Directory Services
Az Active Directory valószínűleg ma a leggyakoribb és legnépszerűbb címtárszolgáltatás. Úgy döntöttünk, hogy visszalépünk egy kicsit az AD-ről szóló anyag bemutatásának szokásos formájából, és egyszerű, érthető nyelven beszélünk meglehetősen bonyolult dolgokról, szándékosan leegyszerűsítve néhány pontot. A kezdeti szakaszban sokkal fontosabb, hogy a tantárgy szilárd gondolata legyen, és elmélyítse tudását ezen az alapon, mint megpróbálni megérteni az érthetetlen dolgok rendjét.
Active Directory - komplex szoftver termék, amely megfelel az igényeinek mind a kisvállalkozások és a nagyvállalatok, és látszólag könnyedén fejlesztési ne hozzon létre egy hamis benyomást kelti, hogy a termék korlátozni lehet a tanulmány „művelt tét”, és megoldani a felmerülő problémák, mint megérkeznek.
Igen, AD alacsony belépési korlát, így fél óra alatt Next -> Next -> Finish így elég hatékony eredményeket anélkül, hogy speciális tudást ezen a területen. Számos anyag kezdők számára világos gyakorlati oldala AD telepítés, figyelmen kívül hagyva a sokkal gyakoribb és nehéz dolgokat, akkor nem feltétlenül ebben a szakaszban. Talán ez így van, a rendszergazda egy kis cég nem érdekli az erdők és a domain fák, de a növekedés az IT-infrastruktúra, ezek a kérdések napirendre, és lesz az aktuális könyvtár séma épül elve „amit én látok, hogy énekelek,” nem teszi lehetővé "kisvér" a szükséges változtatások elvégzéséhez, és néhány esetben könnyebb új infrastruktúrát létrehozni.
Ezért úgy gondoljuk, hogy az AD szerkezetét meg kell adni a legtöbb figyelmet, és már figyelembe véve a megszerzett tudást a megközelítés, mert látta a teljes képet könyvtár szolgáltatás tervezése a cég lesz a sűrű erdő nem annyira, és a sűrű, és a döntés során figyelembe veszi mind a jelenlegi és a jövőbeli kihívások megértését, hogy miért, és mit kell tenni ilyen módon, és nem másként.
Leggyakrabban ugyanazon szervezeten belül csak egy erdő, ami áramköröket több erdő lehet szükség, ha egy részét a cég olyan szervezetekből alacsony bizalmi szint egymás között, valamint teljesen más tevékenységek, amelyek mindegyike a IT-személyzet és az infrastruktúra. Ez lehetővé teszi, hogy megbízhatóan elszigeteljük a szervezeteket egymástól, így a cselekvés szabadsága mindegyikükön belül marad.
A könyvtárszerkezet alapja a domain, ez az adminisztratív egység, amelyben szabályai és szabályai működnek, a tartomány a biztonság és a replikáció egy másik határa. Ha az erdő határát összehasonlíthatjuk az állami határokkal, akkor a tartomány határai a közigazgatási egységek határait jelentik, bármely tartomány bármely felhasználója hozzáférhet egy másik domain objektumához, ha persze jogosult erre. A replikáció (a tartományvezérlők közötti könyvtárszinkronizálás) szintén korlátozott a domain határokon, ami azt jelenti, hogy a domain objektumainak rekordjai csak a bennük tárolódnak, és nem lesznek elérhetők egy másik tartomány rendszergazdájához. Ez lehetővé teszi az informatikai személyzet hatáskörének megkülönböztetését: minden részleg felelős a domainjét illetően, és az egyik tartomány adminisztrátorának hibái nem vezetnek a teljes hálózat meghibásodásához.
Tekintsük az AD hipotetikus szervezetének rendjét. Először is, amikor a cég kicsi volt az erdőben, csak egy domain.org domain létezett. amely tartalmazza a vállalkozás összes tárgyát: felhasználók, csoportok, kiszolgálók, számítógépek, erőforrások.
Fokozatosan a vállalat fejlődik, és szükségessé válik a regionális egységek különválasztása, azaz az orosz és az ukrán, a jelenlegi egység adminisztratív feladatokat lát el és külön kezelendő is. Nem probléma, két további tartományt hozunk létre: ru.domain.org és ua.domain.org. amelyek közös névtérrel rendelkeznek a gyökérdoménnel, az eredményül kapott rendszert domainfának nevezik. Másfelől a regionális tartományok névterében domaineket hozhat létre kisebb egységekhez, például a spb.ru.domain.org címre.
