Anda di halaman 1dari 36

IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE

Administracja
Microsoft Active Directory
Autor:
Tumaczenie: Marcin Jdrysiak, Agata Dras
ISBN: 83-7197-474-4
Format: B5, stron: 328

ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Mimo e Active Directory ma bardzo skomplikowan struktur, jego zadaniem jest


uatwianie ycia administratorom systemu na poziomie przedsibiorstwa.
Z perspektywy Microsoftu, Active Directory jest usug katalogow przeznaczon dla
przedsibiorstw, opart na standardach internetowych, dostarczajc uytkownikom
informacji i niezbdnych usug. Active Directory jest wczone we wszystkie produkty
dla serwerw z serii Windows 2000 i jest implementacj Microsoftu istniejcego
modelu (X.500), istniejcego protokou komunikacji (LDAP) oraz istniejcej technologii
lokalizacji (DNS).
Autor, piszc t ksik, obra sobie nastpujce cele:
Napisa zrozumiay przewodnik.
Omwi zadania i zagadnienia zwizane z administracj.
Podzieli na poszczeglne elementy zoon struktur Active Directory.

"
"
"

O Autorze ........................................................................................11
Wprowadzenie..................................................................................13
Rozdzia 1. Pojcie Active Directory ...................................................................15
Gwne funkcje techniczne Active Directory..................................................... 16
atwo administrowania ...........................................................................................16
Bezpieczestwo...........................................................................................................21
Wspdziaanie............................................................................................................24

Gwne skadniki Active Directory .................................................................... 26


Przestrze nazw ..........................................................................................................26
Drzewo (Tree).............................................................................................................27
Las (Forest) .................................................................................................................27
Domena .......................................................................................................................28
Jednostka organizacyjna (Organizational Unit OU) ..............................................28
Lokacja (Site)..............................................................................................................28

NT 4.0 a Windows 2000 ..................................................................................... 29


Rnice logiczne .........................................................................................................29
Rnice fizyczne .........................................................................................................29
Rnice w administrowaniu........................................................................................30

Usugi metakatalogowe (Meta-directory) ........................................................... 30


Active Directory a Novell 5.x ............................................................................. 31
Partycje .......................................................................................................................31
Katalogi.......................................................................................................................33
Obsuga standardw internetowych............................................................................34

Podsumowanie .................................................................................................... 34
Rozdzia 2. Architektura Active Directory ...........................................................35
Architektura podsystemowa................................................................................ 35
Podsystem bezpieczestwa .........................................................................................36

Architektura usugi katalogowej ......................................................................... 38


Agent katalogu systemowego (DSA)..........................................................................40
Warstwa bazodanowa .................................................................................................40
Silnik bazy danych......................................................................................................40

Protokoy, interfejsy i usugi Active Directory................................................... 40


Usuga katalogowa X.500...........................................................................................41
Lightweight Directory Access Protocol (LDAP)........................................................41
Interfejsy usugi Active Directory Active Directory Services Interface (ADSI)...42
Replikacja w Active Directory....................................................................................42

C:\Andrzej\PDF\Administracja Microsoft Active Directory\!!Spis-11.doc

Administracja Microsoft Active Directory

Podstawy struktury logicznej .............................................................................. 42


Hierarchia domen........................................................................................................43
Nazwy domen w Active Directory .............................................................................44
Struktura drzew i lasw ..............................................................................................45

Podstawy struktury fizycznej sieci...................................................................... 51


Skadniki katalogw....................................................................................................52
Partycje katalogowe ....................................................................................................54
Lokacje........................................................................................................................62
Lokacje a domeny .......................................................................................................62
Przechowywanie danych.............................................................................................62

Podsumowanie .................................................................................................... 64
Rozdzia 3. Zarzdzanie domenami, relacjami zaufania i systemem DNS ..............65
Podstawy idei domen .......................................................................................... 65
Zarzdzanie domenami ...............................................................................................67
Dodawanie domen ......................................................................................................67
Modele domen ............................................................................................................68

Zarzdzanie relacjami zaufania........................................................................... 69


Relacje zaufania ..........................................................................................................69
Dodawanie relacji zaufania.........................................................................................72
Modyfikowanie relacji zaufania .................................................................................72

Tumaczenie nazw w Active Directory............................................................... 73


Standardy nazywania ..................................................................................................73
Ograniczenia nazw......................................................................................................74
Funkcje serwera DNS .................................................................................................75
Rekordy zasobw........................................................................................................76
Strefy i pliki strefowe..................................................................................................79
Strefy wyszukiwania...................................................................................................80
Dynamiczne DNS i transfery stref..............................................................................80
Transfer strefowy ........................................................................................................82

Integracja DNS i Active Directory...................................................................... 84


Kreator instalacji DNS................................................................................................84
Konfigurowanie stref ..................................................................................................86

rodowiska heterogeniczne................................................................................. 90
Posugiwanie si rekordami WINS i WINSR.............................................................90
Posugiwanie si formatem znakw UTF-8................................................................91
Odzyskiwanie danych niezgodnych z RFC ................................................................91
UNIX/BIND................................................................................................................91
Kwestie zwizane z DNS dla Active Directory ..........................................................97

DNS i WINS ..................................................................................................... 100


DHCP w Active Directory ................................................................................ 101
Korzyci ....................................................................................................................102
Nowe funkcje Windows 2000 DHCP .......................................................................102
Proces dzierawienia.................................................................................................103
Integracja DHCP z dynamicznym DNS ...................................................................104
Konfiguracja DHCP..................................................................................................106
Ustawianie aktualizacji DDNS dla zakresu ..............................................................107

Podsumowanie .................................................................................................. 108


Rozdzia 4. Zarzdzanie uytkownikami, grupami i komputerami .......................109
Podstawy zarzdzania obiektami ...................................................................... 109
Zarzdzanie uytkownikami ............................................................................. 111
Konta uytkownikw ................................................................................................111
Wstpnie zdefiniowane konta uytkownikw ..........................................................112

C:\Andrzej\PDF\Administracja Microsoft Active Directory\!!Spis-11.doc

Spis treci

7
Dodawanie i usuwanie uytkownikw .....................................................................112
Modyfikowanie uytkownikw ................................................................................114
Znajdowanie uytkownikw.....................................................................................117
Przenoszenie kont uytkownikw.............................................................................117

Zarzdzanie profilami uytkownikw i katalogami macierzystymi................. 118


Zalety profili uytkownikw.....................................................................................118
Typy profili ...............................................................................................................118
Zalety katalogw macierzystych...............................................................................119

Zarzdzanie grupami......................................................................................... 120


Typy grup..................................................................................................................121
Zakres grupy i ruch replikacyjny ..............................................................................127
Jak tryb domeny wpywa na grupy? .........................................................................127
Modyfikowanie grup.................................................................................................129
Konwersja typu grupy...............................................................................................130
Konflikty replikacji...................................................................................................133

Zarzdzanie kontami komputerw.................................................................... 133


Tworzenie kont komputerw ....................................................................................134
Znajdowanie komputerw ........................................................................................135
Edycja kont komputerw ..........................................................................................136
Resetowanie kont komputerw.................................................................................137
Wyczanie i wczanie kont komputerw ...............................................................137

Podsumowanie .................................................................................................. 139


Rozdzia 5. Bezpieczestwo w Active Directory ................................................141
Model bezpieczestwa Active Directory .......................................................... 141
Uwierzytelnianie w Active Directory .......................................................................142
Uwierzytelnianie Kerberos .......................................................................................142
Wstpne uwierzytelnianie Kerberos .........................................................................144
Infrastruktura kryptografii klucza publicznego ........................................................147
IPSec .........................................................................................................................149

Zabezpieczenia obiektowe ................................................................................ 156


Listy kontroli dostpu (Access Control Lists ACL) ............................................157
Prawa i uprawnienia..................................................................................................159
Deskryptor zabezpiecze ..........................................................................................159

Bezpieczestwo obiektw Active Directory..................................................... 161


Obiekty Active Directory..........................................................................................162

Publikacja zasobw Active Directory............................................................... 165


Publikowanie wspdzielonych folderw .................................................................166
Publikowanie drukarek .............................................................................................167
Wskazwki dotyczce publikowania ........................................................................168
Wasno i przekazywanie wasnoci .......................................................................168
Dziedziczenie uprawnie ..........................................................................................169
Najlepsze zastosowanie kontroli dostpu .................................................................170

Podsumowanie .................................................................................................. 170


Rozdzia 6. Administracja zasadami grup ..........................................................171
Podstawy zasad grup ......................................................................................... 171
Porwnanie zasad Windows NT 4.0 i Windows 2000 .............................................172
Wymagania administracyjne zasad grup ..................................................................173
Obiekty zasad grup ...................................................................................................173
Tworzenie obiektw zasad grup ...............................................................................175
Konfiguracja zasad grup ...........................................................................................176

C:\Andrzej\PDF\Administracja Microsoft Active Directory\!!Spis-11.doc

Administracja Microsoft Active Directory


Model rozszerze przystawek MMC ........................................................................178
Ustawienia i szablony ...............................................................................................181
Zasady specjalne (zasady kont) ................................................................................192
czenie GPO ...........................................................................................................193
Dziedziczenie ............................................................................................................193
Delegowanie administracji GPO...............................................................................195
Zasady grup w trybie mieszanym .............................................................................197
Filtrowanie i delegacja zasad grup w przypadku grup zabezpiecze .......................198
Zasady grup dla wielu obiektw ...............................................................................199

Relacje zaufania z poprzednimi wersjami Windows ........................................ 200


Podsumowanie .................................................................................................. 200
Rozdzia 7. Zarzdzanie i modyfikacja schematu Active Directory .....................201
Podstawowe informacje o schemacie Active Directory ................................... 201
Struktura schematu eksploracja drzewa informacji katalogu ...................... 203
Uruchamianie przystawki Active Directory Schema................................................204
Obiekty schematu Active Directory..........................................................................206

Modyfikacja schematu ...................................................................................... 208


Planowanie rozszerzenia schematu...........................................................................209
Dodawanie klasy.......................................................................................................216
Weryfikacja zmian w schemacie ..............................................................................217
Problemy zwizane z rozszerzaniem schematu ........................................................218
Systemowe kontrole modyfikacji w schemacie........................................................219

Dezaktywacja obiektw schematu .................................................................... 219


Dezaktywacja istniejcych klas i atrybutw .............................................................220

Podsumowanie .................................................................................................. 221


