Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.

Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.

Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети

Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.

Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации , с помощью которой можно узнать нужную информацию о пользователе.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

1. Сервер – компьютер, содержащий все данные.
2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
3. Домен AD - совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

• Авторизация , с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
• Защищенность . Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
• Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
• Полная интеграция с DNS . С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
• Крупные масштабы . Совокупность серверов способна контролироваться одной Active Directory.
• Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект - совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов . Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD - модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) - основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт - совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Установка и настройка Active Directory

Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):

Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.

• Далее нужно зайти в меню “Пуск”, выбрать “Администрирование” и “”.
  
• Перейти к пункту “Роли”, выбрать поле “Добавить роли ”.
  
• Выбрать пункт “Доменные службы Active Directory” дважды нажать “Далее”, а после “Установить”.
  
• Дождаться окончания установки.
  
• Открыть меню “Пуск”-“Выполнить ”. В поле ввести dcpromo.exe.
  
• Кликнуть “Далее”.
  
• Выбрать пункт “Создать новый домен в новом лесу ” и снова нажать “Далее”.
  
• В следующем окне ввести название, нажать “Далее”.
  
• Выбрать режим совместимости (Windows Server 2008).
  
• В следующем окне оставить все по умолчанию.
  
• Запустится окно конфигурации DNS . Поскольку на сервере он не использовался до этого, делегирование создано не было.
  
• Выбрать директорию для установки.
  
• После этого шага нужно задать пароль администрирования .

Для надежности пароль должен соответствовать таким требованиям:

После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.

Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.

Администрирование в Active Directory

По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.

Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.

К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.

Группы распространения не могут разграничивать права, а используются в основном для рассылки сообщений в сети.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

• Проверить сетевые связи между котроллерами.
• Проверить настройки.
• Настроить разрешения имен для внешних доменов.
• Создать связь со стороны доверяющего домена.
• Создать связь со стороны контроллера, к которому адресовано доверие.
• Проверить созданные односторонние отношения.
• Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов , включенных в глобальный каталог.

Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.

Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик , которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.

Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:

Dsquery server –isgc

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора . Существуют такие виды содержимого реплик:

• Реплики данных создаются из всех существующих доменов.
• Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
• Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

Чем поможет Active Directory специалистам?

приведу небольшой список "вкусняшек", которые можно получить развернув Active Directory:

• единая база регистрации пользователей, которая хранится централизованно на одном либо нескольких серверах; таким образом, при появлении нового сотрудника в офисе вам нужно будет всего лишь завести ему учетную запись на сервере и указать, на какие рабочие станции он сможет получать доступ;
• поскольку все ресурсы домена индексируются, это дает возможность простого и быстрого поиска для пользователей; например, если нужно найти цветной принтер в отделе;
• совокупность применения разрешений NTFS, групповых политик и делегирования управления позволит вам тонко настроить и распределить права между участниками домена;
• перемещаемые профили пользователей дают возможность хранить важную информацию и настройки конфигурации на сервере; фактически, если пользователь, обладающий перемещаемым профилем в домене, сядет работать за другой компьютер и введет свои имя пользователя и пароль, он увидит свой рабочий стол с привычными ему настройками;
• с помощью групповых политик вы можете изменять настройки операционных систем пользователей, от разрешения пользователю устанавливать обои на рабочем столе до настроек безопасности, а также распространять по сети программное обеспечение, например, Volume Shadow Copy client и т. п.;
• многие программы (прокси-серверы, серверы баз данныхи др.) не только производства Microsoft на сегодняшний день научились использовать доменную аутентификацию, таким образом, вам не придется создавать еще одну базу данных пользователей, а можно будет использовать уже существующую;
• использование Remote Installation Services облегчает установку систем на рабочие места, но, в свою очередь, работает только при внедренной службе каталогов.

И Это далеко не полный список возможностей, но об этом позже. Сейчас я постараюсь расскажу саму логику построения Active Directory , но опять стоит выяснить из чего-же из чего-же сделаны наши мальчишьки строится Active Directory - это Домены, Деревья, Леса, Организационные единицы, Группы пользователей и компьютеров.

Домены - Это основная логическая единица построения. В сравнении с рабочими группами домены AD – это группы безопасности, имеющие единую базу регистрации, тогда как рабочие группы – это всего лишь логическое объединение машин. AD использует для именования и службы поиска DNS (Domain Name Server – сервер имен домена), а не WINS (Windows Internet Name Service – сервис имен Internet), как это было в ранних версиях NT. Таким образом, имена компьютеров в домене имеют вид, например, buh.work.com, где buh – имя компьютера в домене work.com (хотя это не всегда так).

