Общие сведения о службе каталогов

Любая служба каталогов предоставляет возможность систематизации хранимой информации, быстрого поиска нужной, а также добавления и расширения самого каталога. Служба каталогов операционной системы хранит информацию об объектах системы и позволяет манипулировать ими.

NTDS (NT Directory Services) – почти идеально подходила для небольших и средних организаций, где число хранимых объектов не превышало 100 000. Однако в более крупных компаниях пользователи сталкивались либо с затруднениями, либо с полной невозможностью ее применения. Причина этого в самом устройстве NTDS.

NTDS представляет собой плоскую модель доменов. У каждого домена свое уникальное имя. Оно может отражать либо его функциональное назначение, либо географическое расположение, либо что-то, понятное лишь одному автору этого имени. Каждый домен представляет собой замкнутое пространство со своими учетными записями пользователей и ресурсами. По умолчанию пользователи одного домена не имеют доступа к ресурсам другого домена. Для предоставления им такой возможности между доменами устанавливаются доверительные отношения. Эти отношения могут быть как односторонними (например, домен А доверяет домену Б, но не наоборот), так и двусторонними (оба домена доверяют друг другу). Доверительные отношения не транзитивны, иными словами, если домены А и В доверяют домену Б, то это не означает по умолчанию, что А и В доверяют друг другу. При организации корпоративных сетей используются четыре модели доверительных отношений: модель с одним доменом, модель с одним мастер-доменом, модель с несколькими мастер-доменами и модель полностью доверительных отношений.

Недостаток доменной службы каталогов NTDS – сложность администрирования для крупных организаций. Например, перемещая учетную запись пользователя из одного домена в другой, администратор вынужден заново переопределять права доступа, что зачастую непросто. Кроме того, эта служба каталогов не предоставляет средств эффективного поиска объектов сети. Например, невозможно найти в нескольких доменах пользователя User, определить объекты, к которым он имеет доступ, а также вид этого доступа.

Еще одно слабое место NTDS – относительно невысокая емкость доменов. В одном домене может быть не более 40 000 учетных записей, что опять-таки мало пригодно для крупных организаций.

Кроме того, в домене может существовать только один первичный контроллер домена и несколько резервных. Модификация базы учетных записей выполняется только на первичном контроллере, а если последний временно недоступен – сеть становится неуправляемой.

Для устранения указанных недостатков компанией Microsoft была разработана служба каталогов нового поколения Active Directory (AD).

Служба каталогов Active Directory – сервис, интегрированный с Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется.

AD не только позволяет выполнять различные административные задачи, но и является поставщиком различных услуг в системе.

В Active Directory концепция пространства имен Интернета объединена с системными службами каталогов, что дает возможность единым образом управлять различными пространствами имен в гетерогенных средах корпоративных сетей. В качестве основного в AD используется легкий протокол доступа к каталогу LDAP (lightweight directory access protocol), позволяющий действовать за рамками операционной системы, объединяя различные пространства имен. Active Directory может включать в себя каталоги других приложений или сетевых операционных систем, а также управлять ими, что значительно снижает нагрузку на администраторов и накладные расходы.

Active Directory не является каталогом Х.500, как иногда считают. Она использует лишь информационную модель Х.500 (без избыточности, присущей последнему), а в качестве протокола доступа – LDAP. В результате достигается так необходимая в гетерогенных системах высокая степень взаимодействия. LDAP – стандартный протокол доступа к каталогам (RFC1777) – был разработан как альтернатива протоколу доступа Х.500. В Active Directory поддерживаются как LDAP v2, так и LDAP v3.

Active Directory дает возможность просмотреть любой объект в виде страницы We,b используя протокол HTTP. Расширения Internet Information Server, поставляемые совместно со службой каталога, преобразуют запросы к объектам каталога в страницы HTML.

Active Directory позволяет централизовано администрировать все ресурсы, любые произвольные объекты и сервисы: файлы, периферийные устройства, базы данных, подключения к Web, учетные записи и др. В качестве поискового сервиса используется DNS. Все объекты внутри домена объединяются в организационные единицы (OU), составляющие иерархичные структуры. В свою очередь, домены могут объединяться в деревья.

Администрирование AD значительно упростилось по сравнению с предыдущими версиями: больше нет первичного и резервных контроллеров домена. Все контроллеры доменов, используемые службой каталогов, равноправны. Изменения можно вносить на любом контроллере, а на остальные они будут тиражироваться автоматически.

Еще одна особенность Active Directory – поддержка нескольких хранилищ, в каждом из которых может находиться до 10 миллионов объектов. Понятно, что при таких возможностях эта служба каталогов прекрасно проявляет себя как в малых сетях, так и в больших системах.

Архитектура Active Directory

Архитектура Active Directory включает основные элементы, краткое описание которых приведено ниже.

Модель данных

Модель данных Active Directory строится на основе модели данных спецификации X.500. В каталоге хранятся объекты, которые представляют собой самые различные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которые могут храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты обязательно должен иметь представитель данного класса, какие дополнительные атрибуты он может иметь, и какой класс объектов может являться родительским по отношению к данному классу.

Логическая структура

Логическая структура Active Directory реализуется в виде набора объектов различных классов, хранящихся в каталоге. В этом отношении Active Directory значительно отличается от других каталогов, имеющих логическую структуру, но хранящих ее в виде текстового файла, к которому система обращается при запуске. Хранение логической структуры в каталоге имеет целый ряд преимуществ. Например, приложения пользователей могут обращаться к логической структуре и с ее помощью определять наличие тех или иных объектов и свойств.

Логическая структура Active Directory может обновляться динамически. Это означает, что приложение может расширить логическую структуру, добавив в нее новые атрибуты и классы, и сразу после этого воспользоваться полученным расширением. Обновление логической структуры производится путем создания новых или модификации существующих объектов логической структуры (schema objects), хранящихся в каталоге. Как и все остальные объекты в Active Directory, объекты логической структуры защищены списками контроля доступа (access control lists, ACLs), поэтому изменять логическую структуру могут лишь пользователи, имеющие определенные права (авторизованные пользователи).

Модель защиты данных

Каталог является частью Windows 2000 Trusted Computing Base и полноценным элементом инфраструктуры обеспечения безопасности данных в ОС Windows 2000. Списки контроля доступа (ACL) защищают все объекты в Active Directory. Процедуры разрешения доступа к данным в Windows 2000 используют ACL при каждой попытке доступа к объекту или атрибуту в Active Directory.

Модель управления

Управление Active Directory осуществляют авторизованные пользователи. Пользователь может быть разрешено выполнение определенных действий (или последовательностей действий) над определенным набором объектов и их классов в некоторой части дерева каталога. Такая деятельность называется делегированным управлением. Делегированное управление позволяет с большой гибкостью распределять возможности управления, избегая при этом передачи излишних полномочий.

Агент системы каталогов (Directory System Agent, DSA) представляет собой процесс, управляющий физическим устройством, в котором хранится каталог. Клиенты с помощью одного из поддерживаемых интерфейсов обращаются к DSA, а затем производят поиск объектов и выполняют над ними или над их атрибутами операции чтения или записи. DSA изолирует клиента от физического формата, в котором хранятся данные в каталоге.

Свойства Active Directory

Ниже приведено краткое описание основных свойств службы каталогов Active Directory.

Интеграция DNS

Служба Active Directory тесно интегрирована с системой имен доменов (Domain Name System, DNS). DNS представляет собой распределенноое пространство имен, которое используется в Интернет и в котором именам отдельных компьютеров и служб ставятся в соответствие адреса, формируемые по правилам протокола TCP/IP. Большинство крупных организаций, имеющих свои внутренние сети (интрасети), используют DNS в качестве системы распознавания имен. The Active Directory использует DNS в качестве службы размещения (location service).

Имена доменов в Windows 2000 строятся по правилам DNS. Например, “Microsoft.com” – корректное DNS-имя домена; оно также может являться именем домена и в Windows 2000. Высокая степень интеграции DNS означает, что служба Active Directory хорошо совместима с такими сетевыми средами как Интернет и интрасети. С ее помощью клиенты быстро и без труда могут находить серверы каталогов. Организация может напрямую подключать к Интернету свои серверы, поддерживающие Active Directory – это упростит защиту передаваемых данных и будет способствовать развитию связей компании с клиентами и деловыми партнерами.

Именование объектов

Каждый объект может иметь одно и только одно имя, которое называется уникальным именем. Уникальное имя однозначно определяет объект и содержит информацию, достаточную для того, чтобы клиент мог найти данный объект в каталоге. Так как уникальные имена могут иметь большую длину и быть трудны для запоминания, полезно иметь другие способы поиска объектов. Active Directory поддерживает запросы по атрибутам, поэтому объект можно найти даже в том случае, когда его точное уникальное имя неизвестно или изменилось.

Доступ к Active Directory

Доступ к Active Directory осуществляется по протоколам передачи данных, которые определяют формат передачи сообщений и взаимодействий клиента и сервера. Доступ к протоколам осуществляется с помощью различных интерфейсов прикладного программирования (API).

Active Directory поддерживает следующие типы протоколов:

- LDAP – Основным протоколом в Active Directory является упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Обеспечена поддержка версий 2 и 3 этого протокола. Протокол LDAP обеспечивает наиболее важные функции, реализованные в протоколах DAP и DSP (см. ниже) и предназначен для работы поверх стека протоколов TCP/IP без необходимости затрат ресурсов на эмуляцию OSI;

- MAPI-RPC – Active Directory поддерживает интерфейсы вызова удаленных процедур (RPC), которые поддерживают интерфейсы прикладного программирования электронной почты (MAPI);

- X.500 – Информационная модель Active Directory строится на основе информационной модели спецификации X.500. Последняя определяет несколько протоколов передачи, которые не поддерживаются в Active Directory. В их число входят следующие протоколы: DAP –Directory Access Protocol, DSP – Directory System Protocol, DISP – Directory Information Shadowing Protocol, DOP – Directory Operational Binding Management Protocol.

К интерфейсам API, поддерживаемм Active Directory, относятся следующие:

- ADSI – Интерфейсы служб Active Directory (Active Directory Service Interfaces, ADSI). Это простой и мощный объектно-ориентированный интерфейс для работы с Active Directory. Разработчики могут использовать различные языки программирования, включая Java, Visual Basic®, C, C++ и др. Интерфейс ADSI полностью поддерживает сценарии и поэтому он удобен для системных администраторов. Кроме этого, он скрывает от пользователей вспомогательные процедуры протокола LDAP;

- LDAP API – Интерфейс LDAP C, описанный в спецификации RFC 1823, представляет собой интерфейс нижнего уровня и предназначен для программирования на языке Си;

- MAPI – В целях обеспечения обратной совместимости Active Directory поддерживает интерфейс прикладного программирования электронной почты (MAPI). Новые приложения должны использовать интерфейс ADSI или LDAP C.

Виртуальные контейнеры

Active Directory позволяет представлять каталоги в виде виртуальных контейнеров (Virtual Containers). Виртуальный контейнер позволяет осуществлять доступ через Active Directory к любому каталогу, совместимому со спецификацией LDAP. Виртуальный контейнер можно создать, используя специальную информацию (knowledge information), которая хранится в Active Directory. Эта информация описывает, в какой части Active Directory должен появиться новый каталог, а также содержит DNS-имя сервера, на котором хранится копия этого каталога, и уникальное имя (DN), с которого следует начинать операции поиска в новом каталоге.

Глобальный каталог

Active Directory может быть разбит на множество сегментов или контекстов имен. Уникальное имя объекта содержит достаточно информации, чтобы найти копию того сегмента, в котором находится этот объект. Однако очень часто оказывается, что пользователь или приложение не знают уникального имени нужного им объекта или не знают, в каком сегменте он находится. Глобальный каталог (Global Catalog, GC) помогает находить нужный объект в дереве доменов по одному или нескольким известным атрибутам объекта.

Глобальный каталог содержит частичные копии всех пользовательских контекстов имен в каталоге. В нем также хранятся логическая структура и конфигурационные контексты имен. Это означает, что глобальный каталог содержит копию каждого объекта в Active Directory, но при этом хранит лишь небольшую часть его атрибутов.

Безопасность

Все объекты в Active Directory защищены списками контроля доступа (ACLs), которые определяют, кто из пользователей может видеть данный объект и какие действия с объектом разрешены каждому из пользователей.

Передача полномочий (Delegation) – одно из наиболее важных средств защиты данных в Active Directory. Передача полномочий позволяет администратору системы, имеющему более высокий приоритет, передавать определенные права по управлению контейнерами и поддеревьями отдельным пользователям или группам пользователей. Благодаря такому распределению полномочий исчезает необходимость в «администраторах доменов» (Domain Administrators), передающих полномочия излишне большому числу пользователей.

