mulcare m. - active directory dla microsoft windows server 2003 przewodnik techniczny
Post on 07-Aug-2018
226 Views
Preview:
TRANSCRIPT
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
1/208
Przewodnik techniczny' .''’ -V u .; : :V
' i-K- N B c r o s o f t
“ i-- "
-
~;~ î î r.«5:.
^ ^ ■ - i
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
2/208
Spis treści
Wstęp
Jaka jest struktura niniejszej książki?
Konwencje stosowane w książce
Część i Przegląd Active Directory dla Windows Server 2003
i Pojęcia Active Directory
Ewolucja usług katalogowych firmy Microsoft
LA N Manager dla OS/2 i MS-DO S
Windows N T i SAM
Windows 2000 i Active Directory
Domeny Windows Server 2003 i Active Directory
Otwarte standardy Active Directory
Hierarchie X.500
Lightweight Directory Access Protocol (LD A P)
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
3/208
Active Directory dla Windows Server 2003: Przewodnik Techniczny
Składniki Active Directory 17
Ü
17
18
18
20
22
Fizyczna struktura usługi Active Directory
Składnica danych katalogowych ' 17
Kontrolery domeny
Serwery wykazu globalnego
Wzorce operacji
Transfer ról wzorca operacji
Schemat 73
Logiczna struktura usługi Active Directory 2878
Partycje Active DirectoryTl
Domeny
Drzewa domeny
Lasy 33
Relacje zaufania 3427
Lokacje
Jednostki organizacyjne 33
Podsumowanie 42
System nazw domen Active Directory (DNS) 43
Przegląd DN S 43
Hierarchiczna przestrzeń nazw 44
Rozproszona baza danych 44
Proces rozwiązywania nazw . 43
Rekordy zasobów 4^
Domeny DN S, strefy i serwery 47
D N S i Active Directory dla Windo ws Server 2003 54
Usługa lokalizacji D N S 54
Ulepszenia DN S 61
Podsumowanie 66
Replikacja i lokacje usługi Active Directory 67Model replikacji usługi Active Directory 67
Wzbogacenia replikacji w usłudze Active Directory dla systemu Window s Server 2003 69
Replikacja wewnątrzlokacyjna i międzylokacyjna • 70
Replikacja wewnątrzlokacyjna 70
Replikacja międzylokacyjna 71
Opóźn ienie replikacji 72
j i 1 Replikacja pilna 72
Generacja topologii replikacji 73
Sprawdzanie spójności informacji (KC C) 73
Obiekty połączeniaI n n l n r v p n t ' l ' +*i >K=32ü£iBi
Topologia replikacji wewnątrzlokacyjnej • 75
Replikacja globalnego wykazu 73
Topologia replikacji międzylokacyjnej • 8082
Proces replikacji82
Typy aktualizacji •
Replikacja zmianOO
Konfiguracja replikacji międzylokacyjnej88
Tworzenie dodadcowych lokacji
Łącza lokacji ^
Mostki łączy lokacji90
Protokoły transportu replikacji 31
Konfiguracja serwerów czołowych 32
Monitorowanie i rozwiązywanie problemów z replikacją 33
94Podsumowanie
Czę ść li implementacja Active Directory dla Windows Server 2003
5 Projektowanie struktury usługi Active Directory 97
Projektowanie struktury lasu
Lasy a projekt usługi Active DirectoryPojedynczy las czy wiele lasów
102Definiowanie własności lasu
Zasady kontroli zmiany lasu
Projektowanie struktury domeny
Domeny i projekt usługi Active Directo ry
Określenie ilości domen
Projektowanie domeny głównej lasu
Projektowanie hierarchii domen
Drzewa domeny i zaufania
Zmiana hierarchii domen
Definiowanie własności domeny
Projektowanie infrastruktury DN S
Analiza istniejącej infrastruktury DN S
Projekt przestrzeni nazw
Projektowanie struktury jednostek organizacyjnych
Jednostki organizacyjne i projekt usługi Active Directory
Projektowanie struktury jednostek organizacyjnych
Tworzenie projektu jednostek organizacyjnych
Projektowanie topologii lokacji
Lokacje i projekt usługi Active D irectory
97
98
99
103
103
103
104
106
107
109
111
111, 112
112
112
123
123
125
126
128
128
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
4/208
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
5/208
viii Active Directory dia Windows Server 2003: Przewodnik Techniczny
233Dziedziczenie uprawnień ^
Uprawnienia efektywne ^
Własność obiektów Active Directory • ^
Inspekcja użycia uprawnień administracyjnych ^
Delegowanie zadań administracyjnych ^
Narzędzia przystosowane do delegowania administracji
Dostosowanie konsoli M M C ^
Tworzenie bloku zadań do admin istracji 245Planowanie delegowania administracji
Podsumowanie247
10 Zarządz anie obiektami usługi Active Directory
, ■ 247Zarządzanie użytkownikami ^
Obiekty użytkowników ^
Obiekty typu inetOrgPerson ^
Konta kontaktów
Zarządzanie grupami253
Typy gwp 254
Zasięg grupy _ ^
Tworzenie projektu grupy zabezpieczeń
Zarządzanie komputerami ^
Zarządzanie obiektami drukarek
Publilcowanie drukarek w usłudze Active D irectory
Zarządzanie opublikowanymi folderumi udostępnionymi
Ulepszenia administracji usługą Acdve Directory dla Windows Server 2003 264
Podsumowanie ^
11 Wprowadzenie do zasad grupy268
Przegląd zasad grupy
Implementacja zasad grupy ^
Tworzenie obiektów GP O ^Administracja obiektami zasad grupy ^
Aplikacja i dziedziczenie zasad grupy
Modyfikacja domyślnych zasad grupy ^
Przetwarzanie zasad grupy
Delegowanie administracji obiektami GP O ^
Implementowanie zasad grupy między domenami i lasami ^
Narzędzia do zarządzania zasadami grupy285
Narzędzie RSo P ^
Narzędzie GPResult2oo
Narzędzie GPUpdate
Konsola zarządzania zasadami grupy
Projekt zasad grupy
Podsumowanie
12 Używanie zasad grupy do zarządza nia oprogramowaniem
Technologia instalatora Windows
Tworzenie pliku .msi
Rozpowszechnianie oprogramowania przy użyciu zasad grupy
Rozmieszczanie ap likacji
Używanie zasad grupy do dystrybucji aplikacji nieinstalowanych przy pomocy
Instalatora Windows
Konfigurowanie właściwości pakietu oprogramowania
Ustawienia domyślnych właściwości instalacji oprogramowania
Instalowanie niestandardowych pakietów oprogramowania
Aktualizowanie istniejącego pakietu oprogramowania
Zarządzanie kategoriami oprogramowania
Konfigurowanie aktywacji rozszerzenia plików
Usuwanie oprogramowania przy użyciu zasad grupy
Używanie zasad grupy do konfiguracji Instalatora Window s
Planowanie dystrybucji oprogramowania przy użyciu zasad grupy
Ograniczenia w używaniu zasad grupy do zarządzania oprogramowaniem
Podsumowanie
13 Używanie zasad grupy do zarządzan ia komputerami
Zarządzanie komputerem przy pomocy zasad grupy
Zarządzanie danymi użydtownika i ustawieniami profilu
Zarządzanie profilami użytkowników
Przekierowanie folderu
Konfigurowanie ustawień zabezpieczeń w zasadach grupy
Konfigurowan ie zasad zabezpieczeń na poziomie domeny
Konfigurowanie innych ustawień zabezpieczeń
Zasady ograniczeń oprogramowaniaSzablony zabezpieczeń
Szablony administracyjne
Używanie skryptów do zarządzania środowiskiem użytkownika
Podsumowanie
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
6/208
Active Directory dla Windows Server 2003 : Przewodnik Techniczny
Część IV Obsługa usługi Active Directory dla Windows Server 2003
14 Monitorowanie i obsługa usługi Active Directory 343
Monitorowanie usługi Active Directory 343
Po co monitorować usługę Active Directory? 344
Jak monitorować usługę Active Directory 345
Co monitorować? 356
Obsługa bazy danych Active Directory - 357
Usuwanie elementów zbędnych 357Defragmentacja w trybie online 358
Defragmentacja w trybie offline bazy danych usługi Active Direc tory 359
Zarządzanie bazą danych usługi Active Directory przy użyciu narzędzia Ntdsut il 360
Podsumowanie 362
15 Odtwarzanie po awarii 363
Planowanie na wypadek awarii 363
Przechowywanie danych w usłudze Active Directory 364
Tworzenie kopii zapasowych usługi Active Directory 366
Przywracanie usługi Active Direc tory , 368
Przywracanie usługi Active D irecto ry poprzez utworzenie nowego kontrolera domeny 368
Przeprowadzanie nieautorytatywnego przywracania 371
Przeprowadzanie przywracania autorytatywnego 373
Przywracanie informacji Sysvol 375
Przywracanie wzorców operacji oraz serwerów wykazu globalnego 376
Podsumowanie 381
Indeks 383
Spfs tabel
Tabela 2-1. Poziomy funkcjonalności domeny
Tabela 2-2. Poziomy funkcjonalności lasu
Tabela 2-3. Typy ustawień zasad grupy
Tabela 3-1. Popularne rekordy zasobów w D NS systemu Windows Server 2003
Tabela 3-2. Składniki rekordu SRV
Tabela 3-3. Podzbiór wartości flagi DsGetDcName
Tabela 4-1. Pierścienie replikacji w lokacji złożonejTabela 5-1. Łączenie pasma sieciowego z kosztami łącza lokacji
Tabela 6-1. Umożliwienie zalogowania się klientom OS do Active Directory
Tabela 9-1. Kolumny konfiguracji specjalnych zabezpieczeń
Tabela 10-1. Właściwości konta obiektu użytkownika
Tabela 10-2. Wymogi unikalności nazwy użytkownika
Tabela 10-3. Zasięgi grupy usługi Active Directory
Tabela 11-1. Opcje zasad grupy
Tabela 11-2. Składn iki wzorca zasad grupy
Tabela 11-3. Konfigurowanie ustawień obiektu GPO
Tabela 11-4. Opcje konfiguracji narzędzia GP M C
Tabela 12-1. Opcje rozmieszczania pakietu oprogramowaniaTabela 12-2. Ustawienia opcji zasad grupy dla instalatora Windows
Tabela 13-1. Kontener nadrzędny w Domyślnych zasadach domeny
Tabela 13-2. Konfigurowanie profili użytkownika przy użyciu Edytora obiektów zasad
Tabela 13-3. Zasady haseł
Tabela 13-4. Zasady blokady konta
Tabela 13-5. Zasady protokołu Kerberos
Tabela 13-6. Ustawienia zabezpieczeń w zasadach grupy
Tabela 13-7. Przykłady szablonów administracyjnych
Tabela 13-8. Domyślne szablony ładowane wtaz z systemem Windows Server 2003
Tabela 13-9. Składniki opcji szablonu
Tabela 14-1. Rdzenne usługi i funkcje Active DirectoryTabela 14-2. Liczniki wydajności replikacji
Tabela 14-3. Kluczowe miary zabezpieczeń
Tabela 14-4. Wskaźniki rdzenia systemu operacyjnego
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
7/208
X „ Active Directory dla Windows Server 20 03: P r z e w o d n i k Techniczny
Dedykacje
moje życie.
2 3 £ S 5£ S ś £ £ S £ Sdrodzy całe mnóstwo sobót
- M M .
