Подключение к контроллерам домена, работающим под управлением Windows 2000

При возникновении необходимости в подключении к контроллеру домена, работающему под управлением Windows 2000 с контроллера домена, работающего под управлением Windows Server 2003 можно использовать ряд средств администрирования, в том числе оснастку «Active Directory - домены и доверие».

По умолчанию следующие средства администрирования Active Directory Windows Server 2003 подписывают и шифруют весь трафик LDAP.

• оснастка «Active Directory – пользователи и компьютеры»;
• оснастка «Active Directory – сайты и службы»;
• оснастка «Active Directory – домены и доверие»;
• оснастка «Схема Active Directory»;
• оснастка «Редактирование ADSI»;
• программа Dsrm.exe;
• программа Dsmove.exe;
• программа Dsadd.exe;
• программа Dsmod.exe;
• программа Dsget.exe;
• программа Dsquery.exe.

Подписывание трафика LDAP гарантирует, что все упакованные данные получены из известного источника и что они не были подменены. Средства администрирования Active Directory в Windows 2000 по умолчанию не подписывают и не шифруют весь трафик LDAP. Для обеспечения безопасности сети настоятельно рекомендуется установить на все контроллеры домена, работающие под управлением Windows 2000, пакет обновления 3 или более поздний.

Для управления контроллерами домена Windows 2000, на которые не установлен пакет обновления 3 или более поздний, можно использовать соответствующие средства администрирования Active Directory из Windows 2000. Однако на контроллерах домена, работающих под управлением Windows 2000, трафик LDAP не подписывается и не шифруется.

Хотя это не рекомендуется, можно отключить шифрование и подписывание трафика LDAP для средств администрирования Active Directory на сервере, работающем под управлением Windows, либо на компьютере, который работает под управлением Windows XP Professional. и на котором установлен пакет средств администрирования Windows Server 2003. Дополнительные сведения см. в разделе Отключение подписывания или шифрования трафика LDAP.

 

 

Домены

Домены

Домены — это единицы репликации. Все контроллеры домена в конкретном домене могут получать изменения и реплицировать эти изменения на все остальные контроллеры домена в домене. Каждый домен в Active Directory определяется DNS-именем домена и требует один или несколько контроллеров домена. Если в сети должно быть более одного домена, можно просто создать несколько доменов.

Один или несколько доменов, совместно использующих общую схему и глобальный каталог, называются лесом. Первый домен в лесу называется корневым доменом леса. Дополнительные сведения о лесах см. в разделе Создание нового леса. Если несколько доменов в лесу имеют связанные DNS-имена домена, то такая структура называется деревом домена. Дополнительные сведения см. в разделах Именование в Active Directory и Создание нового дерева доменов.

Один домен может занимать несколько физических размещений, или сайтов, и может содержать миллионы объектов. Структура сайта и структура домена являются самостоятельными и гибкими. Один домен может занимать несколько географических сайтов, а один сайт может включать пользователей и компьютеры, принадлежащие к нескольким доменам. Дополнительные сведения см. в разделе Общие сведения о сайтах.

Домен предоставляет ряд преимуществ:

• Упорядочение объектов
  
  Чтобы отразить структуру отделов и подразделений организации не требуется создавать для каждого из них отдельный домен. В домене для этой цели можно использовать подразделения. Использование подразделений помогает управлять учетными записями и ресурсами в домене. Затем можно назначить настройки групповой политики и разместить пользователей, группы и компьютеры в подразделениях. Использование единого домена значительно упрощает администрирование. Дополнительные сведения см. в разделе Подразделения.
• Публикация ресурсов и сведений об объектах домена
  
  В домене хранятся только сведения об объектах, расположенных в данном домене, поэтому путем создания нескольких доменов можно делить каталог для лучшего обслуживания различных пользовательских баз. При использовании нескольких доменов можно масштабировать службу каталогов Active Directory для оптимального соответствия требованиям администрирования и публикации каталогов. Дополнительные сведения см. в разделе Публикация ресурсов.
• Применение объекта групповой политики к домену объединяет управление ресурсами и безопасностью
  
