Билет. Логическая и физическая структура ActiveDirectory.

ActiveDirectoryпредоставляет способ для разработки структуры каталога в зависимости от потребностей вашей организации. При описании каталога ActiveDirectory использует две структуры:

Физическая структура ActiveDirectory представляет собой файл, расположенный на жестком диске каждого контроллера домена, который содержит эту службу.

Логическая структура ActiveDirectory представляет собой контейнеры, содержащие объекты службы каталога.

Логическая структура образуется за счет группирования ресурсов и позволяет искать ресурсы по именам, а не физическому расположению. База данных ActiveDirectory содержит следующие структурные объекты:

разделы;

*домены;

*деревья доменов;

*леса;

*сайты;

*организационные единицы.

Пространство имен

Как и любая служба каталогов, ActiveDirectory в первую очередь является пространством имен. Пространство имен (namespace) - это любая ограниченная область, где возможно разрешение имени. Разрешение имени (nameresolution) - это процесс сопоставления имени некоторому объекту или информации, которую оно представляет. Пространство имен ActiveDirectory основано на схеме именования DNS, обеспечивающей взаимодействие с Интернетом. Объект (object) - это отличительный набор именованных атрибутов, описывающих ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя включают его фамилию, имя, отдел, адрес электронной почты.

Набор атрибутов объекта определяется классом (class) объекта. Классы объектов и их атрибуты определены в схеме ActiveDirectory.

Кроме того, выделяют контейнерные объекты (containerobjects), они могут содержать в себе другие объекты. Например, организационная единица и домен - контейнерные объекты.

Организационное подразделение (organizationalunit) - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена. Организационные единицы могут содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры и т. п. Иерархия организационных единиц домена не зависит от других доменов - каждый домен может поддерживать свою собственную иерархию.

Домен (domain) - основная единица логической структуры в ActiveDirectory. Домен ActiveDirectory является прямым аналогом домена Windows NT и предназначен для логической группировки компьютеров. Обычно группировка осуществляется по подразделениям организации, что позволяет одновременно упростить обмен данными внутри подразделения и защитить данные от изменения сотрудниками из других подразделений.

Физическая структура ActiveDirectory- это совокупность мер, направленных на управление репликацией между контроллерами доменов ActiveDirectory. Обычно физическая структура ActiveDirectory соответствует структуре IP-сетей организации.

Контроллер домена (domaincontroller) - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена). Все контроллеры домена имеют полную базу данных домена. При внесении изменений в данные каталога они фиксируются в локальной БД на контроллере домена, после чего реплицируются на другие контроллеры. Изменение некоторых критичных атрибутов (допустим, пароля пользователя) реплицируются незамедлительно.

IP-сеть - это описание некоторой IP-сети, являющейся частью сайта ActiveDirectory. Обычно IP-сети ActiveDirectory соответствуют IP-сетям, используемым в локальной сети организации.

Сайт (site) - это совокупность одной или нескольких IP-сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах. Сайты предназначены для управления репликацией между сетями, соединенными каналами связи с низкой пропускной способностью.

Правила именования.

Каждый объект в хранилище ActiveDirectory идентифицируется по имени. Для обращения к объектам используются разные правила именования:

составные имена (distinguishedname, DN);

относительные составные имена (relativedistinguishedname, RDN);

глобально уникальные идентификаторы (globallyuniqueidentifier, GUID);

основные имена пользователей (userprincipalname, UPN).

Так как ActiveDirectory является LDAP-совместимой службой каталога, то все обращения к объектам в каталоге осуществляются по протоколу LDAP.