support Tools пункт Active Directory Administration в диалоговом окне Run (Выполнить) ввести Ldp или вызвать окно командной строки и команду Ldp.
Подключение с помощью Ldp к контроллеру домена и просмотр атрибутов rootDSE 1. В окне Ldp, в меню Connection выберите Connect.
2. В поле Server оставьте имя контроллера домена или введите имя кон троллера домена, к которому требуется подключиться.
3. В Port введите номер используемого порта.
По умолчанию LDAP использует порт 389;
порт 3268 стандартный порт гло бального каталога Active Directory.
4. ОК.
74 ЧАСТЬ 1 Служба каталогов Active Directory показан пример результатов операции подключения Connect. Сведения RootDSE отображены в правой области окна Ldp.
= 389);
Established to Retrieving base DSA Result (null) Hatched DNs:
Getting 1 entries:
Dn:
1> 10/1/1999 15:49:25 Pacific Standard Time Pacific Daylight Time;
1> 1> CN=NTDS CN=Sites, ration, 3> 1> 1> 1> supportedControl:
2> 3;
2;
11> HaxConnections;
MaxResultSetSize;
1> 191396;
2> GSSAPI;
GSS-SPNEGO;
1> dnsHostName:
1> 1> serverName:
1> 1> TRUE;
1> TRUE;
Примечание Значения атрибутов rootDSE можно получить с сервера LDAPv3, за дав базовый поиск с пустым именем и с фильтром (Подробнее о LDAP-поиске Ч в 3 Разрешение имен в Active Подробнее о rootDSE Ч на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK (выполните поиск по ключевому слову Дополнительные элементы ЮАР Windows 2000 управления которые рас ширяют возможности Они созданы для обо гащения функциональных возможностей Active Directory. Эти элементы управле ния поддерживаются текущей соответствующих документов RFC. Root DSE указывает все доступные на элементы управления в виде идентифи каторов объектов (Object identifiers, OID) в атрибуте supportedControl.
ГЛАВА 2 Хранение данных Active Directory Функциональные возможности, предоставляемые дополнительными элементами управления, пригодятся программистам, которые используют для выполнения операций с К операциям, которые можно дополнительных элементов управления, относится удаление деревьев, по просмотр и сортировка поиска, а также отображение уда ленных объектов. (Подробнее об отображении объектов Ч в Разрешение имен в Active Подробнее об использовании элементов управления LDAP Ч на Web-странице по адресу ссылка (выполните поиск но ключевому слову Примечание Идентификаторы объектов элементов управления LDAP необходимы только в LDAP Большинство разработчиков использует ADSI, в котором для выполнения таких же функций другие механизмы, например флаги поиска. Подробнее об использовании ADSI на Web Resources адресу ссылка Mic SDK.
Параметр Range В LDAP многозначный атрибут считывается как единый объект, что иногда созда ет неудобства: числе значений чтение атрибута мает много времени или вообще невозможно. В описании атрибута задать параметр в котором надо указать, что атрибут требуется считывать порциями. Описание атрибута содержит тип атрибута member) и список параметров, среди которых может быть Range. В сообщении-зап росе параметру Range присваивается отсчитываемый от нуля диапа зон (например, 0-9), которые должен возвратить запрос. При определен Range и диапазоне запрос возвратит только из этого диапа Чтобы в Ldp извлечь значения только из определенного диапазона, откройте диа логовое Search (в меню Browse выберите Search) и в нем щелкните В Attributes введите имя атрибута и параметр Range. Имя атрибута и пара метр Range не забудьте заключить в кавычки Это обязательное условие.
Например, чтобы считывать имена членов группы порциями по шесть элементов, в качестве базы поиска введите составное имя группы и наберите в поле следующую строку: Этот поиск возвратит шесть многозначного атрибута указанного объекта.
Подробнее об использовании параметра Range Ч на Web-странице Web по адресу ссылка Microsoft Platform SDK поиск по ключевым словам и Разделы каталога Для обеспечения возможности до десятков миллионов объектов лес разбит на домены. Каждому контроллеру домена Active Directory разрешается быть участником одного домена, а всем контроллерам этого домена Ч одинаковую информацию. Контроллеры разных доменов могут иметь одинаковую конфигурацию и схемы, но данные их доменов отличаются. В такой структуре для 76 ЧАСТЬ 1 Служба каталогов Active Directory распределения пространства данных разделы каталогов, которые также называют контекстами (naming context).
В Active Directory раздел каталога Ч это часть его пространства имен. Каждый раз дел каталога содержит иерархию (поддерево) объектов каталога в дереве катало гов. Один раздел каталога может в виде копий (реплик) на многих кон троллерах домена, при этом посредством репликации.
Поскольку домен задаст как границу безопасностью, так и логическую администрирования, каждый из доменов отображается в отдельный раз дел каталога, что обеспечивает независимую и репликацию объектов, принадлежащих различным доменам. Аналогичным образом информация, относя щаяся ко всему лесу, реплицируется отдельно.
Поддеревья разделов каталогов Каждый контроллер домена содержит три раздела каталога.
Конфигурация содержится в контейнере Configuration, где хранятся объекты кон фигурации всего леса в Обнов ления контейнера, реплицируются во все контроллеры домена в лесе. Объек ты содержат данные о сайтах, службах и разделах каталога. Просмат ривать содержание контейнера конфигурации можно средствами служебной про граммы Edit.
Схема содержится в контейнере Schema, где хранятся определения классов и атрибу тов и допустимых объектов Active Directory в Обновления контейнера репли цируются во все контроллеры домена в лесе. Просматривать содержание контейне ра схемы можно в консоли Active Directory Schema (Схема Active Directory).
Домен содержится в контейнере (например, контейнер Reskit.com ), где хранятся о пользователях, группах и других объектах данного домена Windows 2000 (например, домена Reskit.com). Обновления этого контейнера реплицируются только на контроллеры данного домена и на серверы глобального каталога (при изменении атрибутов, реплицируемых в глобальный ка талог). Данный контейнер отображается в консоли Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Просматривать и уп равлять разделов каталогов домена можно средствами оснастки Active Directory Domains and Trusts (Active Directory домены и доверие).
Каждый каталога представляет собой связанную часть дерева каталогов и начинается в одной точке [она называется (head) и простирает ся либо вплоть до оконечных (ллистьев) узлов (в схеме и конфигурации), либо к заголовкам других, подчиненных разделов каталога (в домене). Поэтому для дого раздела каталога один раздел каталога, расположенный ственно над ним в дереве (за исключением раздела каталога домена в корне леса, выше которого находится только rootDSE), и, возможно, несколько разделов ката лога, расположенных непосредственно под ним. Для разделов каталога домена этот порядок проявляется в иерархической инфраструктуре, рассмотренной в главе Логическая структура Active Directory.