  Домен определяет область или единицу применения политики. Объект групповой политики устанавливает способ доступа к ресурсам домена, способ настройки и использования ресурсов домена. Эти политики применяются только внутри домена, а не через домены. Дополнительные сведения о применении объектов групповой политики см. в разделе Групповая политика (до консоли управления групповой политикой).
• Делегирование полномочий устраняет необходимость большого числа администраторов с широкими административными полномочиями
  
  Использование делегируемых полномочий в сочетании с объектами групповой политики и принадлежностями к группам дает возможность назначать права и разрешения администратора для управления объектами во всем домене или в одном или нескольких подразделениях домена. Дополнительные сведения о делегировании административного управления см. в разделе Делегирование администрирования.
• Политики и параметры безопасности (такие как политики прав и пароля пользователя) не переходят от одного домена к другому
  
  Каждый домен имеет собственные политики безопасности и доверительные отношения с другими доменами. Однако, лес является последним рубежом безопасности. Дополнительные сведения см. в разделе Создание нового леса.
• Каждый домен хранит только сведения об объектах, расположенных в данном домене
  
  Разделяя каталог таким образом, служба Active Directory может обеспечивать масштабируемость для очень большого количества объектов.

Создание домена

Чтобы создать домен, создайте для него первый контроллер домена. Для этого установите Active Directory на рядовой сервер, работающий под управлением Windows Server 2003, используя мастер установки Active Directory. Мастер использует предоставляемые сведения для создания контроллера домена и создает домен внутри существующей структуры домена данной организации. В зависимости от существующей структуры домена новый домен может быть первым доменом в новом лесу, первым доменом в новом дереве доменов или дочерним доменом существующего дерева доменов. Дополнительные сведения см. в разделах Создание нового леса, Создание нового дерева доменов и Создание нового дочернего домена.

Контроллер домена предоставляет службу каталогов Active Directory пользователям и компьютерам сети, хранит данные каталога и управляет взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Каждый домен должен содержать по крайней мере один контроллер домена. Дополнительные сведения см. в разделе Контроллеры домена.

После создания первого контроллера домена можно создать дополнительные контроллеры домена в существующем домене, чтобы повысить отказоустойчивость и доступность каталога. Дополнительные сведения см. в разделе Создание дополнительного контроллера домена.

Планирование нескольких доменов

Несколько оснований для создания более одного домена:

• различные требования к паролям между отделами или подразделениями;
• огромное количество объектов;
• децентрализованное администрирование сети;
• усиленное управление репликацией.

Несмотря на то, что использование единого домена для всей сети имеет ряд преимуществ, чтобы удовлетворить дополнительные требования к масштабируемости, безопасности или репликации можно рассмотреть возможность создания одного или более доменов для организации. Общее представление о репликации данных каталога между контроллерами домена поможет спланировать количество доменов, необходимых в конкретной организации. Дополнительные сведения о репликации см. в разделе Как работает репликация.

Удаление домена

Для удаления домена необходимо в первую очередь удалить Active Directory со всех контроллеров домена, связанных с этим доменом. Как только Active Directory будет удалена с последнего контроллера домена, домен будет удален из леса и все сведения, хранящиеся в этом домене, также будут удалены. Домен может быть удален из леса, только если он не имеет дочерних доменов. Если это последний домен в лесу, удаление этого домена повлечет за собой удаление леса.

Дополнительные сведения об удалении домена см. в разделе Удаление домена.

Внимание!

• Удаление домена приводит к необратимой потере всех данных, содержавшихся в этом домене. Это относится ко всем учетным записям пользователей, групп и компьютеров.

Перед удалением Active Directory с контроллера домена необходимо сначала удалить все разделы каталога приложений с этого контроллера домена. Дополнительные сведения см. в разделах Разделы каталога приложений и Создание или удаление раздела каталога приложений.