Принцип наследования (Inheritance) позволяет распространять влияние записей, сделанных для какого-либо контейнера, на все объекты, содержащиеся в нем. Наследование можно совмещать с передачей полномочий и таким образом в одной операции передавать административные права целому поддереву каталога.

Репликация

Active Directory поддерживает репликацию с несколькими мастер-доменами (репликация – т.е. тиражирование каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных). Такая модель позволяет вносить изменения в любую базу данных на контроллере домена. Благодаря этому оказывается возможным обновлять базы данных контроллера. Система репликации в Active Directory тиражирует внесенные изменения на другие контроллеры. Репликация происходит автоматически и остается прозрачной для пользователя.

Деревья и лес

Дерево доменов в Windows 2000 имеет иерархческую структуру, и каждый из доменов, входящих в него, является сегментом Active Directory. Структура дерева и отношения между его элементами определяются DNS-именами доменов. Имена доменов одного дерева должны образовывать непрерывное пространство имен, то есть домен с именем a.myco.comдолжен быть поддоменом по отношению к домену myco.com, а домен b.myco.com должен быть поддоменом домена a.myco.com, и т. д.

Конфигурацию дерева можно изменять, свободно перемещая в нем домены.

Совокупность доменных деревьев представляет собой лес.

Узлы

Узлом называется область сети, в которой обеспечена высококачественная связь между компьютерами. В Windows 2000 узлом считается одна или несколько подсетей IP. В основе такого определения лежит предположение, что компьютеры с одинаковым адресом подсети включены в один сегмент сети – как правило, это либо локальная сеть, либо иная сетевая среда с высокой скоростью передачи.

В Windows 2000 информация об узле используется для отыскания сервера Active Directory, ближе других расположенного к данному пользователю. Когда пользователь входит в сеть, DHCP-сервер присваивает его рабочей станции IP-адрес. В этом адресе содержится указание на подсеть, к которой принадлежит рабочая станция. У рабочих станций, которым присвоены постоянные IP-адреса, информация об их принадлежности к той или иной подсети также неизменна. Независимо от того, какой IP-адрес – динамический или постоянный – присвоен рабочей станции, система поиска контроллеров домена (DC) в Windows 2000, попытается найти сервер Active Directory в той же подсети, где зарегистрирована рабочая станция, используя для этой цели доступную ей информацию.

Логическая структура

Логическая структура Active Directory определяет набор классов и атрибутов, которые могут храниться в каталоге. Логическая структура определяет, в какой части дерева каталогов может быть создан тот или иной класс, и указывает для каждого класса разрешенные родительские каталоги. Содержимое класса определяется списком атрибутов, которые может или должен содержать данный класс.

Публикация

Публикация– это процесс создания в каталоге объектов, либо непосредственно содержащих информацию, которую необходимо сделать доступной, либо содержащих ссылки на такую информацию. Например, объект типа “пользователь” содержит полезную информацию о пользователях (номера их телефонов и адреса электронной почты), а объект типа “том” содержит ссылку на том совместно используемой файловой системы.

Группы

Операционная система Windows 2000 поддерживает новые свойства групп:

- если в системе установлена новая версия программы Exchange, то группы могут рассматриваться как списки рассылки;

- группы могут содержать незащищенных членов (такая возможность становится особенно актуальной, когда группа используется одновременно и как средство защиты данных и как список рассылки);

- функция защиты данных может быть отключена (это оказывается удобным, если группа используется исключительно как список рассылки);

- группы могут быть вложенными;

- вводится новый тип группы – универсальная (Universal). Универсальная группа является самой простой разновидностью группы. Такие группы могут отражаться в списках ACL и размещаться в любом месте доменного леса. Они могут содержать другие универсальные группы, глобальные группы и объекты типа “пользователь”, расположенные в любом месте леса. В системах небольших организаций можно использовать только универсальные группы, не прибегая к созданию глобальных и локальных групп. Глобальная группа (Global goup)может отражаться в списках ACL и располагаться в любом месте леса. В нее могут входить объекты типа “пользователь” и другие глобальные группы, принадлежащие к тому же домену. Локальная группа домена используется только в пределах своего домена. Такая группа может содержать объекты типа “пользователь” и другие глобальные группы, принадлежащие к любому домену леса, универсальные группы и другие локальные группы домена, принадлежащие к тому же домену.