Самоучитель
системного администратора

4.1. Служба каталогов

Информационные системы обычно создаются для организаций, обладающих четкой структурой. При реализации тех или иных бизнес-действий в обязательном порядке должны учитываться права пользователей, их подчиненность и т. п. Поэтому структура компьютерной информационной системы, как правило, должна создаваться по образу и подобию организационной структуры предприятия.

Средством описания такой структуры являются каталоги. Фактически каталоги — это базы данных. Объектами такой базы данных являются пользователи, компьютеры, подразделения, территории, предприятия и т. п. Каждый объект описывается многими характеристиками — свойствами. Например, у пользователя это имя, фамилия, группа, в которую он входит, время действия учетной записи, допустимые часы работы в компьютерной сети, адрес электронной почты и т. п. Работа с такими объектами осуществляется с учетом прав доступа (кто может создать нового пользователя, кому разрешено перевести его в другую штатную структуру и т. п.), сами операции специфичны для каждого объекта. Набор объектов, их атрибутов (свойств) и методов (допустимых операций) принято называть схемой каталога.

Стандарты позволяют создавать структуру каталога так, чтобы наиболее полно удовлетворить потребности каждого конкретного случая. Существуют каталоги разработки различных фирм. Но все каталоги поддерживают единые правила взаимодействия с ними. Это протокол LDAP (Lightweight Directory Access Protocol, протокол облегченного доступа к каталогам).

Применяя любую утилиту, которая реализует протокол LDAP, пользователь (программа) может соединиться с каталогом и, используя предоставленные права, запросить или записать информацию, выполнить другие допустимые операции. При этом изменения, вносимые в каталог, могут привести к существенной перестройке всей структуры компьютерной сети. Так, перемещение одного объекта Подразделение может привести к изменению десятков и сотен характеристик подчиненных объектов (вложенных подразделений, компьютеров, пользователей).

Служба каталогов Windows (Active Directory)

Описанный ранее каталог реализован в Windows (начиная с Windows 2000) как служба каталогов (Active Directory, AD). Служба каталогов Windows имеет в своей структуре такие единицы, как:

  • лес;
  • дерево;
  • домен;
  • организационное подразделение (Organization Unit, OU);
  • сайты.

Хотя многие методы управления сетью в Windows базируются на службе каталогов (например, групповые политики), все же существенная часть операций унаследована исторически. Например, группы безопасности существуют отдельно от подразделений. И если вы меняете членство пользователя в подразделении, то для последующей коррекции его прав доступа необходимо дополнительно вручную изменить группу безопасности, в которую входит пользователь.

Служба каталогов хранит много информации, которая может быть полезной администратору, но не доступна явно в графических средствах управления. Оснастка Active Directory (AD) включает возможность поиска по службе каталогов. Например, можно найти рабочие станции, установленные средствами разворачивания образов, или пользователей, для которых установлен неограниченный срок действия пароля, и т. п. Каждый раз составлять заново строку поиска1 неудобно, проще сохранить часто используемые запросы в самой оснастке и вызывать их по названию. На рис. 4.4 показан пример оснастки с сохраненными запросами (в примере — запрос по системам, развернутым средствами централизованной установки).

Рис. 4.4.
Сохраненные поисковые запросы оснастки службы каталогов

Домены Windows

Исторически иерархические сети на основе Windows создавались на базе доменов.

В локальных сетях на базе Windows понятие "домен" используется для обозначения совокупности пользователей и компьютеров, объединенных общими правилами безопасности (централизованная регистрация нового пользователя, единые правила доступа к совместно используемым ресурсам, единые требования по ограничениям времени работы в сети и т. п.). Единая политика безопасности в доменах Windows обеспечивается специально выделенными компьютерами сети — контроллерами домена.

    Примечание

    Не следует путать термины "домен Windows" и "домен Интернета". Хотя внешне доменная структура Windows и строится аналогично системе имен Интернета, но, говоря о домене Windows, в первую очередь имеют в виду не единую систему имен, а единую политику управления и безопасности.

В одной организации может существовать несколько доменов. Это могут быть как вложенные домены, так и домены с различными пространствами имен.

    Примечание

    Пространство имен — это совокупность уникальных имен. В данном пространстве имен по конкретному имени однозначно может быть определен соответствующий ему объект. Типичный пример — структура DNS (Domain Name System, система доменных имен). Например, в пространстве имен различных доменов могут существовать компьютеры с одинаковым именем хоста: test.primer.org и test.primer2.org. Однако в пространстве имен NetBIOS одинаковых наименований компьютеров быть не может. Поэтому при объединении таких компьютеров в единую локальную сеть вам необходимо будет дать им различающиеся NetBIOS-имена.

Наличие в одной организации доменов с отличающимися именами характерно для транснациональных организаций. Например, головное предприятие может иметь домен testorg.ru, а его подразделение в другой стране — testorg.cs.

В то же время создание вложенных доменов не имеет особого смысла при проектировании информационной структуры предприятия. Подобная структура оправдана только для доменов Windows 2003 в том случае, если для некоторого подразделения необходима иная политика паролей учетных записей (например, более строгие требования к составу пароля, наличие блокировок и т. п.; в Windows 2008 свойства паролей стали полностью управляться групповой политикой). Все другие настройки могут быть выполнены политиками подразделений.

