Общие сведения об Active Directory
Каталог представляет собой иерархическую структуру, которая хранит сведения об объектах в сети. Служба каталогов, такая как Active Directory®, обеспечивает возможность хранения данных каталога и доступа к этим данным сетевых пользователей и администраторов. Например, в Active Directory хранятся сведения об учетных записях пользователей, такие как имена, пароли, номера телефонов и т. п., к которым могут получать доступ другие пользователи той же сети, прошедшие проверку.
Данный раздел включает:
• Введение в Active Directory
• Новые возможности Active Directory
• Сведения о безопасности для Active Directory
Введение в Active Directory
Служба каталогов Active Directory® может быть установлена на серверах, работающих под управлением операционных систем Microsoft® Windows Server™ 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition. Она хранит сведения об объектах сети и упрощает поиск и использование этих сведений пользователям и администраторами. В Active Directory основой для логической, иерархической организации сведений каталога служит структурированное хранилище данных.
Это хранилище данных, называемое также каталогом, содержит сведения об объектах Active Directory. В число этих объектов обычно входят общие ресурсы, такие как серверы, тома, принтеры, а также учетные записи сетевых пользователей и компьютеров.
Группа безопасности интегрирована с Active Directory посредством проверки подлинности при входе в сеть и управления доступом к объектам в каталоге. В рамках одного входа в сеть администраторы могут управлять данными каталога и организацией через их сеть, а прошедшие проверку сетевые пользователи могут иметь доступ к ресурсам во всей сети. Администрирование, основанное на политике, облегчает управление даже самой сложной сетью.
В состав службы Active Directory входят также следующие элементы:
• Набор правил — схема, определяющая классы объектов и атрибуты, содержащиеся в каталоге, а также пределы и ограничения на экземпляры этих объектов и формат их имен.
• Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения каталога независимо от того, в каком из доменов каталог в действительности содержатся эти данные.
• механизм запросов и индексации, позволяющий опубликовывать и находить объекты и их свойства сетевым пользователям или приложениям.
• Служба репликации, распространяющую данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех сведений каталога для своего домена. Любое изменение данных каталога реплицируется во все контроллеры домена в домене.
• Поддержка клиентского программного обеспечения служьы Active Directory, которая предоставляет многие возможности Microsoft® Windows® 2000 Professional или Windows XP Professional; компьютерам, работающих под управлением операционных систем Windows 95, Windows 98 и Windows NT® Server 4.0. Для клиентских компьютеров без клиентского программного обеспечения Active Directory каталог будет выглядеть как каталог Windows NT
Примечание
• Active Directory нельзя установить на серверы, работающие под управлением Windows Server 2003, Web Edition, но можно присоединить сервер к домену Active Directory как рядовой сервер.
Новые возможности Active Directory в Windows Server 2003 Service Pack 1 (SP1)
Ниже кратко перечислены новые возможности службы каталогов Active Directory®, появившиеся после первого выпуска Windows Server 2003.
• Напоминания службы каталогов о необходимости резервного копирования. Новое сообщение о событии с номером 2089 содержит данные о резервном копировании каждого раздела каталогов на контроллере домена, включая разделы каталогов приложений и разделы Active Directory Application Mode (ADAM). Если резервное копирование не проводилось в течение половины интервала задержки архивации (время жизни захоронения), это событие заносится в журнал событий службы каталогов ежедневно до того, как будет произведено резервное копирование.
• Усилена защита при репликации и исправлен ряд ошибок при репликации. Теперь по умолчанию метаданные репликации для контроллеров домена, где удалена служба Active Directory, не сохраняются, хотя можно задать период ожидания. Это изменение позволяет повысить безопасность репликации и устраняет сообщения об ошибке репликации, вызываемые при неудачных попытках репликации выведенных из эксплуатации контроллеров домена.
• Усовершенствованная функция установки с носителя для установки серверов DNS. Усовершенствованная функция установки с носителя упрощает создание нового контроллера домена, выполняющего роль сервера DNS, давая возможность включать информацию о разделах каталогов приложений в данные для резервного копирования на носитель, который затем может использоваться для установки нового контроллера домена. Эта возможность позволяет убрать необходимость репликации разделов каталогов приложений DomainDNSZones и ForestDNSZones перед введением в эксплуатацию сервера DNS.