В рабочих группах используются NetBIOS-имена. Для размещения доменной структуры AD возможно использование DNS-сервера не компании Microsoft. Но он должен быть совместим с BIND 8.1.2 или выше и поддерживать записи SRV (), а также протокол динамической регистрации (RFC 2136). Каждый домен имеет хотя бы один контроллер домена, на котором располагается центральная база данных.

Деревья - Это многодоменные структуры. Корнем такой структуры является главный домен, для которого вы создаете дочерние. Фактически Active Directory использует иерархическую систему построения, аналогичную структуре доменов в DNS.

Если мы имеем домен work.com (домен первого уровня) и создаем для него два дочерних домена first.work.com и second.work.com (здесь first и second – это домены второго уровня, а не компьютер в домене, как в случае, описанном выше), то в итоге получим дерево доменов.

Деревья как логическое построение используются, когда вам нужно разделить филиалы компании, например, по географическим признакам, либо из каких-то других организационных соображений.

AD помогает автоматически создавать доверительные отношения между каждым доменом и его дочерними доменами.

Таким образом, создание домена first.work.com ведет к автоматической организации двухсторонних доверительных отношений между родительским work.com и дочерним first.work.com (аналогично и для second.work.com). Поэтому с родительского домена могут применяться разрешения для дочернего, и наоборот. Нетрудно предположить, что и для дочерних доменов будут существовать доверительные отношения.

Еще одно свойство доверительных отношений – транзитивность. Получаем – для домена net.first.work.com создаются доверительные отношения с доменом work.com.

Лес - Так-же как и деревья это многодоменные структуры. Но лес – это объединение деревьев, имеющих разные корневые домены.

Предположим, вы решили иметь несколько доменов с именами work.com и home.net и создать для них дочерние домены, но из-за того, что tld (top level domain) не в вашем управлении, в этом случае вы можете организовать лес, выбрав один из доменов первого уровня корневым. Вся прелесть создания леса в этом случае – двухсторонние доверительные отношения между двумя этими доменами и их дочерними доменами.

Однако при работе с лесами и деревьями необходимо помнить следующее:

• нельзя добавить в дерево уже существующий домен
• нельзя включить в лес уже существующее дерево
• если домены помещены в лес, их невозможно переместить в другой лес
• нельзя удалить домен, имеющий дочерние домены

Организационные единицы - впринципе можно назвать субдоменами. позволяют группировать в домене учетные записи пользователей, группы пользователей, компьютеры, разделяемые ресурсы, принтеры и другие OU (Организационные единицы). Практическая польза от их применения состоит в возможности делегирования прав для администрирования этих единиц.

Попросту говоря, Можно назначить администратора в домене, который сможет управлять OU, но не иметь прав для администрирования всего домена.

Важной особенностью OU в отличие от групп является возможность применения к ним групповых политик. «А почему нельзя разбить исходный домен на несколько доменов вместо использования OU?» – спросите вы.

Многие специалисты советуют иметь по возможности один домен. Причина этому – децентрализация администрирования при создании дополнительного домена, так как администраторы каждого такого домена получают неограниченный контроль (напомню, что при делегировании прав администраторам OU можно ограничивать их функционал).

В дополнение к этому для создания нового домена (даже дочернего) нужен будет еще один контроллер. Если же у вас есть два обособленных подразделения, соединенных медленным каналом связи, могут возникнуть проблемы с репликацией. В этом случае более уместным будет иметь два домена.

Также существует еще один нюанс применения групповых политик: политики, в которых определены настройки паролей и блокировки учетных записей могут применяться только для доменов. Для OU эти настройки политик игнорируются.

Сайты - Это способ физического разделения службы каталогов. По определению сайт – это группа компьютеров, соединенных быстрыми каналами передачи данных.

Если вы имеете несколько филиалов в разных концах страны, соединенных низкоскоростными линиями связи, то для каждого филиала вы можете создать свой сайт. Делается это для повышения надежности репликации каталога.