Примечание объект самого уровня в разделе каталога не возможно, другими словами запрещено переименовывать домен и контейнеры схе мы и конфигурации.
ГЛАВА 2 Хранение данных в Active Directory Иерархия разделав Физическое хранилище раздела каталога и его логическое место в дереве катало гов не одно и то же, причем различие На физическом уровне все хранятся в единой таблице данных независимо от раздела каталога, к которому они отнесены на имен. На логическом уровне заголовок раз дела каталога представлен в иерархии именования объектом верхнего уровня -- как контейнеры домена, конфигурации и схемы, у каждого из которых имеется состав ное имя, указывающее на его место в иерархии. Разделы каталогов содержат объек ты, заголовками: содержит объект раздел конфигурации и раздел схемы Ч На рис. 2-5 показана блок-схема иерархии деревьев каталогов вместе с корнем ка талога (rootDSE) и стандартными разделами каталога ниже корня каталога. Во всех лесах Active Directory разделы конфигурации и схемы именно в месте.
О каталога домена в корневом домене леса Деревья доменов Рис. 2-5. Стандартные разделы каталога Active Directory Каждый контроллер домена в лесе содержит полную (реплику) конфигура ции и схемы, которые копируются на компьютер в момент повышения его роли до контроллера домена. Все изменения конфигурации и схемы во все контроллеры домена в лесе. Таким образом данных о сайтах, службах, доменах и схеме во Корневой домен леса Поскольку корневым в лесе становится первый созданный в нем домен, он счита ется корнем иерархии пространств имен доменов. Объект представ ляет собой потомка объекта домена леса только в иерархии именования.
Этот факт отражен в составном имени контейнера конфигурации Хотя составное имя контейнера конфигурации и подразумевает, что он потомок та корневого домена леса, конфигурация физически не относится к каталогу го а является отдельным разделом каталога, во все контрол леры доменов леса. В отличие от конфигурации, раздел домена корневого домена леса реплицируется только на контроллеры этого домена. Точно так же объект 78 ЧАСТЬ 1 Служба каталогов Active Directory уровня схемы считается потомком конфигурации. Составное имя контей нера схемы подразу мевает, что схема относится к корневому домену леса, но в действительности она фи зически не принадлежит ни разделу ни разделу домена корневого до мена леса.
Подробнее о репликации разделов каталога Ч в главе 6 Репликация Active Directory*.
Раздел конфигурации Раздел конфигурации создается в момент формирования первого домена Win dows 2000 при установке Active Directory;
далее он реплицируется во все контролле ры домена в лесу. Когда создается дочерний домен или новый корневой домен дере ва в лесе, а также при дополнительного контроллера домена в существу ющий домен, раздел конфигурации копируется на новый домена.
Просмотр контейнера конфигурации Просматривать содержимое конфигурации можно средствами служеб ной программы ADSI Edit. запуске ее в окне отображается контейнер конфи гурации леса, к которому относится текущий домен, а также разделы домена и схе мы (рис. 2-6).
.
Х.
com] Рис. 2-6. Контейнер конфигурации в окне программы ADSI Edit Далее перечислены контейнера конфигурации.
содержит объекты, которые определяют различные пользователь ские интерфейсы для каждого класса объектов в схеме, нуждающегося в графичес ком интерфейсе (например, контекстные меню и страницы свойств). Эти данные система спецификаторов экрана использует для отображения различных сов для администраторов и конечных пользователей. Один набор элементов, как страницы свойств, контекстные меню и т. п., можно связать с приложениями а другой Ч с приложениями конечного пользователя.
спецификаторы экрана определяют, что администратор в окне ADSI Edit, a пользователь Ч в интерфейсе системы. Причем вид и содержание окон отличается, даже если отображаются одни и те же объекты. Система спецификаторов экрана ГЛАВА 2 Хранение данных Active Directory хранит информацию о страницах меню, значках, мастерах и именах классов и атрибутов.
DisplaySpecifiers содержит другие контейнеры, соответствующие нам (locale), данной Windows 2000. Регион Ч это отдель ный или язык, указанный для конкретной страны или области. Windows поддерживает свыше 150 регионов, среди которых (Belgium) [Французский Arabic (Saudi Arabia) (Саудовская и Име на контейнеров региона Ч это гаестнадцатеричные идентификато ров региона (LCID). Например, контейнеру региона English (United States) [Анг лийский язык соответствует идентификатор 409.
Объекты спецификатора экрана (класс display строки в конец экранного объекта класса. Например, клас су user объект спецификатора экрана user-Display. Таким отображая объект определенного класса, административная программа Active Directory его в соответствии с информацией, извлеченной из объекта экрана, имя которого содержится в имени соответствующе го класса в текущего региона.
Поскольку в Directory схему разрешается изменять, добавляя новые и атрибуты или корректируя существующие, то в соответствии с изменениями схе мы можно модифицировать объекты экрана для лю бых новых интерфейса пользователя. Подробнее о спецификаторах эк рана Ч на Web-странице Web Resources по адресу resources, ссылка Microsoft Platform SDK и далее Ч ссылка Windows 2000 Active Directory Guide.
содержит множество дополнительных прав в лесе, хранимых в виде объектов класса Управление доступом определяет, кому выполнение тех или иных операций над объектами Active Directory. Доступ к стандар тным действиям или операциям управляется основными типами на доступ: к операциям и доступ на атрибутов. Семантика операций может не привязываться к определенным атрибутам, но такие операции иног да также нуждаются в управлении Например, классу user можно предоста вить Send As (Отправить как) на Exchange Server, в Outlook или в любой дру гой программе позволяющее пользователям отправлять со от имени других. Чтобы добавить дополнительное право в Active Directory, нужно создать объект класса в контейнере Подроб нее о дополнительных правах Ч в главе 12 доступом. Подробнее о со здании объектов дополнительных прав на Web-странице Web Resources но адресу ссылка Microsoft Plat form SDK и далее Ч ссылка Windows 2000 Active Directory Programmer's Guide.
храпит объекты глобальной конфигурации, создаваемые в контейнерах, которые в это же время удаляются в другом месте сети. Если объект был создан или перемещен в место, которое после репликации не существует, та кой объект в контейнер LostAndFoundConfig. Такой же контейнер имеется в каждом разделе домена и обслуживает объекты, относящиеся только к данному домену.
Partitions хранит перекрестные ссылки всех разделов каталога леса, в том и разделы конфигурации и схемы, а также разделы доменов. При эти ЧАСТЬ 1 Служба Active Directory перекрестные ссылки служат для на другие домены. Разделы до мена можно просматривать и управлять в оснастке Active Directory Domains and Trusts (Active Directory Ч домены и доверие).
Locations. В текущей версии Windows 2000 этот контейнер не и зарезервирован для в будущем.
Sites все сайты сети контроллеры в этих сайтах и репликации. Они хранятся в виде между сайтами, подсетя ми и созданным сайтом, который по умолчанию называется Default-First Site-Name. Содержание этого контейнера просматривают и модифицируют в осна стке Active Directory Sites and Services (Active Directory Ч сайты и службы).
робнее об объектах контейнера Sites Ч в главе 6 Active Services хранит общесетевую информацию о службах, используемых приложения ми для подключения к службам в лесе, независимо от того, где они выполняется.
Сведения касаются системных томов и сетевых служб, а также служб маршрутиза ции и удаленного доступа. Содержание этого контейнера просматривают и моди фицируют в оснастке Active Directory and Services (Active Directory сайты и службы). Подробнее об объектах контейнера Services Ч в главе 5 Публикация служб в Active и справочной системе Windows 2000 Server.
Security Principals содержит известные типы участников безопаснос ти, определенные в системе безопасности Windows 2000, такие, как Everyone (Все), Local System (Локальная система) и User (Прошедшие проверку).
В контейнере конфигурации могут храниться и другие но они должны удовлетворять следующим условиям:
Х данные действительно представлять глобальный интерес конфигурация и политики по умолчанию для всех экземпляров данной службы в предприятии);
Х данные должны быть настолько доступны, что ссылки информацию в другом домене недостаточно;
Х должны редко Х объем данных должен быть очень Примечание Желательно, чтобы глобальные данные хранились в виде потомка од ного из двух контейнеров: Services или объекта-сайта.
Управление данными конфигурации Для управления конфигурации одним из трех служебных программ администрирования в Windows 2000, которые находятся в подменю Administrative Tools (Администрирование) раздела Programs (Програм мы) общего меню Start (Пуск).
Х Средства оснастки Active Directory Sites and Services (Active Directory Ч сайты и службы) позволяют управлять объектами в контейнерах и Примечание По умолчанию узел Services скрыт в Active Directory Sites and Services (Active Directory Ч сайты и службы). Чтобы сделать его видимым, щел ГЛАВА 2 Хранение данных в Active Directory правой кнопкой мыши значок Active Directory Sites and Ser vices (Active Directory - - сайты и службы) и в контекстном выберите View а затем Ч Show Services Node (Показать служб).
Х Средства оснастки Active Directory Domains Trusts (Active Directory до мены и доверие) позволяют управлять отношениями доверия между разделами домена, в контейнере Подробнее об управлении доверительными ями Ч в главе 1 структура Active и главе Х Средства оснастки Active Directory Schema (Схема Active Directory) позволяют управлять объектами и Schema в контейнере схемы >). Оснастка Ac tive Directory Schema (Схема Active Directory) устанавливается в в меню Console Однако при этой оснастки надо соблюдать вания, отличные от требований, предъявляемым к обычным оснасткам Подробнее о том, как устанавливать в Active Directory Schema, об управлении схемой, Ч главе 6 Репликация Active и в главе Выявление и устранение неполадок, а также восстановление Active Directory.
Подробнее об управлении данными в главах 6 Репликация Active Directory и 10 и устранение неполадок, а также восстановление Active Directory.
Раздел схемы Схема Directory состоит из классов объектов, атрибутов и таксисов, а также содержит правила, гарантирующие согласованность создаваемых и изменяемых объектов. В Active Directory существует стандартный неизме классов и атрибутов. при наличии полномочий и при условии, что контроллер имеет право модифицировать схему, ее можно расширять, добавляя новые атрибуты и классы, конкретным прило производятся контроллером домена, хозяина схемы Подробнее о том, как сделать схему доступной для модификации, и о расширении схемы Ч в главе 4 Схема Active Подробнее о ролях одиночного хозяи главе 7 Управление операциями одиночного хозяина и в справочной си стеме Windows 2000 Server. Подробнее о заданных по умолчанию классах и схе ме Ч на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK.
Если созданы все условия для модификации схемы, можно установить оснастку ММС Active Directory Schema (Схема Active Directory), чтобы управлять объекта ми классов и>
Подробнее об оснастки Active Directory Schema (Схема Active Directory) в главе 4 Схема Active Directory. Подробнее об управлении объектами в справочной системе Microsoft Windows 2000 Server.
82 ЧАСТЬ 1 Служба каталогов Active Directory Разделы доменов Когда Вы создаете новый домен, раздел домена создается в Active Directory как класса и помещается в список контейнера Partitions.
Просмотр содержания раздела домена Объект верхнего уровня в каждом домена Ч это контейнерный объект, сящий домена. Его дочерние контейнеры можно просматривать в консо ли Active Directory Users and Computers (Active Directory Ч пользователи и ком Далее перечислены дочерние контейнеры раздела домена.
Примечание Некоторые контейнеры видимы в консоли Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры), только когда отмече на команда Advanced Features (Дополнительные функции) в меню View (Вид), Кроме контейнеров, в режиме доступны также подробные сведения об объек тах и страницы параметров безопасности. На вкладке Object (Объект) отображены о классе, создании и модификации объекта, а на вкладке Security (Безо пасность) можно установить его Users Ч это по умолчанию предназначенное для новых учетных запи сей пользователей, созданных API, которые не поддерживают операции с Active Directory. Когда домены Windows NT 4.0 или Windows NT 3. обновляются до Windows 2000, учетные записи пользователей и групп автоматичес ки переносятся в контейнер Users. Этот контейнер также поддерживает служебную программу Windows NT 4.0 User Manager кроме того, его нельзя именовать.
В клиентских контейнер Users и другие специальные тейнеры как Computers, System, Domain Controllers, Deleted и And Found) можно найти по известным робнее об использовании ADSI для поиска специальных Ч па Web-стра Web Resources по адресу ссылка Microsoft Platform SDK.
System доступен, только когда отмечена команда Advanced Features (Дополнительные содержит встроенные системные параметры различ ных системных служебных контейнеров и объектов. (Подробнее о System в разделе далее в этой главе.) [контейнер доступен когда отмечена команда Advanced Features (Дополнительные хранит объекты глобальной конфигурации, создаваемые в контейнерах, которые в это же время удаляются в другом месте сети.
Если объект был создан или в место, которое после репликации не су ществует, такой объект помещается в контейнер LostAndFound. Кон тейнер в разделе домена выполняет аналогичные для объектов домена.
