Средства Active Directory

КОНТРОЛЬНАЯ РАБОТА

ПО ДИСЦИПЛИНЕ: Операционные системы, среды и оболочки.

НА ТЕМУ: Средства Active Directory

Что такое Active Directory

Служба каталогов Active Directory (AD) - сервис, интегрированный с
Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Доступ к ней возможен с помощью таких знакомых инструментов, как программа просмотра ресурсов Интернета.

AD не только позволяет выполнять различные административные задачи, но и является поставщиком различных услуг в системе. На приведенном ниже рисунке схематично изображены основные функции службы каталогов.

В Active Directory концепция пространства имен Интернета объединена с системными службами каталогов, что дает возможность единым образом управлять различными пространствами имен в гетерогенных

средах корпоративных сетей. В качестве основного в AD используется
легкий протокол доступа к каталогу LDAP (lightweight directory access
protocol), позволяющий действовать за рамками операционной систе-
мы, объединяя различные пространства имен. Active Directory может
включать в себя каталоги других приложений или сетевых операцион-
ных систем, а также управлять ими, что значительно снижает нагрузку
на администраторов и накладные расходы.

Каталог - поставщик услуг в системе

Active Directory не является каталогом Х.500, как иногда считают. Она
использует лишь информационную модель Х.500 (без избыточности,
присущей последнему), а в качестве протокола доступа - LDAP. В ре-
зультате достигается так необходимая в гетерогенных системах высо-
кая степень взаимодействия.

LDAP - стандартный протокол доступа к каталогам (RFC1777) - был
разработан как альтернатива протоколу доступа Х.500. В Active Directory
поддерживаются как LDAP v2, так и LDAP v3.

HTTP - стандартный протокол для отображения страниц Web. Active
Directory дает возможность просмотреть любой объект в виде страни-
цы Web. Расширения Internet Information Server, поставляемые совмес-
тно со службой каталога, преобразуют запросы к объектам каталога в
страницы HTML.

Active Directory позволяет централизовано администрировать все ре-
сурсы, любые произвольные объекты и сервисы: файлы, периферийные
устройства, базы данных, подключения к Web, учетные записи и др. В
качестве поискового сервиса используется DNS. Все объекты внутри
домена объединяются в организационные единицы (OU), составляю-
щие иерархичные структуры. В свою очередь, домены могут объеди-
няться в деревья.

Администрирование упростилось по сравнению с предыдущими вер-
сиями: больше нет первичного и резервных контроллеров домена. Все
контроллеры доменов, используемые службой каталогов, равноправны.
Изменения можно вносить на любом контроллере, а на остальные они
будут тиражироваться автоматически.

Еще одна особенность Active Directory - поддержка нескольких хра-
нилищ, в каждом из которых может находиться до 10 миллионов объек-
тов. Понятно, что при таких возможностях эта служба каталогов пре-
красно проявляет себя как в малых сетях, так и в больших системах.

Архитектура Active Directory

Основная структурная единица Active Directory - дерево доменов, свя-
занных доверительными отношениями друг с другом. Внутри каждого
домена может располагаться иерархия организационных единиц (OU).
Иерархия OU внутри одного домена никак не связана с иерархией OU
в других доменах. Наоборот, они полностью независимы.

Такая двухъярусная иерархичная структура предоставляет высокую сте-
пень свободы в администрировании деревьев доменов. Например, всем
деревом доменов целиком может управлять центральная служба инфор-
мационных технологий (ИТ), а во всех доменах будут созданы свои
собственные организационные единицы, где учтены как работники,
ответственные за локальную поддержку на местах, так и ресурсы, обес-
печивающие эту поддержку.

В каждом отдельном домене могут быть созданы дополнительные OU
для выполнения конкретных задач. Так в домене головного офиса - OU
отдела кадров и бухгалтерии, в филиалах - OU торговых представи-
тельств. При этом административные права для каждой из этих OU
могут делегироваться центральной службой ИТ сотрудникам упомяну-
тых групп. Последние же, будучи наделены административными пол-
номочиями только в рамках своих OU, никак не смогут помешать службе ИТ выполнять глобальное администрирование или вмешаться в де-
ятельность другой OU.