Такое разбиение AD не влияет на принципы логического построения, поэтому как сайт может содержать в себе несколько доменов, так и наоборот, домен может содержать несколько сайтов. Но такая топология службы каталогов таит в себе подвох. Как правило, для связи с филиалами используется Интернет – очень небезопасная среда. Многие компании используют средства защиты, например, брандмауэры. Служба каталогов в своей работе использует около полутора десятков портов и служб, открытие которых для прохождения трафика AD через брандмауэр, фактически выставит ее «наружу». Решением проблемы является использование технологии туннелирования, а также наличие в каждом сайте контроллера домена для ускорения обработки запросов клиентов AD.

Представлена логика вложенности составляющих службы каталогов. Видно, что лес содержит два дерева доменов, в которых корневой домен дерева, в свою очередь, может содержать OU и группы объектов, а также иметь дочерние домены (в данном случае их по одному у каждого). Дочерние домены также могут содержать группы объектов и OU и иметь дочерние домены (на рисунке их нет). И так далее. Напомню, что OU могут содержать OU, объекты и группы объектов, а группы могут содержать другие группы.

Группы пользователей и компьютеров - используются для административных целей и имеют такой же смысл, как и при использовании на локальных машинах в сети. В отличие от OU, к группам нельзя применять групповые политики, но для них можно делегировать управление. В рамках схемы Active Directory выделяют два вида групп: группы безопасности (применяются для разграничения прав доступа к объектам сети) и группы распространения (применяются в основном для рассылки почтовых сообщений, например, в сервере Microsoft Exchange Server).

Они подразделяются по области действия:

• универсальные группы могут включать в себя пользователей в рамках леса, а также другие универсальные группы или глобальные группы любого домена в лесу
• глобальные группы домена могут включать в себя пользователей домена и другие глобальные группы этого же домена
• локальные группы домена используются для разграничения прав доступа, могут включать в себя пользователей домена, а также универсальные группы и глобальные группы любого домена в лесу
• локальные группы компьютеров – группы, которые содержит SAM (security account manager) локальной машины. Область их распространения ограничивается только данной машиной, но они могут включать в себя локальные группы домена, в котором находится компьютер, а также универсальные и глобальные группы своего домена или другого, которому они доверяют. Например, вы можете включить пользователя из доменной локальной группы Users в группу Administrators локальной машины, тем самым дав ему права администратора, но только для этого компьютера

Поскольку Microsoft Windows Server 2003 и Microsoft Exchange Server 2007 зависят от службы каталогов Active Directory в части служб каталогов, необходимо определить, как интегрировать Exchange 2007 в свою структуру Active Directory. Active Directory включает следующие логические элементы, объединение которых определяет топологию Active Directory:

• Один или несколько доменов
• Один или несколько сайтов Active Directory

Леса Active Directory

Лес представляет собой самую внешнюю границу службы каталогов. Лес работает в контексте непрерывной безопасности, так чтобы все ресурсы внутри леса явно доверяли друг другу независимо от своего местонахождения в лесу. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес может состоять из одного или нескольких доменов. Существует два типа топологий леса: единственный лес и несколько лесов.

Топология с единственным лесом

В топологии с одним лесом Exchange устанавливается в одном лесу Active Directory, охватывающем всю организацию. Все учетные записи пользователей и групп, а также все данные Exchange конфигураций находятся в одном и том же лесу.

Если в организации используется один лес Active Directory, Exchange 2007 можно установить в этом лесу. Рекомендуется использовать схему с одним лесом Exchange, потому что она предлагает максимальный набор возможностей системы электронной почты, а также потому что эта схема обеспечивает наиболее простую модель администрирования. Так как все ресурсы содержатся в одном лесу, один глобальный список адресов содержит всех пользователей из всего леса. Этот случай показан на следующем рисунке.

Вариант с единственным лесом предлагает следующие преимущества:

• Самый богатый набор возможностей системы электронной почты.
• Простая модель администрирования.
• Использование преимуществ существующей структуры Active Directory.
• Не требуется синхронизация глобальных списков адресов.

Основным недостатком, связанным с единственным лесом, является то, что администраторы должны определить, как обобщить или разделить ответственность за управление объектами Active Directory и Exchange.

Топология с несколькими лесами

Хотя рекомендуется использовать топологию с единственным лесом, так как она обеспечивает наибольший набор возможностей обмена сообщениями, существуют различные причины, по которым может понадобиться реализовать несколько лесов. Среди этих причин могут быть, например следующие:

• Наличие нескольких подразделений, для которых необходима изоляция служб обмена сообщениями.
• Наличие нескольких подразделений с различными требованиями к схеме.
• Произошедшее слияние, поглощение или деление.