Builtin содержит объекты, которые представляют стандартные встроенные группы Administrators Deleted Objects Ч это контейнер, невидимый в графическом интерфей се. Б него перемещаются удаленные и захороненные объекты, которые в ГЛАВА 2 Хранение данных в Active Directory счете уничтожаются механизмом сбора Чтобы просмотреть этого контейнера, воспользуйтесь элементом управления под держивающем отображение удаленных объектов. о просмотре удаленных и Ч в главе 3 Разрешение имен в Active Domain Controllers Ч контейнер, куда по умолчанию помещаются контролле ры доменов Windows 2000. Этот контейнер переименовать нельзя.
Infrastructure содержит информацию, необходимую домена, который выполняет роль хозяина инфраструктуры. В последнего входит содержа ние в актуальном междоменных ссылок объекты. дочерние объек ты хозяин инфраструктуры переносит в контейнер При объектов удаляются (phantom record). (Подроб нее о записях-фантомах Ч в разделе Записи-фантомы далее в этой главе.) Computers Ч это куда по умолчанию помешаются все новые объекты компьютеры, первоначально созданные средствами сов, нс поддерживающих операций с Active Directory. При обновлении домена Windows NT 4.0 или Windows NT 3.51 до Windows 2000 компьютерные учетные за писи автоматически переносятся в этот контейнер.
ForeignSecurityPrincipals (proxy) участников безопаснос ти из доменов Windows NT 4.0 или Windows NT 3.51, а также из других лесов, до бавленных к группам Windows 2000.
Примечание В отличие от разделов конфигурации и схемы, полная копия раздела домена реплицируется только на контроллеры данного домена и не в ос домены леса. Частичная копия объектов домена (реплика всех объектов с набором атрибутов, выделенных для копирования в глобальный ка талог) реплицируется во все контроллеры доменов, являющиеся глобаль ного каталога.
Управляют содержимым раздела домена с помощью консоли Active Directory Users and Computers (Active Directory Ч и компьютеры). Чтобы получить доступ к свойствам, не отображаемым в этой оснастке, воспользуйтесь служебной программой Edit. По умолчанию при запуске Edit в окне программы отображается раздел текущего Контейнер System Контейнер System содержит операционные данные домена, в том числе сведения о стандартной локальной безопасности, ассоциации файлов, сетевых кон ференциях, объектах, представляющих другие домены, а также о кон тейнерах для точек соединения RPC и Winsock.
Далее перечислены дочерние папки System.
Х содержит административные дескрипторы безопасности. В Windows 2000 защита административных выполняется фоновым ем, которое вычисляет совокупность члснств и проверяет, относятся ли их деск рипторы безопасности к множеству известных дескрипторов. задание полняется только на контроллере домене Ч хозяине роли эмулятора (Под о дескрипторах безопасности в главе 12 Управление о роли эмулятора PDC Ч в главе 7 Управление одиночно го 84 ЧАСТЬ 1 Служба Active Directory Default Domain Policy содержит группы безопасности и домена по умолчанию. Хранит политики паролей, блокировок, Kerberos, восстановления данных шифрованной системы (Encrypting File System, и дове ренных корневых сертификатов. Здесь же находится контейнер AppCategories.
У каждого установленного приложения имеется одна или более с ним категорий, которые используются для управления приложениями на тии. Категории появляются при или изменении программы в дис петчере Add/Remove Programs (Установка и удаление программ) в Control Panel (Панель управления). В поле со списком отображены все категории. В этом контейнере хранятся объекты класса В объектах именно этого класса публикуются и приложения, и записи в них осуще ствляет мастер Application Deployment (Установка программ). (Подробнее стан дартной политике домена Ч 22 книги системы. Книга 2.
Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001).
содержит конфигурацию устойчивой к сбоям распределенной файловой системы (Distributed file system, DFS) и данные тома (Подроб нее о DFS Ч и главе 17 книги системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская 2001).
File Replication Service содержит папку Domain System Volume (общая папка - набор репликации FRS и поддерживает полное расписание репли кации файлов. (Подробнее о службе репликации файлов Ч в главе 18 книги системы. Книга 2. Ресурсы Microsoft Windows Редакция, 2001).
FileLinks используется службой Tracking Server (TrkSvr) (Служ ба отслеживания связей) для хранения информации об отмечен ссылками файлах, перемещаемых по томам NTFS. Содержит специальную папку в которой отслеживаются перемещенные файлы, и VolumeTable, в которой содержатся соответствия между то мов и компьютеров. (Подробнее о службе отслеживания изменившихся связей на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK.) IP Security содержит IP-безопасности, применяемые на ком пьютерах, рядовых серверах домена, доменах, в подразделениях и на всех ных объектах групповой политики в Active Directory. В зависимости от на предприятии правил политика IP-безопасности может пакетные действия по обеспечению безопасности, называемые правилами и ные для реализации единой политики на многих компьютерах. Эти безо пасности применяются ко всем пользователям, входящими в систему с данного компьютера. (Подробнее о политике Ч в книге Сети TCP/IP Ресурсы Windows 2000 2001).
Meetings используется в для объектов сетевых конференций (встреч).
Ч в этом контейнере создаются записи базы данных зон, интег рированных с Active Directory. Содержание MicrosoftDNS реплицируется на все контроллеры данного домена. При хранении данных DNS в Active Directory каж дая DNS-зона представлена объектом-контейнером класса в Active Directory. Каждому уникальному имени в данной зоне соответствует отдельный объект dnsNode в контейнере dnsZone. У объекта dnsNode есть ГЛАВА 2 данных в Active Directory атрибут которого соответствует отдельной записи ресурса, связанного с именем объекта. Подробнее о зонах, с Active Directory Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows (Русская Х Policies содержит объекты политики, в которых определены конфи гурации и компьютеров. Этот контейнер идентифицирует ся по своему GUID и хранит информацию о версии, необходимую для синхро низации с данными шаблона групповой политики, о состоянии тов групповой политики: или лотключен, а список дополни настраиваются в объекте групповой политики.
(Подробнее о политике Ч в главе 22 книги Распределенные систе мы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001).
Примечание Кроме Policies объекты групповой политики также хранят ся в шаблоне групповой политики и идентифицируются по своим Шаблон групповой политики расположен на системном томе и исполь зуется для хранения данных о типах файлов для объекта политики.
Внимание! Настоятельно не рекомендуется что-либо изменять в этом ре. Для отдельных объектов групповой политики в конфигурации компьютера используйте оснастку Group (Групповая Х содержит справочную таблицу доменных имен службы RPC (Remote Procedure Call) для более по с 2000 версий Windows.
Х содержит службы сокетов Windows Sockets, опубликован ные посредством API-интерфейсов RnR (Registration and Resolution).
Подробнее о службах, публикуемых в системном контейнере Ч в главе 5 Публи кация служб в Active Directory.
Хранилище данных каталога Данные Active Directory в Ntds.dit Ч файле базы данных ESE. На кон троллере домена хранятся две копии Ntds.dit в следующих папках:
здесь содержится база данных, используемая контроллером домена. В ней находятся данные домена и реплика значений (данные контейнера конфигурации);
это стандартная дистрибутивная копия ката лога, которая используется повышении роли компьютера под управлением Windows 2000 до контроллера домена. Наличие этого файла позволяет обращаться к мастеру установки Active Directory (Dcpromo.exe), не пользуясь установочным компакт-диском с операционной системой Windows 2000 Server. В процессе шения роли Ntds.dit из каталога в каталог При последующем запуске Active Directory но вую копию файла, который далее обновляется в репликации с других контроллеров домена.
Ссылочные атрибуты Для нормальной работы или целей администрирования некоторые ссылки на в каталоге нуждаются в обратных ссылках. Предположим, что атрибут 86 ЧАСТЬ 1 Служба Active объекта ObjectA, что тот управляется объектом Иногда же не обходимо знать, каким объектами управляет объект Object В (атрибут Active Directory поддерживает ссылочную целостность между ссы лающимися друг на объектами. Это что при объекта в пределах дерева каталогов ссылки между ним и другими объектами обновляют ся. Такое реализовано с механизма тов (linked attributes).
Каждый из пары ссылочных атрибутов обладает в схеме парными идентификато ром связи: один как прямая ссылка, а другой как обратная. Из сооб ражений безопасности и репликации изменять можно только атрибут ссыл ки. Например, в паре ссылок первый атрибут Ч это пря мая ссылка. Поэтому для атрибута managedObjects объекта пользо ватель необходимо перейти к объектам, которые требуется добавить или удалить из атрибута managedObjects и изменить значения каждого их объектов.
Атрибуты обратные ссылки, вычисляются при первом обращении пользователя к ним.
Примечание Расширяя схему, необходимо понимать, когда преобразование объекта в ссылочный допустимо. Подробнее о расширении схемы Ч в главе 4 Схема Active Directory.
Для нахождения всех объектов, управляемых ObjectB, проверяются все записи в парах в которых атрибут обратной ссылки указывает на ObjectB. Пары ссылок таких записей указывают на идентификаторы базы данных для всех записей (объектов), ObjectB.
В приведенном используется однозначная прямая и многозначная обрат ная ссылки, но прямая ссылка не обязательно является однозначным Например, членство в списке распространения реализовано в виде пар прямых и обратных ссылок. Обратными ссылками могут быть объекты с атрибутом berOfDl. Атрибут прямой ссылки member Ч так как иногда включен в несколько списков распространения. Обратная ссылка всегда многозначна, поскольку невозможно ограничить создание ссылок со стороны дру гих объектов.
В таблице 2-8 показаны значения ссылок для объекта (ObjectB), который управля ет другими объектами (ObjectA, и ObjcctD). В примера содержащего другие объекты, использован список распространения (DL1).
Таблица 2-8. Пример значений прямых и обратных ссылок Объект прямой ссылки Объект обратной ссылки Пары ссылочных атрибутов ObjectA ObjectB ObjectC ObjectB ObjectB DL1 ObjectE DL1 ObjectF DL1 ObjectG Вместе с удаляемым ссылочным объектом уничтожаются все значения его ссылоч ных атрибутов. В приведенном выше примере видно, что при удалении объекта ObjectA уничтожается из значений многозначного атрибута та ГЛАВА 2 Хранение данных в Active Directory объекта (причем это никак не отразится на Точно так же при удалении ObjectB удаляется значение атрибута объекта ObjectA. В любом случае вся остальная информация объекта (за исключением атрибутов) изменяется.
Поиск по обратным ссылкам значения обратной ссылки определенного объекта (например, ми объектами управляет система отыскивает все объекты, прямая ссыл ка которых указывает на этот объект (то есть У каких атрибут содержит Результаты такого поиска и, следовательно, полу ченное содержание атрибута обратной ссылки зависят от порта протокола LDAP, к которому подключается клиент. То результаты могут быть разными, в мости от подключился ли клиент к локальному домену (порт 389) или к гло бальному каталогу (порт 3268).
Представьте себе, к примеру, что Вы изучаете объект по John Doe и Вас интересуют группы, в которые он входит. Предположим, что находится в В, который, в свою очередь, является потомком домена А. Свя завшись с объектом в домене В, Вы обнаружите в его атрибуте список всех локальных и групп в домене В, членом которых является JobnDoe, но не найдете никаких групп других доменов. С другой стороны, подклю чившись к объекту JohnDoe в глобальном каталоге, Вы найдете в атрибуте все универсальные группы леса, к которым относится этот объект, а вот ло кальные группы домена обнаружить не удастся, так как они не реплицируются в глобальный каталог. Таким образом, чтобы получить список всех групп, которых является данный объект, необходимо выполнить поиск как в локальном так и копии объекта в глобальном каталоге.
Если Вы хотите найти все группы, к которым JohnDoe, то неявно си стема будет искать все объекты, прямая ссылка которых указывает на этот объект (то есть объекты-группы, атрибут member которых содержит значение Как Вы помните, JohnDoe находится в домене В потомке домена А. Когда в лесе несколько доменов, учитывать особенности групп:
Х по глобальные группы могут содержать членов из других доме нов. Поэтому в нашем примере объект JohnDoe может быть членом только гло групп одного (то есть того, которому принадлежит его учетная запись);
Х локальные группы домена могут содержать других доменов, хотя объекты этих групп и реплицируются в глобальный каталог, их атрибут member туда не попадает.
Таким образом, подключившись к объекту JohnDoe в домене В и изучив атрибут memberOf, Вы обнаружите, что Active Directory отображает членство JohnDoe в локальных и глобальных группах, но только домена В.
При к объекту JohnDoe в глобальном каталоге содержание зависит от того, в каком домене находится сервер глобального каталога А или В (вариант, когда в каждом из доменов есть свой сервер глобального ката лога, мы не рассматриваем).
Х Если сервер каталога расположен в домене A, Active Directory пре доставит информацию о членстве во всех глобальных группах леса. Однако кальные группы домена В в этот список не попадут, поскольку атрибут member 88 ЧАСТЬ 1 Служба каталогов Active Directory не реплицируется в контроллеры домена вместе с объектами локальных групп.
Таким образом, чтобы получить сведения обо всех группах, членом которых яв ляется нужно провести поиск как в копии объекта в локальном доме не (домен так и в экземпляре объекта в глобальном каталоге (в домене А), только контроллер домена не является глобального каталога.
Х Если сервер глобального каталога одновременно является контроллером доме на В, в Active Directory будут все группы Ч и глобальные, и ло кальные группы домена, членом которых является JohnDoe. Лучший вариант, когда сервер глобального каталога находится в локальном домене.
