Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 4 ] --ГЛАВА 3 Разрешение имен в Active Directory 3. В диалоговом окне Filter Options (Параметры фильтра) тель Create custom filter особый фильтр), а затем Ч Customize (На строить).
4. на вкладку Advanced 5. В поле Enter LDAP query (Введите запрос введите строку са, Примечание Следует использовать следующий формат даты и вре мени: где YY две цифры года, ММ Ч день, Ч час, ММ минуты и SS Ч а также обязательный завер шающий символ Z (обязательно в верхнем регистре). Позиции, относящиеся к времени можно заполнить нулями, если создания 6. Дважды щелкните ОК. Дважды щелкните контейнер Ч в окне отобразятся толь ко объекты, Фильтр действует, пока его Вы его не отмените. Чтобы отменить в консо ли Active Directory Users and Computers (Active Directory Ч и ком пьютеры), выберите в View (Вид) команду Filter Options (Параметры филь тра) и в открывшемся диалоговом окне Filter Options (Параметры фильтра) уста новите переключатель в Show all types of objects (Отображать все типы объектов).
команды в Active Directory and Computers Запросы по протоколу LDAP для поиска в контейнере, не прибегая к содержимого Чтобы создать запрос LDAP, показываю щий только выбранные объекты контейнера, воспользуйтесь пунктом меню Find в контекстном меню контейнера, как описано далее, Использование функции Find для поиска в контейнере с применением LDAP-запросов 1. В оснастке Active Directory Users and Computers (Active Directory Ч пользова тели и компьютеры) щелкните правой кнопкой мыши в котором тре буется провести поиск, и в открывшемся контекстном меню выберите Find (Найти).
2. В поле со списком Find (Найти) выберите Custom search (Особый а затем перейдите на вкладку Advanced (Дополнительно).
3. В поле Enter LDAP query (Введите запрос LDAP) введите строку са, 4. Щелкните Find Now чтобы вывести результаты поиска.
Примечание В режиме особого поиска у Вас возможность пра вилами выборки и флагами поиска при условии, что Вы значение идентифика тора объекта LDAP Ч его называют также (object - и как вычис лять. Например, Вы можете вести поиск по атрибуту пользовате лей с учетными записями или по атрибуту - все глобальные ЧАСТЬ 1 Служба каталогов Active Directory группы в базе поиска. о флагов поиска и правилах Ч на стра нице Web Resources по адресу webresources, ссылка Microsoft SDK.
Адресная книга Windows Address Book (Адресная Windows) Ч это универсальный клиент поиска созданный для работы с любыми серверами Адресная книга интегрирована в Windows 2000, Microsoft Internet Explorer версии 4.0 и более по а также в оболочки Windows 95 и Windows 98 для обеспечения поиска в одном или нескольких службах каталогов, в том числе Active Directory. Адресная книга версии 5.0 включена в Windows 2000 и Microsoft Internet Explorer 5 и содержит набор записей, обеспечивающих свободный доступ к информации в нескольких адресных справочниках в Интернете, в том числе в и VeriSign.
Доступ к Active Directory из адресной книги перечислены доступа к Active Directory из адресной книги в Windows 2000:
Х адресная книга по умолчанию сконфигурирована для поиска в глобальном ка талоге леса, к которому создается привязка, когда пользователь открывает окно Find People (Поиск людей), выбирая в меню Start (Пуск) пункт Search (Най ти), а затем Ч People (Людей);
Х поддерживает UTF-8 для символов Unicode, позволяя поиск и ресурсы, с именами, содержащими символы в формате, отличном от ASCII. Эта особенность существенна для Европы и Азии;
Х позволяет обрабатывать списки управления доступом (access control list, ACL) пользователи, обладающие необходимыми полномочиями, мо гут атрибуты в окне Х поддерживает гибкий поиск, благодаря поддержке неоднозначного разрешения имен;
Х обеспечивает доступ к свойствам объектов расширенных классов;
Х предоставляет API для обработки URL-адресов протокола LDAP Ад ресная книга включена в Internet Explorer в качестве обработчика LDAP URL адресов LDAP:
Х адресная книга поддерживает следование (chasing) по перенаправлениям LDAP (RFC 2251) при поиске в Active Directory через порт 389.
По умолчанию в адресной книге в качестве имен сервера и учетной установ лено NULL. Active Directory динамически предоставляет имя по мещенного в кэш в процессе розыска контроллера домена, и использует имени учетной записи имя входа в систему прошедшего проверку. Ото бражаемые в адресной книге свойства Active Directory заданы по умолчанию.
Просмотр свойств Active Directory в адресной книге 1. В меню Start (Пуск) последовательно выберите Programs (Программы), Ac cessories (Стандартные) и щелкните Address Book (Адресная книга).
2. В меню Tools (Сервис) выберите Accounts (Учетные записи).
ГЛАВА 3 Разрешение имен в Active Directory 3. Выберите Active Directory и щелкните Properties (Свойства). В открыв шемся окне свойств приведены параметры учетной службы каталогов, как показано па рис. 3-3.
Рис, 3-3. Параметры сервера в диалоговом окне свойств Active Directory в Address Book (Адресная книга) База поиска в запросах адресной книги Как и всякая служба работающая по протоколу в Active Directory для выполнения поиска надо указать составное имя базы поиска в соответствии с требованиями RFC 2247. По умолчанию в адресной книге в качестве составного базы задано значение В процессе поиска контроллера домена локатор найденного контроллера домена. При на по иск в Active Directory адресная книга использует в качестве базы поиска составное имя домена, в котором прошла проверку учетная запись при входе в систему.
На вкладке Advanced (Дополнительно) в диалоговом окне Active Directory Pro perties (Свойства Active Directory) отображены параметры, определяющие поря док поиска, выполняемого адресной книгой (рис. 3-4).
Примечание По умолчанию установлен порт 3268 Ч порт глобального каталога.
Use (По позволяет установить стандартный порт 389 порт LDAP.
Доступность Active Directory для под управлением Windows 98 и Windows NT 4. Компьютер под управлением Windows 98 или Windows NT 4.0 с установленным Internet Explorer 5 не получит доступ к Directory, если на клиенте не настро ено имя сервера и база поиска, а также имя записи 156 ЧАСТЬ 1 Служба каталогов Active Directory а сервер проверку подлинности при вхо де в систему. Эти необходимо задать во вкладках General (Общие) и Advanced таким образом, определив Active Directory в качестве используемого Адресной книгой.
Подробнее о настройке параметров адресной книги - в справочной системе адрес ной книги. Подробнее о розыске контроллера домена Ч в разделе серверов Active ранее в главе.
a [SSL] - Рис. 3-4. Дополнительные параметры поиска в диалоговом окне свойств Active Directory в адресной книге Служебная программа Ldp Ldp Ч позволяет выполнять поиск в Active Directory с применением фильтров Ее также используют для добавления, удаления и изменения объектов Active Directory, а также для дополнительных операций с применением LDAP Чтобы Ldp, установите средства Windows 2000 Support Tools, находятся в панке на компакт диске с операционной системой 2000 Server. Для этого дважды щелкните файл Setup.exe в этой папке. Подробнее об установке и применении средств под держки Windows 2000 и справки 2000 Support Tools Ч в файле в папке на компакт-диске с операционной системой Windows Программу Ldp можно из окна Run (Выполнить), открываемого при выборе пункта Run (Выполнить) меню Start (Пуск), или из командной строки путем ввода команды Подробнее о том, как использовать Ldp Ч в справочной системе Microsoft Win dows 2000 Resource Kit Tools. Подробнее об Ldp для управления и устранения неполадок в каталоге Ч главе 10 и устранение непола док, а также восстановление Active Схема Active Directory Любому, кто управляет Active службой приложения, взаимодействующие с ней, хорошо знать схему службы каталогов Active Directory, с Microsoft Windows 2000 Server. Из этой главы Вы как определена схема Active Directory, как (расширить) ее, какие механизмы в Active Directory для защиты схемы от повреждения в расширения, как обеспечивается согласованность схемы и какие меры следует при установке новых приложений на контроллер дометта.
В этой главе Общие сведения о схеме Active Directory Местоположение схемы в Active Directory Объекты схемы Active Directory схемы Стандартная конфигурация объектов Active Directory схемы Х Подробнее об архитектуре Active Directory и физическом хранении ее данных -- в главе 2 данных Active Directory.
Х Подробнее о служебных программах поддержки Active Directory Ч в главе и устранение неполадок, а также восстановление Active Directory.
Х Подробнее о публикации служб Ч в главе 5 служб в Active Общие сведения о схеме Active Directory Схема Active Directory содержит для всего множества объектов, кото рые могут храниться в каталоге, а также предписывает правила управления струк турой и содержимым каталога. Схема состоит из классов, атрибутов и 158 ЧАСТЬ 1 Служба каталогов Active Directory которые представлены в ней экземплярами одного или классов.
Класс (class) Ч это категория объектов, имеющих схожие характеристики и пред ставляющих собой формальное идентифицируемых типов объектов, которые разрешается хранить в каталоге. объект в каталоге это экземпляр одного или нескольких определенных в схеме Атрибуты (attribute) описания отдельных характеристик (свойств) объектов Ч определя ют типы информации, которую может содержать объект. Атрибуты каждого на и (необязательные). В ности они составляют набор общих характеристик класса. Значения, при сваиваемые атрибутам, определяют конкретные характеристики объекта. Синтак сис (syntax) это тип данных атрибута. В Active Directory используется только набор стандартных синтаксисов Ч они не отображаются средствами работы с ката логом, поэтому расширить состав В схеме определены взаимосвязи между классами объектов. Каждый объект в ка талоге Ч это экземпляр одного или классов схемы. Вот примеры клас сов Active Directory: user, и print Queue. В частности, если схема содержит класс то записи пользователей Sue и - это два объекта в ката которые являются экземплярами класса user. Объект может, к примеру, содержать дополнительный, определенный для этого класса, (номер телефона), значение этого атрибута Ч 555-0100, а синтаксис phoneNumber это строка чисел, то есть строка, содержащая только цифры от 0 до 9.
Базовая схема, поставляемая с Microsoft Windows 2000, содержит все классы и оп ределения атрибутов, которые используются операционной системой Windows и ее Сама схема реализована в Active как набор лобъектов схемы. Каждому классу каталога в схеме соответствует определенный объект (класса схемы, в котором этот класс каталога определен. Атрибутам соответствуют объек ты (класса attribute Schema) Ч определения атрибутов. Таким образом, классы Ч это экземпляры класса а атрибуты Ч класса attribute Schema.
схемы в каталоге дает В частности, при ложениям получать информацию обо доступных типах объектов и Администраторы и приложения схему путем изменения имею щихся или добавления новых и классов. Описания объектов схемы требуются приложениям, которые создают или изменяют объекты в rectory. Такие способны различать атрибуты и синтаксисы, мые для взаимодействия с каталогом.
Местоположение схемы в Active Directory Объекты хранятся в Active Directory в иерархии, называемой деревом каталога (Directory Information Tree, Active Directory содержит готовую базу данных, или базовое дерево (base с необхо димой для и запуска Windows 2000 и Active Directory. Базовое дерево устанавливается при первичной установке контроллера домена Windows 2000.
Схема является одним из разделов базового дерева Дерево DIT разделено на разделы каталога. Каждый раздел каталога (directory - это дерево объектов каталога, образующих реплицируемую единицу в ГЛАВА 4 Схема Active Directory Объекты схемы расположены в Schema. иметь в виду, что этот не является специального типа в Directory, содержать другие объекты, Ч он представляет собой класс объектов специального Контейнер Schema содержит всех классов и атрибутов, для размещения и систематизации объектов в Active а также новых объектов. Это объект наивысшего уровня в схемы.
Взаимосвязь между разделом схемы и контейнерами Configuration и Schema про на рис. 4-1, Х Раздел Schema Services Partitions Рис. 4-1. Местоположение контейнера Schema Примечание Схема -- это каталога, предотвращающий возможные неполад ки взаимозависимостей объектов, возникающие по существующего механиз ма репликации объектов каталога. Подробнее о схемы и о том, почему схема выделена в отдельный раздел, - в главе 3 Разрешение имен в Поиск контейнера Schema Каждый объект Active обладает уникальным име нем (distinguished name, DN), В нем домен, в котором расположен объект, а также полный путь к объекту в иерархии контейнеров. Составное имя контейнера Schema:
о составном - в главе 1 структура Active Directory.
Просмотр содержимого контейнера выполняется средствами консоли Active Directory Schema Active Directory) или с помощью оснастки ADS1 или служебной программы Примечание Чтобы воспользоваться Edit и Ldp, Вам придется установить служебные программы, в панке на компакт-диске с операционной системой 2000 Server. Для этого достаточно дважды значок Setup в этой папке. Подробнее об установке и про грамм Windows 2000 и о системе служебных программ Windows 2000 Ч в файле в же папке. о и устранении непо ладок Ldp о главе 10 устранение неполадок, а также восстановление Active 160 ЧАСТЬ 1 Служба Active Directory Для доступа к контейнеру Schema имени домена не обязательно. Сценари ям установщика и другим приложениям не требуется знать, в каком домене они работают, поэтому они получают к схеме создавая привязку к rootDSE специальной в имен. Запись rootDSE Ч особая запись системы (directory system agent, DSA) представляет логического пространства имен вершину дерева поиска протокола LDAP Directory Access Protocol). Помимо прочего, атрибуты записи rootDSE содержат сведения о разделах каталога -- доме не, схеме и конфигурации, а также о корневом домене леса. Один из атрибутов, указывает па что прило жениям, подключающимся к любому контроллеров домена, найти и прочесть данные схемы. (Подробнее о rootDSE Ч в главе 3 имен в Active Просмотр раздела схемы средствами консоли Edit 1. Откройте консоль ADSI Edit.
2. Щелкните правой кнопкой мыши ADSI Edit и в контекстном меню выберите команду Connect to.
Откроется диалоговое окно Connection.
3. Убедитесь, что переключатель в области Connection Point установлен в поло Naming Context, В поле со списком Naming Context RootDSE и щелкните ОК.
5. В дереве консоли дважды RootDSE.
Отобразится панка RootDSE.
6. Щелкните правой кнопкой мыши папку RootDSE и в контекстном меню выбе рите команду Properties (Свойства).
7. В открывшемся окне в поле со списком Select a property to view зна чение schemaNamingContext.
8. В поле области Attribute отобразится имя раздела схемы.