В любом случае, единственным способом установить строгие границы между подразделениями является создание отдельного леса Active Directory для каждого подразделения. При использовании этой конфигурации Active Directory предпочтительным способом реализации Exchange является создание леса ресурсов Exchange. Для получения дополнительных сведений о лесах ресурсов Exchange см. пункте «Топология леса ресурсов» ниже в данном разделе.

Но существуют сценарии, в которых лес ресурсов может быть невозможен (например, при слияниях или поглощениях, либо когда в нескольких лесах уже работают собственные экземпляры Exchange). В этих случаях можно реализовать топологию перекрестных лесов.

Топология перекрестных лесов

В топологии перекрестных лесов компания использует несколько лесов Active Directory, каждый из которых содержит организацию Exchange. В отличие от топологии леса ресурсов учетные записи пользователей не отделены от их почтовых ящиков. Вместо этого учетная запись пользователя и соответствующий почтовый ящик находятся в одном лесу.

Основным преимуществом реализации топологии перекрестных лесов является возможность изоляции данных и границ безопасности между организациями Exchange. Но эта топология обладает следующими недостатками:

• Недоступен богатейший набор функций обмена сообщениями.
• При перемещении почтовых ящиков из одного леса в другой не сохраняются делегированные разрешения, если в целевом лесу нет контакта для делегирования, или если вы одновременно перемещаете делегата почтового ящика.
• Хотя сведения о занятости между лесами можно синхронизировать, чтобы затем использовать их для планирования собраний, в Microsoft Office Outlook нельзя использовать функцию Открыть папку другого пользователя для просмотра данных календаря пользователя из другого леса.
• Так как группа из другого леса представлена в виде контакта, нельзя просмотреть членов группы. Пока не будет отправлено письмо в лес, содержащий группу, представленную в виде контакта, членство в группе не расширяется.
• Необходима синхронизация объектов каталогов между лесами, а также репликация сведений о занятости. Наиболее часто применяющимися решениями для синхронизации каталогов являются пакет обновлений 2 Microsoft Identity Integration Server (MIIS) 2003 SP2 или Identity Integration Feature Pack для Microsoft Windows Server Active Directory с пакетом обновлений 2. Для обмена между организациями Exchange из различных лесов сведениями о занятости и данными календаря может быть использована служба доступности Exchange 2007.

Топология леса ресурсов

В некоторых случаях для работы Exchange может понадобиться создать отдельный, выделенный лес Active Directory. Например, возможна ситуация, когда нужно сохранить существующий лес Active Directory. Или может понадобиться разделить администрирование объектов Active Directory и объектов Exchange. Следовательно, возможна необходимость создания отдельного леса Active Directory, выделенного для работы Exchange. Этот отдельный выделенный лес называется лесом ресурсов Exchange. В модели леса ресурсов Exchange устанавливается в лес Active Directory, отдельный от леса Active Directory, в котором находятся пользователи, компьютеры и серверы приложений. Этот вариант обычно используют компании, которым необходимы границы безопасности между администрированием Active Directory и администрированием Exchange.

Лес ресурсов Exchange выделен для работы Exchange и размещения почтовых ящиков. Учетные записи пользователей содержатся в одном или нескольких лесах, называющихся лесами учетных записей . Леса учетных записей отделены от леса ресурсов Exchange. Между лесом учетных записей и лесом ресурсов Exchange создается одностороннее доверительное отношение, позволяющее лесу Exchange доверять лесу учетных записей, так чтобы пользователям из леса учетных записей был предоставлен доступ к почтовым ящикам в лесу ресурсов Exchange. Так как организация Exchange не может выходить за границы леса Active Directory, у каждого почтового ящика, созданного в лесу ресурсов Exchange, должен быть соответствующий ему объект пользователя в лесу ресурсов Exchange. Объекты пользователей в лесу ресурсов Exchange никогда не применяются для входа пользователя в систему и отключены, чтобы помешать их использованию. Пользователи обычно даже не знают о существовании дубликата учетной записи. Так как учетная запись в лесу ресурсов Exchange отключена и не используется для входа в систему, реальной учетной записи пользователя из леса учетных записей должно быть предоставлено право входа в почтовый ящик. Доступ предоставляется путем включения идентификатора безопасности (SID) объекта пользователя из леса учетных записей в атрибут msExchMasterAccountSID отключенного объекта пользователя в лесу ресурсов Exchange.