в группах доменов, внешних по отношению к лесу, в таком поиске не обнаруживается, поскольку они находятся вне контекста леса. Чтобы обнаружить такое членство, воспользуйтесь соответствующими перекре стными ссылками. (Подробнее о внешних перекрестных ссылках Ч в главе 3 Раз решение имен в Active Члены групп из внешних доменов При добавлении члена домена из другого в группу данного на создает объект-заместитель класса Он пред ставляет реальный объект, о котором в Active Directory нет никакой потому что тот находится в другом лесе. Перечисляя членов группы. Active Direc tory обычно указывает их имена. Для члена, принадлежащего внешнему домену, Active Directory отображает составное имя чужого* объекта участника безопасности в форме NetBIOS-имени. Например, пользователь из домена Acquired.com будет отображен, как на рис. 2-7.
Рис. 2-7. Пример вкладки Members (Члены группы) с составным именем участника безопасности внешнего домена ГЛАВА 2 Хранение данных в Active Directory Открыв страницу свойств такого члена группы, Вы увидите окно, подобное приведенному на рис. 2-8. В сообщается, что это не настоящий объект Active Directory, а всего объект-заместитель. Идентификатор (S1D) объекта отображен в заголовке диалогового окна.
'-.
fli№# ТЫ object was created an added to a group Рис. 2-8. Свойства члена группы из внешнего домена Этот SID можно в для определения LDAP-имени это го При таком запросе выбираются все доверенные домены, а затем в каж дый из них направляет запрос об объекте, атрибут которого соответствует объекта участника безопасности.
Записи-фантомы В Active Directory все ссылки объектами хранятся в базе данных виде объектов, на которые они ссылаются. Например, в атрибуте иногда указан его непосредственный начальник;
значением этого атрибута может быть идентификатор объекта, начальнику, в базе данных. Если упомянутого объекта в базе пет (например, учетная запись начальника находится в другом домене и текущий не является каталогом), система создает запись-фантом (phantom), идентификатор которой и применяется в дальнейшем. Запись-фантом содержит SID (в случае на участника безопасности) и имя объекта, на который она ссылается.
не создаются, в локальной базе данных имеется объекта, указанного в атрибуте. Если объект расположен в разделе внешнего катало га, в базе создается фантомная запись. Например, если объект в содержит ссылку на объект в для самого объекта и его родителя в домене записи-фантомы. Хозяин удаляет при переименовании или удалении объектов, на которые они ссылаются. о 90 ЧАСТЬ 1 Служба каталогов Active Directory структуры Ч в главе 7 и в справоч ной системе Windows 2000 Server.
Операции записи в базу данных Операции в базу данных Directory выполняются как единицы выполняемых базой данных. Транзакции (atomic), то есть они выполняются как единое целое: либо полностью, либо не выполняются вообще. Если по какой-либо причине происходит в результате которого не возможно завершить все шаги транзакции, система возвращается в состояние, не посредственно предшествующее началу исполнения транзакции. Пример атомарной транзакции Ч осуществление платежа, в котором деньги со счета А перечисляются на счет В. Если после списания денет со счета А система сбоит, механизм транзак ций поместит деньги назад на счет А и возвратит систему к первоначальному со Ч то есть транзакцию.
В Active Directory в транзактном режиме проводятся операции изменения отдель ных объектов, то есть механизм транзакций для операций со объектами не поддерживается. Active Directory синхронно транзакцию в журнал транзакций и в базу данных. Прежде всего изменения применяются к ко пии объекта в оперативной памяти. Далее они вносятся в журнал. Это что изменение будет произведено, даже если база данных закроется. Ядро базы дан ных постоянно вносит последние изменения в файл базы данных. Информация об обновлениях извлекается из памяти, а не из журналов, поэтому база данных сама следит за изменениями, не ожидая готовности сервера. Этот метод обновления на зывается перемещением точки, где под точкой (check point) подразумевается времени, когда все текущие изменения полностью внесены в базу данных.
Восстановление на записей журнала Ведение журнала (logging) и система Active Directory созданы для целостности и согласованности в случае сбоя системы. Веде ние журнала Ч это процесс записи сведений операциях базы данных в специ альном файле. Восстановление на основе записей журнала заключается в восста новлении базы данных после сбоя системы к последнему состоянию, зарегистриро ванному в журнале.
Благодаря механизму репликации Active Directory (при наличии по крайней мере двух контроллеров в домене), достаточно провести восстановление контроллера домена из архива данные обо всех изменения после последнего ар хивирования он получит автоматически.
Для эффективного использования дискового пространства в Directory при меняется ведения журнала (circular logging), когда ставшие ненуж ными старые записи немедленно замещаются В таком режиме ядро базы данных автоматически удаляет файлы журналов, устаревшие передвижения контрольной точки.
Подробнее об архивировании и восстановлении Active Directory Ч в главе 9 Ар хивирование и восстановление данных в Active Подробнее о реплика ции транзакций базы данных Ч в главе 6 Active Directory.
ГЛАВА 2 Хранение данных в Active Directory Индексация атрибутов Для повышения эффективности поиска по наиболее часто используемым атрибу там в Active Directory используется индексация, которая сокращает время, необхо для нахождения записи в большой базе данных. Индексация заключается в одного или группы атрибутов, позволяющих идентифи цировать записи в таблице.
По умолчанию индексируются часто используемые атрибуты, такие, как (surname), составное имя имя пользователя и др.
Атрибуты индексации назначаются в консоли Active Directory Schema (Схема Active Directory). Открыв страницу свойств объекта-атрибута, Вы увидите, ли он для индексации. Если нет, то чтобы включить индексацию, достаточно уста новить соответствующий флажок. Значение этого флага и после об новления схемы DSA выполняет индексацию. Аналогично, если Вы сбросите вступят в силу после завершения обновления схемы.
Примечание Состав и число атрибутов индексации может влиять на размер и вре мя обновления базы данных. Индексировать атрибуты следует, только когда они часто используются для поиска.
о поиске по атрибутам Ч главе 4 Разрешение имен в Active Безопасность на основе объектов Существует глубокая связь между Active Directory и службами безопасности Win dows 2000. Active Directory хранит информацию политики безопасности домена, которая имеет самое отношение к особенностям работы систем Это об общедоменных ограничениях на пароль и привилегиях доступа к системе. Кроме того, политика безопасности и управление в 2000 реализованы на уровне объектов. Это касается всех объектов в Active Directory. У каждого объекта Active Directory имеется уникальный бе зопасности, определяющий доступа, необходимые для чтения или мо дификации свойств. Разрешения можно задавать на уровне свойств.