Примечание Оснастка Active Directory Schema (Схема Active Directory) не ливается по умолчанию вместе с Windows 2000 Server. Чтобы она появилась в спис ке действующих оснасток, необходимо установить пакет средств администрирова ния После этого надо зарегистрировать DLL-библиотеку оснастки Schema. Для откройте папку и в командной строке выполните команду Запись subschema Запись rootDSE также содержит обязательный атрибут значе ние которого является составным именем объекта класса subschema в каталоге, где сервер отображает атрибуты (в объекте класса и классы (в объекте класса>
Объекты схемы Active Directory Атрибуты и классы в Directory хранятся в Schema как объекты каталога, называемые объектами схемы (schema objects). Сам контейнер Schema представлен в Active Directory объектом класса Directory Management Domain Подробнее об объектах классов и -- на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK.
Объекты класса attributeSchema - это элементы описывающие компоненты в схеме. Атрибуты определены в схеме отдельно от классов, что по зволяет использовать одно описание атрибута во многих классах.
Атрибуты Ч это объекты класса attributeSchema. Каждый такой объект содержит помимо прочего следующие сведения:
Х отображаемое атрибута;
Х идентификатор объекта, соответствующего атрибуту;
Х идентификатор identifier, атрибута;
Х синтаксис атрибута;
Х диапазон значений атрибута: для целых чисел Ч максимальное и для строк - максимальная и минимальная ЧАСТЬ 1 Служба каталогов Active Directory Х количество значений, которые атрибут способен хранить. Следует иметь в виду, что многозначные атрибуты хранят несколько неупорядоченных Нет никакой гарантии, что служба каталогов будет возвращать значения многозначного атрибута в порядке их Х индексируется ли атрибут, и если да, то каков этой Однозначные и многозначные атрибуты Атрибуты схемы на и (multivalued). Количество значений у атрибута управляется атрибутом если у атрибута допускается не одного атрибут isSingleValued равен TRUE, а если несколько - FALSE. Оснастка Active Directory Schema (Схема Directory) отображает это в окне свойств атрибута в писи This is attribute (Это однозначный атрибут) или This is multivalued attribute (Это многозначный атрибут), а не как пару атрибут Ч значение.
Многозначный атрибут способен несколько значений одинакового син Следует иметь в виду, что этот набор не упорядочен.
тии, что многозначные атрибуты будут возвращаться в порядке их записи (или любом другом порядке).
Примечание В атрибут считывается как единый объект, что создает неудобства: при числе значений чтение ат рибута отнимает много времени или вообще Документ Incremental Retrieval of Multivalued (последовательная выборка многозначных свойств) предусматривает параметр Range в составе описания атри бута, определяющий порядок последовательной выборки значений атрибута. Неко торые серверы этот не Серверы, поддерживающие обра ботку параметра Range, содержат в операционном атрибуте запи си идентификатор Не следует использовать параметр Range, если этого идентификатора на нет. Range это константа, строка без учета регистра за которой следует спецификатор диапазона, задающий и конечное значения. Подробнее о параметре Range Ч в главе 2 Хранение данных в Active Directory.
Подробнее о выборке многозначных атрибутов - на Web-странице Web Resources по адресу ссылка Internet Engineering Task Force (IETF) и далее Ч ссылка Internet Drafts (вы поиск по ключевым словам range specifier* и enumerating атрибуты атрибутов позволяет ускорить их поиск в каталоге. Атрибуты ин дексируются, когда последний значимый бит в их атрибуте равен 1.
этому значения 1 строится динамически;
присвоение зна чения 0 или удаление бита отменяет и соответствующий индекс удаляется. Индекс автоматически создается фоновым потоком па сервере каталога.
Оптимальный для индексирования атрибут Ч при этом он об ладать очень редко повторяющимися значениями, равномерно по всему объектов. Многозначные атрибуты также индекси ровать, но они требуют расходов на создание, и индексов, чем однозначные атрибуты. Но даже в случае однозначных ат ГЛАВА 4 Схема Active Directory чем больше у класса индексированных атрибутов, тем изменение или объектов этого класса.
Атрибуты объектов класса attributeSchema Атрибуты объектов класса attributeSchema описаны в таблице Таблица 4-1. Атрибуты класса attributeSchema Атрибут Обязательный? Многозначный? Описание Unicode Да Нет ка ное составное имя для объекта схемы. В тельском интерфейсе Win dows Общее имя (Common Name) Object identifier Нет Идентификатор (Идентифи- однозначно катор объекта) определяет этот атрибут Unicode (Стро- Да, но Нет Имя, по которому ка Юникода) нястся авто- клиенты матически распознают этот schema- Да Нет который (Строка октета) идентифицирует этот атрибут Нет Целое число, по клиенты интерфейса MAPI (Messaging Programming идентифицируют этот атрибут attribute- Нет Нет с (Строка октета) го безопасности идентифицирует набор свойств этого атрибута Object identifier Да Идентификатор этого атрибута объекта) Integer (Целое) Да Нет Синтаксис этого согласно спецификации (XOM) Нет на одно- или BOOL Да многозначность атрибута (Логическое) extended- BOOL Пет Нет Указывает, допустимы ли расширенные (Логическое) значении этого атрибута.
Используется только в атрибутах с синтаксисом String (teletex) range Integer (Целое) Нет Нет граница юна допустимых значений этого атрибута Integer (Целое) Нет Пет граница диапазона допустимых для этого атрибута (см. стр.) ЧАСТЬ 1 Служба каталогов Active Таблица Атрибут Обязательный? Описание (Целое) Нет Пет Флаги, определяющие кон крстныс операции системы, (Примечание;
этот атрибут нельзя или Атрибуты от носящиеся к объектам схе мы, таковы: атрибут час тичных реплик Ч атрибут Ч 0x00000001;
сложный атри бут 0x Integer (Целое) Нет Нет Указывает, следует ли индексировать атрибут, В настоящий момент опре делено четыре бита для этого атрибута: 1 сировать только атрибут;
2 контей нер и атрибут;
4 Ч доба вить этот атрибут в набор неоднозначного разреше ния имен (исполь зуется в сочетании со зна чением 1);
8 Ч не удалять этот атрибут при ком удалении [то есть для BOOL Нет Нет Логическое значение, ука (Логическое) зывающее реплицируется (TRUE) ли атрибут в гло бальный каталог или нет (FALSE). об этом атрибуте Ч в Active Directory BOOL Нет Пет От системных атрибутов (Логическое) зависит работа Windows 2000 и Active Di Если значение это го атрибута Ч то изменять атрибут вправе только система. Ни один пользователем атрибут никогда должен иметь заданный флаг Object Да Класс этого объекта, кото рый всегда равен ГЛАВА 4 Схема Active Directory Таблица 4-1. (продолжение) Атрибут Обязательный? Многозначный? Описание NT-Sec-Des Да Нет (Дескриптор самого объекта класса attribute Schema NT) Нет Нет Для атрибутов с объект (Строка октета) ным = 127} закодиро ванный по правилам (Basic Encoding Rules) идентификатор объекта класса о BER Ч в доку менте Integer (Целое) Нет Нет Указывает ссылочный в данный атрибут: четное целое обозначает ссылку, а Ч об ратную. Прямая ссылка это указатель на другой объект в каталоге, а обрат ная Ч указывает вый объект, обладающий прямой (Подроб нее о ссылках Ч в главе Хранение данных в Directory) Unicode Ч это набор 16-битных символов, символы, обычно мые при обработке информации.
Флаги и для целочисленных атрибутов, определяют гра ницы значений атрибута, а для строковых атрибутов Ч допустимое количество в строке.
В этом столбце приводится синтаксиса, отображаемого на странице свойств атри бута в оснастке Active Directory Schema (Схема Active Directory). Ч Прим.
Объекты класса Объект класса содержит об атрибутах класса, который он определяет, и, кроме того, определяет для объектов-экзем пляров класса:
Х список обязательных атрибутов (атрибут must Contain), которые должны заданы во всех объектах Ч экземплярах данного класса;
Х список дополнительных атрибутов (атрибут которые, в с обязательными атрибутами, могут принадлежать объекту Ч экземпляру этого класса;
Х правила иерархии, определяющие возможных объекта - экземпляра класса в D1T.
Объекту разрешено иметь только атрибуты, перечисленные в атрибутах и данного класса.
166 ЧАСТЬ 1 Служба каталогов Active Directory Объект класса - по сути, шаблон, содержащий ния в Active Directory объектов класса. Когда создается объект, объект класса гарантирует, что он будет об ладать теми же свойствами (атрибутами), что и все остальные объекты данного класса. После создания объекта его класс изменить В объекте класса>
Х отображаемое класса;
Х объекта класса;
Х класса;
Х обязательные атрибуты объектов класса;
Х дополнительные атрибуты объектов данного класса;
Х классы, к которым может принадлежать родитель объекта класса;
Х которому данный класс свои Х другие классы, атрибуты которых этот класс наследует;
Х тин класса (абстрактный, или Х порядок отображения класса умолчанию. Если требуется запретить отобра жение класса средствами интерфейса, следует его как скрытый по умолчанию.
Категории классов объектов В спецификации 1993 указаны четыре категории, к которым могут относить ся классы объектов:
Х структурные классы;
Х абстрактные классы;
Х дополнительные классы;
Х классы 88.
Разные категории классов позволяют формировать структуру каталога. Далее опи саны эти четыре категории классов.
Структурные классы - это единственные классы, объекты которых могут суще ствовать в каталоге. Другими словами, в каталоге разрешается объекты структурных классов. Структурные классы используются при определении структуры каталога и являются производными от абстрактных либо от других структурных классов. Структурный класс может содержать в своем определении любое количество дополнительных классов. У классов этой категории значение ат рибута Ч Абстрактные классы Ч шаблоны, используемые для создания новых структурных классов. Объекты абстрактных классов в каталоге создать нельзя.
Другими словами: ни один объект каталога не относится только к абстрактному классу, любой объект абстрактного также принадлежит к какому-то неабст рактному подклассу этого класса. Новый абстрактный класс наследова нием от уже существующего абстрактного класса. У классов этой значе ние атрибута - 2. Единственное назначение абстрактных клас ГЛАВА 4 Схема Active Directory сов предоставить атрибуты классам, которые называются подклас сами Подкласс содержит все обязательные и атрибуты своего родительского класса, называемого (superclass), а также свои собственные атрибуты. Таким же образом при дальнейшем наследовании подкласса содержит все атрибуты обоих и так далее.
Дополнительные классы - файлы include и содержат атрибу тов. Включение дополнительного класса в определение структурного или абстрак тного класса добавляет в определение последнего атрибуты этого класса. Экземпляры класса создать в каталоге нельзя на осно дополнительных классов разрешается только создавать классы. У классов этой категории значение атрибута Ч 3. На класс security Principal (участник безопасности) это дополнительный класс, и он наследует атрибуты от родительского абстрактного класса под названи ем top. Несмотря на то, что создать объект этого класса в каталоге нельзя, возмож но создать объект класса user, который дополнен классом Principal. Атрибуты, унаследованные от security Principal позволяют распоз навать объект пользователя как учетную запись безопасности. Аналогично класс group вспомогательным классом Классы 88 - это классы, до 1993 года и не относящиеся к из описанных выше категорий. Спецификация Х.500 1988 не предусматри вала деление классов на категории. Классы, которые были определены до публика ции стандарта 1993, по умолчанию относятся к классу 88. У классов этой категории значение атрибута objectClassCategory Ч 0. Ни при каких обстоятельствах не следует определять новые классы 88, Примечание Active Directory не возвращает ошибку для классов 88, а выполняет лишь приближенную семантическую проверку. класс 88 можно исполь зовать как абстрактный и одновременно создавать объекты класса в каталоге. Для определения новых классов схемы следует применить одну из кате горий Х.500 1993.
Наследование Наследование (inheritance), также называемое порождением, - возможность со здавать новые классы объектов на основе имеющихся. Новый объект определяется как подкласс (subclass) родительского объекта, которому он наследует структуру и правила содержимого. Родительский объект становится для нового объекта над классом (superclass) Ч классом, от которого наследуют информацию один или бо лее объектов. К наследуемой информации относятся обязательные и дополнитель ные атрибуты и и сведения о родительских классах в иерархии каталога и Диаграмма на рис. 4-2 объектов класса.
7 Зак.
ЧАСТЬ 1 Служба каталогов Active Directory Наследует и атрибуты от класса Тор должен Наследует содержать атрибут обязательные Common-Name и дополнительные атрибуты от класса Х Тор и Person Наследует обязательные (абстрактный) Наследует и дополнительные обязательные атрибуты от классов User дополнительные Top. Person атрибуты от Top, Person.
а также от дополнительных классов Sales-Person User, а также от Mail-Recipient (структурный) и Security-Principal классов и Security-Principal Рис. 4-2. Иерархия классов Вы можете создать класс Salesperson для хранения о тор говых Вашей в том числе таких сведений, как процент комисси онных или маршрут следования. Вы можете создать класс Salesperson как подкласс класса User. В итоге класс унаследует все обязательные и атрибуты и сведения о родителях класса User, после того как кэш схемы будет обновлен. Вам не придется эти атрибуты для каждого торго вого компании.
Все структурные классы объектов - это прямые или косвенные подклассы един ственного абстрактного класса top. образом, все объекты каталога принадле жат к классу top и каждая обладает атрибутом object-Class. Создавая новый класс, обязательно указать его Если создаваемый класс не является классом существующего класса, то он станет подклассом класса top.
Новый класс может наследовать обязательные и дополнительные атрибуты от не скольких существующих классов. Все дополнительные классы указываются в ат рибуте auxiliary>
Примечание Если позднее добавить еще один атрибут в класс, содержащий под класс или дополнительные подклассы, то после обновления кэша схемы этот но вый атрибут автоматически добавится во все подклассы данного надкласса.
Ознакомиться с графическим представлением иерархии классов службы ката логов Directory можно на Web-странице Web по адресу ссылка Microsoft SDK.
Пары системный изменяемый Некоторые характеристики объекта, задаются в парах атри бутов, где одного из этих атрибутов разрешено к изменению администра тором, а значение другого нет. Вот примеры пар атрибутов:
ГЛАВА 4 Схема Active Directory Contain, и>
Обязательные атрибуты атрибуты (mandatory attributes) объектов Ч это атрибуты, значение которых необходимо определить при создании объекта. Если явно не указать значе ние обязательного атрибута, два варианта развития событий:
Х атрибут примет значение по Х объект не будет создан, пока значение атрибута не будет задано.
Обязательность атрибутов определяется в классе, к которому объект принадлежат.
Некоторые обязательные атрибуты наследуются. все объекты класса являются подклассами top, все они наследуют обязательные атрибуты, определенные в классе top. В таблице 4-2 перечислены обязательные атрибуты, на следуемые всеми объектами от класса top. Подробнее о графическом представле нии иерархии классов службы каталогов Active Directory Ч на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK.
