Основные понятия Active Directory. Планирование лесов Active Directory в инфраструктуре предприятия Создание леса в активной директории

Лес Active Directory определяет набор одного или нескольких доменов, использующих одни и те же схему, конфигурацию и глобальный каталог. Кроме этого, все домены участвуют в двусторонних транзитивных отношениях доверия. Обратим внимание на термины, которые используются в определении леса.

  • Домен - домен предоставляет способ организации и защиты объектов, например, пользователей и компьютеров, которые являются частью одного пространства имен..com являются доменами. Компьютеры в каждом домене используют одинаковую конфигурацию домена и могут являться объектом применения политик и ограничений, устанавливаемых администратором домена. Использование доменов позволяет упростить обеспечение безопасности в масштабе предприятия.
  • Схема - схема Active Directory используется совместно всеми доменами в пределах леса. Схема это конфигурационная информация, которая управляет структурой и содержимым каталога.
  • Конфигурация - конфигурация определяет логическую структуру леса, например, число и конфигурацию сайтов в пределах леса.
  • Глобальный каталог - глобальный каталог можно воспринимать в виде справочника для леса. Глобальный каталог содержит информацию о всех объектах леса включая информацию о расположении объектов. Кроме этого, глобальный каталог содержит информацию о членстве в универсальных группах.
  • Доверие - доверие предоставляет различным доменам возможность работать вместе. Без доверия домены работают как отдельные сущности, то есть пользователи из домена A не смогут получать доступ к ресурсам в домене B. Если отношение доверия устанавливается между доменами таким образом, что домен B доверяет домену A, то пользователи домена A смогут получать доступ к ресурсам домена B, если у них есть соответствующие разрешения.

Существует три основных типа отношений доверия.

  • Транзитивные - транзитивные отношения доверия создаются автоматически между доменами одного леса. Они позволяют пользователям любого домена потенциально получать доступ к ресурсам любого другого домена этого леса, если у пользователей есть соответствующие права доступа.
  • Shortcut - это отношение доверия между доменами одного леса, которые уже имеют транзитивное отношение доверия. Такое отношение доверия предоставляет более быструю аутентификацию и проверку доступа к ресурсам между несоседними доменами леса.
  • Внешние - внешние отношения доверия позволяют доменам из различных лесов совместно использовать ресурсы. Такие отношения доверия не являются транзитивными, то есть они относятся только к тем доменам, для которых они создавались.

Выяснив значение базовых терминов, рассмотрим пример леса. Далее представлен единый лес, который содержит два дерева доменов.

На рисунке показаны четыре домена aw.net, west.aw.net, east.aw.net и person.net. Домены aw.net, west.aw.net и east.aw.net находятся в одном дереве доменов, так как они используют одно пространство имен (aw.net).

Домен person.net находится в другом дереве, так как он не является частью пространства имен aw.net. Обратите внимание, что в пределах домена east.aw.net (который не подписан) показаны символы OU. OU – это организационные подразделения (organizational units), которые будут рассматриваться в очередной статье.

Стрелки на рисунке представляют транзитивные отношения доверия, которые автоматически создаются при первоначальной настройке доменов в пределах леса. Обратите внимание, что дочерние домены (east и west) домена aw.net не связаны непосредственно с доменом person.net. Несмотря на это они доверяют домену person.net.

Причиной доверия является доверие дочерних доменов домену aw.net. Так как домен aw.net доверяет домену person.net, дочерние домены aw.net тоже доверяют домену person.net. Зная это, можно представить домены Active Directory в виде маленьких детей. Они безоговорочно верят всему, что говорят родители. Если родитель сообщает, что другому домену можно доверять, значит это именно так и есть.

Но разница между детьми и дочерними доменами заключается в том, что дочерние домены всегда соглашаются и не задают вопросов родителю.

Поскольку Microsoft Windows Server 2003 и Microsoft Exchange Server 2007 зависят от службы каталогов Active Directory в части служб каталогов, необходимо определить, как интегрировать Exchange 2007 в свою структуру Active Directory. Active Directory включает следующие логические элементы, объединение которых определяет топологию Active Directory:

  • Один или несколько доменов
  • Один или несколько сайтов Active Directory

Леса Active Directory

Лес представляет собой самую внешнюю границу службы каталогов. Лес работает в контексте непрерывной безопасности, так чтобы все ресурсы внутри леса явно доверяли друг другу независимо от своего местонахождения в лесу. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес может состоять из одного или нескольких доменов. Существует два типа топологий леса: единственный лес и несколько лесов.

Топология с единственным лесом

В топологии с одним лесом Exchange устанавливается в одном лесу Active Directory, охватывающем всю организацию. Все учетные записи пользователей и групп, а также все данные Exchange конфигураций находятся в одном и том же лесу.

Если в организации используется один лес Active Directory, Exchange 2007 можно установить в этом лесу. Рекомендуется использовать схему с одним лесом Exchange, потому что она предлагает максимальный набор возможностей системы электронной почты, а также потому что эта схема обеспечивает наиболее простую модель администрирования. Так как все ресурсы содержатся в одном лесу, один глобальный список адресов содержит всех пользователей из всего леса. Этот случай показан на следующем рисунке.


Вариант с единственным лесом предлагает следующие преимущества:

  • Самый богатый набор возможностей системы электронной почты.
  • Простая модель администрирования.
  • Использование преимуществ существующей структуры Active Directory.
  • Не требуется синхронизация глобальных списков адресов.

Основным недостатком, связанным с единственным лесом, является то, что администраторы должны определить, как обобщить или разделить ответственность за управление объектами Active Directory и Exchange.

Топология с несколькими лесами

Хотя рекомендуется использовать топологию с единственным лесом, так как она обеспечивает наибольший набор возможностей обмена сообщениями, существуют различные причины, по которым может понадобиться реализовать несколько лесов. Среди этих причин могут быть, например следующие:

  • Наличие нескольких подразделений, для которых необходима изоляция служб обмена сообщениями.
  • Наличие нескольких подразделений с различными требованиями к схеме.
  • Произошедшее слияние, поглощение или деление.

В любом случае, единственным способом установить строгие границы между подразделениями является создание отдельного леса Active Directory для каждого подразделения. При использовании этой конфигурации Active Directory предпочтительным способом реализации Exchange является создание леса ресурсов Exchange. Для получения дополнительных сведений о лесах ресурсов Exchange см. пункте «Топология леса ресурсов» ниже в данном разделе.