Идентификаторы безопасности У каждого участника безопасности группы, компьютера или всего домена) свой идентификатор безопасности (STD) Ч свойство кото рое полномочно объект в системе безопасности. Идентификаторы безопасности пользователей, групп и компьютеров являются производными от домена, к которому они принадлежат, и образованы путем добавления к SID доме на 32-разрядного компонента называемого иден тификатором (relative identifier).
Дескрипторы безопасности В Windows 2000 каждому объекту ставится в соответствие дескриптор безопаснос ти (security descriptor), в котором содержится связанная с этим объектом инфор мация управления доступом. перечислены компоненты, из которых состоит дескриптор безопасности:
Х заголовок (header) содержит управляющие флаги и на четыре ные части описателя безопасности;
92 ЧАСТЬ 1 Служба каталогов Active Directory Х владелец (owner) Ч STD, указывающий на владельца объекта пользователя или группу. Владелец обладает особыми правами на объект;
Х группа (primary group) SIT), совместимость с POSIX;
Х избирательная таблица (discretionary access control DACL) содержит список записей управления доступом, в которых определен порядок доступа к объекту - кому или определенные виды доступа. DACL управляется владельцем Владелец может предо ставлять право другим;
Х системная таблица управления доступом (system access control list, со держит список записей управления доступом, которые определяют порядок со здания сообщений аудита или предупреждения при попытке получения опреде ленных типов доступа к объекту. SACL управляется администраторами безопас ности, по умолчанию членами группы Administrators раторы).
объектов по умолчанию В момент объекта в Active Directory его создатель может (вручную) определить его дескриптор безопасности. Если не определить дескрип тор безопасности явно, система присвоит объекту дескриптор безопасности по умолчанию. Ниже перечислены согласно которым создается такой деск риптор безопасности.
Х обычно назначается Если маркер создателя содержит владельца по умолчанию, то именно это значение. В противном случае задастся SID пользователя, создавшего объект. Однако это условие действует не всегда: элементу не присваивается SID пользо вателя Ч создателя объекта, если он член группы Domain Administrators (Адми нистраторы домена). В этом владелец по устанавливается в SID группы Domain Administrators (Администраторы домена). Таким образом, все объекты, создаваемые принадлежат всем членам группы Domain Administrators.
Х Значение основной группы обычно назначается по умолчанию. Если маркер до ступа создателя по умолчанию основную группу, то она ус танавливается в качестве основной. Б противном случае присваивается значе ние нулевого идентификатора NULL SID.
Х Если DACL (discretionary access control list) нового объекта (не наследуемая) не указана явно, ему DACL создателя. При наличии в DACL роди тельского контейнера наследуемых записей управления доступом унаследованная DACL объединяется с заданной явно избирательной таблицей нового объекта.
При отсутствии явно заданной DACL используется се значение по умолчанию, в схеме Active Directory. Если в схеме такое значение DACL не за дано, система проверяет наличие по умолчанию в маркере доступа со здателя и, найдя ее, использует в качестве значения DACL нового объекта. В слу чае невозможности в маркере доступа создателя никакой таблицы DACL значение DACL новому объекту назначается. Это что доступ к объекту будет без каких-либо ограничений.
ГЛАВА 2 Хранение данных в Directory Х Новому объекту назначается любая (system control list). При наличии в SACL родительского контейнера уп равления доступом объединяется с об системной таблицей объекта. При отсутствии явно заданной ее значение по умолчанию, определенное в схеме Active Directory.
Если в схеме такое значение SACL не определено, новому не назначает ся никакая системная таблица управления доступом.
Понятия диспетчер объекта и владелец личаются. Для каждого типа объекта имеется специальный который от вечает за создание объекта. Примеры диспетчеров: Active Directory - для объек тов каталога и NTFS Ч для объектов файловой системы, Подробнее о том, как в подсистеме используются управление досту пом, маркеры доступа, участники безопасности и дескрипторы безопасности, Ч в главе 12 доступом, Установка Active Directory Windows 2000 Server можно установить либо как новую либо как обновление существующей операционной системы Windows NT Server. В любом случае Active Directory сервере необходимо независимо от опе системы, то есть сначала устанавливается Windows 2000 Server, после чего создается Active на серверах, которые будут выполнять роль кон троллеров домена.
Для успешной установки Active Directory необходимо соблюдать определенные условия. Поскольку их обеспечиваются в процессе dows 2000 Server, а также так как требуемая сетевая и системная конфигурация со здается и настраивается до создания Active Directory, установка Active в виде отдельной запускаемой после операционной системы.
Существует несколько способов Active Directory под уп равлением Windows 2000 Server.
Х Средствами мастера Active Directory Installation Wizard (Мастер установки Active Directory), который запускается следующим образом.
В диалоговом окне Windows 2000 Configure Your Server (Настройка сервера 2000), открывающемся при запуске сервера, Active Directory.
Это предпочтительный метод.
Или в Start (Пуск) щелкните Run (Выполнить) и в открывшемся Run Х Для выполнения автоматической (лбез вопросов) установки Active Directory можно использовать специальный текстовый файл. Запустите мастера Active Directory Installation Wizard (мастер Directory) из командной строки, при этом указав имя файла ответов (answer автоматической новки следующим образом dcpromo 94 ЧАСТЬ 1 Служба Active Directory В этом случае при установке Active Directory будут использованы указанные в этом файле ответы на вопросы, обычно задаваемые мастером.
Примечание При обновлении систем под управлением Windows NT 4.0 до Win dows 2000 после установки операционной системы автоматически запускается мас тер установки Active Directory). Роль сервера не повысится до контроллера доме на, пока мастер не завершит свою работу.
Мастер установки Active Directory также используется для удаления с сервера службы каталогов Active Directory.
об автоматической установке в разделе Автоматическая установка и удаление Active Directory далее в главе. Подробнее об использовании масте ра Configure Server (Мастер настройки сервера) Ч в справочной системе Windows 2000 Server. Подробнее об удалении Active Directory Ч в разделе Удале ние Active далее в главе.
Конфигурации Active Directory При установке Active Directory на (члене рабочей группы) или ря довом (члене домена Windows 2000) сервере под управлением Windows 2000 Server можно выбрать одну из следующих конфигураций:
Х первый домен в новом дереве в новом лесе;
Х первый домен в новом дереве в существующем лесе;
Х дочерний домен в существующем дереве;
Х контроллер домена в существующем домене.
В процессе установки Windows 2000 Server в каталоге размещается стандартный файл базы данных Active Directory (Ntds.dit). Это всего лишь дистрибутивная копия, не используемая в качестве базы данных каталога и размещаемая в этом месте с целью избежать обращения к компакт диску с операционной системой при Active Directory.