Архитектура Active Directory

Такая гибкость позволяет организовать каталог в точном соответствии
со структурой Вашего предприятия. Причем, возможно отразить как
централизованную, так и децентрализованную, а также некоторую сме-
шанную модель управления предприятием. Например, дерево доменов
может быть организовано по централизованной модели, а OU внутри
доменов - по децентрализованной.

Как уже упоминалось, внутри каждого домена - своя политика безо-
пасности (подробнее об этом - в главе 2). Этой политикой определя-
ются, в частности, требования к паролям, время жизни билетов Кег-
beros, блокировки учетных записей и т. д. При создании учетной запи-
си в домене для нее генерируется идентификатор безопасности (SID),
частью которого является идентификатор домена, выдавшего SID. Это
позволяет легко определять, какому домену принадлежит пользователь
или группа и каковы их права доступа к ресурсам. Таким образом, мож-
но говорить о физических границах безопасности домена, в рамках
которых и выполняется его администрирование.

Организационные единицы являются контейнерами, в которых могут
содержаться другие организационные единицы или объекты (пользо-
ватели, группы, принтеры или ресурсы распределенной файловой си-
стемы). Разрешение создавать объекты или изменять их атрибуты мо-
жет быть выдано отдельным пользователям или группам, что позволя-
ет более четко разделять административные полномочия.

Использование схемы

Определение схемы, данное при первом ознакомлении с этим терми-
ном, несколько расплывчато и, возможно, не дает общего понимания
ее назначения. В схеме задано, какие объекты и с какими свойствами
допустимы в каталоге. Во время установки Active Directory на первый
контроллер доменов в лесу, служба каталогов по умолчанию создает
схему, где содержатся все объекты и заданы свойства, необходимые для
нормального функционирования службы каталогов. Предусматривает-
ся также тиражирование каталога на все контроллеры домена, которые
будут включены в лес позднее.

Каталог содержит необходимую информацию о пользователях и объек-
тах данной организации. Такие свойства Active Directory, как отказоус-
тойчивость и расширяемость, позволяют использовать этот сервис в
различных приложениях, например, по учету кадров. Стандартно в
Active Directory уже определены такие атрибуты пользователя, как его
имя, фамилия, номера телефонов, название офиса, домашний адрес. Но
если понадобятся такие сведения, как зарплата сотрудника, его трудо-
вой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти
параметры можно задать дополнительно. Active Directory позволяет
'наращивать' схему, добавлять в нее новые свойства и классы на осно-
ве существующих и с наследованием их свойств.

Также можно задавать новые свойства, в том числе и существующим
классам. При этом все свойства можно разделить на обязательные и
возможные. Все обязательные свойства необходимо указывать при со-
здании объекта. Например объект 'пользователь' обязательно должен
иметь общее имя en (common name), пароль и SamAccountName (имя,
используемое для обратной совместимости с предыдущими версиями).

Возможные свойства можно и не указывать. Они лишь выполняют вспо-
могательные функции и могут быть полезны, например, для админис-
траторов или для других пользователей. Проиллюстрируем сказанное
на примере приложения по учету кадров. Всех сотрудников предприя-
тия можно условно разделить на две группы: постоянные и временные.
Для постоянных сотрудников целесообразно создать новый класс Full-
TimeEmp. В качестве возможных свойств этого класса можно добавить
в схему зарплату и семейное положение. При этом права на чтение и
изменение этих свойств будут иметь только сотрудники отдела кадров,
а на чтение - лишь сам сотрудник. Администраторы сети также не
имеют прав доступа к этим сведениям.

Понятно, что такая свобода модификации и наращивания каталога
должна опираться на мощные механизмы хранения и поиска инфор-
мации. В Active Directory таким механизмом хранения служит ESE (Exten-
sible Storage Engine) - улучшенная версия Jet-базы данных, использую-

щейся в Microsoft Exchange версий 4 и 5.х2. В новой базе может содер-
жаться до 17 терабайт данных, до 10 миллионов объектов.