Rozdzia 8. Zarzdzanie lokacjami, replikacj i ruchem w sieci..........................223
Podstawy topologii lokacji................................................................................ 223
Lokacje......................................................................................................................224
Kiedy tworzy now lokacj?...................................................................................226
Podsieci .....................................................................................................................228
Poczenia .................................................................................................................229
cza lokacji .............................................................................................................230
Serwery przyczkowe..............................................................................................232
Mostek czcy lokacje .............................................................................................234

Model replikacji w Active Directory ................................................................ 236


Repliki partycji katalogowych ..................................................................................236
Korzyci ....................................................................................................................237
Skadniki replikacji ...................................................................................................238
Aktualizacje ..............................................................................................................240

Topologia replikacji .......................................................................................... 241


Protokoy i transport IP.............................................................................................241
Replikacja wewntrz lokacji .....................................................................................243
Replikacja midzylokacyjna .....................................................................................244
Narzdzia replikacyjne..............................................................................................245

Podsumowanie .................................................................................................. 246


Rozdzia 9. Zarzdzanie aktualizacjami
przy uyciu Flexible Single-Master Operations .................................247
Podstawy FSMO ............................................................................................... 247
FSMO i aktualizacje schematu katalogu...................................................................248

Role wzorca operacji i ich rozmieszczenie ....................................................... 249


Wzorzec schematu ....................................................................................................251
Wzorzec nazw domen ...............................................................................................252

C:\Andrzej\PDF\Administracja Microsoft Active Directory\!!Spis-11.doc

Spis treci

9
Wzorzec wzgldnego identyfikatora (RID) ..............................................................254
Emulator gwnego kontrolera domeny
(PDCE Primary Domain Controller Emulator) .................................................255
Wzorzec infrastruktury .............................................................................................257
Rozmieszczenie FSMO.............................................................................................258
Przenoszenie rl wzorca operacji..............................................................................260
Rozmieszczanie wzorcw operacji przy uyciu narzdzia ntdsutil ..........................261
Odnajdywanie wzorcw operacji przy uyciu narzdzia ntdsutil.............................262
Zmiany uprawnie dla wzorca schematu..................................................................263
Zmiany uprawnie dla wzorca nazw domen ............................................................263
Zmiany uprawnie dla PDCE ...................................................................................263
Zmiany uprawnie dla wzorca infrastruktury...........................................................264
Zmiany uprawnie dla wzorca RID ..........................................................................264

Kontrolowanie przekazywania rl .................................................................... 264


Kontrolowanie wymuszania rl ........................................................................ 265
Rozwizywanie problemw zwizanych z wzorcami operacji ........................ 266
Reakcje na awarie wzorca operacji...........................................................................266
Awarie emulatora gwnego kontrolera domeny......................................................267
Awarie wzorca infrastruktury ...................................................................................267
Awarie innych wzorcw operacji .............................................................................268
Rozwizywanie problemw i szczegy techniczne.................................................269
Inne bdy FSMO i ich wyjanienia..........................................................................270

Podsumowanie .................................................................................................. 271


Rozdzia 10. Niezawodno i optymalizacja Active Directory ...............................273
Narzdzia........................................................................................................... 273
Archiwizacja Active Directory ......................................................................... 274
Wykonywanie archiwizacji Active Directory................................................... 275
Uywanie kreatora archiwizacji w programie Backup .............................................275
Terminarz archiwizacji .............................................................................................277

Przywracanie Active Directory......................................................................... 278


Przywracanie Active Directory poprzez reinstalacj i replikacj .............................278
Przywracanie Active Directory.................................................................................279
Przywracanie Active Directory na innym sprzcie...................................................283
Autorytatywne przywracanie ....................................................................................283

Monitorowanie wydajnoci Active Directory................................................... 287


Monitorowanie wydajnoci kontrolera domeny .......................................................287
Monitor systemu .......................................................................................................287
Dzienniki wydajnoci i alarmy .................................................................................293
Meneder zada ........................................................................................................299
Dzienniki zdarze .....................................................................................................300
Monitor sieci .............................................................................................................301

Podsumowanie .................................................................................................. 303


Dodatek A Typowe narzdzia Active Directory..................................................305
Active Directory Service Interface (ADSI) ...................................................... 305
Comma-Separated Value Directory Exchange (CSVDE) ................................ 306
LDAP Data Interchange Format Directory Exchange (LDIFDE) .................... 306
Movetree ........................................................................................................... 308
Skadnia Movetree ....................................................................................................310

Skorowidz ......................................................................................311

C:\Andrzej\PDF\Administracja Microsoft Active Directory\!!Spis-11.doc

Rozdzia 2.

W tym rozdziale:
Architektura podsystemowa
Architektura usugi katalogowej
Protokoy, interfejsy i usugi dla Active Directory
Podstawy struktury logicznej
Podstawy struktury fizycznej

Wiedza o wzajemnym oddziaywaniu skadnikw architektury Active Directory dostarcza


podstaw do zrozumienia, jak Active Directory zarzdza danymi. Pierwsza cz tego
rozdziau zostaa powicona zwizkom Active Directory z reszt systemu operacyjnego Windows 2000 Server. Nastpnie przyjrzymy si strukturze logicznej i fizycznej
bazy danych Active Directory, jej skadnikom i ich waciwociom.

Architektura podsystemowa
W Windows 2000 istniej dwa moliwe tryby dostpu do procesora: tryb jdra i tryb
uytkownika. Zabezpieczaj one aplikacje przed rnicami platform, oddzielajc procesy
niskopoziomowe, specyficzne dla kadej platformy, od procesw wysokopoziomowych. Zapobiegaj rwnie bezporedniemu dostpowi do kodu systemu i do danych.
Aplikacje i usugi pracuj w trybie uytkownika, w ktrym pobieraj usugi systemowe
poprzez interfejs programowy aplikacji (API), otrzymujcy ograniczony dostp do danych
systemowych. Proces jest przekazywany do trybu jdra, aby wykonywa swoje zadania
w rodowisku chronionym. Nastpnie przesyany jest z powrotem do trybu uytkownika.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

35

36

Administracja Microsoft Active Directory

Local Security Authority (LSA), cz podsystemu bezpieczestwa w trybie uytkownika, jest moduem, w ktrym dziaa Active Directory.

Monitor bezpieczestwa (security reference monitor) pracuje w trybie jdra. Narzuca


zasady zabezpiecze podsystemu bezpieczestwa. Obiekty Active Directory chronione s
przez listy kontroli dostpu (Access Control Lists ACL). Lokalizacja Active Directory
wewntrz Windows 2000 jest pokazana na rysunku 2.1.
Rysunek 2.1.
Lokalizacja Active
Directory w systemie
Windows 2000

Podstaw sukcesu Windows 2000 jest zintegrowanie Active Directory i usug bezpieczestwa podsystemu. Wszystkie obiekty katalogowe, do ktrych dostp mona uzyska,
wymagaj uwierzytelniania (przeprowadzanego przez podsystem bezpieczestwa),
a nastpnie sprawdzenia poprawnoci zezwolenia na dostp (przeprowadzaj je: podsystem bezpieczestwa oraz monitor wzorcowego bezpieczestwa). Monitor wzorcowego
bezpieczestwa, ktry rezyduje w trybie jdra, narzuca kontrol dostpu do obiektw
w Active Directory.

Podsystem bezpieczestwa
Jak ju wczeniej wspomniano, Active Directory jest skadnikiem Local Security Authority. Skadniki podsystemu bezpieczestwa dziaaj w kontekcie procesu Lsass.exe
i zawieraj nastpujce elementy:
Local Security Authority,
usuga Net Logon,
usuga Security Accounts Manager,
usuga LSA Server,
Secure Sockets Layer,
protokoy uwierzytelniania Kerberos V5 i NTLM.

36

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

37

Podsystem bezpieczestwa monitoruje zaoenia bezpieczestwa i w efekcie ma wpyw


na cay system operacyjny.

Local Security Authority (LSA)


Local Security Authority (LSA) jest moduem chronionym, ktry utrzymuje bezpieczestwo lokalne systemu (zwane zaoeniami bezpieczestwa lokalnego Local
Security Policy).
Generalnie LSA peni cztery podstawowe funkcje:
zarzdza zaoeniami bezpieczestwa lokalnego,
dostarcza interaktywnych usug logowania uytkownika,
generuje znaczniki, zawierajce informacje o uytkownikach i grupach,

dotyczce przywilejw uytkownika w zakresie bezpieczestwa,


zarzdza zasadami i ustawieniami nadzorowania oraz zapisuje ostrzeenia

do waciwego dziennika systemowego.


Zasady bezpieczestwa lokalnego identyfikuj nastpujce elementy:
domeny zaufane w celu uwierzytelnienia procesw uwierzytelniania

uytkownikw,
uytkownikw posiadajcych moliwo dostpu do systemu i ich wasnych

metod (dostpu lokalnego, zdalnego lub poprzez usug),


uytkownikw, ktrym nadano przywileje,
poziom kontroli bezpieczestwa,
domylne iloci przydzielanej pamici.

LSA zawiera nastpujce, wymienione niej, komponenty.


Netlogon.dll usuga bezpiecznie przekazujca kontrolerowi domen

uwierzytelnienia uytkownikw i zwracajca identyfikatory bezpieczestwa


domen (Domain Security Identifiers SID) oraz prawa uytkownika.
W przypadku kontrolerw domen w systemie Windows NT 4.0 dziaa
ona take jako protok replikacji.
Msv1_0.dll protok uwierzytelniania NT Lan Manager (NTLM) stosowany

wobec klientw, ktre nie wykorzystuj uwierzytelniania przez Kerberos.


Schannel.dll protok uwierzytelniania Secure Sockets Layer (SSL),

ktry zapewnia uwierzytelnianie na szyfrowanym kanale.


Kerberos.dll protok uwierzytelniajcy Kerberos V5 zapewniajcy

uwierzytelnianie Windows 2000.


Kdcsvc.dll usuga Kerberos Key Distribution Center (KDC)

odpowiedzialna za przyznawanie znacznikw klientom.


Lsasrv.dll usuga serwera LSA narzucajca zasady bezpieczestwa.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

37

38

Administracja Microsoft Active Directory


Samsrv.dll usuga Security Accounts Manager (SAM) przechowujca

lokalne konta bezpieczestwa, narzucajca lokalnie przechowywane zasady


oraz obsugujca API.
Ntdsa.dll modu usug katalogowych obsugujcy protok replikacji

Windows 2000 i protok LDAP oraz zarzdzajcy partycjami danych.


Secur32.dll operator wielokrotnego uwierzytelniania czcy wszystkie

aplikacje.

Architektura usugi katalogowej


Dziaanie Active Directory opiera si na architekturze warstwowej, w ktrej warstwy reprezentuj dziaania serwerw dostarczajce usug katalogowych aplikacjom klientw.
Active Directory skada si z trzech warstw usug, wielu interfejsw i protokow, ktre,
wspdziaajc ze sob, dostarczaj usug katalogowych. Tymi trzema warstwami s:
Directory System Agent (DSA),
warstwa bazodanowa (Database Layer),
silnik bazy danych (Extensible Storage Engine ESE).

Warstwy te przechowuj rne rodzaje informacji wymagane do lokalizowania wpisw w katalogowej bazie danych. W tej architekturze ponad warstwami usug znajduj si
protokoy i API (API zlokalizowane s tylko na klientach) umoliwiajce komunikacj pomidzy klientami a usugami katalogowymi lub te pomidzy dwiema usugami
katalogowymi w przypadku replikacji.
Na rysunku 2.2 widzimy dwie warstwy usug w Active Directory, ich poszczeglne
interfejsy i protokoy. Kierunki, w jakie zwrcone s strzaki, pokazuj, jak poprzez interfejsy klienty uzyskuj dostp do Active Directory. Klienty LDAP oraz Messaging API
(MAPI) maj dostp do katalogu za pomoc wywoywania funkcji wskazanych przez
jednokierunkowe strzaki do agenta katalogu systemowego. Baza danych SAM funkcjonuje jako osobna biblioteka doczana dynamicznie (DLL) i moe wywoywa jedynie punkty wejcia wysane przez agenta katalogu systemowego. Wszystkie inne
skadniki, poza silnikiem bazy danych (Esent.dll), znajduj si w Ntdsa.dll i s poczone z funkcjami, ktre miay wywoywa. Ze wzgldu na taki ukad pomidzy bibliotekami wymagane jest istnienie trjkierunkowej interakcji.
Gwne skadniki usug wymieniamy poniej.
Directory System Agent (DSA) tworzy hierarchi ze struktury domeny

przechowywanej w katalogu oraz dostarcza API ktry umoliwia


wykonywanie wywoa dostpu do katalogu.
Warstwa bazodanowa dostarcza abstrakcyjnej warstwy pomidzy

aplikacjami i baz danych. Przechodz przez ni wywoania z aplikacji.


Nigdy nie wykonuje si wywoa bezporednio do bazy danych.

38

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

39

Rysunek 2.2.
Warstwy usug
Active Directory
i odpowiadajce
im interfejsy

Silnik bazy danych (ESE) komunikuje si z zapisami w danych

katalogowych opartych na atrybucie obiektw zwanym wzgldnie


wyrnion nazw.
Magazyn danych (Ntds.dit) element bazy danych Active Directory. Moe

by zmieniany tylko przez silnik bazy danych ESE. Plikiem tym mona
administrowa za pomoc Ntdsutil, narzdzia wywoywanego z wiersza
polece (wicej informacji o tym narzdziu znajduje si w dodatku A).
Klienty uzyskujce dostp do Active Directory stosuj jeden z poniszych interfejsw
obsugiwanych przez Active Directory.
LDAP/ADSI protok uproszczonego dostpu do katalogw (Lightweight

Directory Access Protocol LDAP) oraz interfejsy usugi Active Directory


(Active Directory Service Interfaces ADSI).
MAPI Messaging API, stosowane przez program Microsoft Outlook.

Klienty Outlooka cz si z agentem DSA przez zdalne wywoanie procedury


(Remote Procedure Call RPC) operatora interfejsu ksiki adresowej.
SAM emulacja starszej wersji systemu, czy si z DSA, opierajc si

na gwnej bazie danych uytkownikw SAM. Zapasowe kontrolery domen


dla trybu mieszanego wykorzystuj te interfejs bazy danych SAM do replikacji.
REPL agenci DSA w Active Directory, cz si ze sob za pomoc

wasnych interfejsw RPC podczas replikacji katalogowej.


RPC zdalne wywoanie procedury (Remote Procedure Call) stosowane

dla TCP/IP w celu transmisji i synchronizacji informacji w szybkich,


niezawodnych sieciach. Dziaa take jako interfejs zezwalajcy na zdalne
przeprowadzanie operacji systemowych.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

39

40

Administracja Microsoft Active Directory

Agent katalogu systemowego (DSA)


Agent katalogu systemowego (DSA) jest procesem zachodzcym po stronie serwera,
ktry tworzy egzemplarz usugi katalogowej i dostarcza dostp do danych katalogowych.
Klienty wykorzystuj jeden z obsugiwanych interfejsw do uzyskania poczenia z DSA
w celu odniesienia si do obiektw Active Directory, zarzdzania nimi i ich atrybutami.
Warstwa DSA zapewnia identyfikacj obiektw, obsug replikacji oraz narzucenie
odniesie i schematu.

Warstwa bazodanowa
Warstwa bazodanowa zapewnia obiektowy wgld w informacje o bazie danych Active
Directory oraz zapobiega bezporedniemu dostpowi grnych warstw usugi katalogowej
do lecego poniej systemu bazodanowego. Warstwa ta jest wewntrznym interfejsem, przechodz przez ni wszystkie wywoania i dania. Nie jest moliwy bezporedni
dostp do silnika bazy danych.

Silnik bazy danych


Silnik bazy danych (ESE) przechowuje wszystkie dane Active Directory w pliku ntds.dit
i jest zbudowany na podstawie bazy danych ESE z programu Microsoft Exchange.
Wersj tej bazy danych w Windows 2000 jest Esent.dll. Wedug Microsoftu ESE moe
obsugiwa baz danych do wielkoci 16 TB. Testy wykazay, e jest w stanie utrzymywa do 40 milionw obiektw na domen.
Active Directory posiada predefiniowany schemat, ktry okrela wszystkie wymagane
i moliwe dla danego obiektu atrybuty. ESE rezerwuje obszar tylko dla uywanej
przestrzeni (wycznie atrybuty z wartociami) i rozszerza si w miar dodawania atrybutw. Gdy pracujesz w sieci, moesz wykona kopie zapasowe ESE.
Wicej informacji o przechowywaniu danych znajdziesz w podrozdziale Przechowywanie danych przy kocu tego rozdziau.

Protokoy, interfejsy
i usugi Active Directory
Model danych w Active Directory pochodzi z informacyjnego modelu obiektw i atrybutw (lub wasnoci) X.500. Na przykad atrybuty obiektu uytkownika mogyby
zawiera informacje o nazwie uytkownika, jego numer telefonu oraz adres e-mail.
Naley zauway, e Active Directory nie jest katalogiem modelu X.500. Nie implementuje protokow modelu X.500, ktre to zawieraj Directory Access Protocol

40

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

41

DAP, Directory System Protocol DSP, Directory Information Shadowing Protocol


DISP oraz Directory Operational Binding Management Protocol DOP. LDAP
dostarcza najwaniejszych funkcji oferowanych przez DAP i jest zaprojektowane do pracy na TCP/IP, bez dodatkowych kosztw zwizanych z kapsukowaniem protokow modelu OSI poprzez TCP/IP.

Usuga katalogowa X.500


Model informacji w Active Directory pochodzi z modelu informacyjnego X.500. Definiuje rozmaite protokoy komunikacji, ktrych nie implementuje Active Directory.
Protokoy te to:
DAP Directory Access Protocol,
DSP Directory System Protocol,
DISP Directory Information Shadowing Protocol,
DOP Directory Operational Binding Management Protocol.

Active Directory nie implementuje tych protokow ze wzgldu na mae nimi zainteresowanie, ktre wynika z tego, e protokoy te zalene s od sieci opartych na modelu OSI,
alternatywnie dla TCP/IP, ktry nie zosta powszechnie zaimplementowany (z powodu niskiej efektywnoci transportu). LDAP dostarcza najwaniejsze funkcje oferowane przez DAP i DSP i jest zaprojektowany do pracy na TCP/IP bez dodatkowych kosztw
administracyjnych.

Lightweight Directory Access Protocol (LDAP)


W Active Directory LDAP suy zarwno jako protok, jak i API. LDAP jest podstawowym protokoem Active Directory, co oznacza, e jest jedynym protokoem komunikacji
obsugiwanym przez Active Directory. API dla LDAP zapewnia dostp do protokou
LDAP. Protok LDAP wykorzystywany jest przez ADSI.
LDAP jest protokoem komunikacyjnym, co oznacza, e zarz&dza kapsukowaniem
przeprowadzanym przez klienta i serwer oraz wysya &dania transmisji.

LDAP by pocztkowo stosowany z katalogami modelu X.500. LDAPv3 to standard


przemysowy, ktry moe by stosowany z jakkolwiek usug katalogow implementujc protok LDAP. Active Directory obsuguje wersje LDAPv2 oraz LDAPv3.
Wersja LDAPv3 jest kompatybilna ze starsz& wersj& LDAPv2. Wymogiem wersji
LDAPv3 jest, aby klienty LDAPv2 te mogy si z ni& po&czy.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

41

42

Administracja Microsoft Active Directory

Interfejsy usugi Active Directory


Active Directory Services Interface (ADSI)
Podstawowym i zalecanym API dla Active Directory jest ADSI. Udostpniajc
obiekty przechowywane w katalogu jako obiekty COM, ADSI dostarcza prostego, zorientowanego obiektowo interfejsu o duych moliwociach. ADSI skada si z interfejsw programowania obiektw COM. Obiektu katalogowego uywamy, stosujc
metody na jednym lub wikszej liczbie interfejsw COM. Implementujc wymagane interfejsy, operatory ADSI tumacz je na wywoania konkretnych usug katalogowych.
ADSI uatwia programistom i administratorom tworzenie programw za pomoc wysokopoziomowych narzdzi, takich jak Microsoft Visual Basic, Java, C lub Visual C++, bez
potrzeby troszczenia si o podstawowe rnice pomidzy rnymi przestrzeniami nazw.
ADSI umoliwia te budowanie lub kupowanie programw, ktre daj pojedynczy
punkt dostpu do wielu katalogw w sieci, niezalenie od tego, czy s oparte na LDAP,
czy na innym protokole. ADSI mona zmienia za pomoc pisanych skryptw, co jest
wygodne dla administratorw.
ADSI ukrywa przed uytkownikami szczegy dotyczce LDAP. Jest to interfejs prostszy
w strukturze ni API LDAP.