Podziękowania
jeździć na moim motorze. Ale ostatecznie wszystko poszło raczej dobrze.
sukcesu projektu, jak również za zaangażowanie mnie do mego. M il | P
od kilku lat, i zawsze jest to dla m nie przyjemność.
a * * ™ * * « u » ,. m i™ * - 1 ; ° ;
m S bpi , d l, „ n i . p ^ i — i ,- » W y . ) = »= powcotiyc.
za ich nąglą pomoc i otwarte przede mną drzwi.
z niebywałą dotychczas przyjemnością i z niecierpliwością oczekuję na dalszą współprac,.
xiii
WstępWitam y w Active Directory dla Microsoft Windows Serwef 2003 Przewodnik Techniczny, komplet
nym źródle informacji, niezbędnych by zaprojektować i Wdrożyć usługę katalogową Active ^rectory
w Windows Serwer 2003. Po raz pierwszy Active Directory został wprowadzony w Microsoft
Windows 2000. Większość rozwiązań Active Directory z Windows 2000 zostało zachowanyci
w Windo ws Server 2003. Dodatkowo wprowadzono wiele ulepszeń. Książka ta zawiera wszyst o,
co warto wiedzieć o Active Directory, łącznie ze szczegółowymi informacjami technicznymi na temat
Active Directory w Windows 2003 oraz wskazówkami jak zaplanować, wdrożyć i zarządzać ActiveDirectory w Twojej organizacji. Krótko mówiąc, książka ta jest kompletnym przewodnikiem, jak
wykorzystać Active Directory.
Jaka jest struktura niniejszej książki?Active Directory dla Microsoft Windows Server 2003 Przewodnik M n ic z n y jest
tak, by jak najprościej opisać i wyjaśnić technologię Active Directory. Niewiele firm wdrożyło Active
Directory dla Windows 2000, więc książka ta nie zakłada dogłębnej wiedzy o Active Directory.
Zaczyna się ona raczej od opisu podstaw usług katalogowych i wyjaśn ienia jak usługi te są zaimple-
mentowane w Ac tiveDire cLr y. Następnie opisuje, w jak i sposób działa Active Directory oraz jak
go wdrożyć i zarządzać w wybranym środowisku.
Książka ta podzielona jest na cztery części, które następują po sobie zgodnie z procesem, w którym
poznajemy Active Directory i uczymy się jak go wdrażać. Część I dokonuje pizeglądu terminów
i pojęć Active Directory. Część II objaśnia procesy planowania, pro^kto wa.na .nnpkmentaci ^
zbędnych do wdrożenia Active Directory w Two im środowisku. Po wdrożeniu usługi Active Directory
zachodzi potrzeba administracji nią. Część II I zapewnia szczegółowy opis zagadmen administracyj
nych Active Directory zwracając szczególną uwagę na zagadnienia bezpieczeństwa. polis grupowych.
Część IV - ostatni dział książki - obejmuje kwestie konserwacji Active Directory.
Cześć I, Przegląd Active D irectory dla Windows Server 2003” zawiera wstępny opis koncepcji Active
Directory w Windows Server 2003. Ta wersja Active Directory stanowi ostatnią iterację usług katalo
gowych dostępnych w M icrosoft. Active Directo ry dostarcza potężnych usług katalogowych do zarzą
d z iła użytkownikami, grupami i komputerami oraz oferuje bezpieczny dostęp do zasobow siecio
wych. Żeby używać narzędzi usług katalogowych najefektywniej, należy zrozumieć pojęcie i działanie
Active Directory. Część I zawiera następujące rozdziały.
• Rozdział 1, „Pojęcia Active Directory” , oferuje krótką historię usług katalogowych, które
Microsoft dostarczał jako składnik Window s N T i Window s 2000. Podane są rown.ez korzyści
Active D irectory w porównan iu z poprzednimi wersjami usług katalogowych. W rozdziale tym
znajduje się przegląd wszystkich nowych elementów Windows Server 2003 oraz opis, co zostało
poprawione w stosunku do Windows 2000.
•' Rozdział 2, „Skład niki Active D irectory ” szczegółowo opisuje zagadnienia i elementy, które skła
dają się na Active Directory. W rozdziale tym Czytelnik znajdzie opis fizycznychktóre tworzą Active Directory, takich jak kontrolery domeny i schemat Active Directory oraz
elementów takich jak domeny, drzewa i lasy.
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
8/208
Active Directory dla Windows Server 2 003: P r z e w o d n i k Techniczny
. Rozdział 3 System nazw d o m e n Active Directory (D NS)” wnika głębiej w istotę dziD W m ry A c te Directory jest tak ściśle związane z systemem nazw domenowych, ze ,esh mira-
strulctura DNS nie zostanie prawidłowo zaimplementowana, to mg y me ^■ Ipmpnrarii Active Directory. Rozdział tea rozpoczyna się od krótkiego przeglą P )
¡,k d ® bi “ P ™ ć w - ™ “ u,l“ 6‘■ wiązywania nazw, która jest wymagana przez Active Directory,
. Rozdział 4 Replikacje i lokacje usługi Active Directo ry” kontynuuje szczegółowy opis zasady
Ł S K J L * B, S a d ).k d*b * * .trolery domeny Active Directory wzajemnie replikują informację. Do y ,
S I S i nadmiarów, » p o lo * ro p lik ,* ,. J a ta * .> ^ - P ™ » -
nież Icilka opcji, które umożliwiają utworzenie optymalnej konfigura j p J
IGedy aroaumieaię^od^mwowe ¡dee
S E J 2 ą p on ob io do im p lm ro oc ji tej u ,!« ®. Pienw aym krokiem w
Active D irectory jest stworzenie architektury i projektu dla organizacji. Struktu ry lasu, domeny,
d i iedno tld orianizacy jnej (O U ) są unikalne w niemal każdej firmie, a stworzenie prawidłowegop r o j e k t u dla^branegt^śtodowislca wymaga znacznej ilości wiedzy i wysiłku. Po stworzeniu projektu
być skomplikowana. Część II dotyczy poszczególnych tematów w następujących rozdziałach.
• Rozdział 5 Projektowanie struktury usługi Active Directory” , prezentuje przegląd procesu
^ Z L W o w u h c e g . , do im plementacji Activ e D irecto ry. Rozdział ten p ^ p r ^
praeẑ proces^rarzenia w ł^nego projektu Active Directory. Do tyczy wszystkich składników
projektu, poczynając od decyzji, ile lasów należy zaimplementować w celu stworzema rozwiązań
struktury O U. , , .. fi Instalacja usługi Active Directory” , dostarcza czytelnikowi opisu pojęć i procedur
S d S S S d - i . *= b.. d; ' “ “ ie 6 Z ;PM |l,d n procesu in,udecji kontrolerów domen A c,i.e j)ire an 7 ore, ..wtete d pkusjt
ldlku nowych opcji związanych z instalacją.
• Rozdział 7, „Migracja do usługi Active Directory”, szczegółowo pedstaw iaczvtelnik potrzebuje dla uaktualnienia wcześniejszej wersji usługi katalogowej do Active D irectory
dla Windows Server 2003. Przejście to jest o wiele bardziej skomplikowane, jeśli jes t o conywan
z Window s N T n iżz Active Directory dla Window s 2000 Z tegona zagadnieniu uaktualnienia Windows N T do Active Directo iy dkW indo ws 2003,
jąc jednocześnie informacji do przejścia z Active Directory dla Window s 2000.
Po wdrożeniu Active Directory istnieje konieczność administracji nią w celu
nvch korzyści dla firmy. Część III, Administrow anie usługą Active Directory dla Windo S h w o opL je wiele prororów edointacpjnpch, , kró^ch ojrolmk M * korspuJ.
S e « £ 2 + dw, gib,™ beepieroei.™. i .dmm ism,* d.meu, pro, u,,cm ms.d — .
S S i dowie ,i„ u. czym p.le8. beepieceń,™. w Acd.e D.tecro^ “ J»srmkturv bezpieczeństwa w celu przelcazania kontroli administracyjnej w obrębie struktury Acnve
De "™ e » e S , A gtup- j edu , , »1« Ac,We D i tec ro, w stosunku
do wcześniejszych wersji usług katalogowych jest to, iż zawiera on potężne narzędzie do pomocyt S S - J + ź * w firmie. Opcje eemro liccji edministt.cj, sutcj.uu »bo= ,m ,
Wprowadzenie xv
może znacznie uprościć zarządzanie siecią i doprowadzić do znaczących oszczędności. Zasady grup
są głównymi narzędziami, których czyteln ik może użyć.do zarządzania stacjami roboczymi w swojej
sieci. Część II I zawiera następujące rozdziały:
• Rozdział 8, „Bezpieczeństwo usługi Active Directory” rozpoczyna się od opisu pojęć, które zwią
zanych z zagadnieniem bezpieczeństwa w Active Directory dla Windows Server 2003. Rozdział
ten skupia się głównie na protokole Kerberos, któ ry jest domyślnym protokołem uwierzyte lnienia
w Active Directory dla Windo ws Server 2003.
• Rozdział 9, „Delegowanie administracji usługą Active Directory” , rozszerza dyskusję na temat
zagadnienia bezpieczeństwa w Active Directory poprzez opis sposobów, za pomocą których można
przekazać uprawnienia administracyjne w obrębie domeny. Jedną z największych zmian wprowa
dzonych w Active Directory jest możliwość wyznaczania administratorom różnych poziomów
uprawnień administracyjnych, jak również nadawania tych uprawnień tylko dla części domeny.
Rozdział ten opisuje jak zaimplementować tą cechę w Active Directory.
• Rozdział 10, „Zarządzanie obiektami usługi Active D irectory” wprowadza czytelnika do zarzą
dzania obiektami Active Directory. Obiekty te stanowią konta użytkowników oraz konta grup,
które zawsze były częścią dowolnej usługi katalogowej. Jednakże Active Directory dla Windows
Server 2003 zawiera również inne obiekty, takie jak obiekty typu inetOrgPerson, grupy uniwer
salne, obiekty drukarek oraz obiekty dzielonych folderów. Rozdział ten wyjaśnia jak zarządzać tymi
obiektami.
• Rozdział 11, „Wprowadzenie do zasad grupy", prezentuje przegląd zasad grupy. Opisuje on spo
sób tworzenia i konfiguracji zasad grupy, jak również metody ich stosowania w Active Directory.
Rozdział ten zapewnia podstawowe informacje, których czytelnik będzie potrzebował do zro
zumienia kolejnych dwóch rozdziałów, przedstawiających konkretne przykłady wykorzystania
zasad grupy.
• Rozdział 12, „Używanie zasad grupy do zarządzania oprogramowaniem” zawiera szczegóły
na temat jednego sposobu użycia zasad grupy. Można ich używać do instalacji i zarządzania opio-
gtamowaniem na komputerach klienckich. W wielu firmach zarządzanie oprogramowaniem jest
skomplikowane i czasochłonne. Zasady grupy są w stanie zautomatyzować wiele spośród zadań
administracyjnych.
• Rozdział 13, „Używan ie zasad grupy do zarządzania komputerami" skupia się na tym, jak można
użyć zasad grupy do zarządzania komputerami. Zasady grupy dostarczają wielu opcji do zarządza
nia stacjami roboczymi, łącznie z blokowaniem niektórych ich składników, konfiguracją bezpie
czeństwa oraz ograniczaniem typów aplikacji, które użytkownik może uruchomić. Rozdział ten
opisuje implementację tych opcji.