Пример модификации схемы

Еще одна особенность ESE - там хранятся только реально используе-
мые значения свойств. Например, для объекта user определено по умол-
чанию порядка 50 свойств. Но если Вы описали только 4 (имя, фами-
лию, общее имя и пароль), то место для хранения будет отведено толь-
ко для этих атрибутов. По мере описания других атрибутов место для
них будет выделяться динамически.

ESE позволяет хранить свойства, имеющие несколько значений, напри-
мер, несколько телефонных номеров одного пользователя. При этом
совсем не надо создавать атрибуты каждого телефонного номера.

Подробнее о классах и атрибутах схемы, а также о том, как вносить в
нее изменения, мы поговорим в одном из следующих разделов этой
главы.

Система именований

Одна из задач службы каталогов Active Directory - обеспечить одно-
типный взгляд на сети независимо от того, сколько и каких про-
странств имен и каталогов в них используется. Вы можете включать в

2 В будущих версиях Microsoft Exchange механизм базы данных будет таким же, как и в Active Directory.

AD, а затем организовывать каталоги, независимо от их расположения
и использующих их операционных систем.

Другая важная особенность Active Directory - избыточная поддержка
нескольких стандартных систем именований. В качестве собственной
системы имен в AD применяется DNS (Domain Name System); в то же
время она может использовать LDAP или HTTP для обмена информа-
цией с приложениями или иными каталогами.

Поддержка DNS

В Active Directory объединены лучшие возможности Х.500 и сервиса
обнаружения DNS . DNS - сервис, наиболее часто используемый как в
Интернете, так и в интрасетях. Он с успехом применяется для преоб-
разования имени в IP-адрес как в масштабах Интернета, так и в неболь-
ших сетях.

DNS как поисковая служба Windows NT

Active Directory использует DNS в качестве своего поискового сервиса.
Имя домена в AD - не что иное,-как полностью определенное имя DNS.
Например, fyodor.ru может быть как доменом DNS, так и доменом
Windows NT. (Вспомните, что в предыдущих версиях Windows NT имя
домена было NetBIOS-именем.) Указывая имя FyodorZ@microsoft.com,
можно в равной степени рассматривать его и как почтовый адрес в
Интернете, и как имя пользователя в домене Windows NT. На рисунке
видно, что домены Windows NT могут размещаться в Интернете или
интрасетях так же, как и любые иные ресурсы - посредством DNS.

Традиционно DNS был присущ один недостаток - статичность базы,
что вело к необходимости обновлять данные и тиражировать измене-
ния на другие серверы DNS вручную. В Windows NT 4.0 было реализо-

вано решение, объединяющее сервис DNS с сервисом WINS и позволяв-
шее динамически обновлять базу имен. Кроме того, в состав операци-
онной системы был включен графический инструмент для админист-
рирования DNS, что позволяло легко освоить эту 'науку' даже неиску-
шенным пользователям.

'Сладкая парочка' DNS+WINS работала следующим образом. При по-
ступлении от DNS-клиента запроса на разрешение имени (например,
mydesktop.mycorp.ru) разрешение имени хоста выполнялось на серве-
ре WINS, к которому обращался сервер DNS, и которому возвращался
разрешенный IP-адрес. Такая конфигурация делала возможным исполь-
зование DHCP (Dynamic Host Configuration Protocol) для динамическо-
го назначения адресов. Хотя интеграция DNS с WINS и была времен-
ным решением, она хоть немного скрасила жизнь администраторам до
принятия стандарта на динамический DNS3.

В динамическом сервере DNS обновлением и тиражированием базы
занимается непосредственно сервер. Серверы, на которых установле-
на служба каталогов Active Directory, используют динамический DNS для
публикации самих себя в базе DNS. Если Вы уже начали применять
комбинацию WINS-DNS, то можете считать, что подготовили почву для
прозрачного перехода к динамическому DNS.

Смежные и раздельные пространства имен

В каталоге LDAP пространство имен может быть либо смежным, либо
раздельным. В первом случае имя дочернего домена всегда содержит
имя родительского домена. Например, если домен с именем DC=Finan-
се, DC=MyCorp, DC=Ru - дочерний для домена DC=MyCorp, DC=Ru, то это про-
странство смежных имен. Имя родительского домена всегда может быть
восстановлено при отбрасывании первой части дочернего имени.