• Усовершенствования, касающиеся репликации и тестирования DNS. Служебная программа командной строки Dcdiag.exe из набора средств поддержки Windows имеет новые средства составления отчетов об общем состоянии репликации в отношении безопасности службы Active Directory. Этот тест дает общий список результатов, а также подробную информацию для каждого тестируемого контроллера домена, и диагноз возможных ошибок безопасности. Также в программе Dcdiag.exe имеется ряд новых тестов DNS для проверки соединения, доступности службы, пересылки и корневых ссылок, делегирования, динамического обновления, регистрации записей локатора, разрешения внешних имен и инфраструктуры предприятия. Эти тесты могут выполняться на одном контроллере домена или на всех контроллерах домена в лесу.
• Поддержка запуска контроллеров домена на виртуальных машинах. На одном физическом сервере, работающем под управлением Windows Server 2003 и Microsoft Virtual Server 2005, можно устанавливать несколько контроллеров доменов Windows Server 2003 или Windows 2000 Server на различных виртуальных машинах. Такая платформа хорошо подходит для целей тестирования. Виртуальные машины позволяют на одном физическом сервере, работающем под управлением одной операционной системы, располагать несколько доменов, несколько контроллеров домена для одного и того же домена, а также несколько лесов. Windows Server 2003 SP1 также имеет защиту от повреждения каталогов, которое может произойти в результате неправильного резервного копирования и восстановления образов контроллеров домена.
• Отчеты о состоянии и работоспособности хозяина операций. Если операция, для которой необходим контроллер домена, выполняющий роль хозяина операций (или FSMO, Flexible Single-master Operation), не может быть выполнена, это событие заносится в журнал событий службы каталогов. В событии указываются несуществующие хозяева операции, хозяева, которые существуют, но недоступны, или которые доступны, но не прошли репликацию с вызывающим контроллером домена.
• Продленное хранение удаленных объектов. Период хранения копии удаленного объекта в Active Directory по умолчанию, также называемый временем жизни захоронения, увеличен с 60 до 180 дней. Продленное время жизни захоронения снижает вероятность того, что удаленный объект будет сохраняться в локальном каталоге отсоединенного контроллера домена после того, как объект будет навсегда удален из работающих контроллеров домена. Время жизни захоронения не изменяется автоматически при обновлении до Windows Server 2003 SP1; после обновления время жизни захоронения можно изменить вручную. Новые леса, устанавливаемые под Windows Server 2003 SP1, по умолчанию имеют время жизни захоронения, равное 180 дням.
• Улучшенное разрешение имен контроллера домена. Для устранения неполадок при разрешении имен DNS, которые могут возникать в процессе размещения партнеров репликации и серверов глобального каталога, контроллеры домена, работающие под управлением Windows Server 2003 с пакетом обновления SP1, запрашивают отличающиеся от зарегистрированных вариации имени сервера, что приводит к уменьшению отказов, вызванных задержками DNS и неправильной настройкой.
• Улучшенное удаление метаданных сервера. Служебная программа командной строки Ntdsutil.exe, управляющая базой данных Active Directory, имеет новые функции, упрощающие задачу удаления метаданных контроллера домена. Больше не требуется выполнять такие предварительные шаги, как подключение к серверу, домену и узлу. Нужно лишь указать удаляемый сервер. Также можно указать тот сервер, на котором производится удаление. Процедура удаления метаданных теперь стала более комплексной: помимо удаления метаданных репликации Active Directory, также удаляются метаданные Службы репликации файлов (FRS) и метаданные хозяина операций. Если роль хозяина операций назначена серверу, который удаляется, программа попытается переназначить эту роль подходящему контроллеру домена.
• Усиленная защита конфиденциальных атрибутов. Для предотвращения доступа для чтения к конфиденциальным атрибутам, таким как номер полиса социального страхования, с одновременным разрешением доступа для чтения к другим атрибутам объекта, можно пометить необходимые атрибуты как конфиденциальные, установив флажок поиска соответствующего объекта схемы атрибутов. По умолчанию только администраторы домена имеют доступ для чтения к конфиденциальным атрибутам, но этот доступ может быть делегирован.
• Сохранение в захоронениях журналов SID. Для указания атрибутов, сохраняемых в захоронении объекта при его удалении, введен атрибут sIDHistory. Если захоронение объекта реактивизируется (удаление отменяется), вместе с объектом восстанавливается атрибут sIDHistory.
• Усовершенствования служебной программы Adprep.exe для обновлений Windows 2000 Server. В служебную программу Adprep внесены усовершенствования, снижающие эффект синхронизации FRS, происходящий в результате обновления файлов SYSVOL при обновлении. Adprep используется для обновления схемы Windows 2000 Server до Windows Server 2003 и для обновления некоторых настроек леса и домена, включая SYSVOL, что необходимо для достижения работоспособности контроллера домена Windows Server 2003. Теперь служебная программа позволяет выполнять операции SYSVOL в отдельном шаге, при подготовке домена к обновлению. Для выполнения обновлений SYSVOL, которые могут быть произведены в удобное время после обновления, введен новый переключатель /gpprep. Команда adprep /domainprep, при использовании которой ранее выполнялось обновление как каталога, так и SYSVOL, теперь выполняет только обновление каталога. Теперь Adprep также распознает расширения схемы сторонних производителей, блокирующие обновление, обнаруживает блокирующие расширения и дает рекомендации по устранению этих проблем. Объекты схемы Microsoft Exchange также распознаются, что позволяет соответствующим образом подготовить схему Exchange для обеспечения именования inetOrgPerson.
• Улучшенное принудительное восстановление. Функция принудительного восстановления в служебной программе Ntdsutil теперь обнаруживает обратные ссылки для всех принудительно восстановленных объектов, включая ссылки, созданные до повышения режима работы леса до Windows Server 2003 или промежуточного Windows Server 2003, в которых была введена функция репликации связанного значения (LVR). Предположим, что восстановлен объект «пользователь» и он принадлежит к группе G1, созданной до повышения режима работы леса, а также к группе G2, созданной после повышения режима работы леса. При принудительном восстановлении объекта «пользователь» обновляется атрибут члена G2, но не атрибут члена G1. Программа Ntdsutil теперь создает текстовый файл, в котором перечисляются принудительно восстановленные объекты, и с помощью этого файла создает файл в формате обмена данными LDAP Data Interchange Format (LDIF), который может использоваться для восстановления всех обратных ссылок на все группы этого домена, созданные до введения функции LVR. В этом примере при выполнении файла LDIF после принудительного восстановления восстановленный пользователь будет принадлежать к группе G1. Новая функция при принудительном восстановлении также позволяет создавать файл LDIF, который может использоваться для восстановления ссылок в других доменах, в которых восстановленный объект имеет обратные ссылки.
Новые возможности Active Directory в Windows Server 2003
Благодаря новым возможностям Active Directory®, доступным в Microsoft® Windows Server™ 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition, повышается эффективность администрирования службы каталогов Active Directory.
Ниже приведен обзор возможностей Active Directory, доступных по умолчанию на любом контроллере домена под управлением Windows Server 2003.
• Выбор нескольких объектов пользователей. Одновременное изменение общих атрибутов нескольких объектов пользователей.
• Возможность перетаскивания. Перемещение объектов Active Directory из одного контейнера в другой путем перетаскивания одного или нескольких объектов в требуемое место в иерархии доменов. Также можно добавлять объекты в списки членства в группах путем перетаскивания одного или нескольких объектов (включая объекты других групп) в конечную группу.
• Эффективные возможности поиска. Средство поиска рассчитано на поиск объектов. Оно обеспечивает эффективный поиск, минимизирующий сетевой трафик, связанный с просмотром объектов.
• Сохраненные запросы. Сохранение часто используемых параметров поиска для повторного использования в оснастке «Active Directory — пользователи и компьютеры».
• Средства командной строки Active Directory. Новые команды службы каталогов для использования в административных сценариях.
• Класс InetOrgPerson. В основную схему в качестве участника безопасности добавлен класс inetOrgPerson, который можно использовать так же, как и класс User. Для задания пароля учетной записи также можно использовать атрибут userPassword.
• Разделы каталога приложений. Настройка области репликации для репликации данных приложения между контроллерами домена. Например, область репликации данных зоны DNS, которые хранятся в Active Directory, можно задать таким образом, что в репликации этой зоны будут участвовать только определенные контроллеры домена леса.
• Возможность добавления дополнительных контроллеров домена с использованием носителя архива. Это уменьшает время, необходимое для добавления контроллеров домена в существующий домен, благодаря использованию носителя архива.
• Кэширование членства в универсальных группах. Предотвращает необходимость поиска глобального каталога в глобальной сети при входе в систему благодаря хранению сведений о членстве в универсальных группах на проверяющем контроллере домена.
• Безопасный трафик LDAP. По умолчанию средства администрирования Active Directory подписывают и шифруют весь трафик LDAP. Подписывание трафика LDAP гарантирует, что все упакованные данные получены из известного источника и что они не были подменены.
• Квоты Active Directory. В Active Directory возможно задание квот для управления количеством объектов, владельцем которых может являться пользователь, группа или компьютер в данном разделе каталога. Эти квоты не распространяются на группы «Администраторы домена» и «Администраторы предприятия».