Подразделение

Домены Windows (начиная с версии Windows 2000) могут содержать подразделения (Organization Unit, OU). OU — это своеобразный контейнер, в который можно помещать как компьютеры, так и пользователей (очевидно, что речь идет о соответствующих логических объектах).

Основная причина создания OU для администраторов системы — это возможность применения к объектам OU групповых политик (см. главу 5). Повторюсь, что групповые политики — это основное средство управления компьютерной сетью. С их помощью можно автоматически устанавливать на заданные компьютеры программное обеспечение, выполнять настройку прикладных программ, менять параметры безопасности сегмента сети, разрешать или запрещать запуск конкретных программ и т. п.

Каждое OU может, в свою очередь, содержать внутри себя любое количество вложенных OU, учетные записи компьютеров и пользователей, группы (пользователей). Если попробовать изобразить графически такую структуру — домен с несколькими вложенными доменами со структурой OU, пользователями и компьютерами, то такой рисунок будет напоминать дерево с вершиной, ветвями, листьями. Этот термин и сохранен для описания такой структуры.

    Примечание

    Обратите внимание, что при удалении OU будут удалены и содержащиеся в нем объекты (например, учетные записи компьютеров — компьютеры уже не будут членами домена).

Лес

Если на одном предприятии существуют несколько доменов с различными пространствами имен (например, testorg.ru и testorg.cs), то представленная графически такая структура будет напоминать лес. Лес — это коллекция (одного или более) доменов Windows 200х, объединенных общей схемой, конфигурацией и двусторонними транзитивными доверительными отношениями.

Обратите внимание, что деревья в таком лесу не самостоятельны. Все эти деревья создаются внутри одной организации и управляются централизованно администраторами предприятия. Говоря терминами логической организации сети, между любыми доменами внутри предприятия существуют доверительные двусторонние отношения.

Практически это означает, что администратор предприятия является "начальником" администратора любого домена, а пользователь, прошедший аутентификацию в одном домене, уже "известен" в другом домене предприятия.

    Примечание

    Многие администраторы доменов в структуре леса заблуждаются, считая что только они могут управлять безопасностью объектов. Даже если они явно запретили доступ каким-либо пользователям, то владелец корневого домена (леса) Windows всегда имеет возможность получить доступ к объектам и назначить собственные права. Иными словами, в сети с централизованным управлением необходимо полностью доверять тем администраторам, которым принадлежат корневые права.

Сайты

Если домены и OU описывают логическую организацию, то сайты (Sites) предназначены для описания территориальных делений. Считается, что внутри одного сайта присутствуют скоростные каналы связи (обычно компьютеры сайта находятся в одном сегменте локальной сети). А различные сайты связаны друг с другом относительно медленными каналами связи. Поэтому между ними создаются специальные механизмы репликации данных. Например, можно задать график репликации (использовать периоды наименьшей загрузки каналов связи), выбрать используемый протокол (IP или путем приема/передачи сообщений по протоколу SMTP) и т. п.

Соотношение территориальной и логической структуры выбирается из конкретной конфигурации предприятия. Например, можно создать несколько сайтов в одном домене или сформировать в каждом сайте свой домен и т. п.

    Примечание

    Поскольку алгоритм выбора контроллера домена рабочей станцией использует структуру сайтов, то создание дополнительных сайтов может быть способом балансировки нагрузки между контроллерами домена.

Режимы совместимости доменов и леса

Домены Windows могут обслуживаться контроллерами на базе операционных систем Windows NT 4.0 Server или Windows 200х. Более новая операционная система обеспечивает большие возможности в управлении доменами и большую безопасность. Однако в целях обратной совместимости домены Windows могут работать в различных режимах (mode). Если в вашей сети нет контроллеров на базе предыдущих версий ОС, то следует перевести домен в режим наибольшей безопасности.

Данная операция доступна в свойствах домена в оснастке управления, а для леса — в соответствующей оснастке управления сайтами и службами (в свойствах соответствующего объекта).

DN, RDN

Для успешной работы с каталогами необходимо ориентироваться в терминах DN (Distinguished Name, отличительное имя) и RDN (Relative Distinguished Name, относительное отличительное имя).

Объекты каталога хранятся в иерархической структуре. Условно можно сравнить такую структуру со структурой файловой системы. Есть корневой каталог, есть вложенные в него каталоги, в них, в свою очередь, могут храниться как сами файлы, так и другие папки. В этой аналогии термин DN подобен полному пути имени файла. В DN приводится полный путь к объекту, начиная с самой "верхней" точки иерархии каталога.

RDN подобен относительному пути к файлу. Это может быть только само имя файла (обычный RDN) или относительный путь (многоатрибутный RDN). Например, в организации может быть заведен пользователь Иванов. Если в организации в разных отделах работают два Иванова, то только по фамилии невозможно будет определить конкретного работника. Но если использовать многоатрибутный RDN, состоящий, например, из фамилии и названия отдела, то работник будет обозначен точно:


1Например, даже простой поиск сотрудников, которым разрешен удаленный доступ в сеть, требует ввода запроса (&(&(objectdass=person)(msNPAUowDiaHn=TRUE))).


Рейтинг@Mail.ru