Файл Ntds.dit содержит копию стандартных разделов схемы и конфигурации, а так же раздел домена. В процессе установки Active Directory схема и конфигурация (наряду с разделом домена, если данный контроллер домена в ка честве дополнительного контроллера домена) синхронизируются с соответствую щими репликами на существующих контроллерах домена. После завершения уста новки Active Directory синхронизирована и доступна для обновлений на новом сервере.
Примечание В процессе установки Active Directory можно прервать и отложить некритичный процесс репликации. Репликация будет выполнена после перезагруз ки компьютера по механизму репликации домена. До завершения репликации контроллер домена не оповещает о себе в этой роли.
Установка Active Directory по различным сценариям в зависимости от способа установки Windows 2000 Server. Ниже перечислены возможные сценарии установки Windows 2000 Server.
Х При установке Windows 2000 Server в качестве первой операционной системы (установка нуля) или существующей операционной системы на компьютере - не контроллере домена создается либо изолированный сервер, ГЛАВА 2 Хранение данных в Active Directory сервер домена. После этого возможны только два тина дальней шей установки Active Directory:
Х создание нового домена;
Х создание дополнительного контроллера в существующем домене.
Х При обновлении существующего контроллера домена под управле нием Windows NT 4.0 мастер установки Active Directory автомати чески сразу после завершения обновления. В этом случае существуют два воз можных пути:
Х создание Active Directory, что приведет к дополнительного кон троллера домена;
Х преобразование резервного контроллера домена в рядовой сервер домена.
Х При обновлении существующего основного контроллера домена под управлени ем Windows NT 4.0 необходимо установить Directory, создав при этом новый домен.
На рис. 2-9 показаны различные варианты установки Windows 2000 Server до со здания Active Directory, Изолированный сервер Установка под управлением Windows NT Изолированный сервер под управлением Windows Установка с сервер Рядовой сервер под управлением управлением Windows Windows NT 4 Не авливать Active Directory сервер под Резервный Дополнительный управление контроллер контроллер домена DCPROMO домена под под управлением (с автозапуском Windows Windows NT Контроллер корневого домена леса, дерева Установка или дочернего домен под управлением Windows Рис. 2-9. Варианты установки Windows 2000 Server и создания Active Directory 96 ЧАСТЬ 1 Служба каталогов Active Подробнее о деревьях и лесах в главе 1 структура Active Подробнее о файле Ч в разделе Хранилище данных каталога ранее в этой главе. Подробнее о разделах каталога в ранее в этой главе.
Требования для установки Прежде чем приступить к установке Active Directory, мастер Active Directory Installation Wizard (Мастер установки Active Directory) некоторые пара конфигурации и безопасности. Состав и порядок проверки зависит от мно гих условий, а также от типа устанавливаемого контроллера домена. Эта процеду ра позволяет соответствие заданных параметров и службы каталогов, к которой присоединяется данный Примечание Мастеру установки Active необходимо 200 мегабайт свобод ного дискового пространства для хранения базы данных Active Directory и габайт для журналов ESENT. Эти требования зависят от числа и типа объектов в базе данных домена (или базы данных лееа, если компьютер явля ется сервером глобального каталога).
При запуске мастера установки Active Directory до открытия его главного диалого вого окна проверяются следующие условия:
Х текущий пользователь вошел в систему локального компьютера в качестве чле на администраторов локального компьютера;
Х на компьютере установлена Windows 2000 Server;
Х предыдущая установка или удаление Active Directory не проводились без пред варительной перезагрузки;
Х на компьютере не запущена другая копия установки Active Directory;
Х в настоящее время не выполняются по установке или удалению Active Directory;
Х на компьютере есть по крайней мере один логический диск под управлением файловой системы 5.
о форматировании логического дисковода для файловой системы NTFS в книге Microsoft 2000 Professional Resource Kit.
уникальности имен При установке контролера в существующих доменах и новых доменов в существу ющем лесе проверяются следующие условия:
Х установке как дополнительного контроллера домена, так и домена в существующем лесе составное имя (relative TD, RID) сервера не должно существовать в объекте NTDS Settings сайта, в который добавляется контроллер. Обнаружив объект NTDS Settings с совпадающим RID, мастер уда лит существующий объект, что выполняется переустановка;
Х при установке нового домена в существующем лесе NetBIOS-имя домена также не должно существовать в виде относительного составного имени объекта пере крестной ссылки в контейнере домена ГЛАВА 2 Хранение данных в Active Directory Примечание При установке леса перечисленных условий не выполняется, поскольку отсутствует исходный контроллер домена.
Подробнее об объектах Settings в главе 6 Active Directory.
Подробнее об объектах перекрестных ссылок Ч в 3 Разрешение имен в Active Проверка наличия TCP/IP При любой установке контроллера домена мастер проверяет конфигура цию на предмет наличия TCP/IP. Если TCP/IP не установлен или ад рес, DHCP, необходимо и настроить TCP/IP и ука зать IP-адреса подсети и по умолчанию.
Примечание Для установки контроллера домена статический IP-адрес не Проверка конфигурации клиента DNS Мастер проверяет наличие и конфигурацию DNS на сервере. Настройка DNS является частью настройки TCP/IP и заключается в указании IP-ад реса одного или более DNS-серверов в для поиска контроллеров DNS, то база должна содержать щие записи ресурсов для нахождения контроллеров в каждом из доменов. В процес се установки Directory на сервере Ч первом контроллере нового домена мастер пытается найти DNS-сервер, поддерживающий динамическое обновление и являющийся полномочным (authoritative) для имен домена, в котором устанавли вается данный сервер в качестве контроллера. Программа установки не сможет най ти такой сервер DNS, если тот не существует (например, при установке нового леса) или если у клиента DNS на сервере нет ни одного верно указанного IP-адреса сер вера DNS, который должен применяться для разрешения В любом из этих случаев мастер предложит на выбор установить и настроить локальный DNS сервер в процессе установки или вручную, после Active Directory.
наличии дополнительного контроллера домена в существующем домене использует ся DNS-сервер в сети, а поиск полномочного сервера DNS не выполняется.
Подробнее об автоматической настройке DNS и требований к DNS для установки Active Directory - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server, (Русская 2001).
Получение и проверка правильности домена В процессе создания нового домена необходимо задать его имя и, требуется, указать родительский домен. Мастер Active Directory Installation Wizard (Мастер установки Active Directory) существование родительского и уни кальность имени нового домена. Если указанное имя уже мастер просить задать другое.
Получение и проверка правильности NetBIOS-имени NetBIOS-имя создается из доменного имени DNS, если новый домен не со здается путем обновления основного контроллера домепа. Тогда используется дыдущее домена. Мастер установки Active Directory предложит менить или NetBIOS-имя, полученное из доменного после чего обя проверит его уникальность в сети.
Pages: | 1 | 2 | 3 | 4 | ... | 15 |