Новые возможности Active Directory уровня домена и уровня леса
Новые возможности Active Directory для домена или леса можно включить, только если все контроллеры домена в этом домене или лесу работают под управлением Windows Server 2003, а режимом работы домена или леса является Windows Server 2003.
В следующем списке перечислены возможности Active Directory для домена или леса, которые можно включить, если режим работы домена или леса был повышен до Windows Server 2003.
• Средство переименования контроллера домена. Переименование контроллеров домена без понижения их уровня.
• Переименование доменов. Переименование любого домена Windows Server 2003. Можно сменить NetBIOS-имя или DNS-имя любого дочернего домена, родительского домена, дерева или корневого домена леса.
• Вариант разных размещений учетных записей пользователей и компьютеров. Теперь можно переназначить используемое по умолчанию размещение учетных записей пользователей и компьютеров, созданных следующими интерфейсами API: NetUserAdd, NetGroupAdd и NetJoinDomain. Размещения этих учетных записей можно перенаправить с контейнеров «Users» и «Computers» в другие подразделения, к которым могут применяться групповые политики.
• Доверие лесов. Создание доверия лесов для расширения двусторонней транзитивности за пределы одного леса во второй лес.
• Изменение структуры леса. Перемещение существующих доменов в другие места в иерархии домена.
• Уничтожение объектов схемы. Отключение ненужных классов или атрибутов схемы.
• Динамические дополнительные классы. Поддержка динамического связывания дополнительных классов с отдельными объектами, а не только с целыми классами объектов. Кроме того, дополнительные классы, присоединенные к экземпляру объекта, позже можно удалять из этого экземпляра.
• Улучшенная репликация глобального каталога. Сохранение состояния синхронизации глобального каталога в условиях, когда административное действие приводит к расширению частичного набора атрибутов. Это минимизирует трафик репликации, поскольку при использовании частичного набора атрибутов передаются только добавленные атрибуты.
• Улучшенная репликация. Репликация связанного значения позволяет реплицировать по сети отдельных членов группы, а не только целые списки членства в группах.
• Управление доступом пользователей к ресурсам между доменами и лесами. Блокировка доступа пользователей домена или леса к ресурсам в другом домене или лесу и выборочное разрешение доступа путем задания позволяющей проверять подлинность записи управления доступом к локальному ресурсу для объекта пользователя или группы.
Сведения о безопасности для Active Directory
Active Directory® обеспечивает безопасную среду каталога организации, используя встроенную проверку подлинности и авторизацию пользователя при входе в систему, а также основные возможности локального администратора безопасности. Проверка подлинности и авторизация при входе в систему по умолчанию включены. Они обеспечивают непосредственную защиту доступа к сети и сетевых ресурсов.
Защита доступа к сети
Active Directory требует подтверждения идентификационной записи пользователя, прежде чем пользователю будет разрешен доступ в сеть. Этот процесс называется проверкой подлинности. Пользователю необходимо выполнить лишь разовый вход в домен (или в доверенные домены) для получения доступа к сети. После того как Active Directory подтверждает подлинность пользователя, LSA на проверяющем контроллере домена создает описатель доступа, определяющий уровень доступа пользователя к сетевым ресурсам.
Active Directory поддерживает ряд безопасных протоколов Интернета и механизмов проверки подлинности, используемых для проверки подлинности при входе в систему, включая Kerberos V5, сертификаты X.509 v3, смарт-карты, инфраструктуру открытого ключа и протокол LDAP с использованием SSL.
Проверка подлинности между доменами осуществляется через доверия. Доверием называется отношение, установленное между двумя или более доменами, позволяющее пользователям одного домена проходить проверку подлинности с помощью контроллера домена, принадлежащего к другому домену.
Доверительные отношения могут быть транзитивными или нетранзитивными, но они всегда должны присутствовать для возможности доступа пользователей одного домена к общим ресурсам в другом домене.
Вдобавок к защите доступа к сети путем проверки подлинности, Active Directory помогает защитить общие ресурсы, облегчая авторизацию пользователей. Как только в Active Directory проверена подлинность пользователя, входящего в систему, этому пользователю назначаются права групп безопасности, в которые входит этот пользователь, а разрешения, назначенные общему ресурсу, определяют, сможет пользователь к нему обращаться или нет. Процесс авторизации защищает общие ресурсы от несанкционированного доступа и разрешает доступ только авторизованным пользователям и группам.