Возможно, что при использовании леса ресурсов Exchange синхронизация каталогов не потребуется. С точки зрения Exchange и Outlook все объекты, перечисленные в службе каталогов, исходят из одного места, в данном случае - из службы каталогов, в которой размещен лес Exchange. Но если в лесах учетных записей есть данные, связанные с глобальными списками адресов, то, чтобы получить данные в лес ресурсов Exchange для использования в глобальных списках адресов, может потребоваться синхронизация. Кроме того, может понадобиться настроить процесс так, чтобы при создании учетных записей в лесу учетных записей в лесу ресурсов Exchange создавалась отключенная учетная запись с почтовым ящиком.

Включенный пользователь из леса ресурсов связывается с почтовым ящиком, присоединенным к отключенному пользователю в лесу ресурсов. Эта конфигурация предоставляет пользователям доступ к почтовым ящикам, находящимся в других лесах. В данном сценарии настраивается доверительное отношение между лесом ресурсов и лесом учетных записей. Может также понадобиться настроить процесс инициализации так, чтобы каждый раз, когда администратор создает пользователя в лесу учетных записей, в лесу ресурсов Exchange создавался бы отключенный пользователь с почтовым ящиком.

Так как все ресурсы Exchange находятся в одном лесу, один глобальный список адресов будет содержать всех пользователей леса. Основным преимуществом сценария с выделенным лесом Exchange является граница безопасности между администрированием Active Directory и Exchange.

С этой топологией связан ряд недостатков, включая следующие:

• Внедрение леса ресурсов обеспечивает разделение администрирования Exchange и Active Directory, но стоимость, связанная с развертыванием леса ресурсов, может перевесить необходимость подобного разделения.
• Для узлов Microsoft Windows, на которых будет работать Exchange, потребуется устанавливать дополнительные контроллеры доменов и серверы глобальных каталогов, что приведет к увеличению стоимости.
• Необходим процесс инициализации, отражающий изменения Active Directory в Exchange. При создании объекта в одном лесу необходимо быть уверенным, что соответствующие объекты созданы и в другом лесу. Например, при создании пользователя в одном лесу, убедитесь, что для этого пользователя в другом лесу создан заполнитель в другом лесу. Соответствующие объекты можно создать вручную, либо этот процесс можно автоматизировать.

Вариантом сценария леса ресурсов является несколько лесов, в одном из которых размещается Exchange. При использовании нескольких лесов Active Directory развертывание Exchange зависит от степени автономности, которую планируется поддерживать между лесами. Для компаний с подразделениями, которым требуются границы безопасности (леса) объектов каталога, но которые могут совместно использовать объекты Exchange, можно остановиться на развертывании Exchange в одном из лесов и использовании этого леса для размещения почтовых ящиков из других лесов в компании. Так как все ресурсы Exchange находятся в одном лесу, один глобальный список адресов будет содержать всех пользователей из всех лесов.

Этот сценарий обладает следующими основными преимуществами:

• Использование существующей структуры Active Directory.
• Использование существующих контроллеров доменов и серверов глобальных каталогов.
• Обеспечение строгих границ безопасности между лесами.

К недостаткам этого сценария можно отнести следующие особенности:

• Необходимость процесса инициализации, отражающего изменения Active Directory в Exchange. Например, можно создать сценарий, который при создании нового пользователя Active Directory в лесу A создавал бы в лесу B отключенный объект с разрешениями, предоставляющими доступ к почтовому ящику.
• Необходимость для администраторов леса определить, как обобщить или разделить ответственность за управление объектами Active Directory и Exchange.

Домены Active Directory

Домен - это объединение участников безопасности и совместно администрируемых других объектов. Домены являются гибкими структурами. Выбор того, что будет входить в домен, остается открытым и оставляется на усмотрение администратора. Например, домен может представлять собой группу пользователей и компьютеров, физически находящихся в одном месте, или он может представлять всех пользователей и все компьютеры во многих местах большого географического региона. Благодаря консолидации администрирования и инфраструктуры домены, как правило, распространяются на большие географические регионы для снижения стоимости поддержки. Но, так как объем службы каталогов растет, для целевого каталога должна быть предусмотрена возможность максимально эффективного доступа к соответствующим ресурсам.