Но существуют сценарии, в которых лес ресурсов может быть невозможен (например, при слияниях или поглощениях, либо когда в нескольких лесах уже работают собственные экземпляры Exchange). В этих случаях можно реализовать топологию перекрестных лесов.

Топология перекрестных лесов

В топологии перекрестных лесов компания использует несколько лесов Active Directory, каждый из которых содержит организацию Exchange. В отличие от топологии леса ресурсов учетные записи пользователей не отделены от их почтовых ящиков. Вместо этого учетная запись пользователя и соответствующий почтовый ящик находятся в одном лесу.

Основным преимуществом реализации топологии перекрестных лесов является возможность изоляции данных и границ безопасности между организациями Exchange. Но эта топология обладает следующими недостатками:

  • Недоступен богатейший набор функций обмена сообщениями.
  • При перемещении почтовых ящиков из одного леса в другой не сохраняются делегированные разрешения, если в целевом лесу нет контакта для делегирования, или если вы одновременно перемещаете делегата почтового ящика.
  • Хотя сведения о занятости между лесами можно синхронизировать, чтобы затем использовать их для планирования собраний, в Microsoft Office Outlook нельзя использовать функцию Открыть папку другого пользователя для просмотра данных календаря пользователя из другого леса.
  • Так как группа из другого леса представлена в виде контакта, нельзя просмотреть членов группы. Пока не будет отправлено письмо в лес, содержащий группу, представленную в виде контакта, членство в группе не расширяется.
  • Необходима синхронизация объектов каталогов между лесами, а также репликация сведений о занятости. Наиболее часто применяющимися решениями для синхронизации каталогов являются пакет обновлений 2 Microsoft Identity Integration Server (MIIS) 2003 SP2 или Identity Integration Feature Pack для Microsoft Windows Server Active Directory с пакетом обновлений 2. Для обмена между организациями Exchange из различных лесов сведениями о занятости и данными календаря может быть использована служба доступности Exchange 2007.


Топология леса ресурсов

В некоторых случаях для работы Exchange может понадобиться создать отдельный, выделенный лес Active Directory. Например, возможна ситуация, когда нужно сохранить существующий лес Active Directory. Или может понадобиться разделить администрирование объектов Active Directory и объектов Exchange. Следовательно, возможна необходимость создания отдельного леса Active Directory, выделенного для работы Exchange. Этот отдельный выделенный лес называется лесом ресурсов Exchange. В модели леса ресурсов Exchange устанавливается в лес Active Directory, отдельный от леса Active Directory, в котором находятся пользователи, компьютеры и серверы приложений. Этот вариант обычно используют компании, которым необходимы границы безопасности между администрированием Active Directory и администрированием Exchange.

Лес ресурсов Exchange выделен для работы Exchange и размещения почтовых ящиков. Учетные записи пользователей содержатся в одном или нескольких лесах, называющихся лесами учетных записей . Леса учетных записей отделены от леса ресурсов Exchange. Между лесом учетных записей и лесом ресурсов Exchange создается одностороннее доверительное отношение, позволяющее лесу Exchange доверять лесу учетных записей, так чтобы пользователям из леса учетных записей был предоставлен доступ к почтовым ящикам в лесу ресурсов Exchange. Так как организация Exchange не может выходить за границы леса Active Directory, у каждого почтового ящика, созданного в лесу ресурсов Exchange, должен быть соответствующий ему объект пользователя в лесу ресурсов Exchange. Объекты пользователей в лесу ресурсов Exchange никогда не применяются для входа пользователя в систему и отключены, чтобы помешать их использованию. Пользователи обычно даже не знают о существовании дубликата учетной записи. Так как учетная запись в лесу ресурсов Exchange отключена и не используется для входа в систему, реальной учетной записи пользователя из леса учетных записей должно быть предоставлено право входа в почтовый ящик. Доступ предоставляется путем включения идентификатора безопасности (SID) объекта пользователя из леса учетных записей в атрибут msExchMasterAccountSID отключенного объекта пользователя в лесу ресурсов Exchange.

Возможно, что при использовании леса ресурсов Exchange синхронизация каталогов не потребуется. С точки зрения Exchange и Outlook все объекты, перечисленные в службе каталогов, исходят из одного места, в данном случае - из службы каталогов, в которой размещен лес Exchange. Но если в лесах учетных записей есть данные, связанные с глобальными списками адресов, то, чтобы получить данные в лес ресурсов Exchange для использования в глобальных списках адресов, может потребоваться синхронизация. Кроме того, может понадобиться настроить процесс так, чтобы при создании учетных записей в лесу учетных записей в лесу ресурсов Exchange создавалась отключенная учетная запись с почтовым ящиком.

Включенный пользователь из леса ресурсов связывается с почтовым ящиком, присоединенным к отключенному пользователю в лесу ресурсов. Эта конфигурация предоставляет пользователям доступ к почтовым ящикам, находящимся в других лесах. В данном сценарии настраивается доверительное отношение между лесом ресурсов и лесом учетных записей. Может также понадобиться настроить процесс инициализации так, чтобы каждый раз, когда администратор создает пользователя в лесу учетных записей, в лесу ресурсов Exchange создавался бы отключенный пользователь с почтовым ящиком.

Так как все ресурсы Exchange находятся в одном лесу, один глобальный список адресов будет содержать всех пользователей леса. Основным преимуществом сценария с выделенным лесом Exchange является граница безопасности между администрированием Active Directory и Exchange.

С этой топологией связан ряд недостатков, включая следующие:

  • Внедрение леса ресурсов обеспечивает разделение администрирования Exchange и Active Directory, но стоимость, связанная с развертыванием леса ресурсов, может перевесить необходимость подобного разделения.
  • Для узлов Microsoft Windows, на которых будет работать Exchange, потребуется устанавливать дополнительные контроллеры доменов и серверы глобальных каталогов, что приведет к увеличению стоимости.
  • Необходим процесс инициализации, отражающий изменения Active Directory в Exchange. При создании объекта в одном лесу необходимо быть уверенным, что соответствующие объекты созданы и в другом лесу. Например, при создании пользователя в одном лесу, убедитесь, что для этого пользователя в другом лесу создан заполнитель в другом лесу. Соответствующие объекты можно создать вручную, либо этот процесс можно автоматизировать.

Вариантом сценария леса ресурсов является несколько лесов, в одном из которых размещается Exchange. При использовании нескольких лесов Active Directory развертывание Exchange зависит от степени автономности, которую планируется поддерживать между лесами. Для компаний с подразделениями, которым требуются границы безопасности (леса) объектов каталога, но которые могут совместно использовать объекты Exchange, можно остановиться на развертывании Exchange в одном из лесов и использовании этого леса для размещения почтовых ящиков из других лесов в компании. Так как все ресурсы Exchange находятся в одном лесу, один глобальный список адресов будет содержать всех пользователей из всех лесов.

Этот сценарий обладает следующими основными преимуществами:

  • Использование существующей структуры Active Directory.
  • Использование существующих контроллеров доменов и серверов глобальных каталогов.
  • Обеспечение строгих границ безопасности между лесами.

К недостаткам этого сценария можно отнести следующие особенности:

  • Необходимость процесса инициализации, отражающего изменения Active Directory в Exchange. Например, можно создать сценарий, который при создании нового пользователя Active Directory в лесу A создавал бы в лесу B отключенный объект с разрешениями, предоставляющими доступ к почтовому ящику.
  • Необходимость для администраторов леса определить, как обобщить или разделить ответственность за управление объектами Active Directory и Exchange.


Домены Active Directory

Домен - это объединение участников безопасности и совместно администрируемых других объектов. Домены являются гибкими структурами. Выбор того, что будет входить в домен, остается открытым и оставляется на усмотрение администратора. Например, домен может представлять собой группу пользователей и компьютеров, физически находящихся в одном месте, или он может представлять всех пользователей и все компьютеры во многих местах большого географического региона. Благодаря консолидации администрирования и инфраструктуры домены, как правило, распространяются на большие географические регионы для снижения стоимости поддержки. Но, так как объем службы каталогов растет, для целевого каталога должна быть предусмотрена возможность максимально эффективного доступа к соответствующим ресурсам.

Сайты Active Directory

Сайты Active Directory представляют собой логическое объединение надежно связанных компьютеров в Active Directory. В пределах сайта Active Directory можно разделить клиентские компьютеры, чтобы использовать конкретные наборы или группы ресурсов каталога. Сайт Active Directory - это одна или несколько хорошо связанных подсетей TCP/IP, позволяющие администраторам настроить доступ к Active Directory и необходимую репликацию. Эти подсети могут как соответствовать, так и не соответствовать физической топологии.

На приведенном ниже рисунке показано несколько наиболее типичных отношений между логическими определениями Active Directory и физическими расположениями.

Сценарии развертывания Active Directory

Существует четыре основных сценария интеграции Exchange с Active Directory:

  • Единственный лес
  • Лес ресурсов
  • Перекрестный лес
  • Слияния и поглощения

В следующей таблице сведены преимущества каждого сценария.

Сценарий Active Directory Описание Почему используется этот сценарий

Единственный лес

Пользователи и их почтовые ящики находятся в одном и том же лесу.
  • Самый богатый набор функций почтовой системы
  • Упрощенное администрирование
  • Использование существующей структуры Active Directory
  • Отсутствие необходимости синхронизации с другими лесами

Лес ресурсов

Один из лесов выделен для работы Exchange и размещения почтовых ящиков Exchange. Учетные записи пользователей, связанные с почтовыми ящиками, содержатся в одном или нескольких отдельных лесах.
  • Граница безопасности между администрированием Active Directory и Exchange
  • Упрощенное развертывание Exchange в среде с несколькими лесами
  • Ограничение управления инфраструктурой сети и учетных записей пользователей

Перекрестный лес

Exchange выполняется в отдельных лесах, но функция электронной почты доступна и в других лесах.
  • Несколько подразделений, для которых необходима изоляция данных и служб
  • Несколько подразделений с различными требованиями к схеме
  • Слияние, поглощение или деление

Слияния и поглощения

Слияния и поглощения часто предусматривают сосуществование организаций Exchange до их слияния. Вопросы планирования аналогичны сценарию нескольких лесов с учетом дополнительных соображений миграции.

Слияния и поглощения представляют собой специальный случай развертывания нескольких лесов, требующий уделить дополнительное внимание вопросам миграции

В наших прошлых материалах мы разобрали общие вопросы касающиеся служб каталогов и Active Directory. Теперь пришла пора переходить к практике. Но не спешите бежать к серверу, перед развертыванием доменной структуры в вашей сети необходимо ее спланировать и иметь четкое представление о назначении отдельных серверов и процессах взаимодействия между ними.

Перед тем как создавать ваш первый контроллер домена необходимо определиться с режимом его работы. Режим работы определяет доступные возможности и зависит от версии применяемой операционной системы. Мы не будем рассматривать все возможные режимы, кроме тех которые имеют актуальность на текущий момент. Таких режимов три: Windows Server 2003, 2008 и 2008 R2.

Режим Windows Server 2003 следует выбирать только тогда, когда в вашей инфраструктуре уже развернуты сервера на данной ОС и планируется использовать один или несколько таких серверов в качестве контроллеров домена. В остальных случаях нужно выбирать режим Windows Server 2008 или 2008 R2 в зависимости от купленных лицензий. Следует помнить, что режим работы домена можно всегда повысить, а вот понизить уже не удастся (разве что восстановив из резервной копии), поэтому подходите к данному вопросу осмотрительно, с учетом возможных расширений, лицензий в филиалах и т.д. и т.п.

Мы сейчас не будем подробно рассматривать сам процесс создания контроллера домена, к этому вопросу мы вернемся позже, а сейчас хотим обратить ваше внимание на то, что в полноценной структуре Active Directory контроллеров домена должно быть не менее двух . В противном случае вы подвергаете себя неоправданному риску, так как в случае отказа единственного контроллера домена ваша структура AD будет полностью уничтожена . Хорошо если будет актуальная резервная копия и из нее удастся восстановиться, в любом случае все это время ваша сеть будет полностью парализована.

Поэтому сразу же после создания первого контроллера домена нужно развернуть второй, вне зависимости от размеров сети и бюджета. Второй контроллер должен быть предусмотрен еще на стадии планирования и без него за развертывание AD даже не стоит браться. Также не стоит совмещать роль контроллера домена с любыми иными серверными ролями, в целях обеспечения надежности операций с базой AD на диске отключается кэширование записи, что приводит к резкому падению производительности дисковой подсистемы (это объясняет и долгую загрузку контроллеров домена).

В итоге наша сеть должна принять следующий вид:

Вопреки распространенному мнению, все контроллеры в домене равнозначны, т.е. каждый контроллер содержит полную информацию о всех объектах домена и может обслужить клиентский запрос. Но это не значит, что контроллеры взаимозаменяемы, непонимание этого момента зачастую приводит к отказам AD и простою сети предприятия. Почему так происходит? Самое время вспомнить про роли FSMO.

Когда мы создаем первый контроллер, то он содержит все доступные роли, а также является глобальным каталогом, с появлением второго контроллера ему передаются роли хозяина инфраструктуры, хозяина RID и эмулятора PDC. Что будет если администратор решил временно вывести из строя сервер DC1, например чтобы почистить от пыли? На первый взгляд ничего страшного, ну перейдет домен в режим "только чтение", но работать то будет. Но мы забыли про глобальный каталог и если в вашей сети развернуты приложения требующие его наличия, например Exchange, то вы узнаете об этом раньше, чем снимете крышку с сервера. Узнаете от недовольных пользователей, да и руководство вряд ли придет в восторг.

Из чего следует вывод: в лесу должно быть не менее двух глобальных каталогов, а лучше всего по одному в каждом домене. Так как у нас домен в лесу один, то оба сервера должны быть глобальными каталогами, это позволит вам без особых проблем вывести любой из серверов на профилактику, временное отсутствие каких либо ролей FSMO не приводит к отказу AD, а лишь делает невозможным создание новых объектов.

Как администратор домена, вы должны четко знать каким образом роли FSMO распределены между вашими серверами и при выводе сервера из эксплуатации на длительный срок передавать эти роли другим серверам. А что будет если сервер содержащий роли FSMO необратимо выйдет из строя? Ничего страшного, как мы уже писали, любой контроллер домена содержит всю необходимую информацию и если такая неприятность все же произошла, то нужно будет выполнить захват необходимых ролей одним из контроллеров, это позволит восстановить полноценную работу службы каталогов.

Проходит время, ваша организация растет и у нее появляется филиал в другом конце города и возникает необходимость включить их сеть в общую инфраструктуру предприятия. На первый взгляд ничего сложного, вы настраиваете канал связи между офисами и размещаете в нем дополнительный контроллер. Все бы хорошо, но есть одно но. Данный сервер вы контролировать не можете, а следовательно не исключен несанкционированный доступ к нему, да и местный админ вызывает у вас сомнения в его квалификации. Как быть в такой ситуации? Для этих целей специально существует особый тип контроллера: контроллер домена доступный только на чтение (RODC) , данная функция доступна в режимах работы домена начиная с Windows Server 2008 и выше.

Контроллер домена доступный только для чтения содержит полную копию всех объектов домена и может быть глобальным каталогом, однако не позволяет вносить никаких изменений в структуру AD, также он позволяет назначить любого пользователя локальным администратором, что позволит ему полноценно обслуживать данный сервер, но опять таки без доступа к службам AD. В нашем случае это то, что "доктор прописал".

Настраиваем в филиале RODC, все работает, вы спокойны, но пользователи начинают жаловаться на долгий вход в систему и счета за трафик в конце месяца показывают превышение. Что происходит? Самое время еще раз вспомнить про равнозначность контроллеров в домене, клиент может направить свой запрос к любому контроллеру домена, даже находящемуся в другом филиале. Примите во внимание медленный и, с большой вероятностью, загруженный канал связи - вот и причина задержек входа.

Следующий фактор, отравляющий нам жизнь в этой ситуации, это репликация. Как известно, все изменения, сделанные на одном из контроллеров домена, автоматически распространяются на другие и называется этот процесс репликацией, он позволяет иметь на каждом контроллере актуальную и непротиворечивую копию данных. Служба репликации не знает о нашем филиале и медленном канале связи и поэтому все изменения в офисе тут же будут реплицироваться в филиал, загружая канал и увеличивая расход трафика.

Здесь мы вплотную подошли к понятию сайтов AD, которые не следует путать с интернет сайтами. Сайты Active Directory представляют способ физического деления структуры службы каталогов на области отделенные от других областей медленными и/или нестабильными каналами связи. Сайты создаются на основе подсетей и все клиентские запросы отправляются в первую очередь контроллерам своего сайта, также крайне желательно иметь в каждом сайте свой глобальный каталог. В нашем случае потребуется создать два сайта: AD Site 1 для центрального офиса и AD Site 2 для филиала, точнее один, так как по умолчанию структура AD уже содержит сайт, куда входят все ранее созданные объекты. Теперь рассмотрим как происходит репликация в сети с несколькими сайтами.

Будем считать, что наша организация немного подросла и главный офис содержит целых четыре контроллера домена, репликация между контроллерами одного сайта называется внутрисайтовой и происходит моментально. Топология репликации строится по схеме кольца с условием, чтобы между любыми контроллерами домена было не более трех шагов репликации. Схема кольца сохраняется до 7 контроллеров включительно, каждый контроллер устанавливает связь с двумя ближайшими соседями, при большем числе контроллеров появляются дополнительные связи и общее кольцо как бы превращается в группу наложенных друг на друга колец.

Межсайтовая репликация происходит иначе, в каждом домене автоматически выбирается один из серверов (сервер-плацдарм) который устанавливает связь с аналогичным сервером другого сайта. Репликация по умолчанию происходит раз в 3 часа (180 минут), однако мы можем установить собственное расписание репликации и для экономии трафика все данные передаются в сжатом виде. При наличии в сайте только RODC репликация происходит однонаправленно.

Безусловно, затронутые нами темы весьма глубоки и в данном материале мы только слегка их коснулись, однако это тот необходимый минимум знаний, который нужно иметь перед практическим внедрением Active Directiry в инфраструктуру предприятия. Это позволит избежать глупых ошибок при развертывании и авральных ситуаций при обслуживании и расширении структуры, а каждая из поднятых тем еще будет обсуждаться более подробно.

Как вам известно, прежде чем внедрять серверную инфраструктуру в предприятия и избежать большинства неприятных моментов по окончанию развертывания, ее следует тщательно спланировать. Ввиду того, что службы Active Directory разворачиваются как центральный репозиторий для хранения данных, а также информации для реализации политики и конфигурации вместе со сценариями входа пользователей, компьютеров и сетевых служб с поддержкой промышленного стандарта LDAP, применяемого для написания запросов и изменения информации в каталоге, логическая и физическая структура организации должна быть спроектирована так, чтобы управление даже в самых больших и сложнейших сетях, предоставляло единую точку, в которой можно развернуть параметры настройки во множестве систем. После того как вы составите окончательную версию бизнес-требований, соглашение об уровне предоставления услуг, а также задокументируете полученную информацию, вам нужно начать проектировать логическую и физическую инфраструктуру предприятия. На этом этапе вам предстоит правильно спланировать количество, структуру и дизайн лесов, из которых будет состоять предприятие, где после планирования будут развертываться доменные службы Active Directory.

По определению, лесом называется наивысший уровень иерархии логической структуры доменных служб, который считается границей репликации и безопасности на предприятии и состоит из одного или нескольких доменов Active Directory. Первый установленный в лесу контроллер домена называется корневым . Лес содержит единственное описание конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, где данные не реплицируются. Соответственно, лес задает периметр безопасности организации. Совместно с лесом используются следующие компоненты доменных служб Active Directory:

  • Общая схема . Все контроллеры доменов в лесе используют общую схему, которая хранится в доменных службах Active Directory в разделе каталогов Schema, а также реплицируется на все контроллеры в лесе. Единственный способ развернуть две различные схемы в организации состоит в развертывании двух отельных лесов;
  • Общий глобальный каталог . Глобальным каталогом называется раздел, который хранит информацию о каждом объекте в лесу. То есть, когда пользователь из одного домена выполняет поиск объекта домена во втором, результаты запроса предоставляет именно глобальный каталог. Общий глобальный каталог содержит информацию обо всех объектах во всем лесе. Таким образом, повышается эффективность поиска объектов в лесе и входа пользователей в любой домен леса при помощи UPN;
  • Общий раздел каталогов конфигурации . Раздел конфигурации содержит объекты, предоставляющие логическую структуру размещения леса – в частности, структуру доменов и топологию репликации. Объекты, хранящиеся в разделе конфигурации, должны реплицироваться среди всех контроллеров всех доменов лесов и использовать один контейнер конфигурации. Данные конфигурации включают список всех доменов, деревьев и лесов, а также размещение контроллеров доменов и глобальных каталогов. Раздел каталогов конфигурации также используется такими приложениями Active Directory, как Exchange Server и Share Point;
  • Общий набор мастеров операций и администраторов уровня леса . В любой реплицируемой базе данных определенные изменения должны производиться только одной репликой, так как нецелесообразно выполнять их всеми равноправными участниками. Некий ограниченный набор операций нельзя выполнять в различных местах одновременно, а можно лишь на одном контроллере домена или только в одном лесу. Контроллер домена, выполняющий особые роли, называется мастером операций . На него добавляется гибкая роль FSMO (Flexible Single-Master Operations). Доменные службы Active Directory содержат пять ролей мастеров операций, для леса предусмотрены две роли, а для домена – три. Роли мастера схемы и мастера именования доменов конфигурируются на уровне леса. Каждый лес располагает только одним мастером схемы и одним мастером именования доменов, причем в корневом домене леса создаются две группы безопасности со своими уникальными разрешениями. Мастера операций будут подробнейшим образом рассмотрены в одной из последующих статей;
  • Общая конфигурация доверия . Все домены в лесе автоматически конфигурируются для доверия всем остальным доменам леса. Концепция доверительных отношений также будет рассмотрена отдельно.

При планировании лесов предприятия требуется в первую очередь определиться, сколько лесов Active Directory следует создать. После этого вам предстоит выбрать модель леса, а также на этом этапе создается политика модификации схемы, которая очерчивает круг лиц, обладающих полномочиями управления, схемой и регулирует механизм административных модификаций, воздействующих на лес в целом. Обо всем этом вы узнаете в подробностях из данной статьи.

Определение требования схемы леса и полномочий

Перед тем как вы будете проектировать схему леса предприятия, нужно особое внимание уделить производственным требованиям, которые будет удовлетворять структура доменных служб. Службы каталогов позволяют спроектировать такую инфраструктуру, которая будет приспособлена для групп с различными и уникальными требованиями к управлению. К требованиям, которые могут предоставить организации при проектировании доменных служб Active Directory, можно отнести:

  • Организационные структурные требования . Огромное значение при проектировании структуры леса имеет правильное понимание организационной структуры предприятия. В целях экономии средств определенные части организации могут использовать общую инфраструктуру, но одновременно работая независимо от остальной части организации. Например, одним из таких требований может считаться временная изоляция конкретного подразделения предприятия на определенный срок, которому необходимо устанавливать каталоги приложений, изменяющие схему Active Directory. В этом случае, если такое подразделение принадлежит к одному лесу, в котором расположены и остальные пользователи организации, самой организации может быть нанесен существенный ущерб. Поэтому для сбора организационных структурных требований лучше всего начать с определения различных групп принципалов безопасности, которые будут использоваться в доменных службах Active Directory. После этого определите, какие группы должны работать отдельно от всей организации. Если такие группы в вашей организации будут обнаружены, определите, могут ли они нанести ущерб всей организации. Обычно, группы, которые имеют различные требования от остальной части организации, размещают в отдельные леса;
  • Законодательные требования . В процессе проектирования вы также должны иметь представление о правовых требованиях, которые должна соблюдать организация. В некоторых организациях в бизнес-контракте указано, что по закону требуется обеспечить определенный режим работы, например, ограничить доступ к определенным ресурсам. Несоблюдение таких требований может привести к расторжению контракта и, даже, к судебному преследованию. Поэтому, во время дизайна структуры лесов, при сборе правовых требований, начините с определения правовых обязательств организации. Чтобы соблюдать требования к безопасности, в некоторых организациях необходимо работать во внутренних изолированных сетях;
  • Эксплуатационные требования . После того как вы определите организационные структурные и юридические требования вам нужно заняться сбором эксплуатационных требований, которые будут влиять на разработку структуры леса. Иногда случаются такие сценарии, когда какая-либо часть организации накладывает уникальные ограничения на конфигурацию службы каталогов, на доступность или безопасность этой службы или же использует приложения, которые накладывают уникальные ограничения на каталог. Отдельные подразделения организации могут развернуть отсутствующие в других подразделениях приложения, которые изменяют схему каталогов. Уникальные эксплуатационные требования могут использовать такие организации, как военные или хостинговые компании, предоставляющие услуги размещения. Для того чтобы определить эксплуатационные требования, лучше всего начать с инвентаризации оперативных групп вместе с эксплуатационными требованиями для каждой отдельной группы;
  • Требования ограниченной связи . Наконец, для проектирования структуры леса важно выявление любых ограниченных требований связи. Во многих организациях есть филиалы с изолированными сетями, которые имеют ограниченную пропускную способность. При проектировании леса лучше всего начать с определения всех групп, расположенных удаленно от центрального офиса.

Завершив этот перечень основных требований, вы можете перейти к стадии определения полномочий администраторов и владельцев данных и служб.

В доменных службах Active Directory существует много типов административной деятельности, включая конфигурацию данных и управление данными в службе каталогов. В крупных организациях административные роли доменных служб разделяются на несколько категорий. Один из способов описания различных категорий заключается в разделении владельцев лесов, владельцев и администраторов данных, а также владельцев и администраторов служб.

  • Владельцы леса отвечают за подбор и поддержку администраторов служб, поэтому из доверия владельцу леса следует доверие администраторам служб, управляемых владельцем леса;
  • Владельцы и администраторы данных отвечают за информацию, которая хранится в доменных службах Active Directory. владельцы данных регламентируют политики и процессы управления данными, а администраторы данных располагают правами и привилегиями создания объектов AD DS в структуре, которая определяется владельцами и администраторами службы;
  • Владельцы и администраторы служб отвечают за службу доменных служб и полностью контролируют данные и службы на всех контроллерах леса. Владельцы служб принимают решения относительно количества лесов, доменов и сайтов, необходимых для выполнения требования компании к службе каталогов Active Directory. А, в свою очередь, администраторы служб имеют следующие возможности:
    • Изменение системного программного обеспечения на контроллерах домена, обходя любые обычные проверки безопасности, что позволяет просматривать все объекты в домене и управлять ими независимо от того, разрешено ли это им в списках управления доступом;
    • Устранение ошибок, связанных со списками управления доступом к объектам, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;
    • Сбрасывать пароли и изменять членства пользователей в группах;
    • Использование политики безопасности «Группы с ограниченным доступом» , предназначенных для предоставления всем пользователям и группам административного доступа к любому компьютеру, присоединенному к домену, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;
    • Иметь доступ к другим доменам леса путем изменения системного программного обеспечения на контроллерах доменов. Администраторы служб могут просматривать или изменять данные конфигурации леса, просматривать или изменять данные, хранящиеся в любом домене, а также просматривать или изменять данные на любом присоединенном к домену компьютере.

В связи с тем, что администраторы служб имеют такие полномочия, желательно, чтобы в организации было минимальное количество администраторов служб. По умолчанию такими правами обладают группы «Администраторы домена» в корневом лесе, «Администраторы предприятия» и «Администраторы схемы» .

Создание безопасного леса на основании корпоративных требований

В дополнение к вышеперечисленным требованиям, вам нужно определить, будет ли структура леса автономной или изолированной.

Административная автономия предполагает полный административный контроль над некоторыми компонентами леса на уровне леса, домена или подразделения. По достижении автономии администраторы получают право независимо управлять ресурсами. Тем не менее, автономия не означает получения эксклюзивного контроля. Существуют администраторы с более широкими полномочиями, которые тоже могут управлять этими ресурсами и при необходимости могут лишить полномочий подчиненных администраторов. Логическая структура доменных служб проектируется с одним из указанных ниже типов автономии:

  • Автономия служб . Автономия служб предполагает возможность управлять инфраструктурой, не требуя единоличного контроля, то есть, если группе нужно внести изменения в инфраструктуру, пространство имен или схему без разрешения владельца леса. Автономия служб может потребоваться группам, которым нужно иметь возможность управлять уровнем обслуживания в доменных службах Active Directory или группам, которым нужно иметь возможность устанавливать поддерживающие каталоги приложения, требующие изменения схемы;
  • Автономия данных . Включает в себя контроль над всеми или частью данных, которые хранятся в каталоге или на рядовых компьютерах, которые подключены к домену. Автономия данных предполагает, что группа или предприятие может управлять своими собственными данными, а также принимать административные решения по поводу данных и выполнять все необходимые задачи, не обращаясь за решением к другому полномочному органу. Если нет необходимости защищать конкретные данные от других администраторов в лесу, определенная группа может дать заявку на то, чтобы у нее была возможность самой управлять своими данными, которые относятся к конкретному проекту.

Административная изоляция предполагает получение эксклюзивного контроля над компонентом каталога. В случае административной изоляции никто, кроме указанных администраторов не может получить права управлять ресурсами, и никто из администраторов не может лишить их этих прав. Также как и в случае с административной автономией, логическая структура доменных служб проектируется с одним из указанных ниже типов изоляции:

  • Изоляция служб . Изоляция служб позволяет администраторам контролировать работу служб и вмешиваться в нее могут только те администраторы, которым предоставлены такие разрешения. Группам, которые выдвигают требования к изоляции служб, необходимо, чтобы никто из администраторов вне данной группы не мог повлиять на работу служб каталогов. Например, если ваша организация оказывает услуги размещения веб-узлов клиентам и для каждого клиента требуется изоляция служб, чтобы перебои в работе основных служб не влияли на других клиентов;
  • Изоляция данных . Изоляция данных препятствует всем, кроме указанных администраторов контролировать подмножество данных в каталоге или на рядовых компьютерах, присоединенных к домену, и просматривать эти данные. Администраторы служб могут лишить администраторов данных возможности управлять ресурсами, а администраторы данных не могут лишить администраторов служб доступа к ресурсам, которыми они управляют. В связи с этим, если группе требуется изоляция данных, то такая группа должна взять на себя еще и ответственность за администрирование служб. Единственным способом для таких групп получения изоляции заключается в том, чтобы создать для этих данных отдельный лес. Например, если финансовой структуре необходимо сделать так, чтобы доступ к данным клиентов, которые находятся в отдельной юрисдикции, имели только пользователи, администраторы и компьютеры, расположенные в этой юрисдикции. Так как руководство полностью доверяет администраторам служб удаленной юрисдикции, поэтому в таком учреждении необходимо изолировать данные от администраторов служб, которые находятся за пределами данной юрисдикции.

Помимо этих простых примеров, в доменных службах Active Directory предусмотрено еще множество способов реализации административной автономии и изоляции. Стоит помнить, что администраторы, которым требуется только автономия, должны мириться с тем, что другие администраторы с равными или более широкими административными полномочиями имеют равные или более широкие возможности контролировать управление службами или данными, а администраторы, которым требуется изоляция, полностью контролируют управление службами или данными. Многим компаниям требуется административная автономия с относительной гарантией того, что администраторы из других разделов в лесе не будут выполнять вредоносные действия. Также стоит отметить, что разработка автономной схемы в общем случае дешевле разработки изолированной схемы.

Выбор количества требуемых лесов

После того как вы выполнили все указанные выше требования, вам нужно определить необходимое количество лесов для инфраструктуры организации. Чтобы определить, сколько лесов необходимо развернуть, выясните, какие требования к автономии и изоляции выдвигает каждая группа организации, а затем все эти требования реализуйте в схемах моделей леса. Не стоит забывать, что разбить один лес на два очень сложно. При разработке лесов для каталога сетевой операционной системы (NOS) будет достаточно использовать только один лес. В большинстве случаев, развертывание доменных служб Active Directory выполняется в одном лесе, так как для многих компаний преимущества общего глобального каталога, встроенные доверительные отношения и общий раздел конфигурации играют более важную роль, нежели полное разделение всех административных ролей. Для того чтобы определить, сколько лесов будет использовать ваша организации, рассмотрите следующие ситуации:

  • Определите необходимость изоляции или автономии лесов. Необходимость изоляции ограничивает выбор схем, в связи с чем, необходимо будет развернуть еще как минимум один лес для вашей организации;
  • Для определения количества лесов, необходимо найти баланс между расходами и преимуществами. Модель с одним лесом является наиболее экономной, требующей наименьших административных затрат. При предпочтении автономной работе с административными службами, экономнее остановиться на услугах надежной ИТ-группы, что позволит управлять данными без затрат на управление самой службой;
  • Две разные и автономные ИТ-организации не должны владеть одним и тем же лесом, так как цели их ИТ-групп могут существенно расходиться, что повлечет за собой перебои в рабочем процессе для каждой организации. Поэтому некоторые компании развертывают отдельные леса доменных служб в демилитаризованных зонах. Для повышения безопасности внутренней сети многие организации развертывают серверы с прямым доступом в Интернет именно в DMZ. При этом допустимо использовать управление пользователями и компьютерами в Active Directory, поддерживая изоляцию внутреннего леса;
  • В целях безопасности доступ к определенной сетевой информации, целесообразно предоставлять отдельным организационным единицам, при этом используя полное разделение сетевых данных, где информация об одном лесе не отображается в другом. Нецелесообразно передавать администрирование служб внешним партнерам, особенно если это касается многонациональной организации, находящейся в разных странах или регионах. Ввиду того, что действия одних партнеров могут повлиять на услуги, предоставленные другими, партнеры должны соблюдать соглашение об уровне обслуживания, поскольку эти группы нельзя изолировать друг от друга, так как внутри леса все домены используют транзитивные доверительные связи;
  • При использовании уникальной схемы развертывания приложений, с несовместимыми изменениями в схеме у разных подразделений в организации, предпочтительно создавать отдельные леса;
  • Отдельные леса развертываются также в том случае, если организационная единица не работает с централизованным администрированием или не принимает централизованные административные процедуры.

Определение модели леса

После того как в проектировании службы каталогов было определено количество лесов, выбирается одна из следующих четырех моделей леса организации:

  • Модель одного леса;
  • Модель леса организации;
  • Модель леса ресурсов;
  • Модель леса с ограниченным доступом.>?/li

Модель одного леса

Данная модель является простейшей моделью леса и считается низкоуровневой, так как все объекты каталога принадлежат одному лесу и все сетевые ресурсы контролирует одна централизованная ИТ-группа. Такой проект требует минимальных административных расходов и считается самым рентабельным среди всех моделей. Модель одного леса является удачным выбором для малых и средних организаций, где действует лишь одна ИТ-группа и все ее филиалы управляются этой группой из центрального офиса.

Рис. 1. Модель одного леса

Преимущества Недостатки
Возможность сотрудничества . Обмен электронными сообщениями; общий доступ к Интернет-сети; общие документы; общий механизм аутентификации, авторизации и поиска. Невозможность обеспечить . Невозможность обеспечить автономность службы одного леса, если нет согласия в настройке конфигурации службы.
Аутентификация Kerberos . Обеспечивает обоюдную аутентификацию и делегирование полномочий. Невозможно обеспечить изоляцию от владельцев служб . Администратор организации может аннулировать параметры безопасности, установленные владельцами отдельных доменов.
Автоматические транзитивные доверительные отношения . Между всеми доменами в лесе созданы транзитивные доверительные отношения в иерархическом порядке. Проблемы репликации из-за больших объемов каталога . Проблема информации уровня леса, подлежащего репликации, в частности данные конфигурации и схема; проблема репликации информации глобального каталога на все серверы глобальных каталогов леса; при избытке информации репликация становится недопустимо медленной
Один глобальный каталог объектов . Информация всех объектов леса сохраняется в каталоге, в котором можно выполнять поиск

Модель леса организации

В соответствии с данной моделью, для каждого подразделения создается отдельный лес Active Directory, модель леса проектируется по определенным организационным критериям. Это обеспечивает автономность и изолированность данных или служб подразделений организации, при этом, лес настраивается таким образом, чтобы к нему не было доступа извне. Администраторы могут предоставлять доступ к ресурсам в другом лесу. При необходимости, подразделения могут иметь доверительные отношения с другими лесами для общего использования ресурсов. Учтённые записи, ресурсы и управление ими, в данной модели осуществляются независимо.

Рис. 2. Модель леса организации

Преимущества Недостатки
Независимость от владельцев служб . У каждой организационной единицы собственный лес, обеспечивающий автономность данных и служб. Высокая стоимость реализации . Самая дорогая модель с точки зрения администрирования, связанная с обучением обслуживающего персонала, установкой дополнительного аппаратного и программного обеспечения.
. Данные и службы полностью изолированы от владельца в отдельной организационной единице.
. Член каждого леса не может автоматически находиться во всех доверительных отношений между лесами; усиливается контроль за доверительными отношениями.

Данную модель можно использовать в компаниях с множеством организационных единиц, в компаниях, где отдельные единицы размещены в различных регионах, в организациях, сформированных путем слияния или приобретения.

Модель леса ресурсов

Данная модель позволяет подразделениям сообща использовать один лес, обслуживаемый отдельной ИТ-группой, при этом другие подразделения для изоляции или автономности могут разворачивать отдельный лес. Управление ресурсами в данной модели осуществляется с помощью отдельного леса, не содержащего других учетных записей, кроме тех, которые необходимы для администрирования служб и альтернативного доступа к ресурсам в лесу. Для доступа к другим лесам между ними устанавливаются доверительные отношения. В большинстве случаев конфигурируется односторонняя доверительная связь, хотя не исключаются двусторонние доверительные отношения, внешние доверительные связи с выборочной проверкой подлинности. Управление учетными записями пользователей и групп изолируются от управления ресурсами созданием отдельных лесов для каждой функции. Общие ресурсы конфигурируются на серверах в одном или нескольких лесах ресурсов.

Рис. 3. Модель леса ресурсов

Преимущества Недостатки
Уменьшение затрат за счет общего использования ресурсов . Пользование преимуществами глобального каталога объектов; уменьшаются затраты, связанные с управлением леса. Высокая стоимость реализации
Независимость от владельцев служб . Обеспечение полной автономности данных организационной единицы при развертывании нового леса. Отсутствие единого глобального каталога объекта . Не производится репликация глобальных каталогов между лесами.
Изолированность от владельцев служб . Обеспечение полного изолирования данных организационной единицы при развертывании нового леса. Непригодность для развивающихся организаций . При наличии значительных изменений, наличие многих лесов приводит к частому перемещению данных с одного леса к другому.
Явное установление доверительных отношений . Член каждого леса не может автоматически находиться во всех доверительных отношений между лесами.

Модель леса с ограниченным доступом

Эта модель предоставляет собой вариант организационной модели лесов. В ней создается отдельный лес для хранения учетных записей пользователей и общих ресурсов, изолированных от остальных подразделяй. Данный лес отличается от организационного леса тем, что между двумя доменами нельзя конфигурировать доверительные отношения. Он обеспечивает административную изоляцию. То есть, учетные записи пользователей леса вне леса не имеют разрешения или права доступа к данным в этом лесе и должны для доступа к лесу с ограниченным доступом применить отдельную учетную запись. С помощью данной модели создается отдельный лес с учётными записями пользователей и данными, изолированными от остальной части организации. Даная модель леса обеспечивает изоляцию данных при нарушении конфиденциальности с серьезными последствиями. Отсутствие доверительных отношений делает невозможным предоставления пользователям других лесов к данным с ограниченным доступом.

Рис. 4. Модель леса с ограниченным доступом

Преимущества Недостатки
Полная изоляция ресурсов . Для хранения учетных записей пользователей и для общих ресурсов создаются отдельные изолированные леса. Отсутствие доверительных отношений . Невозможность предоставления ресурсов одного леса для пользователей других лесов.
Административная изоляция . Учетные записи пользователей вне леса с ограниченным доступом не имеют разрешения или права доступа к любым данным в этом лесе. Создание отдельных учетных записей . Пользователи имеют учетную запись для доступа к общим ресурсам и отдельную учетную запись для доступу к секретным сведениям, при этом должно быть две разных рабочих станциям, одна подключенная к лесу организации, а другая – к лесу с ограниченным доступом.
Обеспечение изоляции данных . Для устранения серьезных последствий при нарушении конфиденциальности данных проекта. Высокая стоимость реализации . Затраты на администрирование возрастают пропорционально количеству созданных лесов в связи с обучением персонала, дополнительного аппаратного и программного обеспечения.
Поддержка физической сети . Организации, работающие над секретными проектами, создают леса с ограниченным доступом в отдельных сетях для поддержки безопасности. Отсутствие аутентификации Kerberos между лесами по умолчанию . Два леса не могут использовать протокол Kerberos для аутентификации между собой по умолчанию.
Отсутствие единого глобального каталога объекта . Не производится репликация глобальных каталогов между лесами.

Администраторам Windows-сетей не избежать знакомства с . Эта обзорная статья будет посвящена тому, что же такое Active Directory и с чем их едят.

Итак, Active Directory это реализация службы каталогов от компании Microsoft. Под службой каталогов в данном случае подразумевается программный комплекс, помогающий системному администратору работать с такими сетевыми ресурсами, как общие папки, серверы, рабочие станции, принтеры, пользователи и группы.

Active Directory имеет иерархическую структуру, состоящую из объектов. Все объекты разделяются на три основные категории.

  • Учетные записи пользователей и компьютеров;
  • Ресурсы (например, принтеры);
  • Службы (например, электронная почта).

Каждый объект имеет уникальное имя и обладает рядом характеристик. Объекты возможно группировать.

Свойства пользователя

Active Directory имеет лесовидную структуру. Лес имеет несколько деревьев, которые содержат домены. Домены, в свою очередь, содержат вышеупомянутые объекты.


Структура Active Directory

Обычно объекты в домене группируются в подразделения. Подразделения служат для выстраивания иерархии внутри домена (организации, территориальные подразделения, отделы и т.д.). Это особенно важно для организаций, раскиданных по географическому признаку. При выстраивании структуру рекомендуется создавать как можно меньше доменов, создавая, при необходимости, отдельные подразделения. Именно на них и имеет смысл применять групповые политики.

Свойства рабочей станции

Другим способом структурирования Active Directory являются сайты . Сайты являются способом физической, а не логической группировки на основе сегментов сети.

Как уже было сказано, каждый объект в Active Directory имеет уникальное имя. Например, принтер HPLaserJet4350dtn , который находится в подразделении Юристы и в домене primer.ru будет иметь имя CN=HPLaserJet4350dtn,OU=Юристы,DC=primer,DC=ru . CN — это общее имя, OU — подразделение, DC — класс объекта домена. Имя объекта может иметь гораздо больше частей, чем в этом примере.

Другая форма записи имени объекта выглядит так: primer.ru/Юристы/HPLaserJet4350dtn . Также у каждого объекта есть глобальный уникальный идентификатор (GUID ) - уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Некоторые объекты также имеют имя участника-пользователя (UPN ) в формате объект@домен .

Вот общие сведения о том, что же такое Active Directory и для чего они нужны в локальных сетях на базе Windows. Напоследок имеет смысл сказать, что администратор имеет возможность работать с Active Directory удаленно посредством Средств удаленного администрирования сервера для Windows 7 (KB958830) (Скачать ) и Средств удаленного администрирования сервера для Windows 8.1 (KB2693643) (Скачать ).



СХОЖИЕ СТАТЬИ