Active Directory este probabil cel mai comun și popular serviciu de directoare de astăzi. Am decis să ne întoarcem puțin din formatul obișnuit al prezentării materialului despre AD și să spunem în limbaj simplu, ușor de înțeles despre lucruri destul de complicate, simplificând deliberat unele puncte. În stadiul inițial este mult mai important să ai o idee solidă asupra subiectului și să îți aprofundezi cunoștințele pe această bază decât să încerci să înțelegi mizeria lucrurilor de neînțeles.
Active Directory - un produs software complex care poate satisface nevoile atât pentru întreprinderi mici și mari corporații și ușurința aparentă de dezvoltare nu ar trebui să creeze o impresie falsă că produsul este posibil să se limiteze studiul „pariu educat“ și pentru a rezolva problemele care apar pe măsură ce sosesc.
Da, AD are o barieră joasă de intrare, permițând o jumătate de oră de Next -> Next -> Finish pentru a obține rezultate destul de eficiente, fără cunoștințe speciale în acest domeniu. Multe materiale pentru începători este de implementare ușoară practică din partea AD, ignorând cele mai comune si dificile lucruri, aceasta nu este necesar în această etapă. Poate că acest lucru este atât, administratorul unei firme mici nu-i pasă de păduri și copaci de domeniu, dar cu creșterea infrastructură IT, aceste probleme apar pe ordinea de zi și va fi actuala schema de director, construit pe principiul „ceea ce văd, că eu cânt,“ nu permite „puțin sânge“ pentru a face modificările necesare și pentru a crea infrastructura este mai ușor, în unele cazuri, din nou.
Prin urmare, considerăm că structura AD ar trebui să se acorde cea mai mare atenție și este deja luând în considerare cunoștințele dobândite la abordare, pentru că văzând proiectare întregul serviciu director de imagine în compania dumneavoastră va fi acea pădure deasă nu este atât de mult, și dens, iar deciziile se vor lua în considerare atât curent și provocări viitoare pentru a înțelege de ce și ce trebuie făcut în acest fel și nu altfel.
Cel mai adesea în cadrul aceleiași organizații doar o pădure, crearea de circuite cu mai multe păduri pot fi necesare atunci când o parte a societății se numără organizații cu un nivel scăzut de încredere între ele și cu complet diferite activități, fiecare dintre care dvs. IT-personalul și infrastructura acesteia. Acest lucru vă permite să izolați în mod fiabil organizațiile unul față de celălalt, lăsând libertatea de acțiune în fiecare dintre ele.
Baza structurii directorului este domeniul, aceasta este unitatea administrativă în cadrul căreia funcționează regulile și politicile sale, domeniul reprezintă o altă limită a securității și a replicării. Dacă frontiera pădurii poate fi comparată cu frontiera de stat, atunci limitele domeniului reprezintă limitele unităților administrative, orice utilizator din orice domeniu poate accesa orice obiect al altui domeniu dacă, desigur, are dreptul să facă acest lucru. Replicarea (sincronizarea directoarelor între controlerele de domeniu) este, de asemenea, limitată de limitele domeniului, ceea ce înseamnă că înregistrările despre obiectele din acest domeniu vor fi stocate numai în interiorul acestuia și nu vor fi accesibile administratorului unui alt domeniu. Acest lucru permite diferențierea competențelor personalului IT: fiecare departament este responsabil pentru domeniul său, iar erorile administratorului unuia dintre domeniile nu vor duce la eșecul întregii rețele.
Luați în considerare schema organizării ipotetice a AD. În primul rând, când firma era mică în pădure, exista un singur domeniu domain.org. care conținea toate obiectele întreprinderii: utilizatori, grupuri, servere, calculatoare, resurse.
Treptat, compania se dezvoltă și devine necesară separarea separată a unităților regionale, să spunem că rusă și ucraineană, unitatea actuală va îndeplini funcții administrative și ar trebui, de asemenea, să fie gestionată separat. Nicio problemă, vom crea încă două domenii: ru.domain.org și ua.domain.org. care au un spațiu de nume comun cu domeniul rădăcină, schema rezultată se numește arborele de domenii. În schimb, în spațiul de nume al domeniilor regionale, puteți crea domenii pentru unități mai mici, de exemplu, spb.ru.domain.org.
Ce dă alocarea de unități în domenii separate? În primul rând, de securitate, utilizatorii au acces doar la resursele de conturile sale de utilizator de domeniu sunt stocate numai în „lor“ controler, administratorii pot stabili politici fără privire la alte departamente și divizii și, în același timp, fără să se teamă că experimentele nereușite ale altor IT-departament va la inoperabilitatea rețelei.