В пространстве раздельных имен родительский и дочерний домены не
связаны друг с другом непосредственно. Например, хотя домен DC=Fi-
nance,DC=Ru - дочерний для домена DC=MyCorp,DC=Ru, его имя не
содержит имени родительского домена.

Смежные имена или раздельные важно при поиске. В случае примене-
ния смежных имен на контроллере домена всегда создаются ссылки
(referrals) на дочерние домены. При использовании раздельных имен
поиск останавливается и ссылки не создаются.

Одновременное использование смежных и раздельных имен делает
механизм поиска в древовидной структуре сложным для понимания.
Поэтому в Active Directory вводятся понятия деревьев и леса.

Тиражирование Active Directory

Active Directory использует тиражирование типа мульти-мастер. Как уже
упоминалось, в этой службе каталогов более не существует различий
между контроллерами доменов - они все равноправны. Изменения,
внесенные в каталог на одном контроллере, тиражируются на остальные.

Но хотя концептуально такой подход проще существовавшей в преды-
дущих версиях модели с одним главным и несколькими резервными
контроллерами домена, он требует принятия специальных мер по син-
хронизации тиражируемой информации. Тиражирование Active Direc-
tory основано не на временных интервалах, а на последовательных
номерах обновлений USN (Update Sequence Numbers). В каждом кон-
троллере домена имеется таблица, где записаны как свой собственный
номер USN, так и USN партнеров по тиражированию. При тиражирова-
нии происходит сравнение последнего известного USN партнера с тем,
который сообщается. И если сообщенный номер больше записанного,
запрашиваются все изменения у партнера по тиражированию (такой
тип тиражирования носит название запрашиваемого). После обновле-
ния данных USN на контроллере домена становится равным значению,
полученному от партнера.

Если данные одного и того же объекта изменились сразу на несколь-
ких контроллерах домена, то обновление выполняется следующим
образом.

По номеру версии. У каждого свойства свой номер версии. С по-
мощью этого номера определяется 'наиболее актуальное', то есть
имеющее наибольший номер версии, свойство. Это не всегда верное
решение, однако оно позволяет согласовывать версии без дополни-
тельных переговоров с партнером по тиражированию и гарантиру-
ет идентичность данных на всех контроллерах доменов.

По временной отметке. Если свойства имеют одинаковый номер
версии, то проверяется временная отметка, создаваемая вместе с но-
мером версии при модификации свойств. При этом предполагается,

что все контроллеры домена синхронизованы по времени. Предпоч-
тение отдается версии, созданной позднее. И опять же, это не всегда
верно, но лучше обслуживать пользователей, чем заниматься дли-
тельными переговорами относительно того, кто 'главнее'.

По размеру буфера. Если и номер версии, и временные отметки
совпадают, то выполняется сравнение в двоичном виде, причем пред-
почтение получает то свойство, которое в двоичном виде занимает
больший объем. Если размеры одинаковы, то считается, что обе вер-
сии идентичны и в расчет не принимается ни одна из них.

Давайте проиллюстрируем все сказанное на примере. Допустим, что два
администратора на разных контроллерах домена вносят изменения в
свойства группы AcctUsers. Один из них предоставил право модифика-
ции каталога FinRus, а второй - право модификации каталога FinAd-
min, но сделал это на минуту позже первого. При согласовании версий
на третьем контроллере домена будет обнаружено, что номера версий
совпадают, а время модификации на втором контроллере - более позд-
нее. Поэтому в расчет будет принято только изменение, сделанное вто-
рым администратором.

Замечание. Все операции согласования заносятся в журнал, так что
администраторы могут при необходимости восстановить прежние
значения.

Узлы и домены

Концепция узлов (sites) используется продуктами семейства Microsoft
BackOffice для минимизации графика в глобальной сети. К сожалению,
в каждом продукте эта концепция трактуется по-своему. В Windows NT 5.0
вводится еще одно новшество: концепция не оптимизирована под ка-
кое-либо определенное приложение, а предполагает в качестве осно-
вы сеть IP, для которой обеспечиваются наилучшие условия подключе-
ний. В будущем планируется, что все приложения BackOffice будут ис-
пользовать именно эту концепцию узла.

Узел с Active Directory состоит из одной или нескольких подсетей IP.
Администратор может определять эти подсети, а также добавлять к ним
новые. При этом он исходит из следующих посылок:

. оптимизация графика тиражирования между узлами по медленным
линиям;

. создание клиентам наилучших условий для быстрого обнаружения
ближайших к ним контроллеров.

Тиражирование внутри узла и между узлами осуществляется по различ-
ным топологиям. Внутри узла контроллер домена задерживает опове-
щение о сделанных изменениях на некоторый устанавливаемый про-
межуток времени (по умолчанию равный 10 минутам). В отличие от

Microsoft Exchange в Active Directory можно изменять топологию тира-
жирования внутри узла. По умолчанию это двунаправленное кольцо,
однако Вы можете полностью переопределить топологию и задать ее,
скажем, в виде звезды.

В любом случае служба каталогов будет отслеживать целостность то-
пологии, то есть ни один контроллер домена не будет исключен из
процесса тиражирования. Для этого на всех контроллерах домена ис-
полняется отдельный контрольный процесс, так называемый КСС
(Knowledge Consistency Checker). КСС восстанавливает топологию ти-
ражирования в случае нарушения.

Концепция поиска ближайшего ресурса или контроллера домена по-
зволяет сократить трафик в низкоскоростных частях глобальных сетей.
Для поиска ближайших ресурсов или контроллеров домена клиенты
могут использовать информацию об узле. Начиная вход в сеть, клиент
получает от контроллера домена имя узла, к которому принадлежит,
имя узла к которому относится контроллер домена, а также информа-
цию о том, является ли данный контроллер домена ближайшим к кли-
енту. Если это не ближайший контроллер, то клиент может обратиться
к контроллеру домена в собственном узле и в дальнейшем работать с
ним, как с ближайшим контроллером. Так как данная информация со-
храняется в реестре, клиент может ее использовать при следующем
входе в сеть.

Если пользователь перемещается со своей рабочей станцией в новое
место, то при входе в сеть станция обращается к прежнему контролле-
ру домена. Только в этом случае он уже не является ближайшим, и со-
общает клиенту информацию о ближайшем узле. Эта информация мо-
жет быть использована клиентом для доступа к DNS и определения
адреса ближайшего контроллера домена.

Добавление домена - самая простая из перечисленных операций.
Домен можно подключить к дереву во время установки контроллера до-
мена. Все что для этого нужно сделать - указать существующий в Active
Directory домен в качестве родительского. При этом между доменами
будут установлены доверительные отношения Kerberos, что позволит
новому домену присоединиться к дереву.

Удаление домена не является удалением в полном смысле этого сло-
ва - домен просто исключается из дерева. Проделать эту операцию
можно в любое время. Но предварительно следует убедиться, что у ис-
ключаемого домена нет дочерних доменов - иначе доверительные
отношения дочернего домена окажутся разорванными, и он также бу-
дет исключен из дерева.

Любой объект в каталоге Active Directory может иметь несколько имен:

общее, относительное и т. п. Единственным всегда неизменным иден-
тификатором объекта является Глобальный уникальный идентифика-
тор GU1D (Globally Unique Identifier). GUID - это многозначное число,
создаваемое контроллерами домена. Алгоритм создания идентифика-
тора не допускает дублирования. Именно этот никогда не изменяемый
идентификатор может использоваться в Active Directory для того, что-
бы свободно переименовывать домены, как и любые объекты4.

GUID также позволяет перемещать домены в дереве или в лесу. Во
время частичного тиражирования в глобальный каталог заносится под-
множество свойств объекта. В это подмножество входит и GUID. Если
объект перемещен, то глобальный каталог может использовать GUID
для поиска объекта и его отличительного имени на основе нового от-
носительного ID и LDAP-пути к новому местоположению.

4 В Windows NT 5.0 скорее всего не будет реализован механизм переименова-
ния доменов, так как разработчики столкнулись с целым рядом непредви-
денных трудностей, преодоление которых перенесено к моменту выхода
Windows NT 6.0.