Ostatnia część książki dostarcza czytelnikowi informacji potrzebnych do utrzymania infrastruktury
usługi Active Directory po jej wdrożeniu. W celu utrzymania infrastruktury Active D irectory należy
zapobiegawczo monitorować składnik i Active Directory. Często podczas monitoringu można dostrzec
pierwsze ostrzeżenia, że coś zaczyna źle funkcjonować. Biorąc pod uwagę fakt, że niekiedy ma miejsce
niepoprawne zachowanie bez względu na to, jak dokładnie środowisko jest zarządzane, niezbędne jest
posiadanie planu odtwarzania po awarii Active Directory. Część IV, „Obsługa usługi Active Directory
dla Windows Server 2003”, zawiera następujące rozdziały:
• Rozdział 14, „Monitorowanie i obsługa usługi Active Directory" przedstawia informacje dotyczące
monitorowania działania usługi katalogowej Active Directory oraz replikacji w Active Directory.
Rozdział ten zawiera również informacje na temat obsługi bazy danydi Active Directory.
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
9/208
xvi Active Directory dla Windows Server 2003: Przewodnik Techniczny
• Rozdział 15, „Odtwarzanie po awarii” dostarcza czytelnikowi informacji niezbędnych do tworze
nia kopii zapasowych oraz przywracania Active Directory. Active Directory jest kluczową usługą
w sieci i umiejętność odtworzenia jej prawidłowego działania po awarii jest niezbędna.
Każda z sekcji prezentowanej książki wykorzystuje'proces projektowania, wdrażania, administra
cji i utrzymania Active Directory. Jednakże Active Directory dla Microsoft Windows Server 2003 Przewodnik Techniczny stanowi w głównej mierze poradnik. Jeśli Czytelnik będzie potrzebował informacji na określony temat, wystarczy otworzyć odpowiedni rozdział, któ ry dotyczy wybranego zagad
nienia bez czytania wcześniejszych rozdziałów. W niektórych przypadkach Czyte lnik może potrzebo
wać informacji podstawowych w celu zrozumienia danego tematu. Dla przykładu, dyskusja na temat
lasów, domen, jednostek organizacyjnych i lokacji w rozdziale 5 zakłada zrozumienie ich tych pojęćw stopniu, w jakim przedstawione są one w rozdziale 2. "W celu zrozumienia używania zasad grupy
do rozpowszechnienia oprogramowania (czego dotyczy rozdział 12) Czytelnik będzie potrzebował
przyswoić sobie idee zasad grup omówione w rozdziale 11.
Konwencje stosowane w książceW całej książce znajdują się specjalne sekcje wyodrębnione z głównego tekstu. Sekcje te zwracają
uwagę na tematy o szczególnej wadze lub też problemy, z którymi wdrożeniowcy niezmiennie stykają
się podczas procesu implementacji. Można wyróżn ić następujące typy tych elementów:
T=71 Uwaga Element ten jest używany do podkreślenia istotności określonego pojęcia lub zwró-
cenią uwagi na specjalne przypadki, które mogą mieć zastosowanie w niektórych tylko sytuacjach.
Informacje dodatkowe W sytuacji, kiedy istnieją dodatkowe materiały na jakiś temat, zarówno
w innym miejscu niniejszej książki, jak też w źródłach zewnętrznych, takich jak strony sieciowe
lub white papers, sekcja ta zawiera wskazania do tych dodatkowych źródeł.
Ostrzeżenie Element ten wskazuje miejsca, które mogą być przyczyną kłopotów w przypadku
gdy-Czytelnik zrobi coś lub czegoś nie zrobi. Proszę zwróaić szczególną uwagę na te sekcje, gdyż
mogą one zaoszczędzić wielu kłopotów.
Najlepsze rozwiązanie Uzyskanie najbardziej stabilnego działania oraz najwyższej jakości
wdrożenia często wiąże się ze znajomością kilku kruczków. Sekcje te zawierają tego typu wiado-
Planowanie Istnieją momenty, kiedy odrobina zapobiegliwości poprzez planowanie jest rów
noważna wielu godzinom rozwiązywania problemów I bezczynności. Takie momenty zasługują
na element Planowanie.
Wskazówka Element ten kieruje uwagę Czytelnika na porady, mające na celu oszczędność
czasu i trafność strategicznych posunięć.
CzęśćS
PrzeglądActive Directory dla Windows Server 2003
Active Directory Microsoft Windows Server 2003 jest najnowszą wersją usługi katalogowej dostęp
nej w produktach Microsoft. Active Directory zapewnia cenne usługi katalogowe do zarządzania
użytkownikami, grupami i komputerami oraz oferuje bezpieczny dostęp do zasobów sieciowych.
By używać jej najefektywniej niezbędne jest zrozumienie kryjących się za Active Directory pojęć
oraz jej działania. Jest to celem części I niniejszej książki. W rozdziale 1 - „Pojęcia Active Directory”
- czytelnikowi przedstawia się możliwości Active Directory dla Windows Server 2003. Rozdział 1i rozdział 2, „Sk ładnik i Active Directo ry” , dostarczają szczegółowego opisu pojęć i składników, które
tworzą Active Directory. Usługa Active Directory jest ściśle związana z domenowym systemem nazw
(DN S), więc rozdział 3, „System nazw domen Active Directory (D N S)” objaśnia tę integrację oraz
to, dlaczego bardzo ważne jest poprawne zaprojektowanie implementacji D NS przed rozpoczęciem
implementacji Active Directory. W końcu, by zrozumieć działanie Active Directory, niezbędne jest
zrozumienie sposobu wzajemnej replikacji informacji kontrolerów domen Active Directory. Roz
dział 4, „Replikacja i lokacje usługi Active Directory” skupia się na zasadzie działania replikacji oraz
na sposobach jej optymalizacji. , •
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
10/208
Rozdział 1Pojęcia Active Directory
System operacyjny Microsoft Windows Server 2003 zawiera najnowszą implementację usług katalogo
wych Microsoft-Active Directory. Pierwotnie dołączone do Microsoft Windows 2000, usługi katalo
gowe Active Directory zostały ulepszone i udoskonalone w wersji dla Windows Server 2003.
Uwaga W niniejszej książce, pojęcie „Windows Server 2003" odnosi się do tych członków
rodziny produktów Microsoft Windows Server 2003, które zawierają i wspierają Active Directory:
Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition i Windows
Server 2003 Datacenter Edition.
Jeśli czytelnik przez przypadek będzie czytał ten rozdział w swojej lokalnej księgarni, zastanawiając
się nad nowymi właściwościami Active Directory dla Windows Server 2003, rozdział ten potwierdzi,
że takie właściwości są. Rozdział ten dokonuje również przeglądu.głównych cech Active Directory
oraz wyjaśnia, dlaczego implementuje się te cechy w korporacyjnym środowisku Windows Server
2003. Jeśli czytelnik już zdecydował się wdrożyć Active Directory lub jeśli już obsługuje jakąś infra
strukturę Active Directory, pozostała część tej książki dostarczy odpowiedzi na wiele (mam nadzieję,
że na większość) pytań na temat tego produktu. Zapewni istotną informację do planowania, wdroże
nia i obsługi infrastruktury Activé Directory. Zacznijmy więc od początku...
Ewolucja us ług katalogowych firmy Microsoft
Active Directory jest najnowszą wersją usług katalogowych dla systemu operacyjnego Microsoft
Windows. Pierwotnie usługa ta pojawiła się w Windows 2000 Server i jest również składnikiem
Windows Server 2003. Potrzeba usług katalogowych w środowisku obliczeniowym w stacjach robo
czych Microso ftu wyrosła z rozprzestrzenienia się komputerów osobistych w miejscu pracy. W miarę
gdy coraz więcej komputerów zaczęło wchodzić w skład środowiska pracy w firmach, wynikła
potrzeba wzajemnych połączeń sieci w celu udostępniania zasobów i umożliwienia użytkownikom
komunikowania się w czasie rzeczywistym. Jednak gdy firmy zaczęły dzielić zasoby dostępu w sieci,
wynikła również potrzeba zaistnienia katalogu lub foldera z użytkownikami oraz systemu przydziela
nia uprawnień do zasobów.
LAN Manager dla O S/ 21MS-DOS
W roku 1987 pierwszą usługę katalogową, zaprojektowaną do wspierania środowiska obliczeniowego
na stacjach roboczych Microsoftu (OS/2 i M S-D OS ), można było znaleźć w sieci LA N systemu
Microsof zarządców sieci. „Usługa katalogowa” zarządcy sieci LA N zapewniała podstawową funkcjo
nalność dzielenia zasobów plików i drukarek oraz bezpieczeństwa użytkownika, ale nie nadawała się
do dużych korporacyjnych środowisk. Nie była dobrze skalowalna ani nie wspierała relacji zaufania.
Zamiast tego użytkownicy musieli logować się w każdej domenie z osobna w celu dostępu do dzie
lonych zasobów.
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
11/208
4 Część I: Przegląd Active Directory dla Windows Server 2003
Windows NT i SAMPrzyjrzyjmy się Microsoft Windows N T 3.1 Advanced Server. Platforma Windows N T Server ofero
wała silne 32-bitowe środowisko obliczeniowe z wyglądem znanym z popularnych systemów opera
cyjnych Microsoft Window s dla grup roboczych. W sercu Windows N T NO S miescisię baza danych
kont, służąca do zarządzania kontami (Security Accounts Management (S AM )). Stanowi ona cen
tralną bazę kont oraz zawiera wszystkich użytkowników domeny. Konta te są używane w celu kontro
dostępu do dzielonych zasobów na każdym serwerze w domenie Windows NT.
Baza SAM pozostawała główną usługą katalogową w k ilku wersjach Microsoft Windows N T NO S
(Network Operating Systems - sieciowe systemy operacyjne), włączając w to N T 3.5 i niedawnyWindows N T Server 4. SAM skalowała się znacznie lepiej niż w c z e ś m e j s z e wersje architektur usiug
katalogowych dzięki międzydomenowym relacjom zaufania. Związki powiernicze w Windows N T były
niezbędne do przezwyciężenia imiych ograniczeń usług katalogowych Windows N T.
Było jednakże kilka ograniczeń SAM, takich jak brnie wydajności i słaba dostępność. Baza SA M posiadała
praktyczne ograniczenie pojemności, wynoszące 40 megabajtów (̂ ® ). Pod względemi obiektów komputerowych ograniczenie to wyrażało się w limicie liczby obiektow do około 40,000. W c
powiększenia środowiska obliczeniowego ponad granicę 40,000 obiektów administratorzy zmuszeni byli
do tworzenia większej ilości domen w swoich środowiskach. Organizacje były dzielone na wiele domen
w celu osiągnięcia autonomii administracyjnej. W ten sposób każdy administrator mógł kontrolować całą
swoją domenę. Ponieważ wszyscy administratorzy domen w Windows N T 4 mieli zasadniczo nieogram
czone uprawnienia administracyjne, tworzenie oddzielnych domen było jedynym sposobem na zdefiniowa
nie granic uprawnień administracyjnych. W obrębie domeny jednakże, wszyscy administratorzy mieli pełną
kontrolę nad serwerami, które do niej należały.Przy cym tworzenie dodadcowych domen me było zachęca jącą metodą, gdyż każda nowa wymagała dodadcowego sprzętu na serwerze, co wiązało się z dodadcowym
obciążeniem administracyjnym. Wzrost ilości domen w organizacji pociągałza sobą zwiększone uzależnienie
od relacji zaufonia, które umożliwiają użydcownikom autoryzację i dostęp do zasobow w zewnętrznych
domenach. Żeby uporać się z rosnącą złożonością domen i relacji zauńnia, administratorzy sieci wdrażali
jeden z czterech modeli domen: domena pojedyncza, domena nadrzędna, domena wielokrotnie nadrzędna
oraz relacja całkowitego zaufania. Modele te są przedstawione na rys. 1-1, na ser. 5.
