Где проводится профессиональная переподготовка? |
Введение в Active Directory
Цель лекции: Указать потребность в использовании единого инструмента для организации и упрощения доступа к информационным ресурсам. Дать общее представление о каталоге и службе каталогов, привести их назначение, основные функции и задачи, сформулировать преимущества использования Active Directory.
Вне зависимости от топологии сети компании, реальной инфраструктуры и организационной структуры географически распределенных филиалов, а также от имеющейся в компании разнородной информационной среды, существует общая методология развертывания и применения службы Active Directory.
Определение каталога и службы каталогов
Сначала мы должны определить, что такое служба каталогов вообще, каковы ее цели и задачи.
Каталог (directory) — это информационный ресурс, используемый для хранения информации о каком-либо объекте [ 1 ] . Например, телефонный справочник (каталог телефонных номеров) содержит информацию об абонентах телефонной сети. В файловой системе каталоги хранят информацию о файлах.
В распределенной вычислительной системе или в компьютерной сети общего пользования (например, Интернет) имеется множество объектов - серверы, базы данных, приложения, принтеры и др. Пользователи хотят иметь доступ к каждому из таких объектов и работать с ними, а администраторы - управлять правилами использования этих объектов.
В данном документе термины "каталог" и "служба каталогов" относятся к каталогам, размещаемым в частных сетях и сетях общего пользования. Служба каталогов отличается от каталога тем, что она не только является информационным ресурсом, но также представляет собой услугу, обеспечивающую поиск и доставку пользователю необходимой ему информации [ 2 ] .
Служба каталогов (directory service) - сетевая служба, которая идентифицирует все ресурсы сети и делает их доступными пользователям. Служба каталогов централизованно хранит всю информацию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами. Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределенными ресурсами и позволяет им работать вместе [ 4 ] .
Active Directory (AD) - служба каталогов, поставляемая с Microsoft Windows, начиная с Windows 2000 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации.
Active Directory - это не первая и не единственная служба каталогов. В современных сетях используется несколько служб каталогов и стандартов [ 3 ] , [ 13 ] :
- Х.500 и Directory Access Protocol (DAP). X.500 - спецификация International Organization for Standardization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
- Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете;
- Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500;
- Windows NT и SAM. Ядром Windows NT NOS (Network Operating System - сетевая операционная система) является база данных SAM (Security Accounts Management - управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.
Служба Active Directory, в отличие от перечисленных служб каталогов, является защищенной, распределенной, сегментированной и реплицируемой, что позволяет обеспечить следующие возможности [ 4 ] :
- упрощенное администрирование;
- масштабируемость;
- поддержку открытых стандартов;
- поддержку стандартных форматов имен.
С помощью Active Directory осуществляется централизованное управление пользователями, группами, общими папками и сетевыми ресурсами, администрирование среды пользователя и программного обеспечения средствами групповой политики.
Назначение службы каталогов
Служба каталогов является как инструментом администрирования, так и инструментом пользователя (см. рис. 1.1). Пользователи и администраторы зачастую не знают точных имен объектов, которые им в данный момент требуются. Они могут знать один или несколько их признаков или атрибутов (attributes) и могут послать запрос (query) к каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с указанными в запросе.
Служба каталогов позволяет [ 1 ] :
- обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;
- распространять каталог среди других компьютеров в сети;
- проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
- разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.
По мере роста числа объектов в сети служба каталогов начинает играть все более важную роль. Можно сказать, что служба каталогов - это та основа, на которой строится вся работа крупной распределенной компьютерной системы. В сложной сети служба каталогов должна обеспечивать эффективный способ управления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, принтерам, общим папкам и т. д.
Функции службы каталогов
Приведем основные функции службы каталогов и дадим их краткое описание [ 3 ] .
- Централизация. Смысл централизации - уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), которая нужна, когда возникает необходимость в поиске ресурсов.
- Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, - то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.
- Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги.
- Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге.
- Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.
- Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.
В разрезе перечисленных функций можно указать и основные задачи, на выполнение которых нацелена служба Active Directory.
- Хранить информацию об объектах сети и предоставлять эту информацию пользователям и системным администраторам.
- Позволять пользователям сети обращаться к общим ресурсам, единожды введя имя и пароль.
- Представлять сеть в интуитивно понятном иерархическом виде и позволять централизованно управлять всеми объектами сети.
- Повышать степень информационной безопасности за счет разграничения административных полномочий обслуживающего персонала и внедрения современных методов защиты информации.
- Позволять спроектировать единую структуру каталога так, как это необходимо в организации, чтобы обеспечить прозрачное использование информационных ресурсов в рамках компании.
Служба каталогов Active Directory также выполняет и другие функции (см. [ 4 ] ).