Включение домена в лес не сложнее подключения к дереву доменов
и рассматривалось ранее.

Если используется сервер динамического DNS Windows NT 5.0, то при
перемещении или переименовании домена средствами администриро-
вания автоматически выполняется коррекция записей в базе DNS. При
использовании UNIX DNS-сервера создается файл, в который заносят-
ся и подлежащие удалению, и новые записи. Дополнительно в Windows
NT Workstation 5.0 автоматически изменяются настройки TCP/IP, и вно-
сится новое имя домена.

Доступ к Active Directory

Теперь, имея общее представление о том, что же такое Active Directory,
поговорим о доступе к объектам в каталоге и управлении ими. Как уже
упоминалось, в каталоге содержится информация обо всех объектах
системы: дисках, устройствах, сетевых ресурсах, пользователях, груп-
пах, доменах и т. п. Доступ к этим объектам разделен на функциональ-
ные группы, для которых созданы слепки, используемые консолью уп-
равления ММС (Microsoft Management Console). Подробно ознакомить-
ся с использованием каждого из слепков можно и в главе б и других
главах, посвященных отдельным возможностям операционной систе-
мы. А сейчас рассмотрим лишь самые общие возможности доступа к
каталогу.

Управление узлами

Конфигурируя узлы, Вы управляете топологией тиражирования. Для
доступа к информации об узлах необходимо загрузить в ММС слепок
Microsoft Site Replication Manager. Соответствующее окно примет вид,
изображенный на рисунке. Загружая этот слепок впервые, Вы увидите
один узел, указанный во время установки операционной системы и имя
своего собственного компьютера в этом узле.

Окно Microsoft Management Console - Microsoft Site Replication
Manager

Для описания узла необходимо описать входящие в него подсети. Опи-
сание подсетей выполняется в формате www, xxx. yyy. zzz/mm, где первая
часть (до косой черты) - адрес подсети, a mm - число немаскируемых
разрядов, считая от начала. Например, 155.1-1.0/22. Все маскируемые
разряды должны быть равны 0.

Чтобы добавить новый узел, подведите мышь к папкеSites в левой ча-
сти окна, щелкните ее правой кнопкой и выберите из контекстного
меню командуNew и подменюSite. В поле появившегося диалогового
окна укажите имя нового узла, включаемого в топологию тиражирования.

Схема: классы, атрибуты и их модификация

Для того, чтобы добраться до схемы, загрузите соответствующий сле-
пок ММС: в меню консоли управления выберитеConsole и дайте ко-
мандуAdd/Remove Snap-In. В появившемся окне щелкнитеAdd и в
списке доступных слепков укажитеSchema manager. Появится диало-
говое окноMicrosoft Management Console.

Окно ММС с загруженным слепком Schema Manager

В правой части окна перечислены все классы ^атрибуты схемы. Каж-
дый класс в схеме представлен объектом, его определяющим. Объекты
являются экземплярами класса Class Schema.

Каждый атрибут в схеме также представлен объектом, определяющим
этот атрибут. Объекты являются экземплярами класса Attribute Schema
и могут иметь атрибуты, перечисленные в Приложении В. Атрибуты
могут содержать данные, тип которых определяется синтаксисом. Для
каждого атрибута возможен только один синтаксис, например, Integer,

String, BOOL. Синтаксисы в Active Directory определены Microsoft и не
могут быть изменены, также невозможно добавлять новые. Синтакси-
сы не представлены никакими объектами в каталоге. Создавая новый
атрибут, необходимо определить его синтаксис.

Некоторые характеристики объектов, определяющих классы, содержат-
ся в парных атрибутах. Значения одного атрибута пары может быть
изменено администратором, а другого - нет. Если имя атрибута начи-
нается со слова System, то администраторы не могут его изменять. Это
сделано с целью защиты системы и обеспечения ее работоспособнос-
ти. Любопытно отметить, что это правило распространяется и на те
классы, которые создали Вы сами. При создании класса можно назна-
чить начальные значения атрибутов, но дальнейшая модификация си-
стемных атрибутов невозможна.