Mi adja az egységek külön területeken való elosztását? Először is, a biztonság, a felhasználók csak férhetnek hozzá a forrásokat saját domain felhasználói fiókok vannak tárolva csak a „saját” vezérlő, a rendszergazdák megadhatnak irányelveket, tekintet nélkül más osztályok és részlegek, és ugyanabban az időben, félelem nélkül, hogy a sikertelen kísérletek más IT-részleg a hálózat működésképtelenségéhez.
Idővel egy nem alapvető üzleti egység jelenik meg a szervezetben, például egy szállító cég vagy egy technikai támogató szolgáltatás, amely mind a vállalati, mind a harmadik fél ügyfeleit szolgálja. Különálló domaint hoz létre egy külön office.com névtérben. Hasonlóképpen, az adott részfelosztás egy bizonyos strukturális egységet különálló tartományba különíthetjük el, például az ou.office.com webhelyre. Ily módon létrehozzunk egy új tartományfát az aktuális erdőben.
Miért új fa? Egyszerűen így kényelmesebb, más típusú tevékenység, a többi névtér. Mint már említettük, az erdőben lévő domain helyzete nem érinti a beállításokat és a kölcsönhatást más domainekkel, így egy elágazó domainfa vagy több különálló kérelem szigorúan szervezeti, általában a fa szerkezete megismétli a vállalat szerkezetét.
Miután foglalkozott domainekkel, lépjünk át globálisbb dolgokra, nevezetesen a globális katalógusra. A globális katalógus célja olyan lekérdezések kezelése, amelyeket a tartományvezérlő nem ismernek, például ha egy másik tartomány forrásaihoz vagy univerzális erőforrásokhoz fér hozzá. A globális katalógus tartalmazza a domain objektumainak teljes példányát és az összes többi domain objektumának részleges másolatát, amely az objektumok attribútumait tartalmazza a globális katalógusban, az AD sémája határozza meg.
A globális katalógus egyik fő funkciója az objektumok keresése, lehetővé téve, hogy gyorsan és minimális forgalom mellett keressen az erdőben. Például a Ivanov Iván felhasználója az office.com tartományból keres a sales1 számítógéphez, amely az ua.domain.org domainben található. a normál keresés során szükségessé vált a tartományvezérlők egymás után történő lekérdezése, amíg az egyik nem adta vissza a szükséges információkat, valójában elegendő egy kérelem a globális katalógushoz.
A globális katalógus második szerepe a felhasználó azonosítása bejelentkezéskor, ha a tartományvezérlőnek nincsenek fiókadatai, például ha fizikailag bejelentkezik egy másik tartományból. Valóban globális katalógus használható, ha bármely felhasználó bejelentkezik a domainre, és ha nem áll rendelkezésre, a bevitel nem lesz lehetséges.
Miért? Mivel a globális katalógus az egyetemes csoportokra vonatkozó információkat tárol, amelyek magukban foglalhatnak minden olyan erdészeti fiókot és jogosultságot, amely bármely tartományhoz rendelhető. Ez olyan szolgáltatások üzemeltetéséhez fontos, mint az Exchange, amely, ha a globális katalógus kudarcot vall, egyszerűen leáll. Globális könyvtár lehet bármilyen tartományvezérlő vagy több, ajánlott, hogy legalább egy globális könyvtár minden tartomány, akkor csökkentheti a forgalmat a domainek között, és növeli a hiba tolerancia autonómia domain (hiányzó láncszem meghibásodott szerver, stb, stb )
A globális katalógus mellett a mesterek (tulajdonosok) a műveleteknek is nevezhetők. amelyek nyomon követik a kritikus AD objektumok egyediségét. Például egyszerre két rendszergazda dönti el, hogy azonos nevű domaineket hoz létre vagy módosítja a rendszert. Ezért minden erdőben csak egy vezérlő van a művelet tulajdonosa szerepével, és ha nem elérhető, a megfelelő műveletek lehetetlenek lesznek. Összesen öt FSMO (flexibilis egymester művelet) szerepkör van: kettő az erdőhöz és három minden domainhez, most nem részletezzük őket részletesen, ez egy külön cikk tárgya, csak röviden felsorolják az általuk ellátott funkciókat:
A tartománynevezési mester és a sémamester egy egész erdőre vonatkozik, a többi FSMO-szerepkör pedig minden domainhez tartozik. Az FSMO szerepkörének elmulasztása nem vezet a tartomány működésképtelenségéhez, de számos műveletet lehetetlen végrehajtani, sőt, a domain átvitele az "olvasásra" módba.
Ez a mai történetünk eredménye. Annak ellenére, hogy a téma rendkívül kiterjedt, elegendő megérteni az adott tudás szerkezetét, és véleményünk szerint nem szükséges túlzottan bonyolítani a kezdeti modellt. További részletek az AD elemeiről, majd később fogunk beszélni, amikor megfontoljuk a konkrét megoldásokat.