Сайты Active Directory

Сайты Active Directory представляют собой логическое объединение надежно связанных компьютеров в Active Directory. В пределах сайта Active Directory можно разделить клиентские компьютеры, чтобы использовать конкретные наборы или группы ресурсов каталога. Сайт Active Directory - это одна или несколько хорошо связанных подсетей TCP/IP, позволяющие администраторам настроить доступ к Active Directory и необходимую репликацию. Эти подсети могут как соответствовать, так и не соответствовать физической топологии.

На приведенном ниже рисунке показано несколько наиболее типичных отношений между логическими определениями Active Directory и физическими расположениями.

Сценарии развертывания Active Directory

Существует четыре основных сценария интеграции Exchange с Active Directory:

• Единственный лес
• Лес ресурсов
• Перекрестный лес
• Слияния и поглощения

В следующей таблице сведены преимущества каждого сценария.

Лес Active Directory определяет набор одного или нескольких доменов, использующих одни и те же схему, конфигурацию и глобальный каталог. Кроме этого, все домены участвуют в двусторонних транзитивных отношениях доверия. Обратим внимание на термины, которые используются в определении леса.

• Домен - домен предоставляет способ организации и защиты объектов, например, пользователей и компьютеров, которые являются частью одного пространства имен..com являются доменами. Компьютеры в каждом домене используют одинаковую конфигурацию домена и могут являться объектом применения политик и ограничений, устанавливаемых администратором домена. Использование доменов позволяет упростить обеспечение безопасности в масштабе предприятия.
• Схема - схема Active Directory используется совместно всеми доменами в пределах леса. Схема это конфигурационная информация, которая управляет структурой и содержимым каталога.
• Конфигурация - конфигурация определяет логическую структуру леса, например, число и конфигурацию сайтов в пределах леса.
• Глобальный каталог - глобальный каталог можно воспринимать в виде справочника для леса. Глобальный каталог содержит информацию о всех объектах леса включая информацию о расположении объектов. Кроме этого, глобальный каталог содержит информацию о членстве в универсальных группах.
• Доверие - доверие предоставляет различным доменам возможность работать вместе. Без доверия домены работают как отдельные сущности, то есть пользователи из домена A не смогут получать доступ к ресурсам в домене B. Если отношение доверия устанавливается между доменами таким образом, что домен B доверяет домену A, то пользователи домена A смогут получать доступ к ресурсам домена B, если у них есть соответствующие разрешения.

Существует три основных типа отношений доверия.

• Транзитивные - транзитивные отношения доверия создаются автоматически между доменами одного леса. Они позволяют пользователям любого домена потенциально получать доступ к ресурсам любого другого домена этого леса, если у пользователей есть соответствующие права доступа.
• Shortcut - это отношение доверия между доменами одного леса, которые уже имеют транзитивное отношение доверия. Такое отношение доверия предоставляет более быструю аутентификацию и проверку доступа к ресурсам между несоседними доменами леса.
• Внешние - внешние отношения доверия позволяют доменам из различных лесов совместно использовать ресурсы. Такие отношения доверия не являются транзитивными, то есть они относятся только к тем доменам, для которых они создавались.

Выяснив значение базовых терминов, рассмотрим пример леса. Далее представлен единый лес, который содержит два дерева доменов.

На рисунке показаны четыре домена aw.net, west.aw.net, east.aw.net и person.net. Домены aw.net, west.aw.net и east.aw.net находятся в одном дереве доменов, так как они используют одно пространство имен (aw.net).

Домен person.net находится в другом дереве, так как он не является частью пространства имен aw.net. Обратите внимание, что в пределах домена east.aw.net (который не подписан) показаны символы OU. OU – это организационные подразделения (organizational units), которые будут рассматриваться в очередной статье.

Стрелки на рисунке представляют транзитивные отношения доверия, которые автоматически создаются при первоначальной настройке доменов в пределах леса. Обратите внимание, что дочерние домены (east и west) домена aw.net не связаны непосредственно с доменом person.net. Несмотря на это они доверяют домену person.net.

Причиной доверия является доверие дочерних доменов домену aw.net. Так как домен aw.net доверяет домену person.net, дочерние домены aw.net тоже доверяют домену person.net. Зная это, можно представить домены Active Directory в виде маленьких детей. Они безоговорочно верят всему, что говорят родители. Если родитель сообщает, что другому домену можно доверять, значит это именно так и есть.

Но разница между детьми и дочерними доменами заключается в том, что дочерние домены всегда соглашаются и не задают вопросов родителю.