Największą troską administratorów we wsparciu tych modeli domen było stworzenie i utrzymanie
dużej ilości relacji zaufania, które były potrzebne. Było to obciążające zadanie, ponieważ wsystkie
międzydomenowe relacje zaufania w W indows N T 4 musiały być tworzone dwustronnie - w dome
nach po obydwu stronach relacji. W wypadku, gdy domenami tymi zarządzali rozm administratorzy,
pojawiała się konieczność koordynacji i komunikacji między nimi, co me należało do podstawowych
zajęć administratorów sieciowych. Dodatkowo zaufania w obrębie domeny Windows N T nie były
szczególnie stabilne. Z powodu unikalnej metody autoryzacji między dwoma komputerami (com-
puter-to-computer), która była używana w celu zachowania relacji zaufama w Windows NT, relacje
te były często niedostępne.
Drugim ograniczeniem bazy SA M był dostęp. Metodą pojedynczego dostępu do interakcji z SAM
był N O S sam w sobie. M iał ograniczony programowy dostęp oraz był trudny w użyciu dla użyt
kowników końcowych. Wszystkie możliwości odczytu, tworzenia czy modyfikacji obiektow w SAM
musiały być zainicjowanie przy użyciu jednego z kilku narzędzi, łącznie z interfejsem użytkownika
(U l) W indows N T 4, takim jak User Manager For Domains (Zarządzanie użytkownikami domeny)
czy Server Manager (Zarządzanie serwerem). Ograniczało to użyteczność SAM jako usługi katalogo
wej i przyczyniło się do potrzeby zamiany usługi katalogowej dla przyszłych wersji sieciowych syste
mów Windows. Omawiana usługa katalogowa zaczęła się wkrótce pojawiać na wszystkich planach
grupy programowej, pracującej nad Microsoft Exchange Server.
Rozdzlat 1: Pojęcia Active Directory . 5
.Model pojedynczej domeny Model domeny głównej
Model z wieloma domenami głównymi Model pełnego zaufania
Rysu nek 1-1. Cztery modele domen używane w Windows N T 4.
Windows 2000 i Active Directory
Ponieważ SAM nie była dostępna na zewnątrz samego NO S, nie nadawała się do wspierana siecio
wych aplikacji talach jak Exchange Server. Kiedy wydano Exchange Server w wersji 4, zawierał on
swoją własną usługę katalogową - Exchange Directo ry. Exchange Directory była zaprojektowana,
by wspierać wielkie środowiska korporacyjne, a w późniejszych wersjach oparto ją o otwarte stan
dardy internetowe. Wsparcie otwartych standardów oznaczało, że Exchange Directory była otwarta
na specyfikacje protokołów: Lightweight Directory Access Protocol (LD AP ) i Transmission Control
Protocol/Internet Protocol (T CP/ IP ), dzięki czemu łatwo mogła być dostępna programowo.
Kiedy tworzono kolejną wersję systemu sieciowego Windows, Microsoft traktował usługę katalogową
Exchange Server jako model przyszłych implementacji usług katalogowych. Dodatkową korzyścią
z jej rozwoju wokół istniejącej już usługi w Exchange Server było to, iż w przyszłych wydaniach
Exchange Server pojawiła się wspólna platforma usług katalogowych, obsługująca jednocześnie śro
dowisko sieciowe i środowisko Exchange Server. Cel ten zrealizowano w Windows 2000.
Silna usługa katalogowa, która pojawiła się pierwotnie jako usługa katalogowa dla Exchange Server
w wersji 4, została ostatecznie wydana razem z Windows 2000: Active Directory. Active Directory
zastąpił SA M jako usługę katalogową dla środowisk sieciowych Microsoft. Nowa implementacja
usługi katalogowej miała służyć ograniczeniu SA M w Windo ws N T 4 i zapewniała dodatkowe korzy
ści dla administratorów sieciowych. Główną zaletę Active Directory w postaci zaimplementowanej
w Windows 2000 stanowi jej slalowalność. Nowy plik bazy kont może zostać powiększony do 70
terabajtów, co stanowi radykalne polepszenie pojemności w porównaniu z ograniczeniami SAM,
Rozdział 1: Pojęcia Active Directory 7
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
12/208
6Część I: Przegląd Active Directory dla Windows Server 2003
wynoszącymi 40 M B. Liczba obiektów, które mogą być przechowywane w Active D irectory wynosi
pOTad milion. W rzeczywistości Active D irector)' została wdrożona w testowym środowisku z poje
dynczą domeną, zawierającą ponad 100 milionów obiektów. B y zademonstrować skakwalnosc Com-
p L Computer Corporation, obecnie część Hewlett-Packard Corporation, z powodzeniem po łący
w pojedynczą domenę skonsolidowane katalogi telefonii domowej Residentia Telephone Directories
dla wszystkich pięćdziesięciu stanów w Stanach Zjednoczonych Ameryki. Dla dwóch^najwięfatych
stanów pozycje załadowano dwukrotnie w celu powiększenia pojemno ci do ponad 100 mil.onow
obiektów. Skoro Active Directo ry może przechowywać, zarządzać i szybko o powia ac na zapy
dla każdego numeru stacjonarnego w Stanach Zjednoczonych, może niewątpliwie rown.ez skalować
objętość do rozmiarów wielkich organizacji korporacyjnych.
Taki olbrzymi postęp w pojemności oznacza, że wielu administratorów sieciowych nie potrzebuje
już dzielić swoich środowisk na wielokrotne domeny w celu obejścia ograniczeń wielkości w usłudze
katalogowej. Wynik iem jest mniejsza liczba domen, mniej sprzętu serwerowego oraz mnie) adm-
n Z d l sieciowej, czyli trzy ważne powody, żeby zainstalować Active Directory. Złożone modde
domenowe, które przeważały w Windows N T 4 mogą zostać teraz skonsolidowane w mniejszej _-
ści domen, przy użyciu jednostek organizacyjnych (organizational units) do grupowania zawartos >
zasobów lub regionalnych domen Windows N T 4. Rysunek 1-2 ilustruje typowy model pojedynczej
domeny w Windows 2000.
Rysun ek 1-2. Model pojedynczej domeny w Windows 2000.
Następną zaletą Active D irectory jest jej dostępność. Architektura Active Directory jest zap rJkto -
wana pod kątem otwartych standardów internetowych, takich jak LD AP i przestrzeń nazw X50 .
Acrive Directory nie tylko jest oparta o otwarte standardy, ale jest również programowo otwarta
na te standardy. Administratorzy mogą zarządzać swoimi implementacjami Active Directory prey
użyciu narzędzi współpracujących z L'DA P takich, jak Active Directory Se rv.« Ine«& eei Ldp.exe (narzędzie administracyjne dla Active D irectory współpracujące z L DA P). Ponieważ Active
Directo ry jest otwarta na LD AP, może być zarządzana programowo. W rezultacie administratorzy .
ciowi mogą umieszczać w skryptach zadania administracyjne, takie jak wsadowe importowanie użyt
kowników, które jest czynnością pochłaniającą dużo czasu, jeśli jest przeprowadzane przy pomocy
graficznego interfejsu użydcownika (G U I).
ję y
D o m e n y .Windows Server 2003 i Active Directory
Ostatnia wersja Active D irectory - ulepszona i udoskonalona wersja lokalnej usługi katalogowej
' wprowadzona razem z Windows 2000, jest składnikiem wszystkich członków rodziny Windows
Server 2003 z wyjątkiem wersji.Web Edition, która nie potrzebuje ani też nie implementuje kom
ponentu Active Directory., Windows Server 2003 Active-Directory oferuje administratorom siecio-
L m skalowalność, dostęp i fimkcjonalność niezbędne do zarządzania infrastrukturą usług sieciowych
w dzisiejszych korporacyjnych środowiskach obliczeniowych. Oczekiwania wobec implementacji
usług katalogowych znacznie wzrosły od okresu stacji roboczych MS-D OS , połączonych do sieci
LA N , a Active4Directory jest idealnym narzędziem, spełniającym powyższe oczekiwania. Reszta tego
rozdziału wyjaśnia, w jaki sposób Active Directory wypełnia swoją rolę w centrum Windows Serwer
2003 oraz jalde nowe cechy posiada w tym wydaniu.
Otwarte standardy Active DirectoryChcąc sprostać rosnącym żądaniom usług katalogowych dla zróżnicowanych środowisk przetwarza
nia danych, Microsoft musiał zawrzeć w swoich sieciowych systemach operacyjnych i implementa
cjach usług katalogowych otwarte standardy informatyczne. Wciąż wzrasta prawdopodobieństwo,
że pomieszczenia serwerowe średnich i dużych organizacji ostatecznie będą wstanie pomieścić różne
sieciowe systemy operacyjne, pracujące na różnorodnych typach serwerów. Wspólnie mogłyby istnieć
serwery Windows ¡ N ovell NetWare, pracujące na platformadi intelowych, platformy UN IX pracu
jące na sprzęcie typu RISC (Reduced Instruction Set Computing) oraz serwery grup roboczych Linux
pracujące na dowolnej platformie, w którą mogliby się zaopatrzyć administratorzy. Aby systemy
te egzystowały wspólnie, sieciowe systemy operacyjne muszą komunikować się ze sobą przy pomocywspólnego języka lub języków. Ta potrzeba jest podstawowym warunkiem obliczeń w otwartych stan
dardach. Współczesna informatyka korporacyjna zmierza w kierunku usług zintegrowanych sieci.
Przeglądu dwóch otwartych standardów, na których oparta jest usługa Active Directory, dokonują
dwie kolejne sekcje.
Hierarchie X.500
Przestrzeń nazw X.50 0 definiuje sposób przechowywania obiektów w Active Directory. Przestrzeń
nazw X.500 jest hierarchiczną strukturą nazw, która jednoznacznie identyfikuje ścieżkę do określo
nego kontenera usługi katalogowej. Zapewnia również unikalny identyfikator dla każdego obiektu
w tym kontenerze. Przy użyciu nazwy X5 00 bądź identyfikatora obiektu (Object Identifier (O ID )),
każdy obiekt w strukturze usług katalogowych może zostać zidentyfikowany w sposób jednoznaczny.
Active Directory jest usługą opartą o strukturę X500, w której. Microsoft zawarł wszystkie bazowe
(lub pierwotne) ldasy w niej określone.
Przestrzeń nazw, o której mowa, może być przedstawiona w notacji kropkowej (numerycznej) lub zna
kowej. Przykładowy OID X.5 00 wynosi 2.5.4.10, co jest równoważne atiybutowi Nazwa Organizagi (z „o” jako wyświedaną nazwą LD AP) . Num eryczna reprezentacja ldasy jednoznacznie identyfikuje
ten obiekt w obrębie hierarchii X.500, dzięki czemu sam obiekt staje się unikalny. Obiekty Active
Directory mogą być również identyfikowane jednoznacznie przy pomocy notacji znakowej X.500,
znanej również jako katalog OS I (Open Systems Interconnection ). W notacji znakowej obiekt użyt
kownika może być reprezentowany w następujący sposób:
cn=Karen Friske, cn=Users, dc=Contoso, dc=com
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
13/208
Część I: Przegląd Active Directory dla Windows Server 2003
Aby spełnić wymaganie jednoznaczności w przestrzeni nazw X.500, może istnieć tylko jedna Karen
Frislce w kontenerze Users w domenie Contoso.com. Mogą istnieć jednakże inne konta użytkownika
Karen Friske w organizacji Contoso. Nazwa X.500 zawiera nazwę kontenera, w którym znajduje się
konto użytkownika (takiego jak jednosdca organizacyjna) oraz umożliwia unikalność jego nazwy.
Reprezentacja znaków przestrzeni nazw X.500 jest zdefiniowana w R FC 1779 (Request for Com
ments - Prośby o komencarze), dostępnym pod adresem: http://www.faqs.oighfishfil779.html .
W celu zobaczenia O IDu X.5 00 , użydcownik może posłużyć się przystawką schematu Active D irectory
Schema lub też przystawką AD SI Edit. By zobaczyć OID X.500 atrybutu Nazwa-Organizacji, należyużyć edytora A D SI do otwarcia kontenera schematu, a następnie przesunąć kursor w dó ł do rozpo
znawalnej nazwy atrybutu: CN=Nazwa Organizacji. Rysunek 1-3 przedstawia attribute ID (nazwęX.500) dla atrybutu httpd/Nazwa-Organizacji.
I“ I Won/ cliuite* thtl bave va u*.
i *Kg
•ÄlGibCie&i iW é iüêf 'S i lameadmnOesciiption Unicode SUing 0igani2almn-Name .
adminDispfayName Unicode Suing Oigsnizalion-MameelowedAłUŁutec ObiecUdenUief tubSchemeSubEnUiî oc •aJowedAtUfcutesEffe... ObjecUdeiitHier kOiiicaiSydemObiectfat!elowedChildClaKei ObjectIdentifier '--.ISWiMM' aHowedCMdCfessesE... Objed Ideniife r _____________
aUtibuteSecuiilySUID
alUibuteSyntax
|LW l Ä
canonicall'JamectassDisplayHame
Octet String 0x54( M i 0x8dOxe4ÛxiÊ
Object identifier 2.5.5.12Distinguished... Unicode Suing contoso.com/ConfiguraUcUnicode String Unicode Stirna , Oraenization-Name : ... Ä f e g » ̂ ^ ̂ . Unicode:5ti|io ^utaancauc
I OK \ An-ig I “ in
Rysunek 1-3. Właściwości atrybutu Nazwa-Organizacji wyśiuietlone w edytorze ADSL
Heterogeniczne ś rodowiska sieciowe
Jeśli heterogeniczne środowisko sieciowe jest zaprojektowane i zarządzane prawidłowo, staje się
niewidoczne dla użytkowników końcowych. Inaczej mówiąc, użydcownicy nie muszą dostrzegać, że usługi sieciowe, od których zależy poprawność wykonywanych przez nich zadań, działają
na różnych platformach serwerowych. Powinni oni móc używać wspólnego zestawu narzędzi
i aplikacji do współpracy zarówno w sieciach prywatnych jak i publicznych (Internet). Jednym
z kluczowych sposobów osiągnięcia niewidocznego heterogenicznego środowiska sieciowego
jest wybór centralnej usługi katalogowej, takiej jak Active Directory W indows Server 2003,
która obsługuje pojedynczą rejestrację. W przeciwnym wypadku użytkownicy muszą dostarczyć
referencji Credentials dla każdego systemu operacyjnego, z którym chcą się połączyć. Typowy
schemat Manifestation heterogenicznego środowiska obliczeniowego może składać się z:
" Systemu operacyjnego z rodziny Windows, obsługującego wiele zgodnych aplikacji, posiada
jących taki sam wygląd oraz prawie niewymagających przekwalifikowania użytkowników'.
Rozdział 1: Pojęcia Active Directory 9
• Sieciowego systemu operacyjnego opartego na Windows lub Novell pracującego na sprzęcie
Intel, lub hybrydowego środowiska zawierającego sieciowy systemem operacyjny od jed
nego dostawcy, który obsługuje usługi katalogowe oraz z systemu innego dostawcy służącego
do obsługi aplikacji i serwerów członkowskich. E)la tradycyjnego obliczeniowego modelu
klienc - serwer popularnego w dzisiejszych oddziałach IT (Information Technology), prefe
rowane są główn ie sieciowe systemy operacyjne. Osiągnięcie udanego heterogenicznego śro
dowiska może być dokonane przez wybór odpowiednich systemów operacyjnych tych wer
sji, zgodnych z otwartymi standardami Active Directory Windows 2000, Active Directory
Windows Server 2003 i Novell Directory Services in Novell. Infrastruktury usług katalogo
wych N etWare 5 i późniejszych wersji oparte są na architekturze otwartych standardów.
• Opartego na UN IX DN S, D H CP (Dynamic Host Configuration Protocol), firewall/proxy
lub serwera NAT (Network Address Translation), pracujących na sprzęcie typu RISC. Nie
które lub wszystkie połączenia internetowe w firmie mogą działać na serwerach U N IX .
Ponieważ usługi internetowe są z definicji standardami otwartymi, nie ma wymagań doty
czących konkretnego typu usług umożliwiających dostęp do Internetu.
• Serwera plików lub aplikacji opartego na Linux, pracującego na systemie Intel lub serwerach
typu R ISC . Środowisko L inux, często wykorzystywane do testów lub programowania, ofe
ruje za przystępną cenę sposób uzyskania usług sieciowych do niekrytycznych zadań. Środo
wisko Linux tego typu mogłoby być dostępne dla użydcowników aplikacji Windows poprzez
protokół SM B (Server Message Block). Użytkownik końcowy nie wiedziałby, że zasoby
są przechowywane na serwerze z systemem innym niż Windows.
Lightweight Directory Access Protocol (LDAP)
LDAP jest zarówno protokołem dostępu jak i modelem usługi katalogowej w Active Directory
Windows Server 2003. Jałto model informacyjny, hierarchia nazw jest podobna do katalogowej hie
rarchii nazw X.500/O SI. Jako A PI (Application Programming Interface - interfejs programowania
aplikacji), LDA P jest zaimplementowany w Active Directory W indows Server 2003 w Wldap32.dll.
Active Directory w pełni obsługuje dostęp do katalogów przy użyciu pierwotnych zapytań LD AP
lub przy użyciu AD SI C O M (Component Object Mode l). LD AP jest zdefiniowany jako protokół
dostępu w zestawie protokołów TC P/ IP dotyczących dostępu do danych katalogowych. Umożliwia
wymianę danych między różnymi platformami usług katalogowych jako otwarty standard, co jest
omówione w części „Kluczowe cechy i korzyści Active Directory” w cym rozdziale.
Reprezentacja fikcyjnego konta użydcownika, wspomnianego wcześniej w hierarchii nazw LDAP, jest
pizedscawiona jako:
LDAP://cn=Karen Friske, crHJsers, dc=Contoso, dc=com.
Używając tej konwencji nazw, administratorzy mogą odnieść się do nich i uzyskać dostęp do obiektów
. w katalogowej usłudze LDAP. Protokó ł LD AP i model katalogowy (ale nie składnia nazwy) są zdefi
niowane przez dokument R FC 1777, dostępny na stronie http://www.faqs.org/ifcs/rfil777.htnd .
Aby administrować Acdve Directory przy użyciu LDAP, należy posłużyć się narzędziem administra
cyjnym zgodnym z LDAP, takim jak Ldp.exe, dostępnym jako część pakietu Suptools.msi w katalogu
SupportYTooIs w folderze płytki instalacyjnej Windo ws-Server 2003. Przy użyciu Ldp.exe, można
wiązać lub łączyć się z Active D irectory poprzez numer portu protokołu UD P (User Datagram
Protocol) a następnie wyśw ietlić nazwę każdego atrybutu, klasy i obiektu. W celu podłączenia się
do Active Directory przy użyciu Ldp.exe oraz w celu wyświedenia atrybutów obiektu użytkownika,
10 Część I: Przegląd Active Directory dla Windows Server 2003 R d i ł 1 P j i A ti Di t 11
http://www.faqs.oighfishfil779.html/http://www.faqs.org/ifcs/rfil777.htndhttp://www.faqs.org/ifcs/rfil777.htndhttp://www.faqs.oighfishfil779.html/
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
14/208
10 Część I: Przegląd Active Directory dla Windows Server 2003
należy podłączyć się przez 389 port UDP , rozwinąć kontener i jednostkę organizacyjną, a następnie
dwukrotnie kliknąć nazwę konta użytkownika. Rysunek 1-4 przedstawia konto użytkownika Karen
Friske, widziane poprzez Ldp.exe.
& CN*usets,DC*=conLoso,DC»=awi• CN-Adrrirtóratof.CN-UKrs.DC-cofAoso.E»««!^
i -CN^Adfrtnłstrtóorzy domeny,CN“ U«rs,D C«= corto:j|
k aj-Admlf t̂óorzyprc«tóębtorst¥«,CH“ 0ser5,Dijp.. CN-Adminbtratoray schemata,CN«U5e*s,DC"Cont;s
■-aisDnsAdmlns.a^Uiers.OI^ontoso.DCcco m ¿r i-CNaDnsUfrf̂ eProsy.OfiaUsers.CKlsconłosô «*!i- Oł=Goić,CN»Ujftfs,DC«cortoJO,DC«cem ^
: CN »Goide domeny,OJ-UstfS.DC-cwiłojo.OC-cęteI CN-Grupa usług pomocy,CiMJsers,DC“Cortoso,ę5g
\ :-Naćh3dren *< j g j- CN=Komputerydomeny,ai*4J«rs,!X®eonto»,Di|§i -CNaKon&tilefydomeny.CN-UsaSjDI-contosOjW^
r CłJał/btg tłCN=UsefsJDC=CGntoso(DC=comi-•OJ=Serwery RAS i !AS,aWfcers,O C-wrrto so,X:p
CN-9J^ORT_388945aO,CN-U5ers,DC-«ntoso,{^j-Oi-TelnetaentSjCN-Users^C-cofttosOiKI-coąg
•QJ=Twótcy-właidcielB 2*sad grupy.ChHJsers.DGfe>-CN=Użytławnlcy domeny,CN»Use«,DC=contoso,l ..j1i- oi»WydawcycertyfB^ów,OWJsefS,DC=conlosi5j.
^ K ł j odRy S ICount
SroiflcavraeVô
■̂ Swil£S&TÆL2iî ;̂ iÉKw.f»vSenb>i;>rinn9Â:n9‘afl'*nKî.>,fi?
W W
Rysunek 1-4. Konto nżytkoiunikti Karen Friske wyitviethne w Ldp.exe.
Kluczowe cechy i korzyści Active DirectoryMożna zadać sobie pytanie: „D o czego potrzebna jest usługa Active Directory?” . Jeśli czytelnik jest
zainteresowany posiadaniem usługi katalogowej Windows Server 2003, najściślej zintegrowanej
z systemem Active Directory stanowi logiczny wybór. Inną przyczyną, by wdrożyć Active Directory
jest obsługa Microsoft Exchange 2000 Server. Exchange 2000 Server jest zależny od Active Directory
ze względu na swoją usługę katalogową, więc wielu administratorów wdraża Active Director)' w celu
podwyższenia standardu Exchange 2000 Server. W tej części zostaną opisane kluczowe cechy i zalety
Active Directory dla Windows Server 2003.
Scentralizowany katalog
Active Directory służy jako pojedyncza, scentralizowana usługa katalogowa, która może być zainsta
lowana w całej organizacji. Upraszcza to administrację siecią, ponieważ administratorzy nie muszą
łączyć się z wieloma katalogami w celu zarządzania kontami. Inną korzyścią centralnego katalogu
jest to, iż może być on wykorzystany przez inne aplikacje, takie jak Exchange 2000 Server. Znacznie
upraszcza to całościową administrację siecią.
Pojedyncza rejestracja w systemie
Użytkownik może zalogować się do sieci, używając swojej głównej nazwy tożsamości użydcow
nika (U PN ) (user principal name), np.: mike@contoso.com, w dowolnym lesie (logiczny składnik
implementacji Active Directory) Window s Server 2003. Po udanym uwierzytelnieniu, użytkowni
kowi przyznaje się dostęp do wszystkich zasobów sieci oraz nadaje uprawnienia, bez konieczności
ponownego logowania się na różnych serwerach lub domenach. UP N jest obowiązkowym atrybutem
obiektu konta użydcownika w Active Directory i zostaje zdefiniowany domyślnie w Active Directory
w momencie założenia nowego konta użydcownika.
Rozdział 1: Pojęcia Active Directory 11
Oddelegowana administracja
Jednym z ograniczeń SAM w Windows NT 4 było to, iż prawa administracyjne był)' dostępne na zasa
dzie „wszystko albo nic . Aby nadać użytkownikowi pewien poziom uprawnień administracyjnych,
niezbędne było uczynienie go członkiem grupy administratorów domeny. Ten poziom uprawnień
administracyjnych dawałmytkownikowi praktycznie nieograniczoną władzę w obrębie domeny, łącz
nie z prawem do usuwania innych użytkowników z grupy administratorów. Nie był to szczególnie
bezpieczny sposób delegowania administracji. Z drugiej strony, Active Director)' oferuje administra
torom możliwość delegowania wybranych uprawnień adm inistracyjnych. Używając kreatora delegacji
kontroli lub dzięki ustawieniu określonych zezwoleń dla obiektów Active Directory administratorzy
mogą zaoferować precyzyjne dostosowanie praw administracyjnych. Można na przykład przypisaćokreślonemu kontu użytkownika prawa administracyjne do kasowania haseł w domenie, ale nie
do tworzenia, usuwania czy też modyfikacji obiektów użytkownika.
Interfejs wspólnego zarządzania
Istnieje kilka możliwości wykorzystania integracji między Active Directory i systemem operacyjnym.
Jedną z nich jest użycie interfejsu wspólnego zarządzania: konsoli M M C (Microsoft Management
Console). Gd y działa się na Active Directory poprzez G U I (Graphical User Interface) M M C, wszyst
kie narzędzia administracyjne mają spójny wygląd. Narzędzia te są zawarte w konsoli Active Directo ry
Active Directory Users And Computers (Użydcownicy i komputery Active Directory), w Active
Directory Domains And Trusts (Domenach i relacjach zaufania Active Directory) oraz w Active
Directory Sites And Services (Lokacjach i usługach Active Directory). Ponadto dodatkowe moduły
M M C wykonują te same czynności, co inne narzędzia administracyjne Wind ows Server 2003, jakna przykład moduły D NS i DH CP .
Zintegrowane bezpieczeństwo
Active Directory ściśle współpracuje z podsystemem bezpieczeństwa Window's Server 2003 w celu
uwierzytelnienia głównych zasad oraz ochrony bezpieczeństwa dzielonych zasobów sieciowych. Bez
pieczeństwo sieciowe w W indows Server zaczyna się od uwierzytelnienia podczas logowania. System
operacyjny Windows Server 2003 obsługuje dwa protokoły do sieciowego uwierzytelnienia w obrę
bie oraz między domenami Window s Server 2003, którymi są Kerberos v5 i N T LA N Manager
(N TLM ). Kerberos jest domyślnym protokołem uw ierzytelnienia dla klientów logujących się z klien
ckich komputerów działających w systemie Windows 2000 Professional lub M icrosoft Windows X P
Professional. Użytkownicy logujący się z klienckich komputerów o niższych wersjach systemu ope-
racyjnego (Windows N T 4, M icrosoft Windows 98 łub wcześniejsze), używają protokołu NT LM
do uwierzytelnienia w sieci. Protokół N TLM jest również używany przez Idientów Windows X P
Professional i Windows 2000, gdy logu ją się na serwerach działających w systemie Windows N T 4
lub na komputerach spoza sieci pracujących w systemie Windows 2000 lub Windows Server 2003.
Usługa Active Directory stanowi również integralną część modelu kontroli dostępu Windows Server
2003. Kiedy do domeny Windows Server 2003 loguje się zwierzchnik zabezpieczeń, podsystem
bezpieczeństwa w połączeniu z Active Directory tworzy żeton dostępu, który zawiera identyfikator
bezpieczeństwa SID (security identifier) konta użydcownika, jak również SID wszystkich grup, któ
rych użytkownik jest członkiem. SID jest atrybutem obiektu użytkownika w Active Directory. Żeton
dostępu jest często porównywany do deskryptora bezpieczeństwa zasobów, a oczekiwany poziom
uprawnień jest przydzielany użytkownikowi, jeśli zaistnieje taka możliwość.
mailto:mike@contoso.commailto:mike@contoso.com
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
15/208
12 Część I: Przegląd Active Directory dla Windows Server 2003
SkalowalnośćKiedy mamy do czynienia ze zwiększaniem się rozmiarów organizacji, czy to w wyniku stopnio
wego rozwoju, czy też poprzez serię fuzji lub przejęć, usługa Active Directory umożliwia skalowanie
w tempie zgodnym z rozrostem organizacji. Można wybrać zwiększenie rozmiarów modelu domen
lub po prostu dodać więcej serwerów w celu przystosowania się do zwiększonej pojemności.
•Wszelkie zmiany w infrastrukturze Active Directory powinny być starannie zaimplementowane
w zgodzie z planem modelowym Active Directory, który przewiduje taki rozrost. Pojedyncza domena
- najmniejsza jednostka infrastruktury Active Directory, która może być poddana replikacji na konr
trolerze pojedynczej domeny - może obsługiwać powyżej miliona obiektów, więc nawet model poje- | |dynczej domeny będzie wspierał duże organizacje.
Co nowego w Active Directory Windows Server 2003Oprócz już wymienionych kluczowych cech Active Directory istnieje kilka innych które są nowe j|g
w Active D irectory Windows Server 2003. W tej części dokonano ich przeglądu. Cechy te opisano | |
pełniej w następnych rozdziałach, w poszczególnych aspektach implementacyjnych.
Użytkownicy Active Directory i ulepszenia komputerów
Istnieją dwie chętnie przyjęte zmiany w module Active D irecto ry do zarządzania komputerami i użyt- gg_
kownikami usługi Active Directory Users And Computers. W Window s Server 200o m oduł ten gg.
pozwala administratorowi na zachowanie zapytań. Administratorzy mogą przeszukać katalog podkątem określonego atrybutu, zachować zapytanie, a następnie użyć go ponownie w celu analizy i roz- j| |
wiązywania problemów w przyszłości. Administrator może na przykład zachować szukanie obiektu ^
użytkownika, który posiada niewygasające hasło (opcje konta: Password Never Expires) a następnie
wykorzystywać je w celu śledzenia potencjalnego zagrożenia bezpieczeństwa. |g
Mod uł Active D irectory Users And Computers pozwala również administratorowi na edycję wielu |g
obiektów użytkowników w tym samym czasie. We wcześniej wspomnianym przykładzie po wyszuka- ¡gg
niu przez administratora kont użytkowników z niewygasającym hasłem, mogą wszystlde one zostać
otwarte i atrybut ten może zostać zmieniony we wszystkich tych kontach w tym samym czasie.
Poziomy funkcjonalności ;-
Usługa Active Directory dla Windows Server 2003 wprowadza poziomy domen i lasów funkcjonał- 1 ■
ności, które zapewniają wsteczną kompatybilność dla domen,- pracujących pod kontroleram i domen —-
niskiego poziomu. Należy mieć świadomość, iż w celu implementacji wielu innych zmian w Active ..gDirecto ry Window s Server 2003 należy podnieść poziom funkcjonalności domen lub lasów. Wiele j .
nowych cech wymaga, aby środowisko sieciowe obsługiwane było przez kontrolery domen, pracujące
pod systemem operacyjnym Windows Server 2003.
u---- ------------- ---—— ' " ‘ _ ĵ łć"f T T j Uwaga Kontrolerem domeny niskiego poziomu jest każdy kontroler domeny w domenie jg |
— Windows Server 2003, który pracuje pod wcześniejszą wersją sieciowych systemów, takich jak
Windows NT 4 lub Windows 2000.
Domyślnym poziomem funkcjonalności domen i lasu jest tryb „Windows 2000” („W indo ws 2000 .-
mieszany” w wypadku domen). Oznacza to, że Active Directory po instalacji jest skonfigurowany ,
w sposób umożliwiający korzystanie z takich nowych cech, które funkcjonują poprawnie pr,7
Rozdział 1: Pojęcia Active Directory 13
kombinacji kontrolerów domen działających w systemach Windows Server 2003 oraz Windows
2000. Aby osiągnąć korzyści płynące z wszystkich nowych cech Active Directory, poziom funkcjonal
ności musi zostać jak najszybciej podniesiony do wersji Windows Server 2003 (warunek, w którym
nie ma już kontrolerów domen pracujących w systemach Windows 2000 lub Windows N T 4).
Uwaga Poziomy funkcjonalności w Active Directory dla Windows Server 2003 nawią
zują do znanych z systemu Windows 2000trybów domen: mieszanego i macierzystego. Windows
Server 2003 Udostępnia dodatkowe możliwości funkcjonalności usługi katalogowej dla przed
siębiorstwa. Konieczne było zatem większe zróżnicowanie trybów domen. Koncepcje poziomów
funkcjonalności i trybów działania domen są właściwie takie same. Więcej informacji na tematpoziomów funkcjonalności znajduje się w tabelach 2-1 i 2-2 w rozdziale 2.
Przemianowanie domeny
Active Director)' Windows Server 2003 obsługuje teraz.zmianę nazwy domen ¡śmiejących w lesie
przy jednoczesnym zachowaniu globalnego unikalnego identyfikatora (G U ID ) oraz SID domeny. Ist
nieje kilka scenariuszy, w których ta cecha jest użyteczna m.in. połączenie dwóch organizacji z odręb
nymi infrastrukturami, które należy skonsolidować pod pojedynczą nazwą domeny, odzwierciedlającą
zewnętrzną zarejestrowaną przestrzeń nazw. Przemianowanie domen nie jest zwyczajną procedurą IT.
W pewnym stopniu destrukcyjnie wpływa na dostępność sieci, ponieważ każdy kontroler domeny
i każdy serwer członkowski w domenie musi zostać ponownie uruchomiony, by zakończyć operację.
Partycje katalogu aplikacji
Oprócz partycji katalogu domen i konfiguracji (łącznie z partycją katalogu schematu) Active Directory
Windows Server 2003 obsługuje teraz partycje katalogu aplikacji. Partycje katalogu aplikacji mogą
być używane w celu przechowywania charakterystycznych dla aplikacji informacji na oddzielnej par
tycji, replikującej się z tymi kontrolerami domen, które wymagają aktualizacji tego typu danych.
Redukuje to całkow ity ruch związany z replikacją Active Directory. D omyślną implementację partycji
katalogu aplikacji stanowią zintegrowane z D NS strefy Active D irectory. Partycja katalogu aplika
cji stanowi obecnie domyślną lokalizację stref Active D irectory zintegrowanych z DNS. Wynikiem
taicie] konfiguracji jest to, iż dane stref DN S są replikowane do kontrolerów domen, które są również
serwerami DNS, włączając w to serwery DN S, znajdujące się w innych domenach lasu. Programiści
aplikacji mogą pisać aplikacje rozproszone wykorzystujące tę cechę, w związku z czym aplikacje roz
proszone przechowują swoje dane na partycji katalogu aplikacji.
Dodatkowy kontroler domeny instalowany z zapasowego medium
Nowa cecha, o której mowa, stanowi udoskonalenie procesu instalacji Active Directory. Podczasinstalacji dodadcowego kontrolera domeny w Windows 2000 ukończenie pierwotnej replikacji party
cji katalogowych może zająć dużo czasu (od lu lku godzin do kilku dni), zwłaszcza przy dużych party
cjach katalogowych lub kontrolerach domen, które są odseparowane przy pomocy wolnych połączeń
sieciowych. Proces instalacji Active Directory dla Windows Server 2003 obsługuje obecnie tworze
nie partycji katalogowych z ostatnich kopii danych o stanie systemu z innego kontrolera domeny
Windows Server 2003. Proces ten uległ znaczącemu przyśpieszeniu ze względu na umiejscowienie
danych katalogowych na lokalnym dysku, a nie konieczność ich uzyskania poprzez replikację sieci.
14 Część I: Przegląd Active Directory dla Windows Server 2003 Ro zd zial i: Pojęcia Active Directory 15
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
16/208
ę g ą y
Dezaktywacja obiektów schematu
W Windows Server 2003 administratorzy sieci są w stanie „dezaktywować” lub wyłączyć ldasy i atry
buty schematu. W rezultacie1istnieje możliwość przedefiniowania atrybutów i Idas zamiast koniecz
ności tworzenia nowych klas lub atrybutów w wypadku błędu przy definiowaniu niezmiennych-właś-
dwości. D la przykładu załóżmy, iż okazuje się, że administrator musi rozszerzyć schemat, aby dodać
atrybut rozmiar buta do obiektu ldasy Użytkownik i nieuważnie ustawia definicję atrybutu na Integer.
Po głębszym zastanowieniu się administrator decyduje, że powinna to być jednak wartość znaku,
żeby można było zapisać jednocześnie rozmiar i szerokość. Poprzez dezaktywację atrybutów schematu
pierwotny atrybut może być wyłączony, a nowy atrybut, również zatytułowany „Rozmiar Buta , może
zostać stworzony z odpowiednią definicją. Gdyby nie było takiej możliwości, administrator musiałby
stworzyć nowy atrybut o unikalnej nazwie -i całkowicie pominąć atrybut dotychczasowy „Rozmiar Buta". Zmiany spowodowane dezaktywacją obiektów schematu są odwracalne, co zapobiega przy
padkowej dezaktywacji i stanowi mechanizm bezpieczeństwa.
Blokowanie kompresji replikacji ruchu między różnymi lokalizacjami
W Active Directory Windo ws Server 2003, jak również Windows 2000 replikacja ruchu między
lokalizacjami jest domyślnie poddawana kompresji. Optymalizuje to wykorzystanie przepustowo
ści między lokalizacjami, ale jednocześnie wprowadza dodatkowe obciążenie procesorów kontrolera
domeny, wynikające z potrzeby obsługi kompresji i dekompresji. Ponieważ obecnie istnieje możli
wość wyłączenia kompresji replikacji ruchu (tylko między różnymi lokalizacjami), administratorzy
mogą zredukować obciążenie CP U (Cen tral Processing Unit - centralnej jednostka obliczeniowa).
Dzieje się tak kosztem zwiększonego wykorzystania przepustowości sieci, ale w środowiskach siecio
wych o dużej przepustowości może to być wymiana warta zachodu.
Brak konieczności globalnbgo katalogu w celu logowania
Podczas logowania do domeny Windows 2000, pracującej w pierwotnym trybie (native-mode) musi
nastąpić kontakt z globalnym serwerem katalogu w celu przeanalizowania uniwersalnej przynależności
użytkownika do grupy. Ta informacja jest wymagana do stworzenia żetonu dostępu użytkownika. Aby
uniknąć sytuacji, w których zalogowanie się użytkownika było niemożliwe z powodu braku połącze
nia z katalogiem globalnym, powszechną praktyką projektowania stosowaną z Active Directory jest
umieszczenie katalogów globalnych w miejscach dostępnych przez mniej zawodne połączenia sieci.
Kontrolery domen Windows Server 2003 mogą być obecnie skonfigurowane tak, aby buforowały
informację o uniwersalnym członkostwie w grupie, dzięki czemu logowanie użytkownika może zostać
zrealizowane bez konieczności kontaktu z katalogiem globalnym. W rezultacie żadna lokalizacja zdalna
nie musi zawierać katalogu globalnego. Dodadcowo brak katalogu globalnego w każdej lokalizacji zdal
nej przyczynia się do redukcji ruchu w sieci na tych łączach, które prowadzą do danych lokalizacji.
Udoskonalenia replikacji członkostwa grupowego
Kiedy dokonywano pojedynczej zmiany w członkostwie grupy Windows 2000, wszystkie dane człon
kowskie musiały zostać zrepłikowane w celu zsynchronizowania zmiany na innych kontrolerach
domen. W wypadku bardzo dużych grup zajmowało to dużą część pasma sieci i wówczas, gdy człon
kostwo w grupie zostało zmienione na więcej niż jednym kontrolerze domeny, narażało na utratę
danych. Na poziomie funkcjonalności lasu w Windows Server 2003 zmiany w członkostwie grupy
są obecnie replikowane oddzielnie dla każdego członka.
ję y
Ulepszenia selektora obiektów w interfejsie użytkownika (Ul)
Selektor obiektów jest cechą interfejsu użytkownika, którą wykorzystuje się przy wyborze obiek
tów kont do administracji w całym Acdve Directory. Dodając na przykład konta użytkowników
do globalnej grupy, używa się U l selektora obiektów w celu zaznaczenia konta użytkownika, które
chcemy dodać. We wcześniejszych wersjach zapewniał on płaski widolc katalogu, który był bądź nie-
praktyczny, bądź niemożliwy do przeglądania przy przewijaniu. Bieżąca wersja tego interfejsu zawiera
• ' zaawansowane cechy zapytań, które pozwalają na przeszukiwanie katalogu na poziomie atrybutów
a ich zasięg jest dopasowywany do określonej jednostki organizacyjnej. Wynikiem tego ulepszenia jest
poprawione wyszukiwanie jak również zredukowany wpływ usługi katalogowej na sieć. Ponadto U l
selektora obiektów jest dostępny dla każdego nowego dodatkowego modułu M M C, który wymaga
od użytkownika zaznaczenia obiektów Active Directory.
Mechanizm usuwania przestarzałych obiektów
Usuwanie przestarzałych obiektów jest procesem, w którym obiekty oznaczone jako tombstone są usuwane z tych kontrolerów domen, których replikacja staje się niemożliwa w wyniku procesu zbierania
nieużytków. Znacz niki tombstone wskazują, że obiekt został usunięty. Zbieranie nieużytków jest pro
cesem, w którym obiekty oznaczone jako tombstone są usuwane ze wszystkich replik bazy Active
Directory w całej domenie. Proces usuwania tego typu przestarzałych obiektów jest wykorzystywany
w sytuacjach, w których kontroler domeny jest wyłączony, gdyż w przeciwnym wypadku staje się on
niedostępny po usunięciu obiektów przestarzałych w partycji katalogu domen. Ponieważ wcześniej
nie istnia ł proces usuwania przestarzałych obiektów, nie było także procesu sprzątania „zgubionych”
obiektów tombstone, w wyniku czego baza katalogowa mogła rozrosnąć się do takiego rozmiaru,
który w znaczący sposób wpływa ł na działanie replikacji. Oznaczało to również, że istniały niespójne
kopie partycji katalogów wśród kontrolerów domen.
Obsługa inetOrgPerson
Active Directory Windows Server 2003 obsługuje już ldasę inetOrgPerson zdefiniowaną w dokumencie RFC 2798, dostępnym pod adresem http://wwiu.faqs.org/rfcs/ifc2798.html . Ten dodatek do podstawowego schematu umożliwia administratorowi Active Directory migrację obiektów inetOrgPerson z innych katalogów LDAP, jak również tworzenie obiektów inetOrgPerson w środowisku ActiveDirector)' Windows Server 2003.
Podsumowanie
W tyna rozdziale czytelnik dowiedział się, w jaki sposób ewoluowały w przeciągu lat implementacje katalogowych usług Microsoft. Za rozwojem sieci komputerowych postępował również rozwój
usług katalogowych, które były zależne od nich. Od wersji Windows 2000 usługą katalogową
w centrum sieci systemów operacyjnych Wind ows był Active Directory. W tym rozdziale przedsta
wiono krótki rys usługi katalogowej i wyjaśniono jak jest ona zaprojektowana pod kątem spełnie
nia wymagań, narzucanych przez współczesne środowiska sieci komputerowych. Szczególna uwaga
została zwrócona na korzyści płynące z zastosowania Active Directory dzięld przypomnieniu głównych zalet tej usługi.
http://wwiu.faqs.org/rfcs/ifc2798.htmlhttp://wwiu.faqs.org/rfcs/ifc2798.html
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
17/208
Rozdział 2Składniki Active Directory
Usługa katalogowa Active Directory Microsoft Windows Server 2003 istnieje na dwóch poziomach;
fizycznym i logicznym. Pod względem struktury fizycznej usługa Active Directory jest pojedynczymplikiem na twardym dysku serwera oraz na twardych dyskach każdego z kontrolerów domeny, które
zawierają tą usługę. Logiczna struktura usługi Active Directo ry składa się z kontenerów, które są uży- ^
wane do przechowywania obiektów usługi katalogowej (tak ich jak partycje katalogów, domeny, lasy)
w przedsiębiorstwie. Partycje katalogu, domeny i lasy są ostatecznie zredukowane do bajtów, które
przechowywane są w fizycznych komponentach usługi katalogowej. Rozdział ten na początku zapozna
Czytelnika z przejawami fizycznej strony usługi katalogowej Active Directory. Następnie Czytelnik
przyjrzy się logicznej strukturze implementacji usługi Active Directory. Dogłębne zrozumienie fizycz
nej struktury usługi katalogowej jest ważne, ale dla pomyślnej instalacji i zarządzania infrastrukturą
katalogową najistotniejsze jest zrozumienie struktury logicznej. To w łaśnie z logiczną strukturą usługi
katalogowej mamy najwięcej do czynienia na co dzień.
- . ' 1 7
Fizyczna struktura usługi Active DirectoryFizycznie usługa Active Directory składa się głównie z pojedynczego pliku danych umiejscowionego
na każdym kontrolerze domeny. Fizyczna implementacja usługi Active Direc tory jest opisywana przez
lokalizację kontrolerów domeny, na których się znajduje. Instalując usługę Active Directory można
dodać wiele kontrolerów domeny, które są potrzebne do wspierania usług katalogowych w organiza
cji. Istnieje pięć specyficznych ról, które każdy z kontrolerów domeny może spełniać. Role te określa
się mianem roli wzorca operacji. Inną rolą, którą spełniać może każdy pojedynczy kontroler domeny jest rola wykazu globalnego. W tej sekcji Czytelnik przyjrzy się zarówno składnicy danych ActiveDirectory, jak i kontrolerom domeny, które ją zawierają.
Składnica danych katalogowych
Wszysdde dane zawarte w bazie danych usługi Active Directory są przechowywane w pojedynczym pliku
na kontrolerze domeny- Ntds.d it. P lik ten jest przechowywany domyślnie w katalogu %System Root%\
NTD S na kontrolerze domeny. Plik ten przechowuje wszystkie informacje katalogowe dla domeny, jakrównież część informacji dzielonej przez wszystkie kontrolery domeny w danej organizacji.
Drugą kopię pliku Ntds.dit można znaleźć w katalogu struktury -%SystemRoot%\System32. Ta wer
sja pliku jest kopią dystrybucyjną (domyślną) katalogowej bazy danych i używa się jej do instalacji
usługi Active Directory. Plik ten jest kopiowany na serwer w momencie, kiedy instalowany jest system
Microsoft Windows Server 2003, w związku z czym serwer ten może zostać wypromowany na kon
troler domeny bez konieczności dostępu do medium instalacyjnego. Kiedy uruchamiany jest kreator
instalacji usługi Active D irecto ry (Dcpromo.exe), plik Ntds.dit jest kopiowany z katalogu System32
do katalogu NT D S. Kopia przechowywana w katalogu NT D S staje się działającą kopią składnicy
danych katalogowych. Jeśli nie jest to pierwszy kontroler domeny w domenie, plik zostanie uaktual
niony z innych kontrolerów domeny w domenie poprzez proces replikacji.
18 Część I: Przegląd Active Directory dla Windows Server 2003 M- Rozdział 2: Składniki Active Directory 19
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
18/208
Kontrolery domeny
Z definicji, każdy komputer pracujący w systemie Windows Server 2003, który utrzymuje kopię bazy Uj.
danych Active Directory jest kontrolerem domeny. Z kilkoma wyjątkami, które zostaną wyszczegól- *
nione w dalszej części tego rozdziału, wszystkie kontrolery domeny są tworzone jako równoprawne, o
Wykorzystując proces replikacji z wieloma głównymi kontrolerami, opisany w rozdziale 4 „Replika- s
cje i lokacje usługi Active Directory”, każdy kontroler domeny utrzymuje w domenie aktualną kopię :yy
bazy danych tej domeny i nie jest w stanie uczynić w niej zmian.
Oprócz kontrolerów domeny, które zawierają usługę Active Directory, istnieje kilka kontrolerów domeny
o specjalnym przeznaczeniu, które są wymagane przez usługę Active D irectory do przeprowadzenia y
pewnych fimkcji. Są nim i serwer)' wykazu globalnego (global catalog [GC]) orazwzorce opemcji. ,,_x
Serwery wykazu globalnego >
Serwer wykazu globalnego używany jest do przechowywania globalnego wykazu. G C stanowi czę- f ściową, przeznaczoną tylko do odczytu kopię wszystkich nazewniczych kontekstów domen (Nam ing j j ;
Context [N C ]) w lesie. GC zawiera podstawowy zestaw atrybutów każdego obiektu w lesie (w każdej i|| i
N C domeny). Zestaw' ten nie jest jednak kompletny. Dane G C są czerpane ze wszysddch partycji-"!:
katalogów domeny w lesie. Są one następnie replikowane do każdego GC przy wykorzystaniu nor-. _;
malnego procesu replikacji usługi Active Directory.
Wskazówka Decyzja o replikacji danego atrybutu do GC jes t determinowana przez schemat Przy j j| .
użyciu przystawki Schem at Usługi Active Directory w konsoli MMC administrator może ustalić dodat- | j j :
kowe atrybuty, które mają podlegać replikacji do GC. Aby dodać atrybut do GC należy wybrać opcję T.
Replikuj Ten Atrybut w Wykazie globalnym. Ustawia się w ten sposób wartość parametru isMem-
berOfPartialAttributeSet atrybutu na true. Można również ustawić dodawanie atrybutu do GC, jeśli |j |.
przewiduje się, że użytkownicy będą potrzebować możliwości wyszukania danego obiektu w lesie. |j |.
Atrybuty, do których odwołanie następuje rzadko, nie są zazwyczaj dodawane do GC. Pierwszy kon- k
troler domeny instalowany w domenie staje się automatycznie GC. Dodatkowe kontrolery domeny C
mogą zostać wyznaczone na Wykazie Globalnym poprzez wybór opcji Serwer Wykazu Globalnego p
w narzędziu administracyjnym Usługi i Lokacje Active Directory. W celu optymalizacji procesu logo-
wania istnieje możliwość desygnowania dodatkowych kontrolerów domeny do pełnienia funkcji GC. || f
Wykorzystanie GC do procesu logowania jest opisane w dalszej części tego woluminu, w rozdziale 5 g ł
„Projektowanie Struktury Usługi Active Directory", który dostarcza bardziej szczegółowych informa- ;
cji na temat ilości serwerów GC oraz prawidłowego ich umiejscowienia.
Można się zastanawiać, do; czego w ogóle są potrzebne serwery G C. Jednym z powodów jest moz- ^
liwość wykorzystania ich do przeszukiwania usługi Active Directory. Bez G C, żądanie wyszukiwa-Jjg:
nia, otrzymywane przez kontroler domeny, który n ie zawierał poszukiwanego obiektu, spowodo- Jg|:wałoby przekierowanie zapytania do innego kontrolera domeny. Ponieważ GC zawiera kompletną -
listę każdego obiektu w lesie (chociaż nie każdego atrybutu ob iektu), serwer G C może odpowiadać 'i,
na każde zapytanie, używając atrybutu, który został zreplikowany do GC bez potrzeby odwoływania ,
się do innego kontrolera domeny. Zapytanie, które jest przesyłane do serwera GC, jest zapytaniem •'
protokołu LD AP wykorzystującym port 3268 (domyślny port GC ). ..ji:
Drugim, bardziej skomplikowanym powodem konfigurowania serwerów GC jest obsługa procesu'y logowania użytkowników. (Zazwyczaj każde logowanie użytkownika do domeny wiąże się z odwo
łaniem do GC . Dzieje się ¡:ak, ponieważ kontrolery domeny, nie będące GC , nie zawierają żadnych j ę
uniwersalnych informacji o członkostwie grup. Grupy uniwersalne są jedynie dostępne w domenach ||v
z poziomem funkcjonalności Microsoft Windows 2000 Macietzysty lub Windows Server 2003. sj®
Poziomy funkcjonalności są używane w Windows Server 2003 w celu uaktywnienia cech usługi A cti ve ^
Directory dla wszysddch kontrolerów domeny, które je obsługują. Gru py uniwersalne mogą zawierać
konta użytkowników i grup z każdej domeny w danym lesie. Ponieważ uniwersalne członkostwo
grupy ma zasięg lasu, członkostwo grupy może być rozwiązane pizez kontroler domeny, który zawiera
katalogową informację o zasięgu lasu, czyli taką, która znajduje się w G C. Aby zapewnić precyzyjność
żetonu bezpieczeństwa, który jest generowany dla użytkownika podczas uwierzytelniania, musi nastą
pić odwołanie do GC, mające na celu ustalenie uniwersalnego członkostwa grupy użytkownika.
Uwaga Windows Server 2003 obsługuje nową cechę znaną jako buforowanie członkostwa
grup uniwersalnych, która umożliwia logowanie się do sieci Windows Server 2003 bez kon
taktu z GC. Członkostwo grupy uniwersalnej zaczyna być buforowane na kontrolerach domen
nie będących serwerami GC od momentu, gdy użytkownik loguje się po raz pierwszy, przy założeniu, że opcja ta jest uaktywniona. W momencie gdy informacja ta jest uzyskana z GC, zostaje
buforowana przez czas nieokreślony na kontrolerze domeny dla danej lokalizacji, a następnie
okresowo uaktualniana (domyślnie raz na 8 godzin). Uaktywnienie tej cechy powoduje skrócenie
czasu logowania dla utytkowników z odległych lokalizacji, ponieważ uwierzytelniające kontrolery
domen nie muszą odwoływać się do GC. Aby uaktywnić opcję członkostwa grupy uniwersalnej
w lokacji należy otworzyć przystawkę Lokacje i Usługi Active Directory, a następnie wybrać pożą
daną lokację w drzewie konsoli. W panelu ze szczegółami należy kliknąć prawym przyciskiem
myszy na Ustawienia NTDS Lokalizacji, a następnie kliknąć Właściwości. W arkuszu Właściwości
należy wybrać opcję Włącz buforowanie członkostwa grup uniwersalnych, a następnie wybrać
lokacje, z której dana lokacja będzie pobierać uaktualnienia do bufora. Opcja
spowoduje odświeżenie lokacji z najbliższej lokacji, którą zawiera GC.
Poziomy funkcjonalnościW systemie Windows Server 2003 każdemu lasowi oraz każdej domenie w obrębie lasu może
zostać przypisany określony poziom funkcjonalności. Poziomy funkcjonalności są używane w celu
uaktywnienia cech, które są zgodne przy określonej kombinacji systemów operacyjnych, obsługi
wanych przez różne wersje poziomów funkcjonalności. Kiedy określony poziom funkcjonalno
ści jest ustawiany dla domeny, dotycz)' on tylko tej domeny. Jeśli nie zostało określone inaczej,
domeny są tworzone z poziomem funkcjonalności mieszanym Windows 2000; lasy są tworzonez poziomem funkcjonalności Windows 2000.
Tabela 2-1 zawiera poziomy funkcjonalności domeny i systemy operacyjne obsługiwane na kon
trolerach domen w danej domenie.
Tabela 2-1, Poziomy funkcjonalności domeny
Poziom funkcjonaln ości domen y Systemy operacyjne obsługiwane na kontrolerach
________________________________ domeny w danej domenie______________________
Windows 2000 mieszany (domyślny) Window s N T 4
Windows 2000
Window s Server 2003
Windows 2000 macierzysty Window s 2000
Window s Server 2003
Windows Server 2003 tymczasowy Window s N T 4
Window s Server 2003
Windows Server 2003 Window s Server 2003
20 Część I: Przegląd Active Directory dla Windows Server 2003 Rozdziat 2: Składniki Active Directory 21
-
8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny
19/208
20 Część I: Przegląd Active Directory dla Windows Server 2003
ciąg dalszy ze strony poprzedniej
Tabela 2-2 przedstawia poziomy funkcjonalności lasu oraz systemy operacyjne obsługiwane na kon
trolerach domen w danym lesie:
Tabela 2-2. Poziomy funkcjonalności lasu
Poziom funkcjonalności lasu Systemy operacyjne obsługiwane na Kontrolerach
•domeny w danym lesie
Windows 200
top related