Интеграция с Windows Server 2003

Организационные единицы

Организационная единица (OU) – это объект-контейнер, используемый для организации других объектов внутри домена. OU может содержать учетные записи пользователей, принтеры, группы, компьютеры и другие OU.

Дополнительная информация. Active Directory базируется на стандарте X.500, с которым можно ознакомиться на сайте http://www.itu.org. Стандарт довольно невелик (около 9 страниц), однако, прочитав его, вы получите полное представление о том, что такое Active Directory, а, следовательно, ознакомитесь и с Novell Directory Services.

Организационные единицы предназначены строго для целей и удобства администрирования. Они являются невидимыми для пользователей и не влияют на их возможность доступа к сетевым ресурсам. OU используются для создания границ подразделений или географических областей, а также для делегирования полномочий администрирования пользователям с целью выполнения ими определенных задач. Например, можно создать OU для всех принтеров, после чего предоставить полный контроль над принтерами администратору, отвечающему за устройства печати.

Кроме того, OU позволяют ограничить полномочия администрирования. Например, можно предоставить персоналу поддержки разрешение на изменение пароля для всех объектов пользователей в организационной единице, не наделяя их разрешениями на изменение других атрибутов объекта пользователя, как, например, членство в группе или имена.

Так как домен Active Directory может содержать миллионы объектов, обновление до Windows Server 2003 позволяет компаниям переходить от многодоменной модели к однодоменной и использовать организационные единицы для делегирования полномочий административного контроля над ресурсами.

Деревья и леса

Первый домен, создаваемый в Windows Server 2003, является корневым доменом, содержащим конфигурацию и схему леса. В корневой домен можно добавлять другие домены для формирования дерева. Как показано на рисунке 4.1, дерево представляет собой иерархическую группу доменов Windows Server 2003, использующую единое пространство имен. Под единым пространством имен подразумевается пространство имен, в котором используется одно и то же корневое имя при добавлении в дерево других доменов.

Рис. 4.1. Вымышленное дерево Microsoft.com

Один и тот же лес может содержать набор деревьев, не использующих единое пространство имен. Деревья могут использовать общую конфигурацию, схему и глобальный каталог (GC). По умолчанию имя корневого домена становится именем леса, даже если имена в других деревьях не совпадают с именем корневого домена.

Даже если деревья не используют одно имя, между серверами корневого домена в каждом дереве автоматически устанавливаются транзитивные доверительные отношения, если эти деревья являются членами одного леса. На рисунке 4.2 показаны два дерева – Microsoft.com и trainsbydave.com – находящиеся в одном лесу.

Рис. 4.2. Лес, содержащий Microsoft.com и trainsbydave.com

Разделы схемы и конфигурации Active Directory реплицируются на все контроллеры доменов в каждом домене. В то время как домен представляет собой область безопасности и логического группирования объектов, лес представляет собой область организации Active Directory и Exchange 2000.

Кроме того, другие имена доменов не могут находиться выше первого доменного имени. Например, если корневым доменом является hr.trainsbydave.com, ни при каких обстоятельствах нельзя включить домен с именем trainsbydave.com в тот же самый лес. Можно присоединять к лесу другие имена доменов, такие как microsoft.com, если они находятся в другом пространстве имен.

Группы

В Windows Server 2003 усовершенствована структура групп, присущая Windows NT 4. Группы предназначены для упрощения администрирования и для обеспечения единовременного управления множеством учетных записей пользователей. В Windows Server 2003 группы используются для снижения числа объектов, требующих непосредственного администрирования.

В Windows Server 2003 группы подразделяются на два основных типа. Каждый из них имеет свои преимущества и ограничения, которые необходимо принимать в расчет при их использовании. В Exchange Server 2003 используются оба типа групп Windows Server 2003.

• Группы безопасности. Группы безопасности отвечают за соответствие принципам безопасности внутри Active Directory. Эти группы используются для объединения пользователей или компьютеров с целью снижения числа точек прямого администрирования и присвоения разрешений сетевым ресурсам.
• Группы распространения. Группы распространения используются для выполнения функций распространения. При работе с Exchange Server 2003 эти группы используются вместо списков рассылки, принятых в Exchage 5.5. Эти группы нельзя использовать для присвоения разрешений сетевым ресурсам.

Глобальные группы. Глобальные группы в смешанном режиме включают только пользователей из того домена, в котором эти группы находятся. В собственном режиме они включают пользователей и глобальные группы из локальных доменов, в которых они были созданы. Однако они могут использоваться для присвоения разрешений ресурсам в любом домене. Глобальные группы включают пользователей, компьютеры и глобальные группы из локального домена. Последние могут являться членами группы любого другого типа.

Как правило, глобальные группы используются для администрирования членства пользователей, имеющего разрешения на доступ к сетевому ресурсу. Сама группа подвергается репликации как часть глобального каталога, но членство пользователей – нет. Это ограничение означает, что добавление учетных записей пользователей или их удаление из глобальной группы не будет вызывать репликацию глобального каталога. Глобальные группы можно преобразовать в универсальные группы (о них речь пойдет чуть ниже), если глобальные группы не содержат другие глобальные группы, и домен находится в собственном режиме.

Локальные группы домена. Локальные группы домена в собственном режиме включают другие группы локального домена, пользователей, глобальные группы и универсальные группы из любого домена леса, однако им могут быть присвоены разрешения только в том домене, в котором они находятся. В смешанном режиме они содержат только учетные записи пользователей и глобальных групп.

Разрешения локальным группам домена присваивается только для объектов в локальном домене. Информация о существовании группы локального домена сообщается серверу глобального каталога, но информация о членстве не подвергается репликации. Локальные группы домена обладают гибкостью, обеспечивающей возможность использования любого другого принципа безопасности внутри локальной группы домена (при работе в собственном режиме) для упрощения администрирования. Можно преобразовать локальную группу домена в универсальную группу в собственном режиме, если она не содержит других локальных групп домена.

Универсальные группы. Универсальные группы содержат пользователей, глобальные группы и другие универсальные группы из любого домена Windows Server 2003, входящего в состав леса. Домен должен функционировать в собственном режиме для создания групп безопасности универсального предназначения. Универсальной группе можно присвоить разрешения на доступ к ресурсам в любом месте леса.

Членство универсальной группы должно определяться во время входа. Так как предназначение универсальной группы универсально, данная группа распространяется через глобальный каталог. Следовательно, распространению в глобальном каталоге подвергается не только сама группа, но также и ее членство. Универсальная группа с большим членством создает дополнительную репликационную нагрузку при изменении членства. Универсальные группы как группы безопасности доступны только в собственном режиме. В таблице 4.1 приведен перечень правил членства группы.