интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими
разъемами (портами) для подключения принтеров. Однако в данном случае
использование сервера печати является непрактичным.
В нашем случае в связи с нерентабельностью установки специального
сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым
подходящим способом подключения сетевого принтера является подключение к
рабочей станции. На это решение повлиял ещё и тот факт, что принтеры
расположены около тех рабочих станций, потребность которых в принтере
наибольшая. [10]
5. Организация сети на основе Windows 2000.
5.1. Служба каталогов Windows 2000
Безусловно, наиболее значимое изменение, по сравнению с Windows NT
4, это включение в Windows 2000 важной новой службы – Active Directory.
Active Directory – это «родная» служба каталогов для Windows 2000. В NT 4
домен был очень похож на удаленный остров, с которым мы могли соединиться
только используя механизм доверительных отношений. Active Directory –
полнофункциональная служба каталогов.
Каталог может хранить различную информацию, относящуюся к
пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее
– все это называется объектами.
Каталог хранит также информацию о самом объекте, или его свойства –
атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе,
может быть имя его руководителя, номер телефона, адрес, имя для входа в
систему, пароль, группы, в которые он входит и многое другое. [4]
5.1.1. Наименование объектов
Active Directory использует Lightweight Directory Access Protocol
(LDAP) – простой протокол доступа к каталогам, как главный протокол
доступа. LDAP действует поверх TCP/IP и определяет способы обращения и
доступа к объектам между клиентом и сервером Active Directory. В LDAP
каждый объект имеет свое особенное Distinguished Name (отличительное имя),
и это имя отличает его от других объектов Active Directory, а также
подсказывает нам, где данный объект расположен. Два главных составных части
отличительного имени – это CN (common name) – общее имя и DC (domain
component) – доменная составляющая. Общее имя определяет объект или
контейнер, в котором этот объект находится, в то время как доменный
компонент определяет домен, в котором объект находится. Например,
отличительное имя может быть следующим:
CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru
В этом примере у нас есть пользователь Peter Ivanoff, который
находится внутри контейнера, называемого Users, в домене firma, который
является поддоменом .ru. Отличительное имя объекта должно быть уникальным
внутри леса Active Directory.
В то время как отличительное имя дает нам полную информацию о
расположении объекта, relative distinguished name (относительное
отличительное имя) определяет объект внутри его родительского контейнера.
Например, если я осуществляю поиск внутри контейнера Users, относительное
отличительное имя объекта, который я ищу, может быть Peter Ivanoff.
Когда пользователь входит в домен, расположенный в Active Directory, у
него может быть два типа имени. Первое из них – традиционное NetBIOS -имя.
В Windows 2000 на него ссылаются как на downlevel logon name (имя
регистрации в ранних версиях Windows). Этот тип имени существует для
совместимости с ранними версиями Windows, процесс входа в которые был
основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так
далее). Когда вы используете downlevel logon name (на вкладке свойств –«имя
входа пользователя пред-Windows 2000») для входа, пользователь должен
ввести имя пользователя, пароль и выбрать соответствующий домен, в который
он собирается входить. Второе имя – и это новинка в Windows 2000 – это
возможность входа в систему с использованием того, что называется User
Principal Name (основное имя пользователя) или UPN. Основное имя
пользователя имеет следующий формат – user@domain.com (на вкладке свойств
пользователя это называется – User logon name (имя входа пользователя)).
Если это соглашение действует, то пользователю не нужно определять домен, в
который он хочет войти. Фактически, когда для входа в Windows
2000используется UPN, доменная часть окна имени для входа в систему
закрашена серым. Пример этих двух типов имен показан на вкладке свойств
учетной записи пользователя Active Directory:
|[pic] |
Рис. 5.1. Active Directory
5.1.2. Логическая структура Active Directory
Логическая структура Active Directory зависит от нужд вашей
организации. Логические элементы Active Directory это леса, деревья, домены
и OU.
5.1.2.1. Домены
Домен в Windows 2000 очень напоминает домен в Windows NT. Для
различных намерений и целей, домен является логической группой
пользователей и компьютеров (объектов), которые связаны как единица для
администрирования и репликации. Прежде всего домен – это административная
единица. Следовательно, администратор этого домена может его
администрировать и для этого не нужен никто другой. Кроме того, все
контроллеры одного домена должны осуществлять репликацию друг с другом.
В Windows 2000 домены именуются в соответствии с соглашением об
именовании DNS, а не именовании NetBIOS. Примером имени домена в Active
Directory может быть 2000trainers.com. В Windows NT имели ограничения по
величине, до которой они могли увеличиваться и этот размер ограничивался
допустимым размером базы данных SAM (40 Мб или около того). Поэтому
приходилось создавать множества доменов в компании, в которой действовали
тысячи пользователей и компьютеров. Теперь же множество доменов не являются
необходимостью в подобном сценарии под Windows 2000, так как Active
Directory может вместить в себя многие миллионы объектов. Учетные записи
пользователей в Windows 2000 существуют так же как и в Windows NT. Active
Directory также позволяет иметь множество доменов, формируя структуры,
которые называются деревьями и лесами. [4]
5.1.2.2 Дерево
В Windows 2000, несколько доменов может все же потребоваться, особенно
в больших организациях, которые продолжают требовать надежного контроля над
их средой, их индивидуальностью (как в случае различных организационных
единиц для ведения бизнеса) и особого административного контроля. В Active
Directory набор доменов может создаваться в порядке, напоминающем структуру
дерева. В этом случае «дочерний» домен наследует свое имя от
«родительского» домена:
Рис. 5.2. Домены
Каждый домен в дереве является отдельной и явно выраженной
административной единицей, так же как и границей для целей репликации. То
есть, если вы создали учетную запись пользователя в домене
filial1.firma.ru, то эта учетная запись, существующая на контроллере
домена, будет реплицирована на все контроллеры домена filial2.firma.ru.
Каждый новый «дочерний» домен имеет transitive (транзитивные)
двунаправленные доверительные отношения с «родительским» доменом. Это
достигается автоматически в Active Directory и позволяет пользователям из
одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых
доверительных отношений, пользователи в filial1 могут получать доступ к
ресурсам (для чего у них должны быть соответствующие разрешения) в filial2
и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет
своему «родительскому» домену firma , который в свою очередь «доверяет»
filial2 – таким образом filial1 доверяет filial2 и наоборот).
Дерево, в общих чертах, можно определить как набор доменов, которые
связаны отношениями «дочерний»/«родительский» и поддерживают связанное
пространство имен. [4]
5.1.2.3 Лес
Лес – это термин, применяемый для описания совокупности Active
Directory деревьев. Каждое дерево в лесе имеет собственное отдельное
пространство имен. Например, давайте предположим, что наша фирма владеет
еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое
собственное отдельное пространство имен, я могу достичь этого объединив
деревья и сформировать лес, как показано ниже:
Рис. 5.3. Лес
Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-
прежнему остается доменом и может иметь собственное дерево. Заметьте, что
здесь существуют транзитивные доверительные отношения между «корневыми»
доменами каждого дерева в лесу – это позволит пользователям домена
acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в
то же время поддерживает проверку подлинности в собственном домене.
Первый домен, созданный в лесу, рассматривается как «корень» леса.
Одна из самых важных особенностей леса – это то, что каждый отдельный домен
поддерживает общую схему – определения для различных объектов и связанных с
ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть
создан из одного дерева, которое содержит всего один домен. Это будет
маленький лес, но формально это будет лес. [4]
5.1.2.4 Организационные единицы
Организационные единицы (обычно называемые OU) – это контейнеры внутри
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16