Таблица 4-2. Обязательные атрибуты, наследуемые всеми объектами класса Наследуемый обязательный атрибут Значение по Descriptor Если значение не значение по умолчанию. Последнее зависит от стандартного деск риптора класса Если значение явно не указано, принимает значение умолчанию Ч номер категории класса. Значение разре шается изменять после создания класса Значения по умолчанию Администратор указать имя класса Примечание Просмотр обязательных атрибутов объекта выполняется средствами оснастки Active Directory Schema (Схема Active Directory) на вкладке (Атрибуты) диалогового окна свойств объекта класса. Поскольку некоторые обяза тельные атрибуты объекта наследуются от его родительского класса, то чтобы уз нать обязательные атрибуты объекта, следует просмотреть также атрибуты ро дительского класса.
170 ЧАСТЬ 1 Служба Active Directory Атрибуты объектов класса>
Таблица 4-3. Атрибуты объектов>
may Object identifier Нет Дополнительные атрибуты Да для экземпляров этого объекта) класса identifier Нет Классы Ч допустимые ро ( Идентификатор дители данного класса объекта) в иерархии каталога. После создания класса это свой ство нельзя изменить Object identifier Нет (а Классы Ч допустимые ро (Идентификатор дители данного класса в объекта) иерархии каталога. Для су ществующего объекта>
Х класс - 0;
Х структурный 1;
Х абстрактный 2;
Х = BOOL Нет Нет TRUE этого ат рибута информирует о том, (Логическое) что только система облада ет правом создавать и менять экземпляры дан] го класса Класс объектов, то есть Ч Object identifier Да (Идентификатор объекта) (см. стр.) ЧАСТЬ 1 Служба каталогов Active Directory Таблица 4-3.
Атрибут Многозначный? Описание Да Нет Дескриптор безопасности (Дескриптор объекта безопасности NT) Distinguished name Нет Категория объектов по Category (Различающееся умолчанию для новых имя) экземпляров этого класса Объекты не наследуют информацию атрибута от более чем одного класса. Дополни родительские классы следует в атрибуте Значения этих атрибутов Ч отображаемые классов Ч идентификаторы объектов класса. При создании нового класса в каталоге следует обес печить существование всех классов. Если хотя бы один из этих классов не определен, объект класса dassSchema в каталоге создан не будет, В этом столбце приводится синтаксиса, отображаемого на свойств атри бута в оснастке Active Directory Schema (Схема Active Ч Прим.
Примечание набор необходимый для существования ра класса не отображается в перечне обязательных атрибутов (mustContain) та dassSchema. В качестве примера рассмотрим класс А. В соответствующем ему В класса dassSchema содержатся сведения обо всех обязательных атрибу тах класса А - это атрибутов Contain и mustContain. Но поскольку обязательные атрибуты также наследуются, полный сок атрибутов класса А содержит помимо атрибутов, указанных в объекте В, обяза тельные атрибуты всех классов, которым он наследует, то есть все классы в спис ках и>
Синтаксис Синтаксис (syntax) атрибута определяет его отображение в памяти, порядок байт и однотипных свойств. В синтаксисе также определяется тип атрибута: число или единица времени. Любой атрибут обладает одним синтаксисом. Синтаксисы не представлены как объекты в схеме, но они доступны из программ. В Active Directory жестко заданный набор добавлять новые синтаксисы нельзя, нового атрибута для указания его синтаксиса необходимо указать значения:
- идентификатор объекта и oMSyntax Ч целое число согласно спецификации Эта модель обеспечивает довольно точное опреде ление В частности, существуют отдельные атрибуты oMSyntax, позво ляющие различать несколько типов печатаемых строк в от таких па раметров, как поддерживаемый набор символов и учет регистра. В таблице 4-4 пе действительные синтаксисы атрибутов в схеме Active Directory.
ГЛАВА 4 Схема Active Directory Таблица 4-4. Действительные синтаксисы атрибутов в схеме Active Directory Идентификатор объекта в нота ции ASN. Notation One) Undefined (Не- 2.5.5.0 \x550500 Недопустимый синтаксис определенный) 2.5.5.1 127 \x550501 Полное имя объекта в каталоге Object- 2.5.5.2 6 Идентификатор объекта Identifier) (Идентифика тор объекта) 2.5.5.3 27 \x550503 строка String (Строка с учетом регистра с учетом регистра) Case 2.5.5.4 20 \x550504 Универсал строка без String(Teletex) учета регистра (Строка без учета регистра) 2.5.5.5 \x550505 Печатаемая строка или IA5 строка Ч набор символов с учетом регистра 2,5.5.6 18 цифр (Числовая строка) 2.5.5.7 127 \x550507 Объединение составного Binary) (Дво- ни и большого двоичного ичное DN) объекта Boolean (Ло- 2.5.5.8 Булево значение: TRUE или FALSE Integer (Целое), 2.5.5.9 10 \x550509 32-битное число или Enumeration перечисление (Перечисление) String(Octet) 2.5.5.10 4 \x55050A Строка байт (Строка октета) Time) (Время 2.5.5.11 \x55050B UTC), String ванное время (Universal Time (Generalized- Coordinated, UTC) или Time) (Обоб- время щенное время) 64 Строка символов Unicode String(Unicode) 2.5.5. (Строка 127 \x55050D Адрес Object(Presen- 2.5.5. Address) (Адрес) (см. стр.) ЧАСТЬ 1 Служба каталогов Active Directory Таблица 4-4.
Синтаксис Идентификатор Описание объекта в нота ции ASN. ract Syntax Notation One) Object(DN- 2-5.5.14 127 Объединение строки составно String) (Строка го имени и строки символов различающегося Unicode имени) 2.5.5.15 66 \x55050F Дескриптор безопасности Desc) (Дескри- Microsoft Windows NT птор безопас ности NT) 2.5.5.16 65 \x550510 число (Длинное целое) 2.5.5.17 4 \x550511 Идентификатор безопасности (SID) (SID) Для имен oMSyntax указаны номера синтаксиса.
В этом столбце перечислены синтаксисы, отображаемые на странице свойств атрибута в оснастке Active Directory Schema (Схема Directory) Ч Прим. переводчика.
Примечание Полная спецификация должна содержать атрибуты Syntax и oMSyntax. Если вместе с attribute Syntax используется более чем один oMSyntax, следует применять значение oMSyntax.
В Directory нет ограничений на наборы символов для синтаксисов, поэтому для атрибутов со строковыми синтаксисами применять только сим волы из стандартного набора.
Коды объектов Коды объектов Ч это уникальные числовые значения, предоставляемые разными центрами сертификации и необходимые для идентификации элементов данных, синтаксисов и других распределенных приложений. Глобальная уни кальность кодов объектов гарантирует отсутствие конфликтов между определенными центрами при объединении разных на пример Active Directory и Novell Directory Services, в общее пространство имен.
Коды объектов применяются в приложениях, поддерживающих эталонную модель (Open Systems Ч взаимодействие систем) и прото кол Network Management Protocol), в каталогах и в других приложениях, где важна уникальность объектов. Структура кодов основана на дре вовидной структуре, в которой высший центр сертификации делегирует полномо чия на выдачу кодов определенной ветви дерева подчиненным центрам;
те свою очередь делегируют назначение кодов из нижележащих ветвей и так далее.
нуждается в такой службе каталогов, как Active Directory, для ции классов и объектов на основе синтаксиса кода объекта. Код объек тов класса Ч это значение атрибута а объектов класса ГЛАВА 4 Directory атрибута Это обязательные атрибуты, то есть коды объектов необходимы для создания новых классов или атрибутов.
Часть кодов объектов базовой схемы Active Directory выдана орга стандартов Standards Organisation, ISO) для классов и ат рибутов другие определены корпорацией Microsoft. Коды объектов записы ваются в виде строки положительных чисел, разделенных точками, например, 1.2.840.113556.1.5.4 (таблица 4-5).
Таблица 4-5. Компоненты образца кода объекта Число Значение 1 ISO (корневой центр код 1.2 для ANSI (American National Standards сертификации) Institute Ч Американский институт который в свою 2 ANSI...выдал код 1.2.840 для США, которые в свою очередь...
840 США (USA)...выдали код для компании которая в свою очередь...
Microsoft... управляет несколькими ветвями кодов объектов, с номера среди которых...
Active Directory... ветвь Active Directory, 5>
они формируют иерархию, на более низких уровнях которой новыми кода ми объектов управляет сама организация. Предприятия (и отдельные лица) приоб ретают корневой код объектов у центра сертификации и используют его для иден тификации собственных объектов. Например, Microsoft приобрела кор невой код объектов 1.2.840.113556 и управляет нижележащими кодами самостоя тельно. В частности, одна из этих ветвей используется для идентификации классов Active Directory, другая Ч для атрибутов Active Directory.
В большинстве стран и регионов мира существует регистрационная организация Registration Authority, NRA), ответственная за выделение кодов объектов среди организаций. В США Ч это Американский ин ститут стандартов (American National Standards Institute, ANSI). Национальной регистрационной организацией выдаются коды корневых объектов. Организация вправе регистрировать коды объектов. За выдачу кодов корневых объектов и ре имен взимается плата. Для получения дополнительных сведений следует обратиться в национальную регистрационную организацию в Вашей стране. Пере чень таких организаций и их контактная информация содержится на Web-узле ISO.
Полномочный центр отвечает за пространство кодов объектов -- ветвь дерева ко дов ISO-International Telecommunications Union (ITU). Предположим, Ваша ком пания получила пространство идентификаторов 1.2.480.111111. Вы расши рять это пространство на более низких уровнях по своему усмотрению (в пределах ограничений структуры кода). Для разделения кода корневого объекта следует до бавить разделенные точками десятичные числа к назначенному корневому числу, а ЧАСТЬ 1 каталогов Active Directory назначить данные подпространства различным внутренним подразделениям и отделам. Каждое подразделение также может разделить данное подпространство и так далее. Например, на кода объекта создать подпростран ство 1.2.840.111111.1.4 для атрибутов и 1.2.840.111111.1.5 для классов. Затем с ве дома администратора использовать центр сертификации компании для выделения кодов из этого пространства по запросу. Атрибуты governsID и объектов классов и attributeSchema Ч и содержат строку кода та. В данном примере все созданные в компании объекты dassSchema получат зна чение атрибута governsID в виде i.5.x, где х Ч десятичное число, а объекты attributeSchema Ч Структура каталога и состав классов В схеме определены правила, регулирующие структуру и содержимое Active Di rectory. При добавлении, удалении или изменении объектов проверяется, соответ ствуют ли предпринимаемые правилам схемы, что позволяет поддержи вать целостность каталога. (structure rules) определяют допус тимую структуру дерева. При создании объекта правила структуры определяют, су ществует ли класс, определенный для нового объекта. Невозможно создать объект, классу: прежде надо создать этот класс. С дру гой стороны, эти правила не позволят удалить или изменить уже удаленный объект.
В Active Directory структурные полностью атрибутами и - обязательными атрибутами объектов клас са dassSchema. Эти атрибуты указывают классы, которые могут быть родительски ми для данного объекта. Другими значения атрибутов и классы объектов и, следовательно, место в дереве DIT, где допустимо создавать объекты данного класса, Правила состава класса rules) определяет обязательные и дополнительные атрибуты объектов этого класса, хранимых в каталоге. Необходимо, чтобы новые объекты содержали все обязательные атрибуты, указанные в соответствующем объекте класса dassSchema в схеме, кроме того, они могут содержать любые допол нительные атрибуты. В Active Directory правила состава класса пол ностью выражены следующими атрибутами его описания:
и Кроме того, некоторые особые атрибуты обладают ограничениями, задаваемыми диспетчером Security Account Manager (SAM). Объекты SAM только для чтения содержат следующие атрибуты:
revision, и Ниже перечислены некоторые другие атрибуты, которые SAM проверяет особо:
Х Ч уникальность в рамках домена, без поправки на задержку репликации, для пользовательских объектов длина не должна превышать символов (не относится к группам);
Х member Ч соответствие правилам членства в Windows 2000;
Х Ч допустимость компьютеров;
ГЛАВА 4 Схема Active Directory Х primary ID Ч для учетной записи пользователя или должен на группу, учетная обязательно должна входить в эту группу;
и группа, и пользователь должны быть в одном домене. Если ютер Ч контроллер домена, группа в обязательном порядке является группой контроллеров домена;
Х Ч для объекта или пустимое значение, которое разрешается записать в этот атрибут Ч 0, для очис тки учетной Х обычно этот атрибут записывает система.
два специальных значения, используемые для указания завершения срока дей пароля (0) или отмены окончания срока действия пароля (-1).
Подробнее об этих атрибутах Ч па Web-странице Web Resources по адресу windows.microsoft.com/windows2000/reskit/webresources, ссылка Microsoft Platform SDK.
Кэш схемы Все изменения, выполняемые в Active Directory, всего сверяются со схемой.
Для ускорения операций поиска кэш схемы размещается в оперативной памяти контроллера домена. Эта отображенная в памяти версия version) схе мы называется кэшем схемы (schema cache) и обновляется автоматически при об версии на диске. Кэш схемы обеспечивает взаимосоответствие между та кими атрибутов, как идентификатор столбца базы данных или MAPI-идентификатор, и структурами в которые описывают эти атрибуты.
Кэш схемы также обеспечивает поиск классов для получения браженных в памяти структур, описывающих эти классы.
При запуске компьютера кэш схемы загружается из данных и в автоматически обновляется при каждом изменении дисковой версии схемы. После изменений в схему ее кэш автоматически обновляется за период более пяти минут после внесения первого изменения. До отображения обновлений схе мы в кэш па новый или измененный класс или атрибут, бавить невозможно. Такой обеспечивает целостность схемы, однако пя тиминутная задержка при обновлении способна пользователя в замеша тельство, поскольку изменения не видны, пока кэш не обновится, кор рективы уже сохранены на диске.
Существует также механизм обновления кэша схемы по запросу. Его стоит пользовать изменении схемы. Для этого следует добавить в rootDSE со значением 1. Само значение не по действует, как триггер, или атрибут, вызывая немедленную перезагрузку кэша, В особой записи rootDSE агента DSA содержатся атрибуты локального контролле ра домена, в том о разделах каталога, имени сервера и под держиваемой версии LDAP. Атрибут это операционный атри бут и применяется только для администрирования сервера каталогов. Это фигу ральный атрибут, отсутствующий в схеме и не в постоянной памяти.
запись значения в операционный атрибут вызывает опреде ленного действия на сервере.
