Active Directory

Добро пожаловать в технический справочник по ActiveDirectoryдля MicrosoftWindowsServer2003, являющийся источником информации, которая потребуется вам для проектирования и реализации службы каталога Active Directory в системе Windows Server 2003. Служба каталога Active Directory первоначально была выпущена с системой Microsoft Windows 2000. Большинство концепций Active Directory, реализованных в системе Windows 2000, сохранились и в системе Windows Server 2003, кроме того, появилось много усовершенствований. Эта книга содержит все, что вы должны знать об Active Directory, включая детальную техническую информацию и руководство, предназначенное для планирования, реализации и управления службой Active Directory в вашей организации. Другими словами, эта книга является универсальным справочником, содержащим все, чтобы заставить Active Directory работать на вас.

Технический справочник по ActiveDirectoryдля MicrosoftWindowsServer2003 составлен так, чтобы наиболее понятно описать и объяснить технологии Active Directory. Многие компании не реализовали Active Directory в системе Windows 2000, поэтому книга не предполагает наличие глубоких знаний Active Directory у читателей. Книга начинается с описания основ службы каталога и объяснения того, как служба каталога реализована в Active Directory. Затем рассказывается, как работает Active Directory, как ее использовать и как управлять ею в вашей среде.

Книга разделена на четыре части, усложняющиеся по мере накопления вами знаний. В части I дается краткий обзор терминов Active Directory и концепций. В части II объясняется планирование и проектирование, необходимые для развертывания Active Directory в вашей среде. После развертывания службы Active Directory ей нужно управлять, поэтому в части III уточняются детали, касающиеся управления службой Active Directory, и делается сильный акцент на безопасность Active Directory и групповых политик. Часть IV, заключительный раздел книги, посвящена обслуживанию Active Directory.

Часть I, «Краткий обзор службы каталога Active Directory Windows 2003», содержит введение в концепции и компоненты Active Directory системы Windows Server 2003. Эта версия Active Directory является последним вариантом службы каталога, поставляемой компанией Microsoft. Active Directory обеспечивает мощную службу каталога, предназначенную для управления пользователями, группами и компьютерами, и предлагает безопасный доступ к сетевым ресурсам. Чтобы использовать ее наиболее эффективно, вы должны понять концепцию Active Directory и принципы ее работы. Эти основы изложены в части I, которая включает следующие главы.

  • В главе 1, «Концепции Active Directory», предлагается краткая история служб каталога, которые компания Microsoft поставляла как часть операционных систем Windows 2000 и Windows NT. Далее подробно обсуждаются преимущества Active Directory по сравнению с предыдущими службами каталога. В этой главе вы найдете также краткий обзор нововведений, появившихся в системе Windows Server 2003 в дополнение к тем, которая имелись в Windows 2000.
  • В главе 2, «Компоненты Active Directory», дается детальное описание концепций и компонентов, составляющих Active Directory. В этой главе вы найдете описание физических компонентов Active Directory, таких как контроллеры домена и схема Active Directory, и логических компонентов Active Directory, таких как домены, деревья и леса.
  • В главе 3, «Active Directory и система доменных имен», приводится описание принципов функционирования Active Directory. Служба Active Directory глубоко интегрирована с доменной системой имен (DNS - Domain Name System), и если вы неправильно реализуете свою инфраструктуру службы DNS, вы никогда не сможете создать устойчиво функционирующую службу Active Directory. Глава начинается с краткого обзора концепций DNS, затем описывается интеграция между Active Directory и DNS, далее объясняется, как лучше всего реализовать DNS, чтобы обеспечить функционирование службы разрешения имен, необходимой для работы Active Directory.
  • В главе 4, «Репликация Active Directory и сайты», продолжается описание принципов работы Active Directory. Чтобы понять, как работает Active Directory, нужно знать, как контроллеры домена Active Directory реплицируют информацию друг у друга. По умолчанию Active Directory создает устойчивую и избыточную топологию репликации, также имеются опции, предназначенные для создания оптимальной конфигурации репликации для вашей компании.

Как только вы изучите основные концепции и компоненты Active Directory, ваш следующий шаг будет состоять в реализации службы Active Directory в вашей организации. Часть II, «Реализация Active Directory Windows Server 2003», обеспечит вас необходимой информацией. Первый шаг в реализации Active Directory состоит в создании проекта структуры для вашей организации. Такие структурные элементы, как лес, домен, сайт и организационная единица (OU - Organizational Unit), уникальны для каждой компании, поэтому создание правильного проекта службы для вашей среды требует существенных знаний и усилий. Как только проект Active Directory для Windows Server 2003 будет создан, вы можете приступать к установке Active Directory. Многие компании, реализующие Active Directory для Windows Server 2003, переносят ее с предыдущей версии службы каталога, особенно часто с версии Microsoft Windows NT 4. Поскольку Active Directory для Windows Server 2003 отличается от службы каталога Windows NT, то это перемещение может вызвать сложности. В части II эти темы представлены в следующих главах.

  • В главе 5, «Проектирование структуры Active Directory», дается краткий обзор процесса проектирования, подготавливающего вашу реализацию Active Directory. Эта глава ведет вас через весь процесс создания собственного проекта: от нисходящего проектирования к разработке структуры службы Active Directory. В этой главе обсуждаются все компоненты вашего проекта, начиная с того, сколько лесов вам следует развертывать, заканчивая тем, как создавать свою структуру OU.
  • В главе 6, «Установка Active Directory», описаны процедуры, необходимые для инсталляции Active Directory. Она посвящена установке контроллеров домена Active Directory и включает обсуждение некоторых новых опций, предназначенных для осуществления этой инсталляции.
  • В главе 7, «Переход к Active Directory», приводится информация, необходимая для модернизации предыдущей службы каталога от Microsoft к Active Directory для Windows Server 2003. Обновление происходит сложнее, если модернизируется служба каталога Windows NT, нежели Active Directory системы Windows 2000. Поэтому в данной главе содержатся, главным образом, вопросы обновления службы каталога от Windows NT к Active Directory Windows Server 2003, а также модернизации Active Directory Windows 2000.
    После развертывания Active Directory вы должны управлять ею так, чтобы обеспечить максимальную выгоду своей компании. В части III, «Администрирование службы каталога Active Directory Windows Server 2003», описываются многие административные процессы, которые вы будете использовать. В части III имеются две основных темы: безопасность и управление доменом с помощью групповых политик. Вы узнаете, как работает защита в Active Directory, как можно воспользоваться инфраструктурой безопасности для делегирования административного управления в пределах вашей структуры Active Directory. Далее следует обсуждение групповых политик. Одно из основных преимуществ Active Directory по сравнению с предыдущими службами каталога состоит в том, что она содержит мощные инструментальные средства для управления рабочими станциями вашей компании. Централизованное администрирование рабочих станций может сильно упростить управление сетью и привести к существенному уменьшению затрат на обслуживание сети. Групповые политики - это основные инструментальные средства, которые вы будете использовать для управления рабочими станциями вашей сети. Часть III включает следующие главы.
  • Глава 8, «Защита Active Directory», начинается с описания концепций, лежащих в основе безопасности Active Directory Windows Server 2003. Основное внимание в этой главе уделено протоколу Kerberos, который является заданным по умолчанию опознавательным протоколом в Active Directory.
  • В главе 9, «Делегирование администрирования Active Directory», более широко обсуждается система безопасности Active Directory, подробно описываются способы делегирования административных разрешений в пределах своего домена. Active Directory обеспечивает администраторов многими уровнями административных разрешений, а также позволяет предоставлять административные разрешения только в определенной части домена. В главе описывается, как реализовать эту функциональность в Active Directory.
  • В главе 10, «Управление объектами Active Directory», вы познакомитесь с управлением объектами Active Directory: учетными записями пользователей и групп, которые всегда были частью службы каталога. Active Directory Windows Server 2003 содержит и другие объекты, такие как inetOrgPerson, универсальные группы, принтеры и общие папки.
  • В главе 11, «Введение в групповые политики», дается краткий обзор групповых политик. Рассказывается о создании и конфигурировании групповых политик, об их применении в рамках Active Directory, дается основная информация, которая требуется для понимания следующих двух глав, содержащих конкретные примеры того, что можно делать с помощью групповых политик.
  • В главе 12, «Использование групповых политик для управления программным обеспечением», уточняется один из способов использования групповых политик. С помощью групповых политик вы можете инсталлировать программное обеспечение на компьютерах клиентов и управлять им. Во многих компаниях управление программным обеспечением представляет собой сложную, отнимающую много времени задачу. Групповые политики могут использоваться для автоматизации этой задачи, и в данной главе показано, как это сделать.
  • Глава 13, «Использование групповых политик для управления компьютерами», посвящается вопросам использования групповых политик для управления компьютерами клиентов. Групповые политики имеют много опций, предназначенных для управления рабочими столами, включая блокирование некоторых компонентов рабочих столов, конфигурирование защиты рабочих станций и ограничение типов приложений, которые может выполнять пользователь. В главе показывается, как реализовать все эти возможности.

Последняя часть книги содержит информацию, необходимую для обслуживания инфраструктуры Active Directory после ее развертывания. Для этого нужно профилактически отслеживать состояние компонентов Active Directory. Часто в процессе мониторинга вы можете увидеть первые предупреждения о том, что что-то идет не так, как надо. Поскольку это происходит независимо от того, как тщательно вы управляете средой, необходимо иметь план восстановления Active Directory на случай ее отказа. Часть IV, «Обслуживание службы каталога Active Directory Windows Server 2003», включает следующие главы.

  • В главе 14, «Мониторинг и обслуживание Active Directory», содержится подробная информация о том, как осуществлять мониторинг Active Directory, включая вопросы контроля функционирования службы каталога Active Directory и ее репликации. В этой главе также имеется информация, касающаяся вопросов обслуживания базы данных Active Directory.
  • В главе 15, «Восстановление системы в случае сбоя», содержится информация, необходимая для создания резервной копии и восстановления Active Directory. Active Directory является критической службой вашей сети, и вы должны уметь восстановить ее после любой поломки, которая может влиять на вашу реализацию службы каталога.

Все разделы этой книги посвящены процессу проектирования, развертывания, управления и обслуживания Active Directory. Однако технический справочник по Active Directory Microsoft Windows Server 2003 - это, прежде всего, справочник. Если вам надо познакомиться с определенной темой, вы можете сразу читать соответствующую главу без необходимости читать предыдущие главы. В некоторых случаях для понимания темы может потребоваться базовая информация. Например, обсуждение в главе 5 лесов, доменов, организационных единиц и сайтов предполагает, что вы понимаете эти концепции так, как они представлены в главе 2. Чтобы понять, как используются групповые политики для развертывания программного обеспечения (см. главу 12), вы должны понимать компоненты групповой политики, которые обсуждаются в главе 11.