Прежде чем добавлять или изменять классы, необходимо выполнить две
процедуры: во-первых, внести в реестр дополнительное значение, от-
сутствующее там по умолчанию; а во-вторых, - убедиться, что Ваш
компьютер будет распознан остальными контроллерами домена как
единственный, на котором допускается модификация схемы.

Итак, в реестре надо выполнить следующее добавление:

Ветвь HKEY_LOCAL_MACHINE

Ключ System\CurrentControlSet\Services\NTDS\Parameters
Имя Schema Update Allowed
Тип DWORD
Значение Любое целое положительное число

Целостность каталога требует, чтобы изменения вносились только на
одном компьютере в каждый момент времени с последующим тиражи-
рованием их на другие контроллеры домена. В противном случае воз-
можен конфликт между изменениями. Для предотвращения подобных
конфликтов вводится понятие мастер схемы, обозначающее именно
тот контроллер, на котором, и только на котором, возможна модифи-
кация схемы. В принципе, таковым может быть назначен любой кон-
троллер в домене, но по умолчанию мастером схемы становится пер-
вый установленный контроллер домена. Процесс определения того,
какой из компьютеров может выступать в этой роли называется опера-
цией единственного плавающего мастера (floating single master opera-
tion). Текущий мастер схемы отличается значением атрибута FSMO-
Role-Owner для контейнера схемы (CN=schema, CN=configu ration, DC=...).

Если Ваш компьютер - единственный контроллер домена, то масте-
ром схемы является именно он. Если в домене несколько контролле-
ров, Вы можете принудительно потребовать от нужного контроллера
стать мастером. Для этого к корневому DSE (объект с пустым DN) до-
бавьте атрибут becomeSchemaMaster равный 1. Сервер пошлет текущему
мастеру запрос на смену мастера и тот изменит атрибут FSMO-Role-
Owner на имя контроллера, запросившего эту операцию, после чего

передаст ему новое значение атрибута, а также перешлет на новый
мастер сделанные ранее, и, возможно, оставшиеся незамеченными, из-
менения. Тот примет эти изменения и станет новым мастером схемы.

Active Directory поддерживает кэш схемы, повышающий быстродей-
ствие приложений, часто обращающихся к каталогу. Кэш схемы явля-
ется представлением классов и атрибутов схемы в оперативной памя-
ти компьютера. Кэш загружается в память во время загрузки операци-
онной системы. При внесении изменений в схему кэш, спустя некото-
рое время, автоматически обновляется.

Заключение

Служба каталогов Active Directory, сочетающая в себе открытые стан-
дарты, простоту администрирования, глобальный каталог, возможность
наращивания, средства тиражирования, распределенную систему безо-
пасности и полную обратную совместимость с предыдущей службой
каталогов - идеальная платформа для построения сетей для крупных
предприятий и организаций, а также гетерогенных сетей.

Эта служба каталогов, использующая лучшие из стандартов имен DNS
и Х.500, LDAP, иные протоколы и богатый набор API, предоставляет гро-
мадные возможности совместимости с другими системами. Active Direc-
tory позволяет из одной точки управлять всеми ресурсами сети: файла-
ми, периферийными устройствами, подключениями к хостам, базами
данных, доступом к Web, пользователями, любыми произвольными объ-
ектами, сервисами и сетевыми ресурсами. Поддерживаемый в ней
иерархичный взгляд на систему, удобные средства администрирования
и мощные механизмы поиска позволяют значительно снизить админи-
стративные затраты.

Таким образом, можно сделать вывод: появление Active Directory сни-
мет последние ограничения на использование Windows NT в больших
организационных структурах.

Список использованной литературы:

Безопасность сети на основе Microsoft® Windows 2000. Учебный курс MSCE.2001//Москва//«Русская Редакция».

В. Олифер Н. Олифер. Сетевые операционные системы.2003//С. Петербург//Питер.

Подход профессионала Автор: Зубанов Ф. В. Год издания: 01.01.2002

Грег Тодд. Windows 2000 Datacenter Server //по материалам сайта http: www.citforum.ru

http://www.5ballov.ru

http://www.xserver.ru