Replikacja w Active Directory


Replikacja w Active Directory zachodzi poprzez protokoy transmisji replikacji. Active
Directory przeprowadza replikacj na rne sposoby, w zalenoci od tego, czy znajduje si wewntrz lokacji, czy pomidzy lokacjami (midzylokacyjna). W przypadku
replikacji wewntrz lokacji Active Directory stosuje protokoy transportu RPC ponad IP.
W midzylokacyjnej replikacja Active Directory posuguje si wyborem dwch protokow replikacji: IP (RPC ponad IP) i Simple Mail Transfer Protocol (SMTP ponad IP).
RPC ponad IP jest stosowane zawsze, poza jednym wyj&tkiem w wypadku gdy zachodzi ruch zwi&zany z replikacj& midzylokacyjn& pomidzy rnymi kontrolerami
domen w odmiennych domenach i administrator zdecydowa si na wybr SMTP.

Wicej informacji o replikacji w Active Directory znajduje si w rozdziale 8. Zarzdzanie lokacjami, replikacj i ruchem w sieci.

Podstawy struktury logicznej


Zasoby w Active Directory organizuje si w struktur logiczn, ktra umoliwia definiowanie i grupowanie zasobw tak, e mog by lokowane wedug nazw, a nie lokalizacji fizycznej. W poprzednich wersjach Microsoft Exchange zasoby byy tradycyjnie
organizowane jako siedziby i serwery ze wzgldu na wygod administracji. Zasoby
wActive Directory zawieraj obiekty, jednostki organizacyjne, domeny, drzewa i lasy.

42

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

43

Hierarchia domen
W Windows 2000 domena definiuje zarwno granic administracyjn, jak i granic
bezpieczestwa dla zbioru obiektw, ktre s istotne dla konkretnej grupy uytkownikw w sieci. Przywileje administracyjne nie rozszerzaj si od jednej domeny do
innych, a zaoenia bezpieczestwa domeny odnosz si tylko do kont bezpieczestwa wewntrz niej.
Active Directory skada si z jednej lub wicej domen. Domena jest granic bezpieczestwa sieci opartej na Windows NT lub Windows 2000, w ktrej przywileje nadawane
w jednej domenie nie przenosz si na inne. Wszystkie obiekty i jednostki organizacyjne istniej tylko wewntrz domeny. Std te domena w Windows 2000, podobnie do
domeny w Windows NT 4.0, moe zawiera komputery, grupy i kontakty.
Do korzyci z organizowania sieci w domeny moemy zaliczy:
moliwo ustanowienia zasad bezpieczestwa (prawa i uprawnienia

administracyjne), ktre nie przechodz przez granice domen,


moliwo delegowania uprawnie administracyjnych przez domen

lub jednostk organizacyjn w celu zmniejszenia liczby administratorw


z uprawnieniami na poziomie caej sieci,
moliwo przechowywania informacji obiektowej wewntrz specyficznej

domeny.
Domeny s jednostkami replikacji, mog otrzymywa zmiany Active Directory i replikowa je do innych kontrolerw domen. Wszystkie kontrolery domen przetrzymuj
modyfikowaln kopi Active Directory.
Posiadanie kilku domen w sieci nie zawsze jest korzystne. Wicej informacji na
ten temat znajduje si w rozdziale 5. Bezpieczestwo w Active Directory.

Domeny mog by organizowane hierarchicznie w zwizki rodzic-dziecko. Jak wspominalimy wczeniej, domena nadrzdna jest domen bezporednio wysz w hierarchii
wzgldem jednej lub wicej podlegych bd potomnych domen.
Rysunek 2.3.
Hierarchia domen
w Windows 2000

Ta hierarchiczna struktura rni si od paskiej struktury domen w poprzednich wersjach NT. Hierarchia domenowa w Windows 2000 umoliwia przeszukiwanie licznych
domen w jednym zapytaniu, poniewa kada z nich zawiera informacje o domenach

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

43

44

Administracja Microsoft Active Directory

nadrzdnych i potomnych. Eliminuje to potrzeb dokadnej znajomoci lokalizacji


obiektu, jeli chce si go odnale. W poprzednich wersjach NT, chcc zlokalizowa
obiekt, trzeba byo zna domen i serwer, w ktrych znajdowa si obiekt. W duych
sieciach byo to nieefektywne.

Nazwy domen w Active Directory


Active Directory uywa hierarchicznych standardw nazewniczych dla domen i komputerw. Obiekty domenowe i komputerowe istniej w hierarchii domen DNS i domen
Active Directory.
Mimo e te hierarchie domen maj& identyczne nazwy, to reprezentuj& osobne
przestrzenie nazw.

Konwencje nazewnicze w systemie DNS


Active Directory stosuje standardy przestrzeni nazw pochodzce z systemu DNS, aby
mc obsugiwa mapowanie nazw domen DNS na adresy IP.
Kontrolery domen w Active Directory s identyfikowane ze wzgldu na ich specyficzne usugi, takie jak serwery LDAP, kontrolery domen i serwery przechowujce
katalog globalny.
Hierarchia DNS jest narzucona przez nastpujce wymagania:
domena potomna moe mie tylko jedn domen nadrzdn,
dwch potomkw tej samej domeny nadrzdnej nie moe mie tej samej

nazwy.
Poniewa domeny Active Directory stosuj& nazwy DNS, oba te standardy odnosz&
si do domen Active Directory.

W konwencji nazw sytemu DNS kropka (.) oddziela kad cz nazwy DNS, tak
samo jak nazw domeny w hierarchicznej strukturze drzewiastej Active Directory.
Przykadowo: w DNS nazwie il.na.kevinkocis.com wszystkie wyraenia il, na, kevinkocis
oraz com odnosz si do domeny DNS. Jak przedstawiono na rysunku 2.4, w Active
Directory nazwa domeny il.na.kevinkocis.com reprezentuje hierarchi, w ktrej kevinkocis.com jest domen nadrzdn (najwysz w hierarchii), .na jest domen potomn
kevinkocis.com, a .il jest domen potomn na.kevnikocis.com.
Domena .com znajduje si na zewntrz Active Directory, pomimo e wydaje si czci nazwy domeny. Domeny, takie jak .com, .org i .edu, s domenami najwyszego
poziomu, stosowanymi w Internecie do klasyfikowania organizacji wedug ich typw.

44

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

45

Rysunek 2.4.
Hierarchia w Active
Directory wraz
z nazwami DNS

Hierarchia domen jest tworzona jako rezultat cigego schematu przestrzeni nazw, w ktrym kady podlegy poziom odnosi si do poprzedniego poziomu.
Poniewa kada domena Windows 2000 posiada nazw DNS (kevinkocis.com) i kady
komputer oparty na Windows 2000 posiada take nazw DNS (dc1.kevinkocis.com),
to domeny i komputery s reprezentowane zarwno jako obiekty w Active Directory,
jak i wzy w systemie DNS.
Warto jednak zauway, e obiekt konta domeny komputera jest w innej przestrzeni
nazw ni zapis wza DNS, ktry reprezentuje ten sam komputer w przestrzeni DNS.

Struktura drzew i lasw


Liczne domeny mog zosta poczone w struktury zwane drzewami i lasami domenowymi. Domeny w Active Directory s tworzone w odwrconej strukturze drzewa
(podobnie jak w systemie DNS), gdzie korze znajduje si na szczycie. Hierarchie
w Active Directory s poczone dwukierunkowymi, przechodnimi relacjami zaufania.
Liczba relacji zaufania wymaganych do po&czenia domen wynosi n1, przy czym n
oznacza liczb wszystkich domen.

Jeli domeny w tej samej sieci wymagaj rnych przestrzeni nazw, naley utworzy
osobne drzewo dla kadej przestrzeni nazw. Niecige, poczone relacjami zaufania,
drzewa tworz las. Pojedyncze drzewo bez zwizkw z innymi drzewami jest lasem
skadajcym si z jednego drzewa.
Zwizki w strukturze Windows 2000 dla caego lasu s przechowywane w Active
Directory jako obiekty kont relacji zaufania w kontenerze systemowym wewntrz
specjalnej partycji domeny katalogowej. Informacje o poczeniach wybranej domeny
z domen nadrzdn s dodawane do danych konfiguracyjnych, replikowanych do kadego drzewa w lesie. W ten sposb kady kontroler domen w lesie zna struktur drzew
caego lasu, wcznie ze znajomoci pocze pomidzy drzewami.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

45

46

Administracja Microsoft Active Directory

Drzewa
Drzewo jest hierarchicznym pogrupowaniem jednej lub wicej domen posiadajcych
wspln struktur nazw. Kocwki drzewa s zwykle obiektami. Wzy w drzewie
(punkty, w ktrych drzewo si rozgazia) s kontenerami, zawierajcymi grup obiektw
lub inne kontenery. Drzewo pokazuje, jak poczone s obiekty albo jak wyglda
cieka od jednego z nich do drugiego (rysunek 2.3).
Standardowe nazwy DNS s wykorzystywane do reprezentowania struktury drzew (na
przykad na.kevinkocis.com). Pierwsza domena w drzewie zwana jest domen-korzeniem
(w tym przypadku, kevinkocis). Dodatkowe domeny w tym samym drzewie zwane s
domenami potomnymi. Na.kevinkocis.com jest domen potomn dla kevinkocis.com.
Active Directory uwaane jest za przestrze nazw, a wszystkie domeny posiadajce
wspln domen-korze tworz cig przestrze nazw.
Drzewa domen w Windows 2000 rozcigaj si w Active Directory przedsibiorstwa.
Wszystkie domeny danego przedsibiorstwa musz nalee do drzewa domenowego
tego przedsibiorstwa. Te przedsibiorstwa, ktre musz obsugiwa niecige nazwy
DNS dla swych domen, s zmuszone do utworzenia lasu.

Lasy
Las moe skada si z jednego lub wicej drzew nietworzcych cigej przestrzeni
nazw. Lasy pozwalaj organizacjom na grupowanie oddziaw, ktre funkcjonuj
niezalenie, ale i tak musz si komunikowa. Lasy posiadaj domeny-korzenie, czyli
pierwsze domeny w lesie, ktre s niezbdne do ustalania relacji zaufania pomidzy
drzewami domen. Las funkcjonuje jako zestaw wzajemnie powizanych obiektw oraz
relacji zaufania. Domeny w drzewach i lasach rwnie wspdziel wsplny schemat
i informacje o konfiguracji. Std te organizacja w programie Exchange moe rozciga
si na cay las, ale nie na kilka lasw.
Lasy bd& ewoluowa gwnie ze spek i fuzji przedsibiorstw. Bdzie to zaleao
od bie&cej struktury katalogowej kadej firmy.

Wiksz liczb lasw i relacji zaufania mona utworzy pomidzy konkretnymi domenami w rnych lasach. Umoliwia to zapewnienie dostpu do zasobw i kont, znajdujcych si na zewntrz konkretnego lasu. Jednak w przypadku programu Exchange infrastruktura nie moe rozciga si na wicej ni jeden las.
Zwi&zki zaufania tworzone pomidzy domenami w rnych lasach s& domylnie
jednokierunkowe i nieprzechodnie.

Rysunek 2.5 przedstawia zwizki w lesie. Lasy s na szczycie hierarchii skadajcej


si z drzew zawierajcych domeny. Domeny skadaj si z innych domen lub jednostek
organizacyjnych.

46

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

47

Rysunek 2.5.
Struktura lasu
w Active Directory

Nazwa wyrniajca (Distinguished Name DN)


Nazwa wyrniajca jest unikalna i identyfikuje pojedynczy obiekt w sieci. LDAP nazywa osobno kady obiekt w sieci dziki licie oddzielonych przecinkami wartoci. Pena
cieka dostpu do obiektu jest identyfikowana za pomoc nazwy DN.
W Active Directory nie mog& istnie dwie identyczne nazwy wyrniaj&ce. Jeli takie nazwy pojawi& si w tej samej grupie (na przykad dwch uytkownikw nazywaj&cych si Chris Smith, pracuj&cych w dziale zarz&dzania w tej samej lokacji),
moe by konieczna zmiana konwencji nazewniczej.

Nazwa wyrniajca zawiera informacje dla klienta LDAP niezbdne do pobrania


danych o obiekcie z katalogu.
Na przykad uytkownik nazywajcy si Chris Smith pracuje w wydziale finansw
wymylonej przez nas firmy. Jego konto uytkownika jest tworzone w jednostce organizacyjnej, ktra przechowuje konta pracownikw wydziau finansowego, pracujcych
z ksig gwn (GL). Identyfikator uytkownika dla Chrisa Smitha to  (on
sam pracuje w pnocnoamerykaskim oddziale tej firmy). Domen-korzeniem firmy
jest kevinkocis.com, a domen lokaln jest na.kevinkocis.com. DN dla tego konta wygldaby nastpujco:

 


 
 

Rysunek 2.6 przedstawia warstwy wyznaczajce nazw wyrniajc.


Naley zauway, e kada cz DN jest powizana z klas obiektu schematem
nazw zaadaptowanym z protokou LDAP. Istniej trzy wane zasady przy uywaniu
atrybutw klas, wymieniamy je poniej.
Atrybut DC jest przyznawany skadnikom systemu DNS.
Atrybut OU jest przyznawany jednostkom organizacyjnym.
Atrybut CN jest przyznawany wszystkim innym atrybutom.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

47

48

Administracja Microsoft Active Directory

Rysunek 2.6.
Nazwa wyrniajca
dla obiektu uytkownika
Chris Smith

Nazw wyrniajc czyta si, rozpoczynajc od nazwy najbardziej szczegowej


i koczc na najbardziej oglnej, czyli od lewej do prawej. W przypadku nazw wyrniajcych w LDAP rozpoczynaj si one od lewej i kocz po prawej nazw korzenia.
Moduy z MMC nie wywietlaj skrtw LDAP domenowego skadnika atrybutw nazw
( ), jednostki organizacyjnej (
) ani wsplnej nazwy ( ). Te skrty pokazywane
s tylko w celu zilustrowania sposobu, w jaki LDAP rozpoznaje czci nazwy wyrniajcej. Wikszo narzdzi w Active Directory umoliwia zobaczenie nazw obiektw
w formie kanonicznej (poniewa nazwy wyrniajce s trudne do zapamitania), co opiszemy w dalszej czci tego rozdziau.
Kada cz nazwy wyrniaj&cej jest wyraana w formie     

(na przykad  ).

Wzgldna nazwa wyrniajca


Wzgldna nazwa wyrniajca obiektu (Relative Distinguished Name RDN) jest czci nazwy odrniajcej ten obiekt od innych w jego hierarchii nazw. Sama nazwa obiektu
(atrybut CN), wystpujca oddzielnie od cieki obiektu, jest zdefiniowana przez RDN.
Na rysunku 2.6 w poprzednim podrozdziale RDN obiektu jest . Dozwolona
maksymalna dugo RDN wynosi 255 znakw, ale schemat narzuca bardziej wyspecyfikowane ograniczenia. Przykadowo typ atrybutowy cn, czsto stosowany do okrelania RDN, jest ograniczony do 64 znakw.
RDN w Active Directory s unikatowe wewntrz konkretnego kontenera nadrzdnego.
Active Directory nie zezwala na istnienie dwch identycznych RDN w tym samym
kontenerze nadrzdnym, ale mog one istnie w rnych hierarchiach.

48

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

49

Dwa obiekty mog& mie identyczne RDN, ale wci& pozostawa unikatowe, poniewa wewn&trz wasnych kontenerw nadrzdnych ich DN nie s& takie same.
Patrz&c kategoriami LDAP, obiekt     
 
 jest
identyfikowany jako inny ni    
 
.

RDN kadego obiektu jest przechowywana w bazie danych Active Directory i zawiera referencj do jego obiektu nadrzdnego.

Atrybuty nazywania
Active Directory korzysta ze standardw nazewniczych atrybutw zaproponowanych
w serii dokumentw Request For Comments (RFC) 2253, ale nie implementuje wszystkich standardw. Na przykad Active Directory nie stosuje pewnej nomenklatury, co zaraz zostanie opisane.
W Active Directory typ atrybutowy, stosowany do opisywania RDN obiektu (w tym
przypadku,  ), zosta zdefiniowany jako atrybut nazywania. Przykadowo w klasie
User atrybut cn (Common Name) jest atrybutem nazywania. Z tego powodu RDN dla
uytkownika Csmith jest wyraana jako  .
Atrybuty nazywania przedstawione w tabeli 2.1 s stosowane w Active Directory, jak
zostao to opisane w RFC 2253.
Tabela 2.1. Atrybuty nazywania w Active Directory (domylne)
Klasa obiektu

Nazwa wy+wietlana

Nazwa atrybutu
nazywania LDAP

User

Nazwa wsplna (Common-Name)

cn

Organizational Unit

Nazwa jednostki organizacyjnej


(Organizational-Unit-Name)

ou

Domain

Skadnik domenowy
(Domain-Component)

dc

Inne atrybuty nazywania opisane w RFC 2253 (



  i  
) nie zostay
zaimplementowane do Active Directory, pomimo faktu, e s rozpoznawane przez LDAP.
Atrybutw nazywania (takich jak DN i RDN) uywa si tylko przy programowaniu pod
LDAP, uytkowaniu ADSI czy innych jzykw skryptowych lub jzykw programowania.

Tosamo i unikalno obiektw


Kady obiekt w Active Directory posiada unikatow tosamo, nawet jeli zosta on
przeniesiony lub usunity. Tosamo obiektu jest zdefiniowana poprzez globalnie unikalny identyfikator (Globally Unique Identifier GUID), 128-bitowy numer przyznawany
przez systemowego agenta katalogowego (DSA) w czasie tworzenia obiektu. GUID jest
stale przechowywany w atrybucie objectGUID obecnym w kadym obiekcie. Atrybut
objectGUID jest zabezpieczony i nie moe by zmieniany ani usuwany.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

49

50

Administracja Microsoft Active Directory

Zwykle nazw GUID czyta si jako gid.

Formaty nazw w Active Directory


Active Directory obsuguje wiele formatw nazw obiektw. Formaty te zale od sposobu, w jaki obiekt zosta utworzony. Active Directory wywietla nazwy w formacie
kanonicznym, co przedstawia ponisza lista. Wymienione tu formaty s obsugiwane
przez Active Directory i oparte na nazwach wyrniajcych protokou LDAP.
LDAP Distinguished Name wersje LDAPv2 i LDAPv3 rozpoznaj
standardowe konwencje nazw, w ktrych  oznacza nazw wspln,

jednostk organizacyjn,
organizacj,  kraj/region. Active
Directory implementuje skadnik domenowy () zamiast oznaczajcego
organizacj i nie obsuguje  oznaczajcego kraj/region. Przykadowo:




 
 

LDAP Uniform Resource Locator (URL) Active Directory wspomaga

dostp LDAP dla kadego klienta obsugujcego LDAP. URL w protokole


LDAP nazywa serwer posiadajcy usugi Active Directory i DN obiektu.
Przykadowo:
  



 

 

Active Directory Canonical Name w interfejsach uytkownikw

w Windows 2000 nazwy obiektw s domylnie wywietlane wedug


nazw kanonicznych (potocznych), przy wykorzystaniu nazw domen DNS
(oddzielonych kropkami). Odpowiednia nazwa kanoniczna dla poprzedniego
przykadu wygldaaby nastpujco:
  

Jeli nazwa jednostki organizacyjnej posiada znak (/), na przykad nazwa OU to finance/gl, system wymaga specjalnego znaku steruj&cego w formie ukonika (\).
Robi si to dla rozrnienia pomidzy znakiem (/) oddzielaj&cym nazw kanoniczn& i znakiem (/) bd&cym te czci& nazwy jednostki organizacyjnej.

Nazwa kanoniczna pojawiajca si we waciwociach Active Directory Users and Computers (Uytkownicy i komputery usugi Active Directory) wywietla znak sterujcy,
wystpujcy zaraz po znaku forward slash (/) w nazwie jednostki organizacyjnej. Na
przykad, jeli nazw jednostki organizacyjnej jest Fiance/GL, a nazwa domeny to Kevinkocis.com, nazwa kanoniczna wywietlana jest jako Kevinkocis.com/Finance\/GL.

Mapowanie nazw wyrniaj&cych dla DNS-do-LDAP


Poniewa nazwy domen w systemie DNS tworz kopie lustrzane nazw domen z Active
Directory, moe powsta zamieszanie z powodu obecnej przestrzeni nazw. Nazwy
w Active Directory maj inny format, wymagany przez LDAP do identyfikowania
obiektw katalogowych. Dlatego nazwy domen w systemie DNS s mapowane do nazw
domen DNS i vice versa.

50

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

51

Active Directory korzysta z algorytmu do automatycznego przyznawania DN protokou LDAP dla kadej nazwy domeny w systemie DNS. Algorytm ten dostarcza etykiety typu atrybutowego skadnika domenowego kadej etykiecie w nazwie domenowej
DNS. Na przykad domena DNS na.kevinkocis.com jest tumaczona na DN protokou
LDAP w formie    
 
.

Nazwy logowania uytkownikw


Uytkownik uzyskujcy dostp do domeny i jej zasobw musi otrzyma nazw logowania uytkownika. Konta uytkownikw nale do kategorii security principals (s
wic obiektami, do ktrych zabezpieczenia nadawane s w formie uwierzytelniania i autoryzacji) i s uwierzytelniane w momencie zalogowania si do domeny lub komputera
lokalnego. S autoryzowane, kiedy otrzymuj dostp do zasobw.
Konta uytkownikw nalece do kategorii security principals posiadaj dwa rodzaje
nazw logowania:
nazwa konta SAM,
gwna nazwa uytkownika (User Principal Name UPN).

Nazwa konta SAM wymagana jest dla kompatybilnoci z poprzednimi domenami


Windows NT. Nazwy kont SAM, w porwnaniu do hierarchicznych nazw DNS, s
nazwami paskimi.
Gwna nazwa uytkownika (UPN) jest nazw przyjazn, krtsz i atwiejsz do
zapamitania ni DN. Skada si ze skrconej nazwy, ktra zwykle reprezentuje uytkownika, oraz DNS nazwy domeny, w ktrej rezyduje obiekt uytkownik. Na przykad uytkownik Chris Smith, posiadajcy konto uytkownika w domenie kevinkocis.com, moe mie UPN Csmith@kevinkocis.com. Poniewa UPN nie zaley od DN
uytkownika, mona przenosi obiekt uytkownika oraz nadawa mu inn nazw bez
zmiany nazwy logowania uytkownika.
UPN jest atrybutem (UserPrincipalName) obiektu security principal. Jeli atrybut
nie ma wartoci, domyln& UPN jest <nazwauytkownika>@<nazwadomenyDNS>.

Jeli nie chcemy stosowa domylnej nazwy domeny (na przykad bardzo dugiej nazwy
DNS), mona tworzy i przyznawa dodatkowe sufiksy gwnej nazwy uytkownika
(User Principal Name Suffix). Dlatego Chris Smith, zamiast nazwy csmith@na.kevinkocis.com, moe uywa nazwy csmith@kk.com (zilustrowano to na rysunku 2.7). Wicej
informacji na temat tworzenia dodatkowych sufiksw do nazw UPN znajduje si w rozdziale 4. Zarzdzanie uytkownikami, grupami i komputerami.

Podstawy struktury fizycznej sieci


Active Directory rozdziela struktur logiczn hierarchii domen od fizycznej struktury
sieci. Dziki logicznemu grupowaniu zasobw mona je umiejscawia za pomoc

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

51

52

Administracja Microsoft Active Directory

Rysunek 2.7.
Dodawanie sufiksw
do nazw UPN w oknie
Active Directory
Domains and Trusts
Properties
(Waciwoci domen
i relacje zaufania
w Active Directory)

nazw, a nie fizycznej lokalizacji. Poniewa zasoby grupowane s logicznie, fizyczna


struktura sieci jest przezroczysta dla uytkownikw.
Fizyczna struktura Active Directory opiera si na lokacjach, ktre s kombinacjami
jednej lub wicej podsieci opartych na protokole IP i poczonych szybkimi czami.
Microsoft za szybkie &cze uwaa takie, w ktrym przepustowo wynosi 10 milionw lub wicej bitw na sekund. Z punktu widzenia administratorw &cze T1 mona
uzna za szybkie, jeli nie jest zapchane. Administrator bdzie te musia zadecydowa, czy naley tworzy dodatkowe lokacje do kontrolowania ruchu w sieci.

Active Directory stosuje replikacj w celu zapewnienia, e cao zmian w kontrolerach domen zostaa zaktualizowana we wszystkich innych kontrolerach w danej domenie.
Active Directory generuje wewntrz lokacji topologi piercienia suc do replikacji pomidzy kontrolerami w domenie. Zapewnia to przynajmniej dwie cieki replikacji od jednego do drugiego kontrolera domen. Replikacja moe mie miejsce nawet
wtedy, gdy kontroler domeny uleg awarii lub nie jest podczony do sieci. Jeli doda
si lub usunie kontroler domeny z sieci lub lokacji, Active Directory automatycznie
rekonfiguruje topologi, aby odzwierciedli zmian.
Wicej informacji znajduje si w rozdziale 8. Zarzdzanie lokacjami, replikacj i ruchem w sieci.

Skadniki katalogw
Active Directory posiada rnorodne obiekty pogrupowane za pomoc kontenerw
(w formie jednostek organizacyjnych OU). Katalog jest ponadto podzielony na partycje zwane katalogowymi lub Naming Contexts.

52

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

53

Obiekty
Obiekt jest w Active Directory podstawowym elementem, oddzielnym zestawem atrybutw i reprezentuje na przykad uytkownika, drukark, komputer lub aplikacj. Atrybuty
s cechami charakterystycznymi kadego obiektu zdefiniowanego w katalogu. Atrybuty obiektw zawieraj informacje o lokalizacji i cechach danego obiektu. Kady uytkownik jest rwnie uznawany za obiekt. W Microsoft Exchange do atrybutw uytkownika wliczalimy: jego imi (np. Chris), nazwisko (Smith), adres e-mail (csmith@
kevinkocis.com) i moliwo odbierania przez niego poczty elektronicznej, jej rodzajw i miejsca, gdzie mg j otrzymywa. Obiekty s przypisanymi zezwoleniami na
dostp i mog by gromadzone oraz organizowane w elementy zwane kontenerami.

Nazwy obiektw
Wszystkie obiekty w Active Directory stosuj si do konwencji nazewniczych, ktrych
w Active Directory jest wiele. Mimo e DNS jest efektywnym narzdziem do tumaczenia nazw internetowych, nie przechowuje szczegowoci wymaganej dla nazewnictwa
w Active Directory. LDAP jest bardziej adekwatnym narzdziem, poniewa potrafi
jednoznacznie identyfikowa obiekty w Active Directory.

Kontenery
Kontenerem w drzewie katalogowym moe by kady element, do ktrego dodane s
obiekty. Oczywistym przykadem kontenera jest folder. W kadym razie MMC mona
uywa przy dodawaniu narzdzia do elementw innych ni foldery, ktre nastpnie
rwnie staj si kontenerami.
Podstawowym kontenerem w Active Directory jest jednostka organizacyjna.

Jednostki organizacyjne
Jednostka organizacyjna to kontener uywany do przechowywania obiektw. Jest najmniejszym zasigiem lub jednostk, do ktrej mona przydzieli lub oddelegowa
uprawnienia administracyjne. Jednostek organizacyjnych uywamy do tworzenia w domenie kontenerw reprezentujcych hierarchiczne, logiczne lub wydziaowe (biznesowe)
struktury wewntrz danej organizacji.
Wiele domen z Windows NT 4.0 przechodz&cych do Active Directory w Windows
2000 moe by przekonwertowanych do postaci jednostek organizacyjnych w ich
nowym modelu domenowym i otrzyma delegowane uprawnienia.

Jednostki organizacyjne mog zawiera inne jednostki organizacyjne, co oznacza, e


mona tworzy hierarchi kontenerw, ktre, jeli jest to konieczne, mog by rozszerzane w celu modelowania hierarchii wewntrz domeny. Jednostki organizacyjne s rwnie
w katalogu najmniejszymi jednostkami, do ktrych stosuj si zaoenia grupowe.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

53

54

Administracja Microsoft Active Directory

Trzema gwnymi przyczynami stosowania jednostek organizacyjnych s:


konta organizacyjne,
delegowanie uprawnie,
stosowanie zasad grupowych.
Jednostka organizacyjna nie moe zawiera obiektw z innych domen.

Partycje katalogowe
W Active Directory las jest partycjonowany na domeny. Kontrolery wewntrz tej samej domeny wspdziel ze sob informacje. Kontrolery z rnych domen wspdziel ze
sob konfiguracj, schemat i informacje o katalogu globalnym (GC), ale nie wspdziel
danych o domenach. Partycja katalogowa (Naming Context NC) umoliwia dystrybucj archiww. Wspomaga to skalowalno bazy danych w Active Directory do
milionw obiektw.
Kada partycja katalogowa zawiera podkatalog obiektw w drzewie. Kopie tej partycji
mog by przechowywane pomidzy kontrolerami domen, ktre s uaktualniane poprzez replikacj.
Informacje o kadym kontrolerze domeny, przechowywane w Active Directory (niezalenie od tego, czy jest to serwer GC, czy nie), s partycjonowane na trzy kategorie:
dane domeny, schematu i konfiguracji. Partycje katalogowe s jednostkami replikacji.
Trzy, niej opisane, partycje przechowywane s na kadym kontrolerze domeny.
Partycja konfiguracji zawiera informacje o topologii lokacji i replikacji

oraz o partycji usug i katalogu. Dane te s wsplne dla wszystkich domen


w drzewie lub lesie. Dane konfiguracyjne s replikowane do wszystkich
kontrolerw domen w lesie.
Partycja schematu zawiera wszystkie typy obiektw (i ich atrybuty),

ktre mog zosta utworzone w Active Directory. Dane te s wsplne dla


wszystkich domen w drzewie czy lesie. Przechowywane s w niej definicje
klas i atrybutw dla wszystkich istniejcych oraz moliwych obiektw.
Partycja schematu jest replikowana do wszystkich kontrolerw domen w lesie.
Partycja domeny NC zawiera wszystkie obiekty z katalogu dla tej

domeny. Aktualizacje tego kontenera s replikowane do kontrolerw


wewntrz domeny i do serwerw GC, jeli aktualizacja jest utworzona
dla atrybutu skonfigurowanego dla replikacji w GC. Podgld partycji
domenowych zosta przedstawiony na rysunku 2.8.

54

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

55

Rysunek 2.8.
Partycje domenowe
widok w edytorze
ADSI Edit

Korzystanie z edytora ADSI


Aby skorzysta z edytora ADSI (ADSI Edit), trzeba zainstalowa zestaw narzdzi Support
Tools, znajdujcy si w folderze Support\Tools na dysku CD z systemem Windows 2000
Serwer. Aby rozpocz instalacj, musisz klikn dwukrotnie ikon Setup w tym folderze.
Aby oglda lub zmienia wartoci atrybutw za pomoc ADSI Edit, wykonaj ponisze kroki.
1. Wejd kolejno do menu: Start, Programs, Windows 2000 Support Tools,

Tools, ADSI Edit.


2. Jeli partycja katalogowa, ktrej atrybuty chcesz zmieni, nie jest

wywietlana, kliknij prawym przyciskiem myszy na ikon ADSI Edit


a pniej opcj Connect to.
3. Jeli biecy komputer nie jest kontrolerem domeny, na ktrym chcesz

zmieni atrybuty, w menu Computer kliknij opcj Select albo wpisz kontroler
domeny i wybierz go lub wejd do nazwy komputera.
4. Aby wybra partycj katalogow w menu Connection Point, kliknij Naming

Context.
5. Na licie Naming Context kliknij partycj katalogow i OK.
W okienku Name wywietlona zostaje nazwa wybranej partycji katalogowej. Mona
j& zmieni na tak&, ktra lepiej identyfikuje dane po&czenie.
6. Wybierz obiekt, ktrego wartoci atrybutw chcesz zobaczy lub zmieni.
7. W okienku dialogowym Properties, w opcji Select Which Properties to View

kliknij jedn z alternatyw: Optional (Opcjonalnie), Mandatory


(Obowizkowo) lub Both (Obie).

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

55

56

Administracja Microsoft Active Directory


8. W okienku Select a Property to View kliknij wasno, ktr chcesz podejrze.
9. Aby zmieni warto wasnoci, wpisz now w okienku Edit Attribute.
10. Kliknij Set, a nastpnie OK.

Jeli kontroler domeny jest serwerem GC, posiada rwnie czwart kategori informacji czciow replik partycji katalogu danych domenowych.

Cz/ciowa replika partycji katalogu danych domenowych


dla wszystkich domen
Serwer katalogu globalnego przechowuje i replikuje czciow replik partycji katalogu danych domenowych dla wszystkich innych domen w lesie. Czciowa replika
zawiera podzestaw wasnoci dla wszystkich obiektw we wszystkich domenach w lesie
i jest przeznaczona tylko do odczytu. Replika kompletna jest przeznaczona i do zapisu,
i do odczytu.
Kada domena jest mapowana do innej partycji katalogowej, wic obiekty nalece
do dwch rnych domen mog by utrzymywane i replikowane niezalenie. Informacje nieistotne dla caego lasu s replikowane osobno.
Nie da si zmieni nazwy obiektu korzenia, co oznacza, e nie mona zmieni
kontenera domeny, schematu ani konfiguracji.

Konfigurowanie partycji katalogowych


Kreator instalacji Active Directory kopiuje plik bazy danych katalogu (Ntds.dit) z jego
pooenia w katalogu %SystemRoot%\System32 do innego, ktry zosta wyspecyfikowany
przez administratora, po czym kreator konfiguruje lokalny serwer do przechowywania
usugi katalogowej. Proces ten zawiera tworzenie partycji katalogowych i domylnych zaoe bezpieczestwa domeny.
Ponisze partycje katalogowe s tworzone jako partycje domylne na pierwszym kontrolerze w lesie i uaktualniane przez replikacj na kadym kontrolerze tworzonym w lesie.
Partycja schematu jest tworzona jako   
 
 
 
  . Plik schema.ini jest uywany do tworzenia

domylnych obiektw katalogowych i wywietlania specyfikatorw oraz


do implementowania domylnego bezpieczestwa w bazie danych katalogu.
Partycja konfiguracji tworzona jest jako  
 
 
 
  .
Partycja domeny jest tworzona jako  
 i zawiera zaoenia

bezpieczestwa dla domeny.


Podczas tworzenia nowej domeny kreator tworzy now partycj katalogow,

zawierajc domylne obiekty domeny.

56

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

57

Podczas tworzenia dodatkowego kontrolera domeny w istniejcej domenie

obiekty s uaktualniane poprzez replikacj. Kreator nie tworzy domylnych


obiektw partycji domenowych.
Podczas uaktualniania podstawowego kontrolera domen spod Windows NT 4.0

kreator tworzy zaoenia bezpieczestwa domen oraz zaoenia lokalnego


bezpieczestwa. Przenosi rwnie czonkostwa LSA i istniejce konta.

Partycja konfiguracji
Katalogowa partycja konfiguracji jest tworzona wraz z pierwsz domen w Windows
2000. W przyszoci partycja konfiguracji bdzie replikowana do nowego kontrolera
domen przy tworzeniu domen potomnych, nowych domen-korzeni lub wtedy, gdy
dodatkowy kontroler zostanie dodany do domeny.
Nastpujce obiekty s kontenerami potomnymi wewntrz kontenera konfiguracji
(Configuration Container):
DisplaySpecifiers,
Extended-Rights,
LostAndFoundConfig,
Partitions,
Physical Locations,
Sites,
Services,
Well-Known Security Principals.

Pomimo e inne informacje mog by przechowywane w kontenerze Configuration


Container, zalecamy, eby do tych danych odnosiy si nastpujce kryteria. Wymieniamy je poniej.
Informacje s zdefiniowane jako globalne zainteresowanie (na przykad

domylna konfiguracja i informacja o zaoeniach dla wszystkich instancji


danej usugi w sieci).
Informacje s szeroko dostpne, tak e odwoywanie si do informacji

przechowywanych w innej domenie nie jest wystarczajce.


Ulotno informacji jest niska.
Objto informacji jest maa.

Informacje globalne powinny by przechowywane w jednym lub dwch miejscach:


w potomku kontenera Services lub w potomku obiektu lokacji.

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

57

58

Administracja Microsoft Active Directory

Zarzdzanie danymi konfiguracyjnymi


Rnymi czciami kontenera Configuration Container mona zarzdza za pomoc
narzdzi do administrowania zaczonych do Windows 2000. Po wejciu kolejno do
menu Start, Programs, Administrative Tools mamy dostp do nastpujcych narzdzi
(mona do nich dotrze rwnie poprzez przystawki w MMC).
Active Directory Sites and Services (Lokacje i usugi Active Directory).
Kontener usug (Services) w Active Directory Sites and Services (Lokacje i usugi
Active Directory) jest domylnie ukryty. Aby go odsoni, trzeba klikn& prawym
przyciskiem myszy opcj Active Directory Sites and Services, wskaza View
(Widok), a nastpnie Show Services Node (Poka wze usug).
Active Directory Domains and Trusts (Domeny i relacje zaufania usugi

Active Directory).
Active Directory Schema (Schemat usugi Active Directory).
Przystawka schematu wymaga osobnej instalacji. Szczegy na temat instalacji
kontenera schematu znajduj& si w rozdziale 9. Zarz&dzanie aktualizacjami przy
uyciu Flexible Single-Master Operations.

Katalogowa partycja schematu


Schema Active Directory skada si z zestawu klas obiektw, atrybutw i skadni.
Schemat wyznacza zasady spjnoci dotyczce tworzenia i modyfikowania obiektw.
Pomimo e Active Directory posiada domylny zestaw klas i atrybutw, ktrego nie
da si zmodyfikowa, mona rozszerzy schemat przez dodawanie nowych atrybutw
i klas z kwalifikowanego kontrolera domen (wzorzec schematu FSMO). Zmiany te
musz by wykonane w kontrolerze domen penicym rol wzorca schematu w lesie.
Wicej informacji na temat aktywowania modyfikacji i rozszerzania schematu znajduje si w rozdziale 7. Zarzdzanie i modyfikowanie schematu Active Directory.
Natomiast swoj wiedz o FSMO poszerzysz, czytajc rozdzia 9.
Do ogldania obiektw i waciwoci partycji schematu mona te uywa narzdzia
ADSI Edit. Przy otwieraniu ADSI Edit domylnie wywietlany jest kontener Schema.
Aby obejrze atrybuty i klasy naley go rozszerzy.

Katalogowe partycje domenowe


Przy tworzeniu nowych domen powstaje domenowa partycja katalogowa.
Obiekt korze w kadej partycji domenowej jest obiektem kontenerem nazywanym
dla domeny DNS. Kontenery potomne kontenera domeny mona oglda za pomoc
konsoli Active Directory Users and Computers (Uytkownicy i komputery usugi Active Directory).

58

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

59

Kontener domeny posiada nastpujce kontenery potomne:


Builtin,
Computers,
Deleted Objects,
Domain Controllers,
ForeignSecurityPrincipals,
Infrastructure,
LostAndFound,
System,
Users.

Domylnie tylko niektre kontenery pojawiaj si w oknie Active Directory Users


and Computers. Aby oglda wszystkie kontenery, kliknij menu View i wybierz Advanced Features.
Inaczej ni w przypadku katalogowych partycji konfiguracji i schematu pena kopia
partycji domeny jest replikowana tylko pomidzy kontrolerami domen wewn&trz tej
samej domeny, a nie do innych domen w lesie. Czciowa kopia obiektw domenowych (zawieraj&ca wszystkie obiekty, ale ograniczony zestaw atrybutw, ktre
zostay skonfigurowane tak, aby replikowa si w katalogu globalnym) jest replikowana do wszystkich kontrolerw domen, ktre s& skonfigurowane jako serwery GC.

Do zarzdzania zawartoci partycji domenowej mona uywa moduu Active


Directory Users and Computers (Uytkownicy i komputery usugi Active Directory).
Do zarzdzania waciwociami niewywietlanymi w Active Directory Users and
Computers mona uywa ADSI Edit. Przy otwieraniu ADSI Edit jako domylna wywietlana jest partycja domenowa dla domeny, w ktrej jeste zalogowany.

Skadniki kontenera System


Kontener System (mieszczcy si w partycji domenowej) przechowuje informacje
operacyjne dla kadej domeny, takie jak: lokalne bezpieczestwo, ledzenie pocze
plikowych, spotkania sieciowe, obiekty reprezentujce inne zaufane domeny oraz
skadniki dla punktw pocze RPC i Winsock.
Kontener System posiada nastpujce kontenery potomne:
AdminSDHolder,
Default Domain Policy,
Dfs-Configuration,
File Replication Service,
FileLinks,

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

59

60

Administracja Microsoft Active Directory


IP Security,
Meetings,
Microsoft DNS,
Policies,
Zaleca si, aby nie zmienia ani nie modyfikowa kontenera Policies. W zamian
za to, posuguj&c si przystawk& Group Policy w MMC, naley wyznacza konfiguracj bezporednich powi&za dla konkretnego obiektu w Group Policy:
RpcServices,
RAS and IAS Servers Access Check,
WinsockServices.

Podczas instalacji Windows 2000 Server domylny plik bazodanowy (Ntds.dit) umieszczany jest w katalogu %SystemRoot%\System32. W tej lokalizacji plik nie funkcjonuje jako katalogowa baza danych. Istnieje jako kopia dystrybucyjna, dziki ktrej nie trzeba
uywa dysku CD do instalacji Active Directory.
Ntds.dit zawiera domyln kopi schematu i partycje konfiguracji oraz domyln partycj
domenow. Podczas instalacji Active Directory domylne kopie partycji schematu
i konfiguracji (wraz z partycj domeny, jeli kontroler domeny jest w niej kontrolerem
dodatkowym) s synchronizowane z istniejcymi kontrolerami z tej domeny. Po ukoczeniu procesu instalacji Active Directory jest w peni zsynchronizowane i otwarte dla aktualizacji na nowym serwerze.
Podczas instalowania Active Directory moesz zatrzyma proces replikacji, klikajc
przycisk Finish Replication Later (Zakocz replikacj pniej), kiedy si pojawi. Replikacja bdzie kontynuowana po ponownym uruchomieniu komputera. Kontroler domeny nie
ujawnia si, dopki replikacja nie zakoczy si w peni.
Jeli baza danych do replikacji jest maa, przycisk Finish Replication (Zakocz replikacje) nie pojawi si wcale albo tylko na krtko.

Kontrolery domen
Active Directory musi rezydowa na kontrolerze domeny, przechowujcym kompletn kopi wszystkich informacji, jakie Active Directory posiada na temat tej domeny.
Zarzdza on rwnie zmianami w tej kopii i replikuje je do innych kontrolerw domen
w tej samej i innych domenach. Informacje o schemacie i infrastrukturze s replikowane pomidzy wszystkimi kontrolerami domen w lesie.

60

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

61

Serwer czonkowski
Mimo e tylko kontrolery domen zawieraj obiekty Active Directory, inne serwery
Windows 2000 mog zwikszy funkcjonalno implementacji Windows 2000.
Serwer czonkowski (member server) jest serwerem pracujcym pod Windows 2000
i bdcym czonkiem domeny, ale nie jest kontrolerem i nie zawiera Active Directory.
Serwery czonkowskie wspdziel cechy bezpieczestwa, takie jak zaoenia domen
oraz prawa uytkownikw.
Serwery czonkowskie mog pracowa jako:
serwery plikw,
serwery drukarek,
serwery internetowe,
serwery proxy,
serwery routingu i zdalnego dostpu (RRAS),
serwery aplikacji, zawierajce: serwery skadowe, serwery terminalowe,

serwery certyfikatw, bazodanowe, pocztowe.


Poniewa serwer czonkowski nie jest kontrolerem domeny, nie obsuguje procesu logowania konta, nie bierze udziau w replikacji ani nie przechowuje informacji o zasadach bezpieczestwa.
Serwery czonkowskie posiadaj zestaw wsplnych cech zwizanych z bezpieczestwem. Wymieniamy je poniej.
Stosuj si do zasad grupowych ustawionych dla danej lokacji, domeny

lub jednostki organizacyjnej.


Zasoby dostpne na serwerze czonkowskim s tak skonfigurowane,

aby zapewnia kontrol dostpu.


Uytkownicy serwerw czonkowskich maj przydzielone sobie prawa.
Serwery czonkowskie posiadaj bazy danych bezpieczestwa lokalnego,

zwane bazami SAM (Security Account Manager).

Zamiana rl
Serwer wewntrz domeny moe funkcjonowa w jednej z dwch rl: jako kontroler
domeny lub jako serwer czonkowski.
Poniewa wymagania uytkownikw dotyczce rodowisk komputerowych zmieniaj
si, moe pojawi si potrzeba zmiany roli serwera. Za pomoc narzdzia Kreator Instalacji Usugi Active Directory wywoywanego przez polecenie 

! mona
wypromowa serwer czonkowski na kontroler domeny lub te zdegradowa kontroler domeny do roli serwera czonkowskiego (jak wspomniano wczeniej).

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

61

62

Administracja Microsoft Active Directory

Lokacje
Lokacja jest grup serwerw mogcych komunikowa si ze sob przez stae, synchroniczne cza o wysokim poziomie niezawodnoci i szerokiej przepustowoci. Tworzenie
lokacji pozwala konfigurowa dostp do Active Directory i topologi replikacji, dziki
czemu mona lepiej wykorzystywa fizyczn struktur sieci. Kiedy uytkownik loguje
si, klient Active Directory znajduje serwery z jego lokacji. Poniewa komputery z tej
samej lokacji s, z punktu widzenia sieci, pooone blisko siebie, komunikacja pomidzy nimi jest niezawodna, szybka i efektywna.
Dwa podstawowe powody dla tworzenia lokacji to kontrola ruchu replikacyjnego oraz
ruchu zwizanego z logowaniem si i uwierzytelnianiem uytkownikw. Lokacje tworzymy za pomoc moduu Active Directory Sites and Services (Lokacje i usugi Active
Directory). Nie ma bezporedniego zwizku pomidzy domenami i lokacjami, wic
pojedyncza domena moe obejmowa wiele lokacji i podobnie lokacja moe rozciga si
na wiele domen. Zwykle granice lokacji pokrywaj si z granicami sieci lokalnej.
Jedn z korzyci pyncych z Active Directory jest ta, e domeny mog obejmowa
fizyczne lokalizacje o rnych topologiach, powizane czami sieci rozlegych WAN, ale
wci s przezroczyste dla uytkownika. Jednym z gwnych problemw pozostaje
jednak przepustowo czy sieci WAN.

Lokacje a domeny
Wane jest zrozumienie faktu, i lokacje s niezalene od domen. Mapuj one fizyczn
struktur sieci, za domeny (jeli uywa si wicej ni jednej) zwykle mapuj jej struktur
logiczn. Struktury fizyczna i logiczna s od siebie niezalene, co niesie ze sob nastpujce konsekwencje.
Nie musi istnie poczenie pomidzy lokacjami i przestrzeniami nazw

domen.
Niekonieczne jest powizanie pomidzy fizyczn struktur sieci a struktur

jej domen. Mimo tego w wielu przypadkach domeny tworzy si tak,


aby odtwarzay fizyczn struktur sieci, poniewa domeny s partycjami,
a partycjonowanie wpywa na replikacj partycjonowanie lasu na liczne
pomniejsze domeny moe zmniejszy wielko ruchu replikacyjnego.
Active Directory umoliwia wielu domenom pojawianie si w pojedynczych

lokacjach, a pojedynczym domenom na zaistnienie w wielu lokacjach.

Przechowywanie danych
Dane w Active Directory przechowywane s w pliku bazodanowym Ntds.dit. Dwie
kopie pliku Ntds.dit istniej na danym kontrolerze w osobnych lokalizacjach:
%SystemRoot%\NTDS\Ntds.dit kopia przechowujca baz danych,

zawierajc informacje o domenie oraz replik danych o lesie,

62

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

Rozdzia 2. Architektura Active Directory

63

%SystemRoot%\System32\Ntds.dit kopia dystrybucyjna domylnego

katalogu uywanego podczas promowania komputera opartego na Windows


2000 na kontroler domeny. Podczas trwania procesu promowania plik Ntds.dit
jest kopiowany z katalogu %SystemRoot%\System32 do ustawionego jako
domylny katalogu %SystemRoot%\NTDS.
Active Directory przechowuje dane dla caego lasu. Katalog i Las mona w tym wypadku uznawa za synonimy. Mimo e katalog jest jeden, magazyny danych s rozprowadzane pomidzy jedn lub wicej domenami, gdzie spjne dane s utrzymywane
w lesie odnoszcym si do wielu domen. Active Directory jest partycjonowane i replikowane. Aby mogo obsugiwa dziesitki milionw obiektw, jest partycjonowane na
segmenty logiczne. Kada partycja logiczna replikuje swoje zmiany oddzielnie pomidzy
tymi kontrolerami domen w lesie, ktre przechowuj kopie tych samych partycji katalogowych, aby zapewni obsug i dostpno dla tysicy klientw.
Niektre partycje katalogowe przechowuj informacje o konfiguracji z caego lasu oraz
o schemacie, inne magazynuj dane dotyczce tylko pojedynczych domen, takich jak:
uytkownicy, grupy i jednostki organizacyjne. Partycje katalogowe przechowujce
informacje katalogowe s replikowane tylko do kontrolerw z tej samej domeny. Partycje
katalogowe dysponujce danymi o konfiguracji i schemacie s replikowane do kontrolerw we wszystkich domenach. Kontrolery skonfigurowane jako serwery GC przechowuj
pene repliki jednej partycji domenowej oraz czciowe repliki wszystkich innych domen
w lesie. Od kontrolera GC mona da odnalezienia jakiegokolwiek obiektu w lesie.
Jest rnica pomidzy partycj& katalogow& a partycj& bazodanow&. Baza danych
Active Directory nie jest partycjonowana. Partycjonowane jest tylko drzewo katalogowe, bd&ce logiczn& reprezentacj& danych przechowywanych przez kontroler
domenowy.

Dystrybucja Active Directory w drzewie katalogowym moe by podsumowana nastpujco.


Dystrybucja pomidzy domenami:

dane dotyczce tylko danej domeny s przechowywane w partycji


domenowej,
pena, zapisywalna replika partycji domenowej jest replikowana
do kadego kontrolera w domenie, wczajc w to wszystkie serwery GC
w domenie.
Dystrybucja w lesie:

dane dotyczce caego lasu s przechowywane w dwch partycjach


katalogowych: partycji konfiguracji oraz partycji schematu; kontener
Cofiguration (kontener konfiguracji) jest nadrzdnym obiektem partycji
konfiguracji a kontener Schema (kontener schematu) jest nadrzdnym
obiektem partycji schematu,
pene, zapisywalne repliki partycji konfiguracji i partycji schematu s
replikowane do kadego kontrolera w lesie,

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc

63

64

Administracja Microsoft Active Directory

w kontrolerach penicych role serwerw GC przechowywane s pene,


zapisywalne repliki pojedynczej domeny (tej, dla ktrej kontener domeny
jest nadrzdny) oraz czciowe, przeznaczone tylko do odczytu repliki kadej
innej partycji domenowej w lesie; te ostatnie repliki nazywamy czciowymi,
poniewa przechowuj tylko niektre atrybuty kadego obiektu.
Kiedy Active Directory po raz pierwszy instalowane jest na komputerze z Windows 2000
Server, wszystkie pene repliki s replikowane w celu utworzenia katalogu. Nastpnie
replikowane s ju tylko zmiany w obiektach katalogowych (zmiany atrybutw oraz
tworzenie i usuwanie obiektw).

Podsumowanie
Architektura Active Directory (zbyt zoona dla tej ksiki) jest znacznie bogatsza
w porwnaniu do poprzednich wersji systemw NT. Struktura logiczna Active
Directory tworzy kopie lustrzane systemw DNS, jest do nich podobna i wypenia ich
standardy. Active Directory skada si logicznie z obiektw, domen i drzew, za fizycznie
z kontrolerw domen i lokacji.

64

C:\Andrzej\PDF\Administracja Microsoft Active Directory\02-11.doc