În timp, în organizație apare o unitate de afaceri non-core, de exemplu, o companie de transport sau un serviciu de asistență tehnică care servește atât clienților întreprinderii, cât și clienților terți. Creează un domeniu separat într-un spațiu de nume separat office.com. În mod similar, putem separa o anumită unitate structurală din subdiviziunea dată într-un domeniu separat, de exemplu, ou.office.com. În acest fel, vom crea un arbore de domeniu nou în pădurea curentă.
De ce un copac nou? Pur și simplu este mai convenabil, alt fel de activitate, alt spațiu de nume. Așa cum am spus, localizarea domeniului în pădure nu afectează setările de configurare și interacțiunea cu alte domenii, astfel încât pentru a construi un singur arbore domeniu ramificat sau mai multe întrebări separate, pur organizațională, de obicei, o structură arborescentă urmează structura companiei.
După ce ne-am ocupat de domenii, să trecem la lucruri mai globale, și anume catalogul global. Catalogul global este conceput pentru a face față cererilor care nu sunt cunoscute de controlorul de domeniu, de exemplu atunci când accesați resursele unui alt domeniu sau a resurselor universale. Catalogul global conține o copie completă a obiectelor domeniului dvs. și o copie parțială a obiectelor din toate celelalte domenii, care atributele obiectelor sunt incluse în catalogul global, este determinată de schema AD.
Una dintre principalele funcții ale catalogului global este căutarea de obiecte, permițându-vă să căutați în pădure cât mai repede și cu un trafic minim. De exemplu, utilizatorul Ivanov Ivan din domeniul office.com caută un calculator sales1 în domeniul ua.domain.org. în căutarea normală ar fi necesar să se interogheze secvențial controlorii de domeniu, până când unul dintre ei returnează informațiile necesare, de fapt o cerere în catalogul global este suficientă.
Cel de-al doilea rol al catalogului global este autentificarea utilizatorului la autentificare dacă controlerul de domeniu nu are informații despre cont, de exemplu, atunci când vă logați fizic dintr-un alt domeniu. Un catalog cu adevărat global este utilizat atunci când orice utilizator se conectează la domeniu și dacă nu este disponibil, intrarea nu va fi posibilă.
De ce? Deoarece la nivel mondial informații catalog magazine despre grupurile universale, care pot include orice pădure conturi și rezoluția de înregistrare din care pot fi atribuite la orice domeniu. Acest lucru este important pentru servicii, cum ar fi Exchange, care este un eșec de catalog global, pur și simplu să nu mai funcționeze. Directorul Global poate fi orice controler de domeniu sau mai mult, este recomandat să aibă cel puțin un director global pentru fiecare domeniu, se poate reduce traficul între domenii și de a crește toleranța la erori și domeniul de autonomie (link-ul lipsă a eșuat de server, etc, etc. )
În plus față de catalogul global, există roluri numite maeștri (proprietari) de operațiuni. care monitorizează unicitatea obiectelor critice ale AD. De exemplu, de îndată doi administratori decid să creeze domenii cu același nume sau să facă schimbări în schemă. Prin urmare, în fiecare pădure, există doar un singur controler de la rolul operațiunilor gazdă și indisponibilitatea atunci când acțiunile corespunzătoare va fi imposibil. Există cinci roluri FSMO (operare flexibil master singur): două pentru pădure și trei pentru fiecare domeniu, acum nu le ia în considerare în detaliu, este subiectul unui articol separat, doar o listă scurtă a funcțiilor pe care le îndeplinesc:
Masterul de numire a domeniului și masterul de schemă sunt unul pentru întreaga pădure, restul rolurilor FSMO fiind unul pentru fiecare domeniu. Eșecul rolurilor FSMO nu duce la inoperabilitatea domeniului, dar face multe operații imposibile, de fapt, transferând domeniul în modul "numai pentru citire".
Aceasta conchide povestea noastră de astăzi. În ciuda faptului că subiectul este foarte vast, este suficient să înțelegem structura cunoștințelor date și, în opinia noastră, nu este necesar să complicăm excesiv modelul inițial. Mai multe detalii despre elementele AD, vom vorbi mai târziu, când vom lua în considerare soluții specifice.
Materiale suplimentare:
Articole similare
-
Addsite este o modalitate bună de a vă înregistra în directoare
-
Addsite - program pentru înregistrarea unui site în cataloage - recenzii, forum
Trimiteți-le prietenilor: