Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny

8/20/2019 Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny

1/208

Przewodnik techniczny' .''’ -V u .; : :V

' i-K- N B c r o s o f t

“ i-- "

-

~;~ î î r.«5:.

^ ^ ■ - i


2/208

Spis treści

Wstęp

Jaka jest struktura niniejszej książki?

Konwencje stosowane w książce

Część i Przegląd Active Directory dla Windows Server 2003

i Pojęcia Active Directory

Ewolucja usług katalogowych firmy Microsoft

LA N Manager dla OS/2 i MS-DO S

Windows N T i SAM

Windows 2000 i Active Directory

Domeny Windows Server 2003 i Active Directory

Otwarte standardy Active Directory

Hierarchie X.500

Lightweight Directory Access Protocol (LD A P)


3/208

Active Directory dla Windows Server 2003: Przewodnik Techniczny

Składniki Active Directory 17

Ü

17

18

18

20

22

Fizyczna struktura usługi Active Directory

Składnica danych katalogowych ' 17

Kontrolery domeny

Serwery wykazu globalnego

Wzorce operacji

Transfer ról wzorca operacji

Schemat 73

Logiczna struktura usługi Active Directory 2878

Partycje Active DirectoryTl

Domeny

Drzewa domeny

Lasy 33

Relacje zaufania 3427

Lokacje

Jednostki organizacyjne 33

Podsumowanie 42

System nazw domen Active Directory (DNS) 43

Przegląd DN S 43

Hierarchiczna przestrzeń nazw 44

Rozproszona baza danych 44

Proces rozwiązywania nazw . 43

Rekordy zasobów 4^

Domeny DN S, strefy i serwery 47

D N S i Active Directory dla Windo ws Server 2003 54

Usługa lokalizacji D N S 54

Ulepszenia DN S 61

Podsumowanie 66

Replikacja i lokacje usługi Active Directory 67Model replikacji usługi Active Directory 67

Wzbogacenia replikacji w usłudze Active Directory dla systemu Window s Server 2003 69

Replikacja wewnątrzlokacyjna i międzylokacyjna • 70

Replikacja wewnątrzlokacyjna 70

Replikacja międzylokacyjna 71

Opóźn ienie replikacji 72

j i 1 Replikacja pilna 72

Generacja topologii replikacji 73

Sprawdzanie spójności informacji (KC C) 73

Obiekty połączeniaI n n l n r v p n t ' l ' +*i >K=32ü£iBi

Topologia replikacji wewnątrzlokacyjnej • 75

Replikacja globalnego wykazu 73

Topologia replikacji międzylokacyjnej • 8082

Proces replikacji82

Typy aktualizacji •

Replikacja zmianOO

Konfiguracja replikacji międzylokacyjnej88

Tworzenie dodadcowych lokacji

Łącza lokacji ^

Mostki łączy lokacji90

Protokoły transportu replikacji 31

Konfiguracja serwerów czołowych 32

Monitorowanie i rozwiązywanie problemów z replikacją 33

94Podsumowanie

Czę ść li implementacja Active Directory dla Windows Server 2003

5 Projektowanie struktury usługi Active Directory 97

Projektowanie struktury lasu

Lasy a projekt usługi Active DirectoryPojedynczy las czy wiele lasów

102Definiowanie własności lasu

Zasady kontroli zmiany lasu

Projektowanie struktury domeny

Domeny i projekt usługi Active Directo ry

Określenie ilości domen

Projektowanie domeny głównej lasu

Projektowanie hierarchii domen

Drzewa domeny i zaufania

Zmiana hierarchii domen

Definiowanie własności domeny

Projektowanie infrastruktury DN S

Analiza istniejącej infrastruktury DN S

Projekt przestrzeni nazw

Projektowanie struktury jednostek organizacyjnych

Jednostki organizacyjne i projekt usługi Active Directory

Projektowanie struktury jednostek organizacyjnych

Tworzenie projektu jednostek organizacyjnych

Projektowanie topologii lokacji

Lokacje i projekt usługi Active D irectory

97

98

99

103

103

103

104

106

107

109

111

111, 112

112

112

123

123

125

126

128

128


4/208


5/208

viii Active Directory dia Windows Server 2003: Przewodnik Techniczny

233Dziedziczenie uprawnień ^

Uprawnienia efektywne ^

Własność obiektów Active Directory • ^

Inspekcja użycia uprawnień administracyjnych ^

Delegowanie zadań administracyjnych ^

Narzędzia przystosowane do delegowania administracji

Dostosowanie konsoli M M C ^

Tworzenie bloku zadań do admin istracji 245Planowanie delegowania administracji

Podsumowanie247

10 Zarządz anie obiektami usługi Active Directory

, ■ 247Zarządzanie użytkownikami ^

Obiekty użytkowników ^

Obiekty typu inetOrgPerson ^

Konta kontaktów

Zarządzanie grupami253

Typy gwp 254

Zasięg grupy _ ^

Tworzenie projektu grupy zabezpieczeń

Zarządzanie komputerami ^

Zarządzanie obiektami drukarek

Publilcowanie drukarek w usłudze Active D irectory

Zarządzanie opublikowanymi folderumi udostępnionymi

Ulepszenia administracji usługą Acdve Directory dla Windows Server 2003 264

Podsumowanie ^

11 Wprowadzenie do zasad grupy268

Przegląd zasad grupy

Implementacja zasad grupy ^

Tworzenie obiektów GP O ^Administracja obiektami zasad grupy ^

Aplikacja i dziedziczenie zasad grupy

Modyfikacja domyślnych zasad grupy ^

Przetwarzanie zasad grupy

Delegowanie administracji obiektami GP O ^

Implementowanie zasad grupy między domenami i lasami ^

Narzędzia do zarządzania zasadami grupy285

Narzędzie RSo P ^

Narzędzie GPResult2oo

Narzędzie GPUpdate

Konsola zarządzania zasadami grupy

Projekt zasad grupy

Podsumowanie

12 Używanie zasad grupy do zarządza nia oprogramowaniem

Technologia instalatora Windows

Tworzenie pliku .msi

Rozpowszechnianie oprogramowania przy użyciu zasad grupy

Rozmieszczanie ap likacji

Używanie zasad grupy do dystrybucji aplikacji nieinstalowanych przy pomocy

Instalatora Windows

Konfigurowanie właściwości pakietu oprogramowania

Ustawienia domyślnych właściwości instalacji oprogramowania

Instalowanie niestandardowych pakietów oprogramowania

Aktualizowanie istniejącego pakietu oprogramowania

Zarządzanie kategoriami oprogramowania

Konfigurowanie aktywacji rozszerzenia plików

Usuwanie oprogramowania przy użyciu zasad grupy

Używanie zasad grupy do konfiguracji Instalatora Window s

Planowanie dystrybucji oprogramowania przy użyciu zasad grupy

Ograniczenia w używaniu zasad grupy do zarządzania oprogramowaniem

Podsumowanie

13 Używanie zasad grupy do zarządzan ia komputerami

Zarządzanie komputerem przy pomocy zasad grupy

Zarządzanie danymi użydtownika i ustawieniami profilu

Zarządzanie profilami użytkowników

Przekierowanie folderu

Konfigurowanie ustawień zabezpieczeń w zasadach grupy

Konfigurowan ie zasad zabezpieczeń na poziomie domeny

Konfigurowanie innych ustawień zabezpieczeń

Zasady ograniczeń oprogramowaniaSzablony zabezpieczeń

Szablony administracyjne

Używanie skryptów do zarządzania środowiskiem użytkownika

Podsumowanie


6/208

Active Directory dla Windows Server 2003 : Przewodnik Techniczny

Część IV Obsługa usługi Active Directory dla Windows Server 2003

14 Monitorowanie i obsługa usługi Active Directory 343

Monitorowanie usługi Active Directory 343

Po co monitorować usługę Active Directory? 344

Jak monitorować usługę Active Directory 345

Co monitorować? 356

Obsługa bazy danych Active Directory - 357

Usuwanie elementów zbędnych 357Defragmentacja w trybie online 358

Defragmentacja w trybie offline bazy danych usługi Active Direc tory 359

Zarządzanie bazą danych usługi Active Directory przy użyciu narzędzia Ntdsut il 360

Podsumowanie 362

15 Odtwarzanie po awarii 363

Planowanie na wypadek awarii 363

Przechowywanie danych w usłudze Active Directory 364

Tworzenie kopii zapasowych usługi Active Directory 366

Przywracanie usługi Active Direc tory , 368

Przywracanie usługi Active D irecto ry poprzez utworzenie nowego kontrolera domeny 368

Przeprowadzanie nieautorytatywnego przywracania 371

Przeprowadzanie przywracania autorytatywnego 373

Przywracanie informacji Sysvol 375

Przywracanie wzorców operacji oraz serwerów wykazu globalnego 376

Podsumowanie 381

Indeks 383

Spfs tabel

Tabela 2-1. Poziomy funkcjonalności domeny

Tabela 2-2. Poziomy funkcjonalności lasu

Tabela 2-3. Typy ustawień zasad grupy

Tabela 3-1. Popularne rekordy zasobów w D NS systemu Windows Server 2003

Tabela 3-2. Składniki rekordu SRV

Tabela 3-3. Podzbiór wartości flagi DsGetDcName

Tabela 4-1. Pierścienie replikacji w lokacji złożonejTabela 5-1. Łączenie pasma sieciowego z kosztami łącza lokacji

Tabela 6-1. Umożliwienie zalogowania się klientom OS do Active Directory

Tabela 9-1. Kolumny konfiguracji specjalnych zabezpieczeń

Tabela 10-1. Właściwości konta obiektu użytkownika

Tabela 10-2. Wymogi unikalności nazwy użytkownika

Tabela 10-3. Zasięgi grupy usługi Active Directory

Tabela 11-1. Opcje zasad grupy

Tabela 11-2. Składn iki wzorca zasad grupy

Tabela 11-3. Konfigurowanie ustawień obiektu GPO

Tabela 11-4. Opcje konfiguracji narzędzia GP M C

Tabela 12-1. Opcje rozmieszczania pakietu oprogramowaniaTabela 12-2. Ustawienia opcji zasad grupy dla instalatora Windows

Tabela 13-1. Kontener nadrzędny w Domyślnych zasadach domeny

Tabela 13-2. Konfigurowanie profili użytkownika przy użyciu Edytora obiektów zasad

Tabela 13-3. Zasady haseł

Tabela 13-4. Zasady blokady konta

Tabela 13-5. Zasady protokołu Kerberos

Tabela 13-6. Ustawienia zabezpieczeń w zasadach grupy

Tabela 13-7. Przykłady szablonów administracyjnych

Tabela 13-8. Domyślne szablony ładowane wtaz z systemem Windows Server 2003

Tabela 13-9. Składniki opcji szablonu

Tabela 14-1. Rdzenne usługi i funkcje Active DirectoryTabela 14-2. Liczniki wydajności replikacji

Tabela 14-3. Kluczowe miary zabezpieczeń

Tabela 14-4. Wskaźniki rdzenia systemu operacyjnego


7/208

X „ Active Directory dla Windows Server 20 03: P r z e w o d n i k Techniczny

Dedykacje

moje życie.

2 3 £ S 5£ S ś £ £ S £ Sdrodzy całe mnóstwo sobót

- M M .

Podziękowania

jeździć na moim motorze. Ale ostatecznie wszystko poszło raczej dobrze.

sukcesu projektu, jak również za zaangażowanie mnie do mego. M il | P

od kilku lat, i zawsze jest to dla m nie przyjemność.

a * * ™ * * « u » ,. m i™ * - 1 ; ° ;

m S bpi , d l, „ n i . p ^ i — i ,- » W y . ) = »= powcotiyc.

za ich nąglą pomoc i otwarte przede mną drzwi.

z niebywałą dotychczas przyjemnością i z niecierpliwością oczekuję na dalszą współprac,.

xiii

WstępWitam y w Active Directory dla Microsoft Windows Serwef 2003 Przewodnik Techniczny, komplet

nym źródle informacji, niezbędnych by zaprojektować i Wdrożyć usługę katalogową Active ^rectory

w Windows Serwer 2003. Po raz pierwszy Active Directory został wprowadzony w Microsoft

Windows 2000. Większość rozwiązań Active Directory z Windows 2000 zostało zachowanyci

w Windo ws Server 2003. Dodatkowo wprowadzono wiele ulepszeń. Książka ta zawiera wszyst o,

co warto wiedzieć o Active Directory, łącznie ze szczegółowymi informacjami technicznymi na temat

Active Directory w Windows 2003 oraz wskazówkami jak zaplanować, wdrożyć i zarządzać ActiveDirectory w Twojej organizacji. Krótko mówiąc, książka ta jest kompletnym przewodnikiem, jak

wykorzystać Active Directory.

Jaka jest struktura niniejszej książki?Active Directory dla Microsoft Windows Server 2003 Przewodnik M n ic z n y jest

tak, by jak najprościej opisać i wyjaśnić technologię Active Directory. Niewiele firm wdrożyło Active

Directory dla Windows 2000, więc książka ta nie zakłada dogłębnej wiedzy o Active Directory.

Zaczyna się ona raczej od opisu podstaw usług katalogowych i wyjaśn ienia jak usługi te są zaimple-

mentowane w Ac tiveDire cLr y. Następnie opisuje, w jak i sposób działa Active Directory oraz jak

go wdrożyć i zarządzać w wybranym środowisku.

Książka ta podzielona jest na cztery części, które następują po sobie zgodnie z procesem, w którym

poznajemy Active Directory i uczymy się jak go wdrażać. Część I dokonuje pizeglądu terminów

i pojęć Active Directory. Część II objaśnia procesy planowania, pro^kto wa.na .nnpkmentaci ^

zbędnych do wdrożenia Active Directory w Two im środowisku. Po wdrożeniu usługi Active Directory

zachodzi potrzeba administracji nią. Część II I zapewnia szczegółowy opis zagadmen administracyj

nych Active Directory zwracając szczególną uwagę na zagadnienia bezpieczeństwa. polis grupowych.

Część IV - ostatni dział książki - obejmuje kwestie konserwacji Active Directory.

Cześć I, Przegląd Active D irectory dla Windows Server 2003” zawiera wstępny opis koncepcji Active

Directory w Windows Server 2003. Ta wersja Active Directory stanowi ostatnią iterację usług katalo

gowych dostępnych w M icrosoft. Active Directo ry dostarcza potężnych usług katalogowych do zarzą

d z iła użytkownikami, grupami i komputerami oraz oferuje bezpieczny dostęp do zasobow siecio

wych. Żeby używać narzędzi usług katalogowych najefektywniej, należy zrozumieć pojęcie i działanie

Active Directory. Część I zawiera następujące rozdziały.

• Rozdział 1, „Pojęcia Active Directory” , oferuje krótką historię usług katalogowych, które

Microsoft dostarczał jako składnik Window s N T i Window s 2000. Podane są rown.ez korzyści

Active D irectory w porównan iu z poprzednimi wersjami usług katalogowych. W rozdziale tym

znajduje się przegląd wszystkich nowych elementów Windows Server 2003 oraz opis, co zostało

poprawione w stosunku do Windows 2000.

•' Rozdział 2, „Skład niki Active D irectory ” szczegółowo opisuje zagadnienia i elementy, które skła

dają się na Active Directory. W rozdziale tym Czytelnik znajdzie opis fizycznychktóre tworzą Active Directory, takich jak kontrolery domeny i schemat Active Directory oraz

elementów takich jak domeny, drzewa i lasy.


8/208

Active Directory dla Windows Server 2 003: P r z e w o d n i k Techniczny

. Rozdział 3 System nazw d o m e n Active Directory (D NS)” wnika głębiej w istotę dziD W m ry A c te Directory jest tak ściśle związane z systemem nazw domenowych, ze ,esh mira-

strulctura DNS nie zostanie prawidłowo zaimplementowana, to mg y me ^■ Ipmpnrarii Active Directory. Rozdział tea rozpoczyna się od krótkiego przeglą P )

¡,k d ® bi “ P ™ ć w - ™ “ u,l“ 6‘■ wiązywania nazw, która jest wymagana przez Active Directory,

. Rozdział 4 Replikacje i lokacje usługi Active Directo ry” kontynuuje szczegółowy opis zasady

Ł S K J L * B, S a d ).k d*b * * .trolery domeny Active Directory wzajemnie replikują informację. Do y ,

S I S i nadmiarów, » p o lo * ro p lik ,* ,. J a ta * .> ^ - P ™ » -

nież Icilka opcji, które umożliwiają utworzenie optymalnej konfigura j p J

IGedy aroaumieaię^od^mwowe ¡dee

S E J 2 ą p on ob io do im p lm ro oc ji tej u ,!« ®. Pienw aym krokiem w

Active D irectory jest stworzenie architektury i projektu dla organizacji. Struktu ry lasu, domeny,

d i iedno tld orianizacy jnej (O U ) są unikalne w niemal każdej firmie, a stworzenie prawidłowegop r o j e k t u dla^branegt^śtodowislca wymaga znacznej ilości wiedzy i wysiłku. Po stworzeniu projektu

być skomplikowana. Część II dotyczy poszczególnych tematów w następujących rozdziałach.

• Rozdział 5 Projektowanie struktury usługi Active Directory” , prezentuje przegląd procesu

^ Z L W o w u h c e g . , do im plementacji Activ e D irecto ry. Rozdział ten p ^ p r ^

praeẑ proces^rarzenia w ł^nego projektu Active Directory. Do tyczy wszystkich składników

projektu, poczynając od decyzji, ile lasów należy zaimplementować w celu stworzema rozwiązań

struktury O U. , , .. fi Instalacja usługi Active Directory” , dostarcza czytelnikowi opisu pojęć i procedur

S d S S S d - i . *= b.. d; ' “ “ ie 6 Z ;PM |l,d n procesu in,udecji kontrolerów domen A c,i.e j)ire an 7 ore, ..wtete d pkusjt

ldlku nowych opcji związanych z instalacją.

• Rozdział 7, „Migracja do usługi Active Directory”, szczegółowo pedstaw iaczvtelnik potrzebuje dla uaktualnienia wcześniejszej wersji usługi katalogowej do Active D irectory

dla Windows Server 2003. Przejście to jest o wiele bardziej skomplikowane, jeśli jes t o conywan

z Window s N T n iżz Active Directory dla Window s 2000 Z tegona zagadnieniu uaktualnienia Windows N T do Active Directo iy dkW indo ws 2003,

jąc jednocześnie informacji do przejścia z Active Directory dla Window s 2000.

Po wdrożeniu Active Directory istnieje konieczność administracji nią w celu

nvch korzyści dla firmy. Część III, Administrow anie usługą Active Directory dla Windo S h w o opL je wiele prororów edointacpjnpch, , kró^ch ojrolmk M * korspuJ.

S e « £ 2 + dw, gib,™ beepieroei.™. i .dmm ism,* d.meu, pro, u,,cm ms.d — .

S S i dowie ,i„ u. czym p.le8. beepieceń,™. w Acd.e D.tecro^ “ J»srmkturv bezpieczeństwa w celu przelcazania kontroli administracyjnej w obrębie struktury Acnve

De "™ e » e S , A gtup- j edu , , »1« Ac,We D i tec ro, w stosunku

do wcześniejszych wersji usług katalogowych jest to, iż zawiera on potężne narzędzie do pomocyt S S - J + ź * w firmie. Opcje eemro liccji edministt.cj, sutcj.uu »bo= ,m ,

Wprowadzenie xv

może znacznie uprościć zarządzanie siecią i doprowadzić do znaczących oszczędności. Zasady grup

są głównymi narzędziami, których czyteln ik może użyć.do zarządzania stacjami roboczymi w swojej

sieci. Część II I zawiera następujące rozdziały:

• Rozdział 8, „Bezpieczeństwo usługi Active Directory” rozpoczyna się od opisu pojęć, które zwią

zanych z zagadnieniem bezpieczeństwa w Active Directory dla Windows Server 2003. Rozdział

ten skupia się głównie na protokole Kerberos, któ ry jest domyślnym protokołem uwierzyte lnienia

w Active Directory dla Windo ws Server 2003.

• Rozdział 9, „Delegowanie administracji usługą Active Directory” , rozszerza dyskusję na temat

zagadnienia bezpieczeństwa w Active Directory poprzez opis sposobów, za pomocą których można

przekazać uprawnienia administracyjne w obrębie domeny. Jedną z największych zmian wprowa

dzonych w Active Directory jest możliwość wyznaczania administratorom różnych poziomów

uprawnień administracyjnych, jak również nadawania tych uprawnień tylko dla części domeny.

Rozdział ten opisuje jak zaimplementować tą cechę w Active Directory.

• Rozdział 10, „Zarządzanie obiektami usługi Active D irectory” wprowadza czytelnika do zarzą

dzania obiektami Active Directory. Obiekty te stanowią konta użytkowników oraz konta grup,

które zawsze były częścią dowolnej usługi katalogowej. Jednakże Active Directory dla Windows

Server 2003 zawiera również inne obiekty, takie jak obiekty typu inetOrgPerson, grupy uniwer

salne, obiekty drukarek oraz obiekty dzielonych folderów. Rozdział ten wyjaśnia jak zarządzać tymi

obiektami.

• Rozdział 11, „Wprowadzenie do zasad grupy", prezentuje przegląd zasad grupy. Opisuje on spo

sób tworzenia i konfiguracji zasad grupy, jak również metody ich stosowania w Active Directory.

Rozdział ten zapewnia podstawowe informacje, których czytelnik będzie potrzebował do zro

zumienia kolejnych dwóch rozdziałów, przedstawiających konkretne przykłady wykorzystania

zasad grupy.

• Rozdział 12, „Używanie zasad grupy do zarządzania oprogramowaniem” zawiera szczegóły

na temat jednego sposobu użycia zasad grupy. Można ich używać do instalacji i zarządzania opio-

gtamowaniem na komputerach klienckich. W wielu firmach zarządzanie oprogramowaniem jest

skomplikowane i czasochłonne. Zasady grupy są w stanie zautomatyzować wiele spośród zadań

administracyjnych.

• Rozdział 13, „Używan ie zasad grupy do zarządzania komputerami" skupia się na tym, jak można

użyć zasad grupy do zarządzania komputerami. Zasady grupy dostarczają wielu opcji do zarządza

nia stacjami roboczymi, łącznie z blokowaniem niektórych ich składników, konfiguracją bezpie

czeństwa oraz ograniczaniem typów aplikacji, które użytkownik może uruchomić. Rozdział ten

opisuje implementację tych opcji.

Ostatnia część książki dostarcza czytelnikowi informacji potrzebnych do utrzymania infrastruktury

usługi Active Directory po jej wdrożeniu. W celu utrzymania infrastruktury Active D irectory należy

zapobiegawczo monitorować składnik i Active Directory. Często podczas monitoringu można dostrzec

pierwsze ostrzeżenia, że coś zaczyna źle funkcjonować. Biorąc pod uwagę fakt, że niekiedy ma miejsce

niepoprawne zachowanie bez względu na to, jak dokładnie środowisko jest zarządzane, niezbędne jest

posiadanie planu odtwarzania po awarii Active Directory. Część IV, „Obsługa usługi Active Directory

dla Windows Server 2003”, zawiera następujące rozdziały:

• Rozdział 14, „Monitorowanie i obsługa usługi Active Directory" przedstawia informacje dotyczące

monitorowania działania usługi katalogowej Active Directory oraz replikacji w Active Directory.

Rozdział ten zawiera również informacje na temat obsługi bazy danydi Active Directory.


9/208

xvi Active Directory dla Windows Server 2003: Przewodnik Techniczny

• Rozdział 15, „Odtwarzanie po awarii” dostarcza czytelnikowi informacji niezbędnych do tworze

nia kopii zapasowych oraz przywracania Active Directory. Active Directory jest kluczową usługą

w sieci i umiejętność odtworzenia jej prawidłowego działania po awarii jest niezbędna.

Każda z sekcji prezentowanej książki wykorzystuje'proces projektowania, wdrażania, administra

cji i utrzymania Active Directory. Jednakże Active Directory dla Microsoft Windows Server 2003 Przewodnik Techniczny stanowi w głównej mierze poradnik. Jeśli Czytelnik będzie potrzebował informacji na określony temat, wystarczy otworzyć odpowiedni rozdział, któ ry dotyczy wybranego zagad

nienia bez czytania wcześniejszych rozdziałów. W niektórych przypadkach Czyte lnik może potrzebo

wać informacji podstawowych w celu zrozumienia danego tematu. Dla przykładu, dyskusja na temat

lasów, domen, jednostek organizacyjnych i lokacji w rozdziale 5 zakłada zrozumienie ich tych pojęćw stopniu, w jakim przedstawione są one w rozdziale 2. "W celu zrozumienia używania zasad grupy

do rozpowszechnienia oprogramowania (czego dotyczy rozdział 12) Czytelnik będzie potrzebował

przyswoić sobie idee zasad grup omówione w rozdziale 11.

Konwencje stosowane w książceW całej książce znajdują się specjalne sekcje wyodrębnione z głównego tekstu. Sekcje te zwracają

uwagę na tematy o szczególnej wadze lub też problemy, z którymi wdrożeniowcy niezmiennie stykają

się podczas procesu implementacji. Można wyróżn ić następujące typy tych elementów:

T=71 Uwaga Element ten jest używany do podkreślenia istotności określonego pojęcia lub zwró-

cenią uwagi na specjalne przypadki, które mogą mieć zastosowanie w niektórych tylko sytuacjach.

Informacje dodatkowe W sytuacji, kiedy istnieją dodatkowe materiały na jakiś temat, zarówno

w innym miejscu niniejszej książki, jak też w źródłach zewnętrznych, takich jak strony sieciowe

lub white papers, sekcja ta zawiera wskazania do tych dodatkowych źródeł.

Ostrzeżenie Element ten wskazuje miejsca, które mogą być przyczyną kłopotów w przypadku

gdy-Czytelnik zrobi coś lub czegoś nie zrobi. Proszę zwróaić szczególną uwagę na te sekcje, gdyż

mogą one zaoszczędzić wielu kłopotów.

Najlepsze rozwiązanie Uzyskanie najbardziej stabilnego działania oraz najwyższej jakości

wdrożenia często wiąże się ze znajomością kilku kruczków. Sekcje te zawierają tego typu wiado-

Planowanie Istnieją momenty, kiedy odrobina zapobiegliwości poprzez planowanie jest rów

noważna wielu godzinom rozwiązywania problemów I bezczynności. Takie momenty zasługują

na element Planowanie.

Wskazówka Element ten kieruje uwagę Czytelnika na porady, mające na celu oszczędność

czasu i trafność strategicznych posunięć.

CzęśćS

PrzeglądActive Directory dla Windows Server 2003

Active Directory Microsoft Windows Server 2003 jest najnowszą wersją usługi katalogowej dostęp

nej w produktach Microsoft. Active Directory zapewnia cenne usługi katalogowe do zarządzania

użytkownikami, grupami i komputerami oraz oferuje bezpieczny dostęp do zasobów sieciowych.

By używać jej najefektywniej niezbędne jest zrozumienie kryjących się za Active Directory pojęć

oraz jej działania. Jest to celem części I niniejszej książki. W rozdziale 1 - „Pojęcia Active Directory”

- czytelnikowi przedstawia się możliwości Active Directory dla Windows Server 2003. Rozdział 1i rozdział 2, „Sk ładnik i Active Directo ry” , dostarczają szczegółowego opisu pojęć i składników, które

tworzą Active Directory. Usługa Active Directory jest ściśle związana z domenowym systemem nazw

(DN S), więc rozdział 3, „System nazw domen Active Directory (D N S)” objaśnia tę integrację oraz

to, dlaczego bardzo ważne jest poprawne zaprojektowanie implementacji D NS przed rozpoczęciem

implementacji Active Directory. W końcu, by zrozumieć działanie Active Directory, niezbędne jest

zrozumienie sposobu wzajemnej replikacji informacji kontrolerów domen Active Directory. Roz

dział 4, „Replikacja i lokacje usługi Active Directory” skupia się na zasadzie działania replikacji oraz

na sposobach jej optymalizacji. , •


10/208

Rozdział 1Pojęcia Active Directory

System operacyjny Microsoft Windows Server 2003 zawiera najnowszą implementację usług katalogo

wych Microsoft-Active Directory. Pierwotnie dołączone do Microsoft Windows 2000, usługi katalo

gowe Active Directory zostały ulepszone i udoskonalone w wersji dla Windows Server 2003.

Uwaga W niniejszej książce, pojęcie „Windows Server 2003" odnosi się do tych członków

rodziny produktów Microsoft Windows Server 2003, które zawierają i wspierają Active Directory:

Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition i Windows

Server 2003 Datacenter Edition.

Jeśli czytelnik przez przypadek będzie czytał ten rozdział w swojej lokalnej księgarni, zastanawiając

się nad nowymi właściwościami Active Directory dla Windows Server 2003, rozdział ten potwierdzi,

że takie właściwości są. Rozdział ten dokonuje również przeglądu.głównych cech Active Directory

oraz wyjaśnia, dlaczego implementuje się te cechy w korporacyjnym środowisku Windows Server

2003. Jeśli czytelnik już zdecydował się wdrożyć Active Directory lub jeśli już obsługuje jakąś infra

strukturę Active Directory, pozostała część tej książki dostarczy odpowiedzi na wiele (mam nadzieję,

że na większość) pytań na temat tego produktu. Zapewni istotną informację do planowania, wdroże

nia i obsługi infrastruktury Activé Directory. Zacznijmy więc od początku...

Ewolucja us ług katalogowych firmy Microsoft

Active Directory jest najnowszą wersją usług katalogowych dla systemu operacyjnego Microsoft

Windows. Pierwotnie usługa ta pojawiła się w Windows 2000 Server i jest również składnikiem

Windows Server 2003. Potrzeba usług katalogowych w środowisku obliczeniowym w stacjach robo

czych Microso ftu wyrosła z rozprzestrzenienia się komputerów osobistych w miejscu pracy. W miarę

gdy coraz więcej komputerów zaczęło wchodzić w skład środowiska pracy w firmach, wynikła

potrzeba wzajemnych połączeń sieci w celu udostępniania zasobów i umożliwienia użytkownikom

komunikowania się w czasie rzeczywistym. Jednak gdy firmy zaczęły dzielić zasoby dostępu w sieci,

wynikła również potrzeba zaistnienia katalogu lub foldera z użytkownikami oraz systemu przydziela

nia uprawnień do zasobów.

LAN Manager dla O S/ 21MS-DOS

W roku 1987 pierwszą usługę katalogową, zaprojektowaną do wspierania środowiska obliczeniowego

na stacjach roboczych Microsoftu (OS/2 i M S-D OS ), można było znaleźć w sieci LA N systemu

Microsof zarządców sieci. „Usługa katalogowa” zarządcy sieci LA N zapewniała podstawową funkcjo

nalność dzielenia zasobów plików i drukarek oraz bezpieczeństwa użytkownika, ale nie nadawała się

do dużych korporacyjnych środowisk. Nie była dobrze skalowalna ani nie wspierała relacji zaufania.

Zamiast tego użytkownicy musieli logować się w każdej domenie z osobna w celu dostępu do dzie

lonych zasobów.


11/208

4 Część I: Przegląd Active Directory dla Windows Server 2003

Windows NT i SAMPrzyjrzyjmy się Microsoft Windows N T 3.1 Advanced Server. Platforma Windows N T Server ofero

wała silne 32-bitowe środowisko obliczeniowe z wyglądem znanym z popularnych systemów opera

cyjnych Microsoft Window s dla grup roboczych. W sercu Windows N T NO S miescisię baza danych

kont, służąca do zarządzania kontami (Security Accounts Management (S AM )). Stanowi ona cen

tralną bazę kont oraz zawiera wszystkich użytkowników domeny. Konta te są używane w celu kontro

dostępu do dzielonych zasobów na każdym serwerze w domenie Windows NT.

Baza SAM pozostawała główną usługą katalogową w k ilku wersjach Microsoft Windows N T NO S

(Network Operating Systems - sieciowe systemy operacyjne), włączając w to N T 3.5 i niedawnyWindows N T Server 4. SAM skalowała się znacznie lepiej niż w c z e ś m e j s z e wersje architektur usiug

katalogowych dzięki międzydomenowym relacjom zaufania. Związki powiernicze w Windows N T były

niezbędne do przezwyciężenia imiych ograniczeń usług katalogowych Windows N T.

Było jednakże kilka ograniczeń SAM, takich jak brnie wydajności i słaba dostępność. Baza SA M posiadała

praktyczne ograniczenie pojemności, wynoszące 40 megabajtów (̂ ® ). Pod względemi obiektów komputerowych ograniczenie to wyrażało się w limicie liczby obiektow do około 40,000. W c

powiększenia środowiska obliczeniowego ponad granicę 40,000 obiektów administratorzy zmuszeni byli

do tworzenia większej ilości domen w swoich środowiskach. Organizacje były dzielone na wiele domen

w celu osiągnięcia autonomii administracyjnej. W ten sposób każdy administrator mógł kontrolować całą

swoją domenę. Ponieważ wszyscy administratorzy domen w Windows N T 4 mieli zasadniczo nieogram

czone uprawnienia administracyjne, tworzenie oddzielnych domen było jedynym sposobem na zdefiniowa

nie granic uprawnień administracyjnych. W obrębie domeny jednakże, wszyscy administratorzy mieli pełną

kontrolę nad serwerami, które do niej należały.Przy cym tworzenie dodadcowych domen me było zachęca jącą metodą, gdyż każda nowa wymagała dodadcowego sprzętu na serwerze, co wiązało się z dodadcowym

obciążeniem administracyjnym. Wzrost ilości domen w organizacji pociągałza sobą zwiększone uzależnienie

od relacji zaufonia, które umożliwiają użydcownikom autoryzację i dostęp do zasobow w zewnętrznych

domenach. Żeby uporać się z rosnącą złożonością domen i relacji zauńnia, administratorzy sieci wdrażali

jeden z czterech modeli domen: domena pojedyncza, domena nadrzędna, domena wielokrotnie nadrzędna

oraz relacja całkowitego zaufania. Modele te są przedstawione na rys. 1-1, na ser. 5.

Największą troską administratorów we wsparciu tych modeli domen było stworzenie i utrzymanie

dużej ilości relacji zaufania, które były potrzebne. Było to obciążające zadanie, ponieważ wsystkie

międzydomenowe relacje zaufania w W indows N T 4 musiały być tworzone dwustronnie - w dome

nach po obydwu stronach relacji. W wypadku, gdy domenami tymi zarządzali rozm administratorzy,

pojawiała się konieczność koordynacji i komunikacji między nimi, co me należało do podstawowych

zajęć administratorów sieciowych. Dodatkowo zaufania w obrębie domeny Windows N T nie były

szczególnie stabilne. Z powodu unikalnej metody autoryzacji między dwoma komputerami (com-

puter-to-computer), która była używana w celu zachowania relacji zaufama w Windows NT, relacje

te były często niedostępne.

Drugim ograniczeniem bazy SA M był dostęp. Metodą pojedynczego dostępu do interakcji z SAM

był N O S sam w sobie. M iał ograniczony programowy dostęp oraz był trudny w użyciu dla użyt

kowników końcowych. Wszystkie możliwości odczytu, tworzenia czy modyfikacji obiektow w SAM

musiały być zainicjowanie przy użyciu jednego z kilku narzędzi, łącznie z interfejsem użytkownika

(U l) W indows N T 4, takim jak User Manager For Domains (Zarządzanie użytkownikami domeny)

czy Server Manager (Zarządzanie serwerem). Ograniczało to użyteczność SAM jako usługi katalogo

wej i przyczyniło się do potrzeby zamiany usługi katalogowej dla przyszłych wersji sieciowych syste

mów Windows. Omawiana usługa katalogowa zaczęła się wkrótce pojawiać na wszystkich planach

grupy programowej, pracującej nad Microsoft Exchange Server.

Rozdzlat 1: Pojęcia Active Directory . 5

.Model pojedynczej domeny Model domeny głównej

Model z wieloma domenami głównymi Model pełnego zaufania

Rysu nek 1-1. Cztery modele domen używane w Windows N T 4.

Windows 2000 i Active Directory

Ponieważ SAM nie była dostępna na zewnątrz samego NO S, nie nadawała się do wspierana siecio

wych aplikacji talach jak Exchange Server. Kiedy wydano Exchange Server w wersji 4, zawierał on

swoją własną usługę katalogową - Exchange Directo ry. Exchange Directory była zaprojektowana,

by wspierać wielkie środowiska korporacyjne, a w późniejszych wersjach oparto ją o otwarte stan

dardy internetowe. Wsparcie otwartych standardów oznaczało, że Exchange Directory była otwarta

na specyfikacje protokołów: Lightweight Directory Access Protocol (LD AP ) i Transmission Control

Protocol/Internet Protocol (T CP/ IP ), dzięki czemu łatwo mogła być dostępna programowo.

Kiedy tworzono kolejną wersję systemu sieciowego Windows, Microsoft traktował usługę katalogową

Exchange Server jako model przyszłych implementacji usług katalogowych. Dodatkową korzyścią

z jej rozwoju wokół istniejącej już usługi w Exchange Server było to, iż w przyszłych wydaniach

Exchange Server pojawiła się wspólna platforma usług katalogowych, obsługująca jednocześnie śro

dowisko sieciowe i środowisko Exchange Server. Cel ten zrealizowano w Windows 2000.

Silna usługa katalogowa, która pojawiła się pierwotnie jako usługa katalogowa dla Exchange Server

w wersji 4, została ostatecznie wydana razem z Windows 2000: Active Directory. Active Directory

zastąpił SA M jako usługę katalogową dla środowisk sieciowych Microsoft. Nowa implementacja

usługi katalogowej miała służyć ograniczeniu SA M w Windo ws N T 4 i zapewniała dodatkowe korzy

ści dla administratorów sieciowych. Główną zaletę Active Directory w postaci zaimplementowanej

w Windows 2000 stanowi jej slalowalność. Nowy plik bazy kont może zostać powiększony do 70

terabajtów, co stanowi radykalne polepszenie pojemności w porównaniu z ograniczeniami SAM,

Rozdział 1: Pojęcia Active Directory 7


12/208

6Część I: Przegląd Active Directory dla Windows Server 2003

wynoszącymi 40 M B. Liczba obiektów, które mogą być przechowywane w Active D irectory wynosi

pOTad milion. W rzeczywistości Active D irector)' została wdrożona w testowym środowisku z poje

dynczą domeną, zawierającą ponad 100 milionów obiektów. B y zademonstrować skakwalnosc Com-

p L Computer Corporation, obecnie część Hewlett-Packard Corporation, z powodzeniem po łący

w pojedynczą domenę skonsolidowane katalogi telefonii domowej Residentia Telephone Directories

dla wszystkich pięćdziesięciu stanów w Stanach Zjednoczonych Ameryki. Dla dwóch^najwięfatych

stanów pozycje załadowano dwukrotnie w celu powiększenia pojemno ci do ponad 100 mil.onow

obiektów. Skoro Active Directo ry może przechowywać, zarządzać i szybko o powia ac na zapy

dla każdego numeru stacjonarnego w Stanach Zjednoczonych, może niewątpliwie rown.ez skalować

objętość do rozmiarów wielkich organizacji korporacyjnych.

Taki olbrzymi postęp w pojemności oznacza, że wielu administratorów sieciowych nie potrzebuje

już dzielić swoich środowisk na wielokrotne domeny w celu obejścia ograniczeń wielkości w usłudze

katalogowej. Wynik iem jest mniejsza liczba domen, mniej sprzętu serwerowego oraz mnie) adm-

n Z d l sieciowej, czyli trzy ważne powody, żeby zainstalować Active Directory. Złożone modde

domenowe, które przeważały w Windows N T 4 mogą zostać teraz skonsolidowane w mniejszej _-

ści domen, przy użyciu jednostek organizacyjnych (organizational units) do grupowania zawartos >

zasobów lub regionalnych domen Windows N T 4. Rysunek 1-2 ilustruje typowy model pojedynczej

domeny w Windows 2000.

Rysun ek 1-2. Model pojedynczej domeny w Windows 2000.

Następną zaletą Active D irectory jest jej dostępność. Architektura Active Directory jest zap rJkto -

wana pod kątem otwartych standardów internetowych, takich jak LD AP i przestrzeń nazw X50 .

Acrive Directory nie tylko jest oparta o otwarte standardy, ale jest również programowo otwarta

na te standardy. Administratorzy mogą zarządzać swoimi implementacjami Active Directory prey

użyciu narzędzi współpracujących z L'DA P takich, jak Active Directory Se rv.« Ine«& eei Ldp.exe (narzędzie administracyjne dla Active D irectory współpracujące z L DA P). Ponieważ Active

Directo ry jest otwarta na LD AP, może być zarządzana programowo. W rezultacie administratorzy .

ciowi mogą umieszczać w skryptach zadania administracyjne, takie jak wsadowe importowanie użyt

kowników, które jest czynnością pochłaniającą dużo czasu, jeśli jest przeprowadzane przy pomocy

graficznego interfejsu użydcownika (G U I).

ję y

D o m e n y .Windows Server 2003 i Active Directory

Ostatnia wersja Active D irectory - ulepszona i udoskonalona wersja lokalnej usługi katalogowej

' wprowadzona razem z Windows 2000, jest składnikiem wszystkich członków rodziny Windows

Server 2003 z wyjątkiem wersji.Web Edition, która nie potrzebuje ani też nie implementuje kom

ponentu Active Directory., Windows Server 2003 Active-Directory oferuje administratorom siecio-

L m skalowalność, dostęp i fimkcjonalność niezbędne do zarządzania infrastrukturą usług sieciowych

w dzisiejszych korporacyjnych środowiskach obliczeniowych. Oczekiwania wobec implementacji

usług katalogowych znacznie wzrosły od okresu stacji roboczych MS-D OS , połączonych do sieci

LA N , a Active4Directory jest idealnym narzędziem, spełniającym powyższe oczekiwania. Reszta tego

rozdziału wyjaśnia, w jaki sposób Active Directory wypełnia swoją rolę w centrum Windows Serwer

2003 oraz jalde nowe cechy posiada w tym wydaniu.

Otwarte standardy Active DirectoryChcąc sprostać rosnącym żądaniom usług katalogowych dla zróżnicowanych środowisk przetwarza

nia danych, Microsoft musiał zawrzeć w swoich sieciowych systemach operacyjnych i implementa

cjach usług katalogowych otwarte standardy informatyczne. Wciąż wzrasta prawdopodobieństwo,

że pomieszczenia serwerowe średnich i dużych organizacji ostatecznie będą wstanie pomieścić różne

sieciowe systemy operacyjne, pracujące na różnorodnych typach serwerów. Wspólnie mogłyby istnieć

serwery Windows ¡ N ovell NetWare, pracujące na platformadi intelowych, platformy UN IX pracu

jące na sprzęcie typu RISC (Reduced Instruction Set Computing) oraz serwery grup roboczych Linux

pracujące na dowolnej platformie, w którą mogliby się zaopatrzyć administratorzy. Aby systemy

te egzystowały wspólnie, sieciowe systemy operacyjne muszą komunikować się ze sobą przy pomocywspólnego języka lub języków. Ta potrzeba jest podstawowym warunkiem obliczeń w otwartych stan

dardach. Współczesna informatyka korporacyjna zmierza w kierunku usług zintegrowanych sieci.

Przeglądu dwóch otwartych standardów, na których oparta jest usługa Active Directory, dokonują

dwie kolejne sekcje.

Hierarchie X.500

Przestrzeń nazw X.50 0 definiuje sposób przechowywania obiektów w Active Directory. Przestrzeń

nazw X.500 jest hierarchiczną strukturą nazw, która jednoznacznie identyfikuje ścieżkę do określo

nego kontenera usługi katalogowej. Zapewnia również unikalny identyfikator dla każdego obiektu

w tym kontenerze. Przy użyciu nazwy X5 00 bądź identyfikatora obiektu (Object Identifier (O ID )),

każdy obiekt w strukturze usług katalogowych może zostać zidentyfikowany w sposób jednoznaczny.

Active Directory jest usługą opartą o strukturę X500, w której. Microsoft zawarł wszystkie bazowe

(lub pierwotne) ldasy w niej określone.

Przestrzeń nazw, o której mowa, może być przedstawiona w notacji kropkowej (numerycznej) lub zna

kowej. Przykładowy OID X.5 00 wynosi 2.5.4.10, co jest równoważne atiybutowi Nazwa Organizagi (z „o” jako wyświedaną nazwą LD AP) . Num eryczna reprezentacja ldasy jednoznacznie identyfikuje

ten obiekt w obrębie hierarchii X.500, dzięki czemu sam obiekt staje się unikalny. Obiekty Active

Directory mogą być również identyfikowane jednoznacznie przy pomocy notacji znakowej X.500,

znanej również jako katalog OS I (Open Systems Interconnection ). W notacji znakowej obiekt użyt

kownika może być reprezentowany w następujący sposób:

cn=Karen Friske, cn=Users, dc=Contoso, dc=com


13/208

Część I: Przegląd Active Directory dla Windows Server 2003

Aby spełnić wymaganie jednoznaczności w przestrzeni nazw X.500, może istnieć tylko jedna Karen

Frislce w kontenerze Users w domenie Contoso.com. Mogą istnieć jednakże inne konta użytkownika

Karen Friske w organizacji Contoso. Nazwa X.500 zawiera nazwę kontenera, w którym znajduje się

konto użytkownika (takiego jak jednosdca organizacyjna) oraz umożliwia unikalność jego nazwy.

Reprezentacja znaków przestrzeni nazw X.500 jest zdefiniowana w R FC 1779 (Request for Com

ments - Prośby o komencarze), dostępnym pod adresem: http://www.faqs.oighfishfil779.html .

W celu zobaczenia O IDu X.5 00 , użydcownik może posłużyć się przystawką schematu Active D irectory

Schema lub też przystawką AD SI Edit. By zobaczyć OID X.500 atrybutu Nazwa-Organizacji, należyużyć edytora A D SI do otwarcia kontenera schematu, a następnie przesunąć kursor w dó ł do rozpo

znawalnej nazwy atrybutu: CN=Nazwa Organizacji. Rysunek 1-3 przedstawia attribute ID (nazwęX.500) dla atrybutu httpd/Nazwa-Organizacji.

I“ I Won/ cliuite* thtl bave va u*.

i *Kg

•ÄlGibCie&i iW é iüêf 'S i lameadmnOesciiption Unicode SUing 0igani2almn-Name .

adminDispfayName Unicode Suing Oigsnizalion-MameelowedAłUŁutec ObiecUdenUief tubSchemeSubEnUiî oc •aJowedAtUfcutesEffe... ObjecUdeiitHier kOiiicaiSydemObiectfat!elowedChildClaKei ObjectIdentifier '--.ISWiMM' aHowedCMdCfessesE... Objed Ideniife r _____________

aUtibuteSecuiilySUID

alUibuteSyntax

|LW l Ä

canonicall'JamectassDisplayHame

Octet String 0x54( M i 0x8dOxe4ÛxiÊ

Object identifier 2.5.5.12Distinguished... Unicode Suing contoso.com/ConfiguraUcUnicode String Unicode Stirna , Oraenization-Name : ... Ä f e g » ̂ ^ ̂ . Unicode:5ti|io ^utaancauc

I OK \ An-ig I “ in

Rysunek 1-3. Właściwości atrybutu Nazwa-Organizacji wyśiuietlone w edytorze ADSL

Heterogeniczne ś rodowiska sieciowe

Jeśli heterogeniczne środowisko sieciowe jest zaprojektowane i zarządzane prawidłowo, staje się

niewidoczne dla użytkowników końcowych. Inaczej mówiąc, użydcownicy nie muszą dostrzegać, że usługi sieciowe, od których zależy poprawność wykonywanych przez nich zadań, działają

na różnych platformach serwerowych. Powinni oni móc używać wspólnego zestawu narzędzi

i aplikacji do współpracy zarówno w sieciach prywatnych jak i publicznych (Internet). Jednym

z kluczowych sposobów osiągnięcia niewidocznego heterogenicznego środowiska sieciowego

jest wybór centralnej usługi katalogowej, takiej jak Active Directory W indows Server 2003,

która obsługuje pojedynczą rejestrację. W przeciwnym wypadku użytkownicy muszą dostarczyć

referencji Credentials dla każdego systemu operacyjnego, z którym chcą się połączyć. Typowy

schemat Manifestation heterogenicznego środowiska obliczeniowego może składać się z:

" Systemu operacyjnego z rodziny Windows, obsługującego wiele zgodnych aplikacji, posiada

jących taki sam wygląd oraz prawie niewymagających przekwalifikowania użytkowników'.


• Sieciowego systemu operacyjnego opartego na Windows lub Novell pracującego na sprzęcie

Intel, lub hybrydowego środowiska zawierającego sieciowy systemem operacyjny od jed

nego dostawcy, który obsługuje usługi katalogowe oraz z systemu innego dostawcy służącego

do obsługi aplikacji i serwerów członkowskich. E)la tradycyjnego obliczeniowego modelu

klienc - serwer popularnego w dzisiejszych oddziałach IT (Information Technology), prefe

rowane są główn ie sieciowe systemy operacyjne. Osiągnięcie udanego heterogenicznego śro

dowiska może być dokonane przez wybór odpowiednich systemów operacyjnych tych wer

sji, zgodnych z otwartymi standardami Active Directory Windows 2000, Active Directory

Windows Server 2003 i Novell Directory Services in Novell. Infrastruktury usług katalogo

wych N etWare 5 i późniejszych wersji oparte są na architekturze otwartych standardów.

• Opartego na UN IX DN S, D H CP (Dynamic Host Configuration Protocol), firewall/proxy

lub serwera NAT (Network Address Translation), pracujących na sprzęcie typu RISC. Nie

które lub wszystkie połączenia internetowe w firmie mogą działać na serwerach U N IX .

Ponieważ usługi internetowe są z definicji standardami otwartymi, nie ma wymagań doty

czących konkretnego typu usług umożliwiających dostęp do Internetu.

• Serwera plików lub aplikacji opartego na Linux, pracującego na systemie Intel lub serwerach

typu R ISC . Środowisko L inux, często wykorzystywane do testów lub programowania, ofe

ruje za przystępną cenę sposób uzyskania usług sieciowych do niekrytycznych zadań. Środo

wisko Linux tego typu mogłoby być dostępne dla użydcowników aplikacji Windows poprzez

protokół SM B (Server Message Block). Użytkownik końcowy nie wiedziałby, że zasoby

są przechowywane na serwerze z systemem innym niż Windows.

Lightweight Directory Access Protocol (LDAP)

LDAP jest zarówno protokołem dostępu jak i modelem usługi katalogowej w Active Directory

Windows Server 2003. Jałto model informacyjny, hierarchia nazw jest podobna do katalogowej hie

rarchii nazw X.500/O SI. Jako A PI (Application Programming Interface - interfejs programowania

aplikacji), LDA P jest zaimplementowany w Active Directory W indows Server 2003 w Wldap32.dll.

Active Directory w pełni obsługuje dostęp do katalogów przy użyciu pierwotnych zapytań LD AP

lub przy użyciu AD SI C O M (Component Object Mode l). LD AP jest zdefiniowany jako protokół

dostępu w zestawie protokołów TC P/ IP dotyczących dostępu do danych katalogowych. Umożliwia

wymianę danych między różnymi platformami usług katalogowych jako otwarty standard, co jest

omówione w części „Kluczowe cechy i korzyści Active Directory” w cym rozdziale.

Reprezentacja fikcyjnego konta użydcownika, wspomnianego wcześniej w hierarchii nazw LDAP, jest

pizedscawiona jako:

LDAP://cn=Karen Friske, crHJsers, dc=Contoso, dc=com.

Używając tej konwencji nazw, administratorzy mogą odnieść się do nich i uzyskać dostęp do obiektów

. w katalogowej usłudze LDAP. Protokó ł LD AP i model katalogowy (ale nie składnia nazwy) są zdefi

niowane przez dokument R FC 1777, dostępny na stronie http://www.faqs.org/ifcs/rfil777.htnd .

Aby administrować Acdve Directory przy użyciu LDAP, należy posłużyć się narzędziem administra

cyjnym zgodnym z LDAP, takim jak Ldp.exe, dostępnym jako część pakietu Suptools.msi w katalogu

SupportYTooIs w folderze płytki instalacyjnej Windo ws-Server 2003. Przy użyciu Ldp.exe, można

wiązać lub łączyć się z Active D irectory poprzez numer portu protokołu UD P (User Datagram

Protocol) a następnie wyśw ietlić nazwę każdego atrybutu, klasy i obiektu. W celu podłączenia się

do Active Directory przy użyciu Ldp.exe oraz w celu wyświedenia atrybutów obiektu użytkownika,

10 Część I: Przegląd Active Directory dla Windows Server 2003 R d i ł 1 P j i A ti Di t 11

http://www.faqs.oighfishfil779.html/http://www.faqs.org/ifcs/rfil777.htndhttp://www.faqs.org/ifcs/rfil777.htndhttp://www.faqs.oighfishfil779.html/


14/208


należy podłączyć się przez 389 port UDP , rozwinąć kontener i jednostkę organizacyjną, a następnie

dwukrotnie kliknąć nazwę konta użytkownika. Rysunek 1-4 przedstawia konto użytkownika Karen

Friske, widziane poprzez Ldp.exe.

& CN*usets,DC*=conLoso,DC»=awi• CN-Adrrirtóratof.CN-UKrs.DC-cofAoso.E»««!^

i -CNÂdfrtnłstrtóorzy domeny,CN“ U«rs,D C«= corto:j|

k aj-Admlf t̂óorzyprc«tóębtorst¥«,CH“ 0ser5,Dijp.. CN-Adminbtratoray schemata,CN«U5e*s,DC"Cont;s

■-aisDnsAdmlns.aÛiers.OIôntoso.DCcco m ¿r i-CNaDnsUfrf̂ eProsy.OfiaUsers.CKlsconłosô «*!i- Oł=Goić,CN»Ujftfs,DC«cortoJO,DC«cem ^

: CN »Goide domeny,OJ-UstfS.DC-cwiłojo.OC-cęteI CN-Grupa usług pomocy,CiMJsers,DC“Cortoso,ę5g

\ :-Naćh3dren *< j g j- CN=Komputerydomeny,ai*4J«rs,!X®eonto»,Di|§i -CNaKon&tilefydomeny.CN-UsaSjDI-contosOjW^

r CłJał/btg tłCN=UsefsJDC=CGntoso(DC=comi-•OJ=Serwery RAS i !AS,aWfcers,O C-wrrto so,X:p

CN-9JÔRT_388945aO,CN-U5ers,DC-«ntoso,{^j-Oi-TelnetaentSjCN-Users^C-cofttosOiKI-coąg

•QJ=Twótcy-właidcielB 2*sad grupy.ChHJsers.DGfe>-CN=Użytławnlcy domeny,CN»Use«,DC=contoso,l ..j1i- oi»WydawcycertyfB^ów,OWJsefS,DC=conlosi5j.

^ K ł j odRy S ICount

SroiflcavraeVô

■̂ Swil£S&TÆL2iî ;̂ iÉKw.f»vSenb>i;>rinn9Â:n9‘afl'*nKî.>,fi?

W W

Rysunek 1-4. Konto nżytkoiunikti Karen Friske wyitviethne w Ldp.exe.

Kluczowe cechy i korzyści Active DirectoryMożna zadać sobie pytanie: „D o czego potrzebna jest usługa Active Directory?” . Jeśli czytelnik jest

zainteresowany posiadaniem usługi katalogowej Windows Server 2003, najściślej zintegrowanej

z systemem Active Directory stanowi logiczny wybór. Inną przyczyną, by wdrożyć Active Directory

jest obsługa Microsoft Exchange 2000 Server. Exchange 2000 Server jest zależny od Active Directory

ze względu na swoją usługę katalogową, więc wielu administratorów wdraża Active Director)' w celu

podwyższenia standardu Exchange 2000 Server. W tej części zostaną opisane kluczowe cechy i zalety

Active Directory dla Windows Server 2003.

Scentralizowany katalog

Active Directory służy jako pojedyncza, scentralizowana usługa katalogowa, która może być zainsta

lowana w całej organizacji. Upraszcza to administrację siecią, ponieważ administratorzy nie muszą

łączyć się z wieloma katalogami w celu zarządzania kontami. Inną korzyścią centralnego katalogu

jest to, iż może być on wykorzystany przez inne aplikacje, takie jak Exchange 2000 Server. Znacznie

upraszcza to całościową administrację siecią.

Pojedyncza rejestracja w systemie

Użytkownik może zalogować się do sieci, używając swojej głównej nazwy tożsamości użydcow

nika (U PN ) (user principal name), np.: [email protected], w dowolnym lesie (logiczny składnik

implementacji Active Directory) Window s Server 2003. Po udanym uwierzytelnieniu, użytkowni

kowi przyznaje się dostęp do wszystkich zasobów sieci oraz nadaje uprawnienia, bez konieczności

ponownego logowania się na różnych serwerach lub domenach. UP N jest obowiązkowym atrybutem

obiektu konta użydcownika w Active Directory i zostaje zdefiniowany domyślnie w Active Directory

w momencie założenia nowego konta użydcownika.


Oddelegowana administracja

Jednym z ograniczeń SAM w Windows NT 4 było to, iż prawa administracyjne był)' dostępne na zasa

dzie „wszystko albo nic . Aby nadać użytkownikowi pewien poziom uprawnień administracyjnych,

niezbędne było uczynienie go członkiem grupy administratorów domeny. Ten poziom uprawnień

administracyjnych dawałmytkownikowi praktycznie nieograniczoną władzę w obrębie domeny, łącz

nie z prawem do usuwania innych użytkowników z grupy administratorów. Nie był to szczególnie

bezpieczny sposób delegowania administracji. Z drugiej strony, Active Director)' oferuje administra

torom możliwość delegowania wybranych uprawnień adm inistracyjnych. Używając kreatora delegacji

kontroli lub dzięki ustawieniu określonych zezwoleń dla obiektów Active Directory administratorzy

mogą zaoferować precyzyjne dostosowanie praw administracyjnych. Można na przykład przypisaćokreślonemu kontu użytkownika prawa administracyjne do kasowania haseł w domenie, ale nie

do tworzenia, usuwania czy też modyfikacji obiektów użytkownika.

Interfejs wspólnego zarządzania

Istnieje kilka możliwości wykorzystania integracji między Active Directory i systemem operacyjnym.

Jedną z nich jest użycie interfejsu wspólnego zarządzania: konsoli M M C (Microsoft Management

Console). Gd y działa się na Active Directory poprzez G U I (Graphical User Interface) M M C, wszyst

kie narzędzia administracyjne mają spójny wygląd. Narzędzia te są zawarte w konsoli Active Directo ry

Active Directory Users And Computers (Użydcownicy i komputery Active Directory), w Active

Directory Domains And Trusts (Domenach i relacjach zaufania Active Directory) oraz w Active

Directory Sites And Services (Lokacjach i usługach Active Directory). Ponadto dodatkowe moduły

M M C wykonują te same czynności, co inne narzędzia administracyjne Wind ows Server 2003, jakna przykład moduły D NS i DH CP .

Zintegrowane bezpieczeństwo

Active Directory ściśle współpracuje z podsystemem bezpieczeństwa Window's Server 2003 w celu

uwierzytelnienia głównych zasad oraz ochrony bezpieczeństwa dzielonych zasobów sieciowych. Bez

pieczeństwo sieciowe w W indows Server zaczyna się od uwierzytelnienia podczas logowania. System

operacyjny Windows Server 2003 obsługuje dwa protokoły do sieciowego uwierzytelnienia w obrę

bie oraz między domenami Window s Server 2003, którymi są Kerberos v5 i N T LA N Manager

(N TLM ). Kerberos jest domyślnym protokołem uw ierzytelnienia dla klientów logujących się z klien

ckich komputerów działających w systemie Windows 2000 Professional lub M icrosoft Windows X P

Professional. Użytkownicy logujący się z klienckich komputerów o niższych wersjach systemu ope-

racyjnego (Windows N T 4, M icrosoft Windows 98 łub wcześniejsze), używają protokołu NT LM

do uwierzytelnienia w sieci. Protokół N TLM jest również używany przez Idientów Windows X P

Professional i Windows 2000, gdy logu ją się na serwerach działających w systemie Windows N T 4

lub na komputerach spoza sieci pracujących w systemie Windows 2000 lub Windows Server 2003.

Usługa Active Directory stanowi również integralną część modelu kontroli dostępu Windows Server

2003. Kiedy do domeny Windows Server 2003 loguje się zwierzchnik zabezpieczeń, podsystem

bezpieczeństwa w połączeniu z Active Directory tworzy żeton dostępu, który zawiera identyfikator

bezpieczeństwa SID (security identifier) konta użydcownika, jak również SID wszystkich grup, któ

rych użytkownik jest członkiem. SID jest atrybutem obiektu użytkownika w Active Directory. Żeton

dostępu jest często porównywany do deskryptora bezpieczeństwa zasobów, a oczekiwany poziom

uprawnień jest przydzielany użytkownikowi, jeśli zaistnieje taka możliwość.

mailto:[email protected]:[email protected]


15/208


SkalowalnośćKiedy mamy do czynienia ze zwiększaniem się rozmiarów organizacji, czy to w wyniku stopnio

wego rozwoju, czy też poprzez serię fuzji lub przejęć, usługa Active Directory umożliwia skalowanie

w tempie zgodnym z rozrostem organizacji. Można wybrać zwiększenie rozmiarów modelu domen

lub po prostu dodać więcej serwerów w celu przystosowania się do zwiększonej pojemności.

•Wszelkie zmiany w infrastrukturze Active Directory powinny być starannie zaimplementowane

w zgodzie z planem modelowym Active Directory, który przewiduje taki rozrost. Pojedyncza domena

- najmniejsza jednostka infrastruktury Active Directory, która może być poddana replikacji na konr

trolerze pojedynczej domeny - może obsługiwać powyżej miliona obiektów, więc nawet model poje- | |dynczej domeny będzie wspierał duże organizacje.

Co nowego w Active Directory Windows Server 2003Oprócz już wymienionych kluczowych cech Active Directory istnieje kilka innych które są nowe j|g

w Active D irectory Windows Server 2003. W tej części dokonano ich przeglądu. Cechy te opisano | |

pełniej w następnych rozdziałach, w poszczególnych aspektach implementacyjnych.

Użytkownicy Active Directory i ulepszenia komputerów

Istnieją dwie chętnie przyjęte zmiany w module Active D irecto ry do zarządzania komputerami i użyt- gg_

kownikami usługi Active Directory Users And Computers. W Window s Server 200o m oduł ten gg.

pozwala administratorowi na zachowanie zapytań. Administratorzy mogą przeszukać katalog podkątem określonego atrybutu, zachować zapytanie, a następnie użyć go ponownie w celu analizy i roz- j| |

wiązywania problemów w przyszłości. Administrator może na przykład zachować szukanie obiektu ^

użytkownika, który posiada niewygasające hasło (opcje konta: Password Never Expires) a następnie

wykorzystywać je w celu śledzenia potencjalnego zagrożenia bezpieczeństwa. |g

Mod uł Active D irectory Users And Computers pozwala również administratorowi na edycję wielu |g

obiektów użytkowników w tym samym czasie. We wcześniej wspomnianym przykładzie po wyszuka- ¡gg

niu przez administratora kont użytkowników z niewygasającym hasłem, mogą wszystlde one zostać

otwarte i atrybut ten może zostać zmieniony we wszystkich tych kontach w tym samym czasie.

Poziomy funkcjonalności ;-

Usługa Active Directory dla Windows Server 2003 wprowadza poziomy domen i lasów funkcjonał- 1 ■

ności, które zapewniają wsteczną kompatybilność dla domen,- pracujących pod kontroleram i domen —-

niskiego poziomu. Należy mieć świadomość, iż w celu implementacji wielu innych zmian w Active ..gDirecto ry Window s Server 2003 należy podnieść poziom funkcjonalności domen lub lasów. Wiele j .

nowych cech wymaga, aby środowisko sieciowe obsługiwane było przez kontrolery domen, pracujące

pod systemem operacyjnym Windows Server 2003.

u---- ------------- ---—— ' " ‘ _ ĵ łć"f T T j Uwaga Kontrolerem domeny niskiego poziomu jest każdy kontroler domeny w domenie jg |

— Windows Server 2003, który pracuje pod wcześniejszą wersją sieciowych systemów, takich jak

Windows NT 4 lub Windows 2000.

Domyślnym poziomem funkcjonalności domen i lasu jest tryb „Windows 2000” („W indo ws 2000 .-

mieszany” w wypadku domen). Oznacza to, że Active Directory po instalacji jest skonfigurowany ,

w sposób umożliwiający korzystanie z takich nowych cech, które funkcjonują poprawnie pr,7


kombinacji kontrolerów domen działających w systemach Windows Server 2003 oraz Windows

2000. Aby osiągnąć korzyści płynące z wszystkich nowych cech Active Directory, poziom funkcjonal

ności musi zostać jak najszybciej podniesiony do wersji Windows Server 2003 (warunek, w którym

nie ma już kontrolerów domen pracujących w systemach Windows 2000 lub Windows N T 4).

Uwaga Poziomy funkcjonalności w Active Directory dla Windows Server 2003 nawią

zują do znanych z systemu Windows 2000trybów domen: mieszanego i macierzystego. Windows

Server 2003 Udostępnia dodatkowe możliwości funkcjonalności usługi katalogowej dla przed

siębiorstwa. Konieczne było zatem większe zróżnicowanie trybów domen. Koncepcje poziomów

funkcjonalności i trybów działania domen są właściwie takie same. Więcej informacji na tematpoziomów funkcjonalności znajduje się w tabelach 2-1 i 2-2 w rozdziale 2.

Przemianowanie domeny

Active Director)' Windows Server 2003 obsługuje teraz.zmianę nazwy domen ¡śmiejących w lesie

przy jednoczesnym zachowaniu globalnego unikalnego identyfikatora (G U ID ) oraz SID domeny. Ist

nieje kilka scenariuszy, w których ta cecha jest użyteczna m.in. połączenie dwóch organizacji z odręb

nymi infrastrukturami, które należy skonsolidować pod pojedynczą nazwą domeny, odzwierciedlającą

zewnętrzną zarejestrowaną przestrzeń nazw. Przemianowanie domen nie jest zwyczajną procedurą IT.

W pewnym stopniu destrukcyjnie wpływa na dostępność sieci, ponieważ każdy kontroler domeny

i każdy serwer członkowski w domenie musi zostać ponownie uruchomiony, by zakończyć operację.

Partycje katalogu aplikacji

Oprócz partycji katalogu domen i konfiguracji (łącznie z partycją katalogu schematu) Active Directory

Windows Server 2003 obsługuje teraz partycje katalogu aplikacji. Partycje katalogu aplikacji mogą

być używane w celu przechowywania charakterystycznych dla aplikacji informacji na oddzielnej par

tycji, replikującej się z tymi kontrolerami domen, które wymagają aktualizacji tego typu danych.

Redukuje to całkow ity ruch związany z replikacją Active Directory. D omyślną implementację partycji

katalogu aplikacji stanowią zintegrowane z D NS strefy Active D irectory. Partycja katalogu aplika

cji stanowi obecnie domyślną lokalizację stref Active D irectory zintegrowanych z DNS. Wynikiem

taicie] konfiguracji jest to, iż dane stref DN S są replikowane do kontrolerów domen, które są również

serwerami DNS, włączając w to serwery DN S, znajdujące się w innych domenach lasu. Programiści

aplikacji mogą pisać aplikacje rozproszone wykorzystujące tę cechę, w związku z czym aplikacje roz

proszone przechowują swoje dane na partycji katalogu aplikacji.

Dodatkowy kontroler domeny instalowany z zapasowego medium

Nowa cecha, o której mowa, stanowi udoskonalenie procesu instalacji Active Directory. Podczasinstalacji dodadcowego kontrolera domeny w Windows 2000 ukończenie pierwotnej replikacji party

cji katalogowych może zająć dużo czasu (od lu lku godzin do kilku dni), zwłaszcza przy dużych party

cjach katalogowych lub kontrolerach domen, które są odseparowane przy pomocy wolnych połączeń

sieciowych. Proces instalacji Active Directory dla Windows Server 2003 obsługuje obecnie tworze

nie partycji katalogowych z ostatnich kopii danych o stanie systemu z innego kontrolera domeny

Windows Server 2003. Proces ten uległ znaczącemu przyśpieszeniu ze względu na umiejscowienie

danych katalogowych na lokalnym dysku, a nie konieczność ich uzyskania poprzez replikację sieci.

14 Część I: Przegląd Active Directory dla Windows Server 2003 Ro zd zial i: Pojęcia Active Directory 15


16/208

ę g ą y

Dezaktywacja obiektów schematu

W Windows Server 2003 administratorzy sieci są w stanie „dezaktywować” lub wyłączyć ldasy i atry

buty schematu. W rezultacie1istnieje możliwość przedefiniowania atrybutów i Idas zamiast koniecz

ności tworzenia nowych klas lub atrybutów w wypadku błędu przy definiowaniu niezmiennych-właś-

dwości. D la przykładu załóżmy, iż okazuje się, że administrator musi rozszerzyć schemat, aby dodać

atrybut rozmiar buta do obiektu ldasy Użytkownik i nieuważnie ustawia definicję atrybutu na Integer.

Po głębszym zastanowieniu się administrator decyduje, że powinna to być jednak wartość znaku,

żeby można było zapisać jednocześnie rozmiar i szerokość. Poprzez dezaktywację atrybutów schematu

pierwotny atrybut może być wyłączony, a nowy atrybut, również zatytułowany „Rozmiar Buta , może

zostać stworzony z odpowiednią definicją. Gdyby nie było takiej możliwości, administrator musiałby

stworzyć nowy atrybut o unikalnej nazwie -i całkowicie pominąć atrybut dotychczasowy „Rozmiar Buta". Zmiany spowodowane dezaktywacją obiektów schematu są odwracalne, co zapobiega przy

padkowej dezaktywacji i stanowi mechanizm bezpieczeństwa.

Blokowanie kompresji replikacji ruchu między różnymi lokalizacjami

W Active Directory Windo ws Server 2003, jak również Windows 2000 replikacja ruchu między

lokalizacjami jest domyślnie poddawana kompresji. Optymalizuje to wykorzystanie przepustowo

ści między lokalizacjami, ale jednocześnie wprowadza dodatkowe obciążenie procesorów kontrolera

domeny, wynikające z potrzeby obsługi kompresji i dekompresji. Ponieważ obecnie istnieje możli

wość wyłączenia kompresji replikacji ruchu (tylko między różnymi lokalizacjami), administratorzy

mogą zredukować obciążenie CP U (Cen tral Processing Unit - centralnej jednostka obliczeniowa).

Dzieje się tak kosztem zwiększonego wykorzystania przepustowości sieci, ale w środowiskach siecio

wych o dużej przepustowości może to być wymiana warta zachodu.

Brak konieczności globalnbgo katalogu w celu logowania

Podczas logowania do domeny Windows 2000, pracującej w pierwotnym trybie (native-mode) musi

nastąpić kontakt z globalnym serwerem katalogu w celu przeanalizowania uniwersalnej przynależności

użytkownika do grupy. Ta informacja jest wymagana do stworzenia żetonu dostępu użytkownika. Aby

uniknąć sytuacji, w których zalogowanie się użytkownika było niemożliwe z powodu braku połącze

nia z katalogiem globalnym, powszechną praktyką projektowania stosowaną z Active Directory jest

umieszczenie katalogów globalnych w miejscach dostępnych przez mniej zawodne połączenia sieci.

Kontrolery domen Windows Server 2003 mogą być obecnie skonfigurowane tak, aby buforowały

informację o uniwersalnym członkostwie w grupie, dzięki czemu logowanie użytkownika może zostać

zrealizowane bez konieczności kontaktu z katalogiem globalnym. W rezultacie żadna lokalizacja zdalna

nie musi zawierać katalogu globalnego. Dodadcowo brak katalogu globalnego w każdej lokalizacji zdal

nej przyczynia się do redukcji ruchu w sieci na tych łączach, które prowadzą do danych lokalizacji.

Udoskonalenia replikacji członkostwa grupowego

Kiedy dokonywano pojedynczej zmiany w członkostwie grupy Windows 2000, wszystkie dane człon

kowskie musiały zostać zrepłikowane w celu zsynchronizowania zmiany na innych kontrolerach

domen. W wypadku bardzo dużych grup zajmowało to dużą część pasma sieci i wówczas, gdy człon

kostwo w grupie zostało zmienione na więcej niż jednym kontrolerze domeny, narażało na utratę

danych. Na poziomie funkcjonalności lasu w Windows Server 2003 zmiany w członkostwie grupy

są obecnie replikowane oddzielnie dla każdego członka.

ję y

Ulepszenia selektora obiektów w interfejsie użytkownika (Ul)

Selektor obiektów jest cechą interfejsu użytkownika, którą wykorzystuje się przy wyborze obiek

tów kont do administracji w całym Acdve Directory. Dodając na przykład konta użytkowników

do globalnej grupy, używa się U l selektora obiektów w celu zaznaczenia konta użytkownika, które

chcemy dodać. We wcześniejszych wersjach zapewniał on płaski widolc katalogu, który był bądź nie-

praktyczny, bądź niemożliwy do przeglądania przy przewijaniu. Bieżąca wersja tego interfejsu zawiera

• ' zaawansowane cechy zapytań, które pozwalają na przeszukiwanie katalogu na poziomie atrybutów

a ich zasięg jest dopasowywany do określonej jednostki organizacyjnej. Wynikiem tego ulepszenia jest

poprawione wyszukiwanie jak również zredukowany wpływ usługi katalogowej na sieć. Ponadto U l

selektora obiektów jest dostępny dla każdego nowego dodatkowego modułu M M C, który wymaga

od użytkownika zaznaczenia obiektów Active Directory.

Mechanizm usuwania przestarzałych obiektów

Usuwanie przestarzałych obiektów jest procesem, w którym obiekty oznaczone jako tombstone są usuwane z tych kontrolerów domen, których replikacja staje się niemożliwa w wyniku procesu zbierania

nieużytków. Znacz niki tombstone wskazują, że obiekt został usunięty. Zbieranie nieużytków jest pro

cesem, w którym obiekty oznaczone jako tombstone są usuwane ze wszystkich replik bazy Active

Directory w całej domenie. Proces usuwania tego typu przestarzałych obiektów jest wykorzystywany

w sytuacjach, w których kontroler domeny jest wyłączony, gdyż w przeciwnym wypadku staje się on

niedostępny po usunięciu obiektów przestarzałych w partycji katalogu domen. Ponieważ wcześniej

nie istnia ł proces usuwania przestarzałych obiektów, nie było także procesu sprzątania „zgubionych”

obiektów tombstone, w wyniku czego baza katalogowa mogła rozrosnąć się do takiego rozmiaru,

który w znaczący sposób wpływa ł na działanie replikacji. Oznaczało to również, że istniały niespójne

kopie partycji katalogów wśród kontrolerów domen.

Obsługa inetOrgPerson

Active Directory Windows Server 2003 obsługuje już ldasę inetOrgPerson zdefiniowaną w dokumencie RFC 2798, dostępnym pod adresem http://wwiu.faqs.org/rfcs/ifc2798.html . Ten dodatek do podstawowego schematu umożliwia administratorowi Active Directory migrację obiektów inetOrgPerson z innych katalogów LDAP, jak również tworzenie obiektów inetOrgPerson w środowisku ActiveDirector)' Windows Server 2003.

Podsumowanie

W tyna rozdziale czytelnik dowiedział się, w jaki sposób ewoluowały w przeciągu lat implementacje katalogowych usług Microsoft. Za rozwojem sieci komputerowych postępował również rozwój

usług katalogowych, które były zależne od nich. Od wersji Windows 2000 usługą katalogową

w centrum sieci systemów operacyjnych Wind ows był Active Directory. W tym rozdziale przedsta

wiono krótki rys usługi katalogowej i wyjaśniono jak jest ona zaprojektowana pod kątem spełnie

nia wymagań, narzucanych przez współczesne środowiska sieci komputerowych. Szczególna uwaga

została zwrócona na korzyści płynące z zastosowania Active Directory dzięld przypomnieniu głównych zalet tej usługi.

http://wwiu.faqs.org/rfcs/ifc2798.htmlhttp://wwiu.faqs.org/rfcs/ifc2798.html


17/208

Rozdział 2Składniki Active Directory

Usługa katalogowa Active Directory Microsoft Windows Server 2003 istnieje na dwóch poziomach;

fizycznym i logicznym. Pod względem struktury fizycznej usługa Active Directory jest pojedynczymplikiem na twardym dysku serwera oraz na twardych dyskach każdego z kontrolerów domeny, które

zawierają tą usługę. Logiczna struktura usługi Active Directo ry składa się z kontenerów, które są uży- ^

wane do przechowywania obiektów usługi katalogowej (tak ich jak partycje katalogów, domeny, lasy)

w przedsiębiorstwie. Partycje katalogu, domeny i lasy są ostatecznie zredukowane do bajtów, które

przechowywane są w fizycznych komponentach usługi katalogowej. Rozdział ten na początku zapozna

Czytelnika z przejawami fizycznej strony usługi katalogowej Active Directory. Następnie Czytelnik

przyjrzy się logicznej strukturze implementacji usługi Active Directory. Dogłębne zrozumienie fizycz

nej struktury usługi katalogowej jest ważne, ale dla pomyślnej instalacji i zarządzania infrastrukturą

katalogową najistotniejsze jest zrozumienie struktury logicznej. To w łaśnie z logiczną strukturą usługi

katalogowej mamy najwięcej do czynienia na co dzień.

- . ' 1 7

Fizyczna struktura usługi Active DirectoryFizycznie usługa Active Directory składa się głównie z pojedynczego pliku danych umiejscowionego

na każdym kontrolerze domeny. Fizyczna implementacja usługi Active Direc tory jest opisywana przez

lokalizację kontrolerów domeny, na których się znajduje. Instalując usługę Active Directory można

dodać wiele kontrolerów domeny, które są potrzebne do wspierania usług katalogowych w organiza

cji. Istnieje pięć specyficznych ról, które każdy z kontrolerów domeny może spełniać. Role te określa

się mianem roli wzorca operacji. Inną rolą, którą spełniać może każdy pojedynczy kontroler domeny jest rola wykazu globalnego. W tej sekcji Czytelnik przyjrzy się zarówno składnicy danych ActiveDirectory, jak i kontrolerom domeny, które ją zawierają.

Składnica danych katalogowych

Wszysdde dane zawarte w bazie danych usługi Active Directory są przechowywane w pojedynczym pliku

na kontrolerze domeny- Ntds.d it. P lik ten jest przechowywany domyślnie w katalogu %System Root%\

NTD S na kontrolerze domeny. Plik ten przechowuje wszystkie informacje katalogowe dla domeny, jakrównież część informacji dzielonej przez wszystkie kontrolery domeny w danej organizacji.

Drugą kopię pliku Ntds.dit można znaleźć w katalogu struktury -%SystemRoot%\System32. Ta wer

sja pliku jest kopią dystrybucyjną (domyślną) katalogowej bazy danych i używa się jej do instalacji

usługi Active Directory. Plik ten jest kopiowany na serwer w momencie, kiedy instalowany jest system

Microsoft Windows Server 2003, w związku z czym serwer ten może zostać wypromowany na kon

troler domeny bez konieczności dostępu do medium instalacyjnego. Kiedy uruchamiany jest kreator

instalacji usługi Active D irecto ry (Dcpromo.exe), plik Ntds.dit jest kopiowany z katalogu System32

do katalogu NT D S. Kopia przechowywana w katalogu NT D S staje się działającą kopią składnicy

danych katalogowych. Jeśli nie jest to pierwszy kontroler domeny w domenie, plik zostanie uaktual

niony z innych kontrolerów domeny w domenie poprzez proces replikacji.

18 Część I: Przegląd Active Directory dla Windows Server 2003 M- Rozdział 2: Składniki Active Directory 19


18/208

Kontrolery domeny

Z definicji, każdy komputer pracujący w systemie Windows Server 2003, który utrzymuje kopię bazy Uj.

danych Active Directory jest kontrolerem domeny. Z kilkoma wyjątkami, które zostaną wyszczegól- *

nione w dalszej części tego rozdziału, wszystkie kontrolery domeny są tworzone jako równoprawne, o

Wykorzystując proces replikacji z wieloma głównymi kontrolerami, opisany w rozdziale 4 „Replika- s

cje i lokacje usługi Active Directory”, każdy kontroler domeny utrzymuje w domenie aktualną kopię :yy

bazy danych tej domeny i nie jest w stanie uczynić w niej zmian.

Oprócz kontrolerów domeny, które zawierają usługę Active Directory, istnieje kilka kontrolerów domeny

o specjalnym przeznaczeniu, które są wymagane przez usługę Active D irectory do przeprowadzenia y

pewnych fimkcji. Są nim i serwer)' wykazu globalnego (global catalog [GC]) orazwzorce opemcji. ,,_x

Serwery wykazu globalnego >

Serwer wykazu globalnego używany jest do przechowywania globalnego wykazu. G C stanowi czę- f ściową, przeznaczoną tylko do odczytu kopię wszystkich nazewniczych kontekstów domen (Nam ing j j ;

Context [N C ]) w lesie. GC zawiera podstawowy zestaw atrybutów każdego obiektu w lesie (w każdej i|| i

N C domeