Платформа Microsoft Windows 2000

Служба каталогов Аctive Directory

Служба каталогов Аctive Directory является новой функциональной возможностью Windows 2000 Server, это – центральная компонента для управления данными и ресурсами в сетях Windows 2000. В этом разделе дан обзор технологии Аctive Directory.

Архитектура Аctive Directory

Аctive Directory представляет собой хранилище информации обо всех сущностях, участвующих в сети, таких как приложения, файлы, принтеры и люди. Аctive Directory дает согласованную методику для описания любых сущностей в сети, независимо от их разнообразной природы. Аctive Directory можно представить себе как "главный коммутатор",она является главной "властью", управляющей всеми взаимоотношениями между распределенными ресурсами в сети. Аctive Directory имеет как средства управления, так и средства защиты, благодаря которым обеспечивается полная целостность и приватность сети.

Аctive Directory является одновременно и административным, и пользовательским инструментальным средством. Аctive Directory обеспечивает единообразное взаимодействие пользователей с разнообразными и широко рассеянными по сети ресурсами и доступ к ним. Пользователям больше не надо заботиться об определении местоположения сетевых ресурсов и об их именах. При помощи Аctive Directory ресурсы "рекламируются" ("advertised") для пользователей, имеющих право на доступ к ним. Такая "реклама" ресурсов производится при помощи мастера Add/Remove Programs Wizard или мастера Add/Remove Printers Wizard.

Аctive Directory предоставляет системным администраторам набор согласованно работающих компонент и средств для управления сетевыми ресурсами. Аctive Directory упрощает управление большими разнородными сетями, усиливает общую защищенность системы, а также расширяет функциональную совместимость сетей.

Аctive Directory является "единой точкой" для управления всеми пользовательскими учетными записями Windows, компьютерами-клиентами, компьютерами-серверами и приложениями. Аctive Directory также помогает организовывать и интегрировать системы под управлением не Windows. При помощи Аctive Directory организации могут распространять свои системы в Интернет, причем с обеспечением защиты на высоком уровне.

Аctive Directory основывается на иерархической структуре (см. рис. 2.12). Объекты применяются для обозначения пользователей, групп пользователей, систем, устройств, приложений и других сущностей в сети. Объекты хранятся в контейнерах, которые применяются для обозначения организаций, например, "юридический отдел", или совокупностей взаимосвязанных объектов, например, принтеров.

Рис. 2.12. Иерархия Аctive Directory

Аctive Directory также управляет взаимоотношениями между различными объектами и контейнерами. Благодаря этому системные администраторы могут видеть всю сеть скорее как согласованные сущности, а не как ресурсы в одном месте и взаимоотношения между ресурсами – в другом месте.

Каждый объект в структуре Аctive Directory содержит атрибуты, которые могут описывать широкий диапазон характеристик. Эти атрибуты защищены, так что потенциально секретная информация может быть защищена от всех, кроме пользователей и администраторов, которые могут обращаться к ней. Каждый атрибут, соединенный с объектом может иметь назначенные ему права доступа. Кроме того, для объекта могут быть установлены настройки глобального доступа.

Чтобы отвечать требованиям высокой производительности, доступности и гибкости, Аctive Directory применяет репликацию с множественными контроллерами-хозяевами (multimaster replication). Администраторы могут создать многие копии каталога Аctive Directory, называющиеся "реплики каталога" и разместить их по разным местам из сети. Когда изменение применяется к любой какой-нибудь реплике каталога где-нибудь в сети, то это изменение автоматически реплицируется (копируется) по всей сети.

Польза от применения Аctive Directory

Мы уже сказали, что Аctive Directory упрощает управление, повышает защищенность сети и улучшает функциональную совместимость сетей. Давайте более подробно рассмотрим эти улучшения.

Аctive Directory упрощает управление

Современные сети зачастую охватывают большие географические зоны. Управление этими неоднородными и обширными сетями стало требовать больших затрат времени. Кроме того, поскольку сети сейчас распространяются на значительные расстояния (в географическом смысле), то административные функции часто дублируются в нескольких местах, что приводит к избыточности и несогласованности. А вот Аctive Directory становится "единой точкой" для управления разнообразными ресурсами сети.

Аctive Directory также помогает развертывать приложения и другое программное обеспечение на компьютеры пользователей. Раньше техникам приходилось подходить к каждой рабочей станции, нуждавшейся в добавлении программного обеспечения. Этот процесс был дорогостоящим и занимал много времени. Затем были разработаны средства, позволявшие развертывать приложения с центрального сервера. Хотя эта методика и была шагом вперед, но ей не хватало интегрированности, встроенности в общий процесс управления сетью. А при помощи Аctive Directory системные администраторы могут развертывать программное обеспечение, не выходя из существующих рамок организации безопасности и практики управления, что снимает хлопоты по применению "одиночных" инструментальных средств для развертывания и управления.

При помощи Аctive Directory администраторы, когда это бывает нужным, могут делегировать некоторые административные функции пользователям или подразделениям. Благодаря такому процессу "безопасного делегирования" можно позволить таким "продвинутым пользователям" проявлять свою компьютерную квалификацию в рамках своего отдела, освобождая профессионалов-компьютерщиков для других дел.

Аctive Directory повышает защищенность

Критически важными компонентами Аctive Directory являются ее службы безопасности. В Аctive Directory собраны данные для аутентификации пользователей и данные для администрирования. Аctive Directory реализует ролевую модель безопасности: пользователи и организации получают предварительно заданные роли (roles), которые, однако, можно редактировать, аспекты безопасности (security aspects) и правила (rules). Администраторы могут пожелать включить для некоторых пользователей или ресурсов строгие правила безопасности или же ослабить защиту, когда это имеет смысл. Модель безопасности, применяемая в Аctive Directory, поддерживает такие протоколы защиты, как Kerberos, сертификаты X.509 и технологию работы со смарт-картами. Эта модель безопасности также обеспечивает согласованную единообразную защиту как для локально подключенных к сети пользователей, так и для соединившихся через удаленное коммутируемое соединение.

Аctive Directory расширяет функциональную совместимость сетей

По мере того как происходило развитие сетей, вместе с ними развивались и сетевые технологии. Чтобы максимизировать отдачу от вложений в разработку и развертывание этих технологий, они должны работать совместно. Сейчас в окружениях большинства сетей имеются собрания разнородных несогласованных каталогов для электронной почты, приложений, сетевых устройств, брандмауэров для Интернета и внутренних сетей и приложения для электронной коммерции. Аctive Directory поможет навести порядок в этом разнообразии, задавая набор стандартных интерфейсов для интегрирования приложений и набор открытых механизмов синхронизации, гарантирующих возможность активной функциональной совместимости компонент операционной системы Windows с большим количеством устройств и приложений для других операционных систем (не Windows).

Заключение

В данной лекции мы кратко рассмотрели операционные системы семейства Windows 2000. Каждая операционная система из этого семейства (Windows 2000 Professional, Windows 2000 Server, Windows 2000 AdvАnced Server и Windows 2000 DataCenter Server) имеет специализированные функциональные возможности, призванные соответствовать множеству потребностей пользователей. Благодаря Windows 2000 вы можете иметь одинаковые окружения на ноутбуках и на высокопроизводительных 32-процессорных информационных центрах корпораций. Прочитав эту лекцию, вы без труда сможете выбрать подходящую платформу Windows 2000 для своей установки SQL Server 2000. В следующей лекции мы вернемся к SQL Server 2000 и познакомим вас с некоторыми обязанностями администратора базы данных.