ЧАСТЬ 1 Служба Active Directory Добавление атрибута влечет немедленное обновление кэша схе мы. Этот вызов блокирующий, если он выполняется без ошибок, схема полностью обновлена и все ее коррективы готовы к использованию. Возврат ошиб ки информирует о неудаче обновления кэша. Создавая приложения, использующие возможность обновления кэша, учитывать блокирующую запись, на пример для о результатах работы интерактивной программы или сценария.
Внимание! Принудительное обновление кэша схемы рекомендуется толь ко один раз и только после завершения всех необходимых корректировок поскольку для загрузки кэша требуется большой объем оперативной памяти.
Стандартная конфигурация безопасности объектов Active Directory Стандартный дескриптор безопасности объектов Active Directory указан в схеме.
По сути, существуют области конфигурации стандартной безопасности Active Directory (под конфигурацией безопасности мы подразумеваем предоставляемые по умолчанию права доступа к объектам каталога):
Х параметры объектов, заданные при установке Active Directory;
Х применение стандартных параметров безопасности для вновь создаваемых объек тов после установки Active Directory Подробнее о стандартных дескрипторах объектов Active Directory на Web-странице Web Resources по адресу reskit/webresources, ссылка Microsoft SDK. Подробнее о разрешениях и безопасности в главе 12 Управление Примечание Существуют особые случаи, когда стандартные параметры безопасности не применяются ко вновь создаваемым объектам. Подробнее о таких ситуациях Ч на Web Resources по адресу reskit/webresources, ссылка Microsoft Platform SDK.
Стандартная конфигурация безопасности раздела домена Объект раздела каталога домена относится к классу поэтому его метры безопасности по те что и для класса domainDNS.
Стандартный дескриптор безопасности раздела домена Х Full Control (Полный доступ) для групп Domain Administrators (Ад министраторы домена) и System (SYSTEM), а также разрешения Read (Чтение) для группы Authenticated Users Х разрешение Read (Чтение) для всех свойств для группы Everyone (Все). Это обеспечивает обратную совместимость с API-интерфейсами;
Х разрешения Directory Changes (Репликация изменений каталога), Replication Synchronize (Синхронизация репликации) и Manage Replication Topology (Управление топологией репликации) для группы Enterprise Domain Controllers (Контроллеры домена предприятия). Эти разрешения позволяют ГЛАВА 4 Схема Active Directory членам группы Enterprise Domain Controllers автоматически управлять репли кацией;
Х разрешения Replicating Directory Changes, Replication Synchronize и Manage Replication Topology для встроенной Administrators (Администраторы).
Администраторы отдельных контроллеров домена используют эти разрешения для устранения неполадок репликации;
Х наследуемое разрешение Full Control (Полный для группы Enterprise Administrators (Администраторы предприятия). Эта группа, по имеет полный доступ ко всем Х наследуемое разрешение List Contents (Список содержимого) для 2000 Compatible Access (Пред-Windows 2000 доступ);
Х наследуемые Read RAS Information (Чтение Информация удален ного Read General Information (Чтение Общие сведения), Read Membership (Чтение Членство в группах), Read User Account Restrictions (Чте Ограничения учетной записи) и Read User Logon (Чтение Информация о входе) по отношению ко всем разрешениям объектов пользователь для груп пы 2000 Compatible Access 2000 доступ);
Х наследуемое разрешение Read (Чтение) по отношению ко всем объектам Х разрешение аудита успехов и для операций записи Ч Writes (Запись всех свойств) для группы Everyone (Все).
Активизация политики аудита гарантирует, что операции записи в каталог (для любого объекта) регистрируются автоматически, без вмешательства Наследуемая управления (access control entry, АСЕ) предоставля ет удобный способ удаления политики аудита.
Стандартная конфигурация безопасности раздела конфигурации дескриптор безопасности контейнера Configuration содержит:
Х разрешение Full Control (Полный доступ) для групп Domain Admins (Админис траторы домена) и System (SYSTEM), а также разрешения Read (Чтение) для группы Authenticated Users проверку);
Х разрешения Replicating Directory Changes (Репликация изменений Replication Synchronize (Синхронизация и Manage Replication Topology (Управление репликации) для группы Enterprise Domain Controllers (Контроллеры домена предприятия). Эти разрешения позволяют контроллерам домена в лесу выполнять взаимную репликацию данных и авто матически перестраивать топологию репликации в зависимости от задержек и репликации раздела конфигурации;
Х разрешения Replicating Directory Changes (Репликация изменений каталога), Replication Synchronize (Синхронизация репликации) и Manage Replication Topology (Управление топологией репликации) для встроенной группы ministrators (Администраторы). Эти разрешения позволяют администраторам отдельных контроллеров домена синхронизировать репликацию и управлять то пологией раздела конфигурации;
180 ЧАСТЬ 1 Служба каталогов Active Directory Х наследуемое разрешение Control (Полный доступ) для группы Enterprise Admins (Администраторы предприятия). Это разрешение дает членам группы Enterprise Admins (Администраторы предприятия) исключительное право уп равления контейнером Configuration. Оно необходимо для управления этим кон тейнером в границах всего леса;
Х наследуемый аудит операций записи Ч Writes (Запись всех свойств), выполня емых членами группы Everyone Активизация политики аудита гаранти рует, что операции записи в каталог (для любого объекта) проверяются автома тически, без вмешательства Наследуемая запись АСЕ обеспечи вает способ удаления политики аудита.
Стандартная конфигурация безопасности раздела схемы Стандартный дескриптор безопасности контейнера Schema содержит:
Х разрешение Write (Запись для группы Schema Administrators (Администраторы схемы). Оно позволяет членам этой группы принудительно роль хозяина схемы на контроллер домена, полнены изменения схемы;
Х разрешение Change Master (Смена хозяина схемы) для группы Schema Administrators (Администраторы схемы). Оно позволяет членам этой группы перемещать роль хозяина схемы (по на контроллер домена, где выполнены изменения схемы;
Х наследуемое разрешение Full Control (Полный доступ) для группы Schema Administrators (Администраторы схемы). По умолчанию это единственная груп па с правами записи для всего контейнера Schema. Объекты схемы не обладают особыми параметрами безопасности и наследуют их от тельской папки контейнера Schema;
Х разрешения Replicating Directory Changes (Репликация изменений Replication Synchronize (Синхронизация репликации) и Manage Replication Topology (Управление топологией репликации) для группы Enterprise Domain Controllers (Контроллеры домена ). Они позволяют членам этой группы авто матически управлять репликацией схемы в лесе;
Х разрешения Replicating Directory Changes (Репликация изменений каталога), Replication Synchronize (Синхронизация репликации) и Manage Replication Topology (Управление топологией репликации) для группы Administrators (Ад министраторы) позволяют отдельных контроллеров домена устранять неполадки репликации;
Х разрешения Read (Чтение) для группы Authenticated Users (Прошедшие провер ку) позволяет членам группы просматривать схему;
Х аудит операций записи Ч Writes (Запись всех свойств), выполняемых группой Everyone (Все). Активизация политики аудита гарантирует, что операции запи си в каталог (для любого объекта) проверяются автоматически, без вмешатель ства пользователя. Наследуемая запись АСЕ обеспечивает удобный способ уда ления политики аудита.
ГЛАВА 4 Схема Active Directory Стандартные параметры безопасность и классов Все атрибуты и классы наследуют списки ACL контейнера Schema. Это обеспечи вает согласованность и однородность схемы с точки безопасности.
Примечание В стандартной конфигурации группе Schema Administrators предоставлены права записи в контейнер Schema.
Расширение схемы Если существующие описания классов и атрибутов в схеме не отвечают требовани ям Вашей организации, Вы вправе расширить путем добавления или ее объектов. Допускается также динамическое расширение Active Directory Ч когда сразу же после создания новых атрибутов и классов приложение немедленно использует эти дополнения. Обновление схемы заключается в созда нии или объектов в контейнере схемы. Таким образом, создаваемые объекты доступны во всем предприятии.
Примечание Как и все объекты Active объекты схемы защищены списка ми поэтому изменять схему разрешено только пользователю, соответствующими правами. (Подробнее об - в главе 12 досту Добавление или изменение определений класса или атрибутов в схеме подразуме вает добавление или изменение соответствующих объектов класса attribute Schema, При этом те же операции, что и при добавлении изменении любого объекта в Active Directory. Единственное исключение - провер ка дополнительных условий, которая позволяет гарантировать, что изменения не вызовут нарушения согласованности или сбои в схеме.
Когда следует расширять схему Обновление схемы Ч чрезвычайно важный шаг, влияющий на весь каталог, по* этому мы не его без особой необходимости. Многие коррективы в схе ме нельзя отменить, поэтому прежде планируйте их. Несогласованность схемы может вызвать серьезные неполадки и даже повредить или вывести из строя Active Directory. Очень часто ошибки обновления схемы обнаруживаются не сразу.
Прежде чем приступить к изменению схемы, следует тщательно изучить стандарт ную схему Active Directory, поставляемую с Windows 2000, дабы удостовериться, что имеющиеся классы или атрибуты не позволяют решить поставленную задачу.
Следует четко понимать какие допустимы, а какие Ч нет. Далее перечислены допустимые изменения схемы:
Х создание классов;
Х существующих классов;
Х создание атрибутов;
Х изменение имеющихся атрибутов;
Х отключение классов и ЧАСТЬ 1 Служба каталогов Active Directory Существует три способа эффективного добавления новых классов:
Х расширение имеющегося класса путем атрибутов дополнитель ных допустимых родителей;
Х нового подкласса от имеющегося класса, Такой подкласс: содержит все атрибуты исходного класса, а также любые указанные Вами ные атрибуты;
Х создание абсолютно нового класса с любыми необходимыми атрибутами.
Расширение класса необходимо, если выполняются следующие условия:
Х имеющемуся классу требуются дополнительные атрибуты, но в остальном он отвечает вашим потребностям. Например, Вы можете добавить атрибут (ограничение на объем приобретений) в класс user и создать на его основе объект, пользователю, который является менедже ром затрат и отвечает за покупки;
Х не обязательно идентифицировать расширенный класс как отличный от исходно го. То есть при расширении класса нет необходимости создавать новый класс достаточно расширить старый;
Х обеспечьте управления дополнительными атрибутами объектов средствами консоли Active Directory Users and Computers (Active Directory и компьютеры). Для этого следует расширить страницы свойств для таких объектов.
Создавать подкласс существующего класса следует, если выполняются условия:
Х классу требуются дополнительные атрибуты, но в остальном он Вашим требованиям;
Х требуется определить расширенный класс и отделить его от класса;
Х для управления расширенными атрибутами надо использовать существующую консоль Active Directory Users and Computers.
Как расширить схему Приступать к расширению схемы следует только после тщательного планирования всех будущих Поскольку изменение схемы Ч крайне важная способная повлечь серьезные в Windows 2000 предусмотрено три фун кции безопасности, или перекрестные блокировки, которые контролируют измене ния схемы.
Х По умолчанию схемы запрещено на всех контроллерах домена. Раз решите обновление схемы на отдельном контроллере посредством консоли Active Directory Schema.
Х Объект схемы защищен механизмом безопасности Windows 2000: для редакти рования схемы администраторы должны иметь явно заданные разрешения или принадлежать к группе Schema Admins (Администраторы схемы).
Х Обновление схемы возможно только на одном контроллере домена на предпри ятии Ч владельце роли хозяина схемы. Это одна из ГЛАВА 4 Схема Active Directory Установка расширений схемы Рекомендуется строго контролировать схемы всех сайтах клиентов.
Если определенная служба нуждается в установке схемы, Вы должны устанавливать их по одним из следующих методов:
Х расширить схему средствами сценариев Это клиентам схему независимо и выполнять операцию установки;
Х расширить схему программными средствами.
Помимо процедуры раздельной установки схемы рекомендуется тща тельно документировать все расширения. В документации необходимо регистриро вать следующие сведения:
Х центр сертификации, в котором получен префикс кода объекта;
Х новой иерархии классов, содержащей новые классы;
Х стандартного дескриптора и дескриптора безопасности Windows NT (при необходимости);
Х относительное составное имя (си), отображаемое код объекта, описание каждого нового класса и атрибута, а также способы его предполагаемого Кроме того, следует дать ответы на следующие вопросы:
Х реплицируется ли атрибут на серверы глобального каталога;
Х индексирован ли атрибут;
Х каковы ожидаемая частота обновления и атрибута.
влияние расширения на репликацию;
Х каков диапазон допустимых значений атрибута и Программа установки расширений схемы должна позволять завер шить работу без внесения каких-либо изменений в схему.
Определение атрибута При создании атрибутов или классов в Active Directory задавайте В нем указывается глобально уникальный идентификатор класса или атрибута. В отличие от кода объекта, получаемого в центре ции, для GUID применяется алгоритм. Атрибуты schemalDGUID используются в списках для предоставления индивидуальных привилегий для отдельных классов или Именование При схемы следует придерживаться указанных правил, касающих ся значений атрибутов относительного составного имени объекта и отобража емого имени LDAP составное имя (Common-Name Х Сначала следует префикс Эта часть состоит из компании и четырех цифр текущего года, разделенных дефисом (-).
Х Следующий символ в си Ч дефис (-).
ЧАСТЬ 1 Служба каталогов Active Directory Х Далее расположен префикс, для продукта, Эта часть имени должна кратко характеризовать продукт, уникальной для организации и начинать ся с Для регистра остальных букв префикса никаких ограни чений не предусматривается.
Х Следующий символ в Ч дефис Х Далее следует подставить в си имя атрибута или класса.
Отображаемое имя LDAP т Для создания отображаемого имени LDAP используется сп.
т Первым символом должна быть строчная буква.
Х Буквы после дефисов (-) быть прописными.
Х Удалите все дефисы в части префикса, расположенной после уникального пре фикса продукта, но не удаляйте который стоит сразу него.
Таблица 4-6 иллюстрирует правила именования в отношении относительных со ставных имен и отображаемых имен LDAP.
Таблица 4-6. Правила именования Относительное имя Отображаемое имя LDAP (IDAPDisplayName) Обновление схемы Средствами консоли Active Directory Schema (Схема Active Directory) на соответ ствующем контроллере домена разрешите схемы.
Примечание Поскольку изменения схемы выполняются редко и чреваты серьезны ми последствиями, оснастка Active Directory Schema не устанавливается по умол чанию вместе с Windows Server. Чтобы она появилась в списке доступных ос насток ее DLL-библиотеку следует зарегистрировать, выполнив команду Regsvr32 из командной строки.
Снятие запрета на изменения схемы 1. Откроите консоль Active Directory (Схема Active 2. В дереве щелкните правой кнопкой мыши Active Directory Schema (Схема Active Directory) и выберите команду Operations Master (Хозяин опе раций).
3. Установите флажок The Schema may be modified on this server (Схема может быть изменена на этом контроллере домена) и щелкните кнопку ОК.
Положение флажка The Schema may be modified on this server сохраняется в пара метре реестра Schema Update Allowed в разделе Active Directory добавля ет этот параметр в реестр, когда Вы изменяете значение по умолчанию средствами консоли Active Directory Schema.
ГЛАВА 4 Схема Active Directory Внимание! Не модифицируйте реестр (с редактора реес тра) Ч делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления реестра обходит стандартные средства защиты, не допускать конфликтующих значений параметров, а также спо собные снизить быстродействие системы или разрушить ее. Не исключено, что прямого редактирования реестра окажутся не такими, как Вы и, возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft).
Перед изменением реестра рекомендуется делать резервную копию. Подробнее о редактировании параметров реестра Ч в справочной системе редактора реестра.
Подробнее о реестре Ч в техническом руководстве Technical Reference Microsoft Windows 2000 Professional Resource Kit Группа Schema Administrators изменения схемы обладают члены группы Schema Admins ры схемы). По умолчанию член этой группы безопасности Ч учет ная запись Administrator (Администратор) в домене предприятия. Дру гие администраторы схемы надо создавать явным образом.
Внимание! Количество группы Schema следует строго ограничить, дабы предотвратить доступ к схеме.
группы Schema Admins можно просмотреть и отредактировать в консоли Active Directory Users and Computers (Active Ч и компью теры).
Добавление учетной записи в группу Schema Admins 1. Откройте консоль Active Directory Users and Computers (Active Directory пользователи и компьютеры).
2. Дважды щелкните название домена, в котором расположена учетная запись.
3. Дважды щелкните Users, 4. Щелкните группу безопасности Schema Admins (Администраторы схемы) пра вой кнопкой и выберите команду Properties (Свойства).
5. Перейдите на вкладку Members (Члены группы).
6. Если учетной записи в этом списке нет, щелкните кнопку Add 7. В окне выберите или введите имя учетной записи.
8. кнопку Add (Добавить), а затем Ч ОК.
Роль хозяина схемы Для предотвращения конфликтов служба Active Directory выполняет схемы в режиме одиночного хозяина операций. Один из домена пред приятия, позволяющий выполнять обновления схемы, в данное время называется хозяином схемы (schema master). Исполнение роли хозяина схемы и объектов схемы каждый момент возможно только на одном из контрол леров домена во всем предприятии.
ЧАСТЬ 1 Служба каталогов Active Directory Примечание Для обновления схемы контроллер домена, выполняющий роль ина схемы, должен быть подключен к сети.
Роль хозяина схемы можно передать другому контроллеру домена. Текущий ин схемы предприятия идентифицируется по значению атрибута контейнера Schema. По умолчанию хозяином схемы становится первый контрол лер домена, на предприятии.
Хотя вносить изменения в схему только контроллер домена, выпол роль хозяина схемы, для обновления схемы подключаться к этому кон троллеру не обязательно. Текущий контроллер домена, не обладающий данной ро лью, автоматически возвратит на действительного хозяина схемы.
При необходимости перемещение роли хозяина схемы на другой контроллер домена выполняется средствами консоли Active Directory Schema (Схема Active Просмотр и перемещение роли текущего хозяина средствами консоли Active Directory Schema 1. Откройте ММС и установите оснастку Active Schema (Схема Active Directory).
2. В дереве консоли щелкните правой кнопкой мыши Active Directory Schema (Схема Active Directory) и в контекстном меню выберите команду Operations Master (Хозяин операций).
3. В открывшемся окне в области Current Operations Master (Текущий хозяин операций) отображаются сведения о текущем хозяине схемы.
Чтобы оставить хозяина схемы без изменений, щелкните кнопку ОК.
Чтобы роль хозяина схемы другому контроллеру, щелкните кнопку Change (Сменить).
Если контроллер домена, имя которого отображается в поле Current Focus (Текущее местоположение), в данный момент является хозяином опера ций, необходимо сперва средствами консоли Active Directory Domains and Trusts (Active Directory Ч домены и доверие) подключиться к другому контроллеру домена. Нельзя, подключившись к текущему хозяину операций, передать его FSMO-роль другому контроллеру.
Подробнее об использовании консоли Active Directory Schema Ч в разделе схемы ранее в этой главе.
Для перемещения также используют утилиту командной строки Ntdsutil.
Она расположена в папке Подробнее о переносе FSMO-роли средствами Ntdsutil Ч в главе 7 операциями одиночного Перемещение роли хозяина схемы средствами программы 1. Запустите Ntdsutil, выполнив в командной строке команду ntdsutil. [Заметьте, что в любой момент Вы можете получить контекстную справку, если введете в приглашении данной программы вопросительный знак (?)].
2. В введите:
roles 3. В приглашении fsmo maintenance введите:
connections ГЛАВА 4 Схема Active Directory 4. просмотра информации о текущем в приглашении server con nections введите:
info При для к серверу, который станет хозяином введите соответствующую команду. Для сведе ний введите вопросительный знак (?).
5. Чтобы в приглашение fsmo maintenance, quit 6. Чтобы передать роль хозяина схемы, введите:
transfer schema master Перемещение роли хозяина схемы также выполняется программно из Перед схемы приложение явно проверить, является ли теку щий контроллер домена хозяином схемы, и при отрицательном результате Ч явло перемещения роли.
Для иллюстрации процесса перемещения рассмотрим сценарий, в котором А Ч текущий владелец роли схемы, а компьютеру В требуется рас схему. Чтобы FSMO-роли от компьютера А програм ма должна добавить операционный атрибут со значением 1 в объект rootDSE (то есть в объект с пустым составным именем) на В.
Этот операционный атрибут никогда в схеме и не хранится а служит только для того, чтобы начать определенные действия в каталоге.
В данном случае сервер (компьютер В) отправит компьютеру А на переме роли. Последний, получив этот запрос, изменит значение атрибута своего контейнера схемы на имя компьютера В и возвратит новое ние атрибута на компьютер В. Кроме того, при необходимости А воз вратит все изменения схемы, выполненные на нем, но еше не распространившиеся на компьютер В. (Несогласованность может возникнуть по причине задержки ликации). ответ от А, В внесет все и станет теку щим хозяином схемы.
Примечание В, новый хозяин схемы, в итоге получит все обновления схемы предприятия и, следовательно, самую версию Если старый хозяин схемы недоступен или вышел из строя, можно принудительно передать роль хозяина схемы и выполнить схемы на новом хозяине раций. Однако прибегать к таким мерам стоит только в крайнем случае. При при нудительной передаче роли хозяина схемы схемы, ные на старом хозяине, теряются, кроме того, высока вероятность появления кон фликтующих изменений на других контроллерах в лесе. В последнем случае на добится очистить каталог, отключив его от сети.
перемещение роли хозяина схемы радикальная предпринимать которую следует, лишь когда текущий хозяин схемы не способен выполнять свои функции или не подлежит Перед принудитель ным роли хозяина схемы отключите текущий хозяин от сети.
дитесь, что будущий владелец роли получил все обновления схемы.
188 ЧАСТЬ 1 Служба каталогов Active Принудительное перемещение роли хозяина схемы средствами Ntdsutil 1. Запустите выполнив в командной строке команду [Заметьте, что в любой момент Вы можете получить справку, если введете в приглашении данной программы знак 2. В приглашении введите:
roles 3. В приглашении fsmo maintenance введите:
connections 4. Для просмотра информации о текущем соединении в приглашении server con nections info При необходимости для подключения к серверу, который станет хозяином схе мы, введите соответствующую команду. Для получения дополнительных сведе ний введите вопросительный знак (?).
5. Чтобы вернуться в приглашение fsmo maintenance, введите:
quit 6. Чтобы принудительно передать роль хозяина схемы, введите:
seize schema master Подробнее о перемещении средствами Ntdsutil Ч в главе ние операциями одиночного Порядок расширения схемы При расширении схемы посредством программы или сценария следует выполнять операции в описанной далее последовательности.
1. Найдите и подключитесь к хозяину схемы. Создайте привязку к схеме на кон троллере - - схемы. Не перемещайте роль хозяина схемы между контрол лерами домена без особой нужды. В любой момент времени выполнять такую важную как схемы, только одному контрол леру домена Ч хозяину схемы. Если в сети несколько серверов под управлени ем Windows следует убедиться, что обновления будут выполняться имен но на хозяине FSMO-роли.
2. Проверьте наличие у Вас полномочий обновление схемы. Для этого проверь те значение атрибута контейнера схемы. Если в дан ном атрибуте нет значений и Вам не удастся доба вить атрибуты или классы в схему. Правом изменять схему обладают только члены группы Schema Admins (Администраторы схемы). Проверьте, входит ли Ваша учетная запись в данную группу. (Учетная запись автомати чески является членом группы Admins.) 3. Создайте параметр в реестре для разрешения записи в схему. По умолчанию доступ к схеме предоставляется в режиме только Данный параметр, называемый параметром блокировки схемы, расположен в параметре реестра Schema Update Чтобы разрешить обновление схемы, следует задать дан ному параметру ненулевое удалением блокировки убедитесь, ГЛАВА 4 Схема Active Directory что она не (то есть, что параметру уже присвоено ненулевое зна чение). значение данного параметра и не забудьте восстановить его после завершения обновления. Обратите что создавать блокировку только на сервере, FSMO-ролью.
4. Добавьте новые атрибуты.
5. Добавьте новые классы.
Добавьте атрибуты в классы. На все новые атрибуты ссылаться по коду так как их еще не в кэш. До перезагрузки кэша после добавления новых атрибутов использовать имена новых атрибутов 7. Все контроллеры домена обновляют свой кэш схемы спустя 5 минут после ее Если изменения нужно внести быстрее, обновите кэш вручную.
Если для добавления новых классов или атрибутов Вы создали защитную бло кировку, рекомендуется после корректировки восстановить ее, 9. Убедитесь, что программная установка расширения схемы (средствами сценария или выделена в процедуру, то есть Вы должны иметь возмож ность установить расширение от программы.
10. Перед созданием программы, расширяющей схему, изучите сведения на Web Resources по адресу ссылка Microsoft Platform SDK, далее Ч ссылки Active Di rectory Programmer's Guide и Schema Extensibility.
Примечание Обновлять кэш не обязательно, если внесенные изменения требуется использовать немедленно. Время переноса корректив в кэш схемы состав ляет 5 минут и от нагрузки на систему.
Добавление и изменение объектов схемы Поскольку объект схемы Ч такой же объект каталога, как и для его добав ления или применяются аналогичные методы. Эти выполня ются средствами консоли Active Directory (Схема Active Directory), постав ляемой в составе Windows 2000 и обладающей интер фейсом. Кроме того, не возбраняется изменять схему и программными средствами.
Добавление атрибута Рекомендуется по возможности стандартные атрибуты. Но если Вы все-таки решили создать новый атрибут, придерживайтесь определенных Х В качестве атрибута пате используйте (относительное составное имя);
это имя по умолчанию для большинства классов, в том числе для прямых потомков класса top. Поскольку сп - атрибут, легко удастся най ти по имени.
Х Старайтесь избегать использования больших многозначных атрибутов, для хра нения и поиска которых требуется много ресурсов. В Active Directory ван управления для последовательного чтения таких но не все поддерживают его.
Х Помните, что атрибуты у них нет подструктуры. Все атрибуты клас са должны относиться напрямую к экземплярам класса, так что Вам возможность попрактиковаться в нормализации данных.
ЧАСТЬ 1 Служба каталогов Active Directory Для добавления нового атрибута в схему необходимо создать новый объект атри бута. Сначала создайте параметр блокировки Active Directory, как в ле Как расширять ранее в этой главе. Затем выполните перечисленные ниже операции.
1. Выберите имя для атрибута.
2. Получите действительный код объекта в центре сертификации.
3. Задайте синтаксис атрибута.
4. тип атрибута Ч одно- или многозначный.
5. Определите необходимость и способ индексации атрибута.
6. Определите необходимость репликации атрибута в глобальный каталог.
В любом, определенном Вами атрибуте часть атрибутов обязательны, а остальные Ч дополнительные. Список тех и других приведен в таблицах 4-7 и 4-8.
Таблица 4-7. Обязательные атрибуты новых объектов класса schemaAttribute Обязательный атрибут по умолчанию He определено Ч имя задает администратор Не определено Ч администратор обязан присвоить значение Не определено Ч администратор обязан иден тификатора объекта Не Ч администратор обязан задать один из синтакси сов, определенных в Active Не определено Ч администратор обязан присвоить значение oMSyntax, соответствующее синтаксису атрибута Если значение не указано, по умолчанию генерируется програм мой n Определяется значением атрибута класса attributeSchema FALSE, то есть по умолчанию атрибут Ч однозначный Если значение указано, по умолчанию присваивается значение сп Таблица 4-8. Дополнительные атрибуты новых объектов класса schemaAttribute Дополнительный атрибут Значение по He определено Ч значение присваивается администратором Не Ч значение присваивается администратором FALSE Не определено. На данный момент определено 4 бита: 1 Ч индексировать только атрибут;
2 Ч индексировать контей нер и атрибут;
4 Ч добавить данный атрибут в набор не однозначного разрешения имен Name ANR) (используется совместно с 1);
8 - сохра нять этот атрибут при логическом удалении объекта (атри бут должен быть доступным после захоронения объекта каталога) ГЛАВА 4 Схема Active Directory Предположим, Вы хотите добавить новый атрибут с именем Каждый его экземпляр должен занимать одну строку символов Unicode длиной от 1 до символов. Такой атрибут определяется следующим образом:
Х Х attribute Х = (действительное значение кода объекта);
Х = 2.5.5.12 (код синтаксиса строки Unicode);
Х = 64 (код синтаксиса строки Unicode);
Х isSingleValued = TRUE (однозначный атрибут);
Х = 1 (минимальная длина строки);
Х = 1000 (максимальная длина строки).
Изменение атрибута Чтобы атрибут, следует изменить объект, его описывающий. Для обеспече ния согласованности и некоторым атрибутам каждого объекта класса присваивается статус Системные атрибуты объектов класса schemaAttribute изменить нельзя Ч даже для новых, созданных Вами атрибу тов. Признаком системного атрибута является значение TRUE атрибута Далее перечислены системные атрибуты объектов класса schemaAttribute.
Х Х Х Х Х isSingleValued;
Х Х systemOnly;
Х objectClass;
Х Добавление класса Чтобы создать новый класс, нужно добавить в схему новый объект класса со всеми требуемыми атрибутами. Снимите блокировку Active Directory, как описано в разделе Как расширить ранее в этой главе, и перед добавлением класса выполните операции, описанные ниже.
1. имя классу.
2. Получите действительный код объекта в центре сертификации.
3. Задайте категорию класса.
4. Укажите класс, которому наследует создаваемый Вами класс.
У каждого класса есть обязательные и дополнительные атрибуты. Их значения по умолчанию описаны в таблицах 4-9 и 4-10.
ЧАСТЬ 1 Служба каталогов Active Directory Таблица 4-9. Обязательные атрибуты новых объектов класса Обязательный атрибут Значение по умолчанию Не определено Ч имя задает администратор Класс 88, поскольку этот класс не относится ни к одной катего рии. Другие значения: (Structural), или дополнительный governsID определено Ч администратор обязан присвоить значение тификатора объекта possSuperiors Не определено Ч администратор обязан указать структурный класс или допустимых объектов создаваемого He определено Ч администратор обязан указать Автоматически системой Определяется атрибута класса Если значение по умолчанию присваивается значение сп Таблица Дополнительные атрибуты новых объектов класса schemaClass атрибут по умолчанию Если указан дескриптор безопасности умолчанию, используется дескриптор непосредственного Список классов, которым дан ный класс Для любого нового класса определить атрибуты objectClass и governsID.
Впрочем, чтобы создание класса имело смысл, следует также опре делить некоторые из атрибутов Contain и possSuperiors. Любые ат рибуты, которые Вы указываете при создании нового класса, должны существовать.
Таким образом, чем приступить к созданию класса с новыми атри бутами надо добавить в схему атрибуты.
объекта governsID нового класса должен быть уникален не только в рамках предприятия, но и глобально.
Допустим, Вы хотите добавить класс Friend, предназначенный для хранения информации о друзьях. Объекты класса должны содержать имя друга и, необходимости, его адрес или номер телефона. Так как друг Ч это Вы за планировали, что объекты класса Friend иметь такие же обязательные и до полнительные атрибуты и родительские объекты, что и у объектов стандартного класса Person, который Вы определили В этом случае следует добавить сле дующее описание класса:
Х сп = Х objectClass = Х Person;
Х governsID = 1.2.345.678901.2.3.45 (допустимое идентификатора объекта);
Х = Х Address, phone-number.
ГЛАВА 4 Directory Изменение класса Чтобы изменить свойства класса, следует изменить объект, его описывающий. Для согласованности и некоторым атрибутам каждого объекта класса статус системный. Системные атрибуты объек тов класса изменить Ч даже для созданных Вами классов.
Признаком системного атрибута является значение TRUE атрибута Далее перечислены системные атрибуты объектов класса schemaClass.
Х Х т Х Х Х Х Х Auxiliary>
Х objectClassCategory;
Х systemOnly;
Х Х Проверка системой выполнения определенных условий и ограничений на изменение схемы При или изменении классов и/или атрибутов Active Directory прове ряет некоторые параметры - соблюдение логической целостности и конфигурацию безопасности.
Проверка целостности При изменении класса или атрибута система проверяет уникальность значений атрибутов и а также корректность ЮЛ Добавление в схему нового объекта успешно только при выполнении всех перечисленных далее условий (кроме обычных ограничений на расширение схемы):
Х значение атрибута уникально;
Х все атрибуты, в systemMay Contain, Contain и существуют;
Х все классы, указанные в атрибутах>
Х значение атрибута objectClassCategory всех классов, указанных в атрибуте Auxiliary>
ЧАСТЬ 1 Служба каталогов Active Х значение атрибута всех классов, указанных в атрибуте и соответствует либо категории либо ка тегории структурных классов;
Х классы в списке соответствуют определенным спецификациям для наследуемых иерархий: абстрактные классы наследуют другим абстрактным классам, классы никогда не наследуют структурным, а струк турные классы не наследуют дополнительным;
Х атрибут, указанный в атрибуте однозначен и обладает синтаксисом символов Unicode.
При атрибута должны соблюдаться следующие условия:
Х значение уникально;
Х (если задано) уникально;
Х в паре атрибутов и (если эти атрибуты заданы) значение range Lower меньше range-Upper, Х значения attributeSyntax и соответствуют друг другу, как указано в таб лице Х если у атрибута синтаксис объекта oMSyntax = 127, ему соответствует коррект ный номер согласно таблице 4-12;
Х значение (если задано) уникально. Кроме того, обратной ссылке должна соответствовать определенная прямая ссылка. (Подробнее о ссылках Ч в главе Хранение данных в Active Примечание Полное описание содержит атрибуты и oMSyntax. Следовательно, всякий раз, когда вместе с attributeSyntax может исполь зоваться более oMSyntax, надо указать корректное значение oMSyntax.
Таблица Значения attributeSyntax и соответствующих им синтаксисов Соответствующее значение синтаксиса Номер синтаксиса 2.5.5.1 (Двоичное DN) 2.5.5.2 (Идентификатор объекта) Case-Sensitive String (Строка с учетом 2.5.5.4 (Строка учета регистра) 2.5.5.5 String(IA5) 2.5.5.6 (Числовая строка) 2.5.5.7 (ИЛИ имя) или (Двоичное DN).
Отличие в 2.5.5.8 Boolean (Логическое) Integer Enumeration 2, 2.5.5.10 октета) 2.5.5.11 (Время String (Generalized-Time) время) ГЛАВА 4 Active Directory Таблица 4-11. (продолжение) значение oMSyntax Номер синтаксиса 2.5.5.12 (Строка 2.5.5.13 (Адрес) 2.5.5.14 Object (Access-Point) (Точка доступа) или (Строка различающегося имени). Отличие в значении oMObjectClass 2.5.5.15 (Дескриптор безопасности NT) 2.5.5.16 (Длинное целое) 2.5.5.17 (SID) Для облегчения выбора синтаксиса oMSyntax для каждого имени указан номер Для атрибутов со значением oMSyntax = 127 необходимо также корректно указать соответствующий атрибуту attribute Syntax. К атрибутам с другим значением oMSyntax это не относится, значение атрибута oMObjectClass раз решается не задавать. Поскольку oMObjectClass Ч двоичное значение, его иногда неудобно задавать. Кроме того, в большинстве случаев существует однозначное со ответствие между и и атрибуту oMObjectClass ивается значение по умолчанию, если иное не указано пользователем. Впрочем, иногда это соответствие неоднозначно, тогда этому атрибуту присваивается наибо лее популярное значение. В перечислены значения oMObjectClass, ко торые соответствуют разным для атрибутов с oMSyntax равным Таблица 4-12. Значения attributeSyntax и соответствующие значения Значение attributeSyntax 2.5.5. 2.5.5.7 или По умолчанию равно Object(OR-Name), если пользователь не указал иное 2.5.5. 2.5.5.14 или По умолчанию равно если не указал иное Для удобства в квадратных скобках указаны имена синтаксисов.
Проверка конфигурации безопасности Проверка конфигурации безопасности позволяет вероятность одновремен ного изменения схемы пользователями или приложениями. Такая проверка обяза тельна, так как к описанию схемы могут совместно обращаться несколько прило жений, Существуют определенные ограничения на изменение стандартных объектов схе мы Active Directory. В ряде случаев эти ограничения определяются тем, является ли объект стандартным или добавлен позже. В этом смысле объекты схемы подраз деляются на категории 1 и 2.
Объекты первой категорий (Category objects) Ч это объекты стандартной схемы, поставляемой с Windows 2000. Объекты второй категорий (Category 2 objects) ЧАСТЬ 1 Служба каталогов Directory добавлены в схему администратором или приложениями после Active Directory. Категория объекта определяется значением второго бита (начиная с младшего) в значении атрибута Если этот бит установлен в 1 (соответ ствующий флаг - объект является частью стандартной схемы и относится к категории 1. В обратном случае (бит установлен в 0 или атрибут отсутствует), объект относится к категории 2.
На категории схемы следующие ограничения:
Х нельзя добавлять новые атрибута mustContain в класс напрямую либо через наследование посредством дополнительного класса;
Х нельзя добавлять или удалять значения атрибута класса mustContain напрямую либо наследование.
Следующие ограничения налагаются на объекты первой категории:
Х нельзя изменить значения атрибута;
Х нельзя изменять значение GUID атрибута;
Х нельзя отключить класс или атрибут;
Х нельзя изменить значение класса или атрибута;
Х нельзя переименовать класс или атрибут;
Х нельзя изменить значение класса;
Х нельзя изменить значение экземпляров класса.
Отключение объектов схемы отключить стандартные объекты схемы Active Directory. Это разрешается только для объектов.
Иногда необходимо удалить классы или атрибуты схемы, которые не нужны Ва шей организации, однако эта операция иногда чревата серьезными проблемами.
что произойдет с другими объектами схемы, которые используют уда ляемый класс или атрибут? Поскольку на проверку и очистку каталога в рамках требуется много времени и затрат, Active Directory не поддерживает физического удаления объектов Вместо этого в службе каталогов реализо ван механизм их отключения, после чего объект схемы просто не используется в работе каталога, что более чем удаление.
Класс или атрибут отключается путем присвоения логическому атрибуту объекта схемы значение TRUE. Существует способов определить состо яние (отключен или активен) объектов схемы: из программы для этого выполняет ся поиск объектов схемы со атрибута isDefunct равным (или, если значение атрибута определенного объекта схемы равен можно про верить, отключен ли объект). Найти отключенные объекты схемы можно, восполь зовавшись функцией поиска программы Ldp с фильтром (isDefunct = TRUE).
Подробнее о программе Ldp Ч в главе 10 Выявление и неполадок, а также Active Примечание На данный момент просмотреть отключенные объекты схемы средства ми пользовательского интерфейса Для этого придется задействовать один из описанных методов.
ГЛАВА 4 Схема Active Directory Как и при добавлении или модификации, при отключении класса или атрибута система выполняет проверку некоторых условий. Это необходимо для сохранения логической целостности схемы. В частности при попытке отключить класс Active Directory проверяет, есть ли на него ссылки в атрибутах auxiliary>
Отключенный объект схемы можно то есть сделать уда лив атрибут из объекта либо присвоив этому атрибуту значение FALSE. Это выполняется средствами консоли Active Directory Поскольку восстановле ние отключенного объекта схемы аналогично добавлению объекта, Active Directory выполняет проверку тех же что и при добавлении объекта схемы.
Отмена отключения класса или атрибута средствами консоли Active Directory Schema 1. Откройте консоль Active Directory Schema (Схема Active Directory).
2. Дважды папку>
3. Щелкните правой кнопкой мыши требуемый класс или атрибут и в контекст ном меню выберите команду Properties (Свойства).
4. Сбросьте флажок Deactivate this>
2. Щелкните правой кнопкой мыши ADSI Edit и выберите Connect to.
Откроется диалоговое окно Connection (рис. 4-3).
server you I Рис. 4-3. Диалоговое окно Connection консоли ADSI Edit ЧАСТЬ 1 Служба каталогов Active Directory 3. Убедитесь, что в Connection Point выбран переключатель Naming Context.
4. В списке Naming Context выберите Schema. Б поле Name введите ное имя соединения, этого поля по умолчанию - Schema. Щелкните 5. В дереве консоли дважды щелкните значок нового соединения, чтобы отобра папку Schema.
6. Дважды щелкните папку Schema.
Через несколько секунд в области отобразится список всех атрибутов и классов.
7. Щелкните правой кнопкой мыши класс или атрибут и выберите команду Pro perties (Свойства).
8. В поле со списком Select which properties to view выберите Optional, затем в со списком Select a property to view Ч isDefunct.
9. В поле Edit введите FALSE (рис. 4-4).
10. кнопку Set, а затем - кнопку ОК.
Рис. 4-4. Диалоговое окно свойств атрибута Test Attribute Снять отключение объекта схемы в любой момент времени. Един ственное ограничение: в вызове на должен присутствовать толь ко атрибут isDefunct. Это обеспечивает чистоту семантики.
изменение, допустимое для отключенного объекта, Ч его активиза ция, то есть изменение атрибута isDefunct. Другие обновления отключен ных классов или атрибутов запрещены, Ведь отключенные объекты не участвуют в обновлениях, и нет никакого смысла их изменять.
ГЛАВА 4 Схема Active Directory Отключение существующих классов и атрибутов Существуют ограничения на отключение и атрибутов:
Х отключить класс или атрибут первой категории;
Х нельзя отключить атрибут активного класса, поскольку атрибут может обязательным для этого и его отключение не позволит создавать объекты данного класса.
Для отключения атрибута надо присвоить атрибуту объекта значение TRUE. Это предотвращает создание новых экземпляров данного атрибу та в каталоге. Для восстановления атрибута присвойте атрибуту isDefunct значение Для отключения класса надо присвоить атрибуту isDefunct объекта зна чение TRUE. Это предотвращает создание новых данного класса в ка талоге. Для восстановления класса присвойте атрибуту isDefunct значение FALSE.
Влияние отключения объекта схемы на остальные объекты После отключения класса создание новых объектов этого класса или модификация существующих невозможны. Система ведет себя так. как будто этот класс полностью удален, то есть Вы получите те же коды ошибок, что и при ОТСУТ СТВИИ класса. Как и при отключении класса, атрибут считается несу ществующим;
это касается всех попыток создания новых объектов или ции значения данного атрибута у существующих объектов.
Тем не менее поиска и удаления объектов будут выполняться, как обыч за единственным исключением: схемы удалять нельзя. Так, пользо ватель может найти и удалить все объекты определенного класса или отдельный атрибут Ч из всех объектов, содержащих его. Таким образом воз можность удаления объектов отключенного класса. Предположим, что определенный класс больше не нужен, и отключил его. Теперь этот класс не удастся изменить. Далее администратор очистку Active Directory:
удаляет все существующие объекты отключенного класса. Автоматически такая очистка класса в Active Directory не выполняется.
После отключения атрибута сохраняется возможность удаления его из объектов.
Следует иметь в виду, что удалить разрешается только атрибут целиком, а его значение. Таким образом, у многозначного атрибута удастся удалить одно или несколько из его значений Ч только весь атрибут. И это понятно: удалении от ключенных атрибутов нет причин атрибут полностью.
Влияние отключения объекта на обновление схемы Отключение объекта схемы влияет не только на существующие объекты но и на последующие обновления схемы. Это обусловлено тем, что в отличие от остальных объектов каталога обновления схемы подлежат проверке особых усло вий. Далее описано влияние отключения класса или атрибута па последующие об новления схемы.
Х Запрещено любое отключенных классов или атрибутов.
ное от правил Ч это изменение атрибута isDefunct отключенного класса для отмены отключения. Это условие определяется тем, что отключен ные классы или атрибуты не используются при обновлениях схемы.
200 ЧАСТЬ 1 Служба каталогов Active Directory Х При проверке различных условии в процессе добавления нового класса или рибута, а также при изменении существующего класса или атрибута считается, что отключенные объекты вовсе не существуют. попытка изменить существующий активный класс В путем добавления отключенного атрибута А = А) не увенчается успехом, поскольку система этот не найдет - точнее, посчитает его несуществующим. По этой же причине не удаст ся добавить новый подкласс А) отключенного класса А. Особо обрабатывается попытка создать или модифицировать класс или атрибут, атри буты которого (имя, код объекта, атрибуты или отличны от атрибутов активных классов, но со свой ствами отключенного класса. Такой объект схемы создать не удастся. Для обес печения согласованности схемы система в такой ситуации считает класс Отключение объектов схемы чрезвычайно Оно позволяет легко избавить ся от устаревших объектов схемы, а затем и удалить созданные ранее соответству ющие объекты каталога. С другой стороны, если эти объекты схемы вновь потребу ются, их легко вернуть к просто изменив атрибута Этот механизм защищает от случайного удаления объекта схемы, ведь отключение обратимо, причем без каких-либо эффектов. Обратите вни мание, что, поскольку после отключения схемы Active Directory ничего не удаляет, все ранее созданные объекты сохраняются и после восстановления вновь становятся обычными действующими объектами.
Вероятные неполадки, вызываемые изменением схемы При обновлении схемы следует три основных момента: влияние на реп ликацию, контроль выполняемых операций и появление объектов не существующих классов.
Репликация Репликация схема на все контроллеры домена в лесе гарантирует, что все ее изме на отдельном контроллере распространяются на весь лес, и схема остается согласованной на этом пространстве. Однако вследствие задержки репликации иногда несогласованность схемы.
Допустим, на сервере X создается новый класс А и объект этого класса В. Объект В не удастся на сервер Y, если при репликации этих изменений объект В реплицируется раньше, чем соответствующий классу А объект схемы. Это вызва но что в схемы сервера Y на тот момент еще нет никаких сведений о классе А.
неполадки устраняются службой каталогов Active Directory автомати чески Ч явной репликацией контейнера схемы с исходного сервера. Кроме репликация схемы вызывает обновление кэша схемы на сервере-при емнике. После этого повторяется неудачно реплицированного объек та. В примере повторная репликация доставит объект-определение класса А и внесет его в кэш схемы на сервере Y. Теперь повторная попытка репли кации объекта В будет удачной.
Контроль параллельно выполняемых операций Active Directory должна предотвращать одновременное выполнение противоречи вых изменений в схеме разными потоками программ (например, когда один поток ГЛАВА 4 Схема Active Directory удаляет атрибут, а другой вносит атрибут в список какого-либо класса).
Для этого каждый поток при выполнении расширения схемы, автома тически записывает специальный атрибут в контейнер Schema. (Active Directory автоматически вынуждает поток записать атрибут, поэтому в тексте програм мы этого отражать не нужно.) В определенный момент времени этот атрибут раз решается записывать только одному потоку. Этот метод согласован ность но при этом неизвестно, какое из обновлений окажется успешным. Об этом следует помнить при обновлении схемы в пакетном режиме, например при установке использующих Active Directory.
Допустим, что две использующих Active Directory программы, А и В, устанавлива ются и каждая создает несколько новых объектов схемы. Поскольку Active Directory создает отдельный поток для каждой операции изменения объек та, возможно, что одних объектов схемы, создаваемых программами А и В, успехом (если внутренние потоки не пересекаются), а других нет (когда создающий объект поток программы А с аналогичным по током программы В и добавление терпит неудачу).
Предположим, что установить А не удалось. Повторная установка не возможна, так как некоторые из создаваемых ею объектов уже присутствуют схе ме, и попытка их повторного создания приведет к ошибке. Вот почему не рекомен дуется одновременно запускать программы, схему. Исключение со ставляют программы, которые перед изменений в схему проверяют уже существующие в ней классы и атрибуты.
Объекты, ставшими недействительными из-за изменения схемы Изменения схемы сделать недействительными объекты определенного класса. Допустим, объект X Ч это экземпляр класса Y, а тот, в свою очередь, в атри буте mayContain содержит соответствующее атрибуту Z. Таким объекту X иметь атрибут Z. что у объекта X атрибут Z определен и при следующем обновлении схемы атрибут Z удаляется из списка mayContain класса Y. В результате объект X становится недействительным, посколь ку содержит атрибут Z, который отсутствует в новом определении класса Y (объек том которого он является). Active Directory не удаляет ставшие объекты из каталога и следит, чтобы они не вызывали неполадок в части схемы. Автоматической очистки недействительных объектов не происходит, но они остаются доступными для поиска, и их разрешается удалять вручную.
Способы расширения схемы В Windows 2000 существует несколько способов схемы. Объекты им портируются и экспортируются в пакетном режиме посредством следующих средств администрирования: служебных программ LDIFDE Directory Exchange) и (CSV Directory Exchange), а также сценариев (Active Directory Service Эти средства, автоматически устанавливаемые на все серверы Windows 2000, выполнять массовые административные дей ствия - добавлять или большое число объектов (таких, как пользовате контакты, группы, серверы, принтеры) за одну операцию. Эти служебные позволяют экспортировать объекты из Active Directory в приложения и оборот импортировать в Active Directory из других источников. Для расширения 202 ЧАСТЬ 1 Служба Active Directory схемы также консоль ADS1 Edit или Active Directory Schema (Схема Active Формат LD1F обмена данными Для обмена в формате Data Interchange Format) в Win dows 2000 предусмотрена служебная программа строки LDIFDE Data Exchange), позволяющая создавать, изменять и удалять объекты каталога. Ее запустить как на сервере, так и па рабочей станции под управлением dows 2000, но на рабочих станциях нет, и сначала придется ее скопировать.
LDIFDE позволяет расширять схему, экспортировать информацию о пользователях и группах из Active Directory в другие приложения и службы, а также Active Directory данными из других служб каталогов.
LDIF Ч это стандарт Интернета для формата файлов импорта и данных в/из LDAP-каталогов средствами состоит из записей, раз деленных символами перевода строки. Каждая запись (record) содержит информа цию либо об элементе каталога, либо о наборе модификаций для такого элемента и состоит из одной или строк.
Использование программы LDIFDE Программа LDIFDE запускается из строки. Вот справка по ее парамет рам:
LDIFDE [-i] [-f ] [-s] [-C] [-v] [-р] [-1] [-0] [-g] [-b] [-?] [-u] [-y] Примечание Дефис (-) обязателен перед каждым параметром.
В таблице 4-13 описаны значения служебной программы LDIFDE.
Таблица 4-13. Основные параметры LDIFDE Параметр Описание _ указать _ Режим Включение режима импорта. По умолчанию используется режим экспорта -f Имя файла Указывает имя входного или выходного файла -s Имя сервера Задает контроллер домена для опе рации импорта или Если этот параметр не задан, привязка к текущему конт роллеру домена, к которому подключен пользователь Старая строка составного Заменяет все старые строки на новую. Обычно имени и новая строка используется при переносе данных из одного составного имени в другой и замены имени старого па имя нового -t порта Задает номер порта. По умолчанию использует порт 389 (номер порта глобального каталога Ч 3268) -v Задает режим отображения подробной информа ции об операциях экспорта и импорта. По умол чанию этот режим отключен Отображение справочной ГЛАВА 4 Схема Active Directory Таблица 4-14. Параметры операций экспорта LDIFDE Параметр Значение, Описание следует указать I Составное имя составное имя для базы базы поиска по умолчанию Ч составное имя кор невого домена Задает фильтр поиска. для экспорта пользователей с фамилией можно исполь зовать такой фильтр:
-г Значение по умолчанию Ч Подробнее о фильтрах поиска LDAP Ч в главе имен в Active Область область поиска и принимает Base, или SubTree (по умолчанию). Подробнее об поиска Ч в главе 3 имен в Список атрибутов Задает список атрибутов, в результате на экспорт. Если параметр опушен, возвраща ются все атрибуты. Например, чтобы получить только составное имя, составное имя, имя и фа милию, а также телефон объекта, задайте следующий список атрибутов:
-I sn, (Примечание: список кавычками не обязательно) Атрибуты, Список атрибутов, исключаемых из результатов запроса из результатов на экспорт. Если параметр опущен, все атрибуты. Применяется при объектов из Directory для импорта другой каталог, который поддерживает некоторые атрибуты.
для исключения атрибутов и whenChanged надо -о "whenChanged, (Примечание:
выделять список кавычками не обязательно) Атрибуты Active Исключает особые атрибуты, применяемые только в Active такие как уни идентификатор), (идентификатор (последний заданный пароль) и По умолчанию этот параметр отключен.
Главное назначение этого параметра Ч экспортировать элементы, для повторного импорта в Active Directory. Он также активизирует режим ссылоч ных атрибутов, в котором в конец файла добавляются атрибутов, связанных с данным объектом. На пример, если у родительского объекта есть ссылочные атрибуты па дочерний соответствующие записи размещаются в конце файла экспорта. (Примечание:
атрибуты в Active Directory доступны только чтения и не могут повторно импортиро ваться;
параметр -т снимает атрибут только для на время экспорта, чтобы данный файл удалось повторно импортировать) Отменяет экспорт указанных двоичных значений.
По умолчанию этот режим отключен 204 ЧАСТЬ 1 каталогов Active Directory Таблица 4-14.
Параметр которое следует указать файла журнала. Значение по умолчанию - текущая папка Поиск по страницам Отменяет с постраничным просмотром. По умол выполняется именно такой поиск (некоторые серверы не поддерживают поиск с просмотром) Unicode Включает кодировки Unicode. При экспорта генерируется файл в кодировке Unicode, при операции Ч входной файл трактуется как файл Unicode режим фиксации транзакций (lazy commit) в базе данных каталога для повышения быстродействия Таблица 4-15. Параметры операций импорта LDIFDE Значение, которое Описание следует -k Действие в случае Пропускает ошибки типа нарушение и ошибки уже при импорте и продолжает обработку. По умолчанию импорт останавливается при следующих ошибках:
Также игнорируются все объекты без атрибутов.
Подробнее об этих ошибках Ч на Web-странице Web по адресу ссылка Microsoft SDK Таблица 4-16. Параметры реквизитов применяемые в LDIFDE Параметр Описание пользователя Запуск программы от имени другого с и пароль или * другим паролем. Например:
-а Ч режим скрытия пароля.
По умолчанию LDIFDE запускается под учетной запи сью текущего - Имя пользователя, Запускает программу от имени пользователя другого домен и пароль или домена.
* Ч режим скрытия пароля Примечание Перед созданием и объектов следует что все необходимые атрибуты существуют. Например, для объекта тель необходимы: и ГЛАВА 4 Схема Active Directory Экспорт и повторный импорт объектов Ссылочные атрибуты содержат информацию о ссылках на текущий объект. В обычного экспорта родительский объект разрешается раньше объек та-потомка. Если при повторном импорте родительский объект добавляется раньше объекта-потомка, произойдет так как еще в каталоге.
Чтобы исключить эту возможность, параметр -т, который во время экспорта и повторного импорта в Active Directory все записи, содержа щие ссылочные атрибуты, размещать в файла Более того, в этом режиме добавление ссылок отделено от операции создания основного объекта, так что сбой при ссылки препятствует созданию объекта.
Свойства объектов, только для чтения В Active Directory есть свойства, относящиеся к учетных записей бе зопасности (Security Accounts Manager, SAM). Они доступны толъко для чтения, так как задаются самой системой в момент создания объекта. Если указать параметр -т во время экспорта и повторного импорта, все атрибуты SAM игнорируются.
образом, импорт таких записей окажется успешным, ведь они содер жат SAM.
Пример импорта Далее приведен листинг файла предназначенного для добавления объек та класса user в домен myDomain.microsoft.com.
add description: Пример объекта-пользователя средствами user sampleUser Чтобы внести указанные в изменения в схему, следует выполнить команду:
-i -f -v Управление в экспорта Рекомендуемый способ для экспорта составных имен ми LDIFDE Ч использовать параметр -с. этого параметра с парамет ром -т позволяет импортировать большую группу пользователей из одного домена в другой.
Примечание При необходимости импортом можно средствами текстового ре дактора изменить нужным образом значения атрибутов в файле экспорта.
Формат CSV Массовый и экспорт в/из Active Directory выполняется с примене нием файлов с расширением.csv, информация в которых хранится в запятыми (comma-separated value, CSV). Формат CSV-файлов под держивается множеством в том числе Excel, которое спо считывать и сохранять данные в этом формате. Средства администрирова ния Exchange Server поддерживают импорт и экспорт данных в формате CSV. Для обмена данными в формате CSV в Windows 2000 програм ма строки CSVDE. Она способна толъко добавлять новые объекты.
ЧАСТЬ 1 Служба каталогов Active Directory работает как на сервере, так и на рабочей станции под управлением Win dows 2000, в последнем случае ее придется скопировать с сервера, так как в составе рабочих станций CSVDE не поставляется.
Данные в формате CSV образуют одну или несколько строк, значения в которых разделены запятыми. Первая строка (иногда ее называют заголовком) файла CSV содержит имена всех атрибутов в том же порядке, что и данные в любой последую щей строке.
Использование программы SCVDE Программа CSVDE запускается из командной строки. Параметры CSVDE анало гичны параметрам LDTFDE. Однако в отличие от LDIFDE, CSVDE создает понятные не только серверам но и другим приложениям. Например, при необходимости отобразить список всех Active Directory в виде отче та Excel можно CSVDE данные каталога в файл фор мата CSV, который затем открыть и отредактировать в Программа CSVDE запускается из командной строки. Вот справка по ее парамет рам:
CSVDE [-i] [-f] [-s] [-v] [-t] [-p] [-1] [-п] [-е] [-J] [_g] [-k] [-b] Описания этих в таблицах 4-13, 4-14 и 4-15.
Примечание Служебную программу CSVDE нельзя использовать для модификации или удаления объектов - она поддерживает только объектов каталога.
Перед каждым параметром обязательно ставить дефис (-).
Просмотр CSV-файла В CSV-файле значения атрибутов отделяются друг от друга вторым, определяемым символом (по умолчанию Ч $). Зна чения атрибута в слева направо в порядке их перечисления в первой файла. Значения атрибутов определяются их позицией в записи, и каждое значение соответствует атрибуту, указанному в первой записи файла, как показано в следующем примере:
Smith, Jane Каждый объект CSV-файле самостоятелен и не зависит от контекста других объектов, что упрощает чтение и запись файлов и позволяет в одном файле хра нить объекты разных классов.
В следующем примере формат CSV-файла с который содер жит имена свойств составное имя, класс объек та, относительное составное имя, имя. фамилию, номер телефона, страну/регион и ГЛАВА 4 Схема Active Directory Smith, James 15 Woodbine Все данные представлены в виде строк. Ч в виде цифровых строк, в виде строк, начинающихся символом X и кавычкой ('), затем следует строка, которая закан чивается еще одним символом одинарной кавычки ('). Вот пример строки:
Сведения о синтаксисе хранится в схеме каталога-приемника. Программы, поддер живающие импорт в форме CSV-файлов, определяют порядок значений на основе схемы каталога-приемника.
Отсутствующее или атрибута оформляется пустой по зицией в строке. Например, в этой строке значение третьего атрибута в сутствует:
Значения многозначных атрибутов отделяются точкой с запятой (;
). Если среди трех атрибутов второй Ч многозначный, это выглядит так:
value Зарезервированные символы, указываются в строке свойств управляющего символа обратной косой черты (\). К символам относятся:
Х косая черта (\);
Х точка с запятой (;
);
Х специальный символ для данных Если значение содержит обратную косую черту, ее необходимо допол нительной обратной косой чертой (\\). Символ точка с запятой (;
) отделяет значе ния. Если само значение содержит точку с запятой, то ее также предваряют симво лом обратной косой черты То же касается и символа шестнадцатеричного пре фикса Существуют два других символа, которые обрабатываются особым об разом. Это символ занятой (,) и символ двойные кавычки Запятая (,) в форма те CSV для разделения значений. значение содержит запя тую (,), формат предписывает, чтобы данное значение было в двойные кавычки, значение строку обязательно записывают в виде Если значение содержит как двойных кавычек, так и запятую, кавычки в выражении заключаются в другой набор двойных кавычек, например:
виде а виде Вот пример CSV-файла, предназначенного для добавления объектов подразделе ние, и компьютер:
208 ЧАСТЬ 1 Служба Active Directory Примечание В CSV-файлах поддерживаются обе кодировки текста Ч ANSI и Unicode.
Использование LDIFDE и CSVDE для изменения схемы LDIFDE и CSVDE работают с файлами, содержащими данные каталога в соответ форматах. Эти файлы или на серверы для или объектов в каталоге. Поскольку схе ма Active Directory реализована в виде набора объектов каталога, для ее расшире ния разрешается применять любую из этих программ.
Примечание В настоящее время CSVDE позволяет только добавлять объекты в ка талог, но не модифицировать его.
Использование Формат LDIF применяется для групповых операций в гах. Он годится как для добавления новых объектов в каталог, так и для изменения или удаления существующих. Запись (record) файла LDIF состоит из набора строк, описывающих элемент каталога или набор изменений для отдельного каталога.
Данный формат поддерживает все операции Изменять схему средствами консоли Active Directory Schema (Схема Active Di rectory) рекомендуется на тестовой системе, изолированной от сети предприятия.
В дальнейшем используется LDIFDE для экспорта изменений в файл, который за тем для обновления действующей системы. Вот фрагмент ла, в котором выполняется добавление нового атрибута в Active Directory.
dn:
add New-Attribute-Name New-Attribute-Name идентификатор должен быть 2.5.5. TRUE FALSE searchFlags: TRUE А вот для принудительного обновления каша схемы:
dn:
modify add:
Подробнее о формате LDIF и использовании LDIFDE Ч на Web-странице Web Resources no адресу ссылка Microsoft SDK.
Использование CSV-файлов CSV-файлы характеризуются простым форматом, главное которого - удобство использования. Каждая строка в нем представляет отдельный объект каталога с его атрибутами, Первая строка файла всегда ГЛАВА 4 Схема Active содержит имена атрибутов. Все последующие строки представляют разные элемен ты каталога. Значения многозначных атрибутов отделяются точкой с запятой (;
).
Данный формат совместим с форматом CSV в Microsoft Excel и позволяет вывести информацию каталога в таблицу Excel или импортировать данные из таблицы в Active Directory. Вот пример CSV-файла добавления Doe, Magnolia В обеих программах Ч и есть справочная информация, кото рую можно имя команды без параметров в окне командной строки. Обе программы позволяют импортировать и но используют их в разных случаях.
Миграция на Active Directory. Средства любой из этих программ позволяют им портировать в Active Directory данные из других служб каталогов. Это применимо к любому при условии соблюдения соответствия имен атрибутов.
Публикация информации из каталога. Любая из этих программ позволяет экспор тировать данные каталога в другое приложение, формат LDIF или CSV. Также поддерживается экспорт данных в другую службу каталога при условии соответствия имен атрибутов.
Добавление ресурсов в каталог. Помимо Active Directory Computers (Active Directory Ч и компьютеры) и ADS1 Edit, для до бавления объектов в каталог администраторы вправе использовать эти программы, С точки зрения простоты и гибкости программы и LDIFDE находятся где-то посередине между указанными консолями и другими средствами работы с каталогами. Поскольку схема Active Directory реализована в виде набора объектов каталога, для добавления в нее новых или изменения существующих объектов возможно задействовать LDIFDE или CSVDE. В общем случае, если Ва шему приложению требуется изменение схемы, лучший способ вместе с приложением импортируемые в схему LDIF и/или CSV-файлы.
Рис. 4-5 иллюстрирует использование LDIF для расширения схемы Active Directory, Каталог А Стандартный посредством или в редакторе Каталог В Измененный текстовый LDIF-файл Рис. 4-5. Расширение Active Directory с применением ЧАСТЬ 1 Служба каталогов Active Directory интерфейсов службы Active Directory и сценариев Visual Basic Использование LD1F и CSV-файлов имеет свое преимущество: достаточно просмот реть их, чтобы понять, как они расширяют схему. Но у программного расширения схемы также есть свои преимущества:
Х расширение из программы изменить: это просто файл Windows. В отличие от LDIF или CSV-файлов, двоичный файл нельзя случай но или преднамеренно испортить;
Х в программе можно предусмотреть выявление и устранение ошибок, а также при этом пользователю внятных сообщений;
Х программы с кодировкой Unicode, им не требуется формат Base (Unicode использует набор 16-битных символов, содержащий все символы, обходимые в обработке данных);
Х программы способны использовать API-функции установщика Windows;
Х подлинность программы возможно подтвердить цифровой подписью.
В Active Directory существует набор интерфейсов, предоставляющий доступ из про грамм к объектам каталога, в том числе к объектам схемы. В ADS1 мо дель службы каталога и набор используемых в самых различ ных языках программирования. соответствует Component Object Model и поддерживают стандартные Microsoft Visual Basic Script и позволяют легко писать сценарии изменения каталога, в том числе схемы. схемы вается специальными Для создания объектов классов и функция IADs Ч Для чтения атрибутов классов dassSchema и при меняется функция IADs::Get (или GetEx), а для присвоения значений Ч функция IADs::Put (или PutEx). Функция оказывается чрезвычайно полезной при значениями атрибутов и поскольку поддерживает работу с многозначными атрибутами.
Вот приведен пример сценария, добавляющего в Active Directory объект пользо ватель.
Dim Dim Set Set oUser = Smith") created & Set oDomain = Nothing MsgBox "Finished" ГЛАВА 4 Схема Directory Примечание Подробнее ADSI и - на Web-странице Web по адресу ссылка Platform SDK.
Использование консоли Active Schema Консоль Active Directory Schema (Схема Active Directory) позволяет членам пы Schema Admins (Администраторы схемы) управлять схемой в графическом ин терфейсе. Средствами этой консоли создают и изменяют классы и атрибуты, а так же указывают порядок их индексирования и репликации в глобальный каталог.
в чем убедиться после запуска консоли схемы Active Di rectory, - что она подключена к хозяину схемы Вашего предприятия.
Оснастка Active Directory Schema (Схема Active Directory) не ливается по вместе с Windows 2000 Server. Чтобы она появилась в спис ке действующих установить пакет средств администрирова ния этого необходимо зарегистрировать DLL-библиотеку оснастки Schema. Для этого откройте и в команд ной строке выполните команду Regsvr Просмотр или изменение текущего хозяина схемы средствами консоли Ac tive Directory Schema (Схема Active Directory) 1. Откройте и установите оснастку Active Directory Schema (Схема Active Directory).
2. Правой кнопкой щелкните Active Directory Schema (Схема Active Di rectory) и в контекстном меню выберите команду Operations Master операций).
3. В открывшемся окне в области Current Operations Master (Текущий отображается текущий хозяин схемы.
4. Щелкните ОК, чтобы оставить хозяина или кнопку Change (Сменить), чтобы передать роль хозяина схемы другому контроллеру домена.
При перемещении роли следует подключиться к контроллеру, которому эта роль Убедившись, что консоль к хозяину Вы можете приступить к добавлению, изменению или атрибутов и классов. Помните: Ваша учетная запись должна являться членом группы Schema Admins и на сервере необ ходимо разрешить модификацию схемы.
Примечание Нельзя отключить стандартные объекты схемы.
Публикация служб в Active Directory Active Directory в Windows 2000 - это сетевое хранилище инфор мации о пользователях, и приложениях. Службы и прило жения, поддерживающие службу каталогов, публикуют в Active Directory полезную информацию, например свойства служб и сведения об их доступности. Интерфейс управления и интерфейс Active Directory позволяет админист раторам и клиентским при необходимости находить и подключаться к поддерживающим каталоги службам.
Лицам, ответственным за сетевых ресурсов, надо знать прин ципы и публикации служб в Active Directory. Знание архитектуры и основных типов служб, публикуемых Active Directory, необходимо для публика ции служб и ее применения для управления службами в распределенной сети.
Для понимания механизма служб Бы иметь общее представ ление об архитектуре Active Directory.
В этой главе сведения Инфраструктура каталога для публикации служб Поиск и просмотр сведений о службе в Active Directory Служба Name Service в Windows 2000 и интеграция г Active Directory служб Основные сведения Служба - это процесс на сервере, особую системную функцию и зачастую предоставляющий другим API-интерфейс В процессе на сервере один или несколько потоков, обслуживающих запросы кли ентских процессов. Процесс на реализует набор служб и предоставляет их выполняющимся на компьютерах распределенной сети. Хотя службы Windows 2000 и поддерживают удаленный вызов (remote procedure call, RPC), то есть их вызываться удаленными компьютерами, RPC им требуется.
ГЛАВА 5 Публикация служб в Active Directory службы подразумевает создание, и в хранилище Active Directory. Клиенты и администраторы сети могут информацию из Active Directory для поиска, подключения и управления служба ми. Кроме того, Active Directory позволяет и администраторам просмат ривать распределенную сеть в виде набора служб, а не набора отдельных теров.
Типы сведений о службах В Active Directory описаны способы создания служб и кли ентов. Для клиентов наиболее важны сведения о привязке, позволяющие им ществлять к доступной в сети службе. о привязке со держит данные многих типов.
В таблице перечислены типы которые поддерживающие каталог служ бы хранят в Active Directory.
Таблица 5-1. Сведения о службах, хранимые в Active Directory Тип информации Описание Клиентские привязки Имя службы и способы доступа к ней Административные привязки Имя службы и способы доступа к ней административ ных для Одну выполнения как клиентских, так и административных Данные конфигурации Хранение в конфигурационных данных позволяет возможности защиты и репликации в Active служба базы данных способна хранить в Active Directo ry свою конфигурацию для серверов обращение к конфигурационным сведениям при нового службы данных позволяет упростить установку и обеспе чить конфигураций Другая информация о службе Расширения схемы Active Directory и классов объектов, относящиеся к службам и интерес для клиентов или администраторов Объекты-службы Объект - отдельный поименованный набор представляющий, напри мер, пользователя, принтер или приложение сервера. Объекты Active Directory представляют которые, но мнению клиентов, наиболее интенсивно ис пользуются в сетевой среде. Active Directory содержит спецификации следующих типов объектов: службы каталогов, ление печатью, схема и луправление службой.
Для подключения к службе клиентского процесса и приложе ния системы под управлением Microsoft Windows NT версии 4.0 или более требуется имя или IP-адрес компьютера, на котором установлена эта служба. В тивоположность этому в Active Directory клиентские процессы и средства стрирования способны подключаться к службе, указывая атрибут keywords. Этот ат ЧАСТЬ 1 Спужба каталогов Active Directory рибут клиенту получить DNS-имя узла на вы полняется служба.
Подробнее об атрибуте - в разделе Поиск и просмотр о служ бах в Active Directory этой главы. о dnsHostName Ч в главе шение имен в Active Directory.
Active Directory позволяет находить и подключаться к поддерживающим работу с каталогом службам по атрибутам, от имени или IP-адреса компьютера с искомой службой. Для поиска таких служб, как DHCP (Dynamic Host Configuration Protocol), Active Directory использует прочие атрибуты объектов, отобра жаемое имя службы. Подробнее о структуре базы данных Active Directory и отдель ных объектах-службах Ч в разделе Инфраструктура каталога для публикации далее в этой главе.
Привязка служб Для публикации в Active Directory служба, работу с каталогом, должна, по крайней информацию о своей привязке. Эти а именно имя и местоположение службы, клиентом для или к экземпляру данной службы. Например, браузер создает к Web-серверу, обращаясь к нему В таблице 5-2 привязки служб.
Таблица 5-2. Примеры привязки служб Служба Привязка File Service общего ресурса в формате Web Service RPC Service [Удаленный вызов Ч зашифрованная информация, для подключения к например Для в строковое и обратно используются API-интерфейсы RPC Публикация отдельных экземпляров служб Иногда данные о службе публикуются в нескольких местах Active Directory. Каждый экземпляр службы, выполняющийся на компьютере (компьюте рах) сети, может создавать в Active Directory объекты Ч точки Точ ка подключения представляет один или несколько доступных в сети экземпляров службы.
Например, если службы Microsoft Certificate Services (Службы сертификации) ус тановлены и выполняются на двух возможны две точки подклю чения - по одной для каждого экземпляра службы. Аналогично служба, несколько экземпляров которой установлено на одном компьютере, способна создавать отдель ные объекты Ч точки подключения для каждого из этих экземпляров. Кроме того, вероятна ситуация, когда несколько экземпляров реплицируемой службы публи куют сведения о себе в Active Directory в одной точке подключения. В этом случае точка подключения содержит информацию, позволяющую клиенту выбирать и со здавать привязку к одной из реплик службы.
Pages: | 1 | ... | 2 | 3 | 4 | 5 | 6 | ... | 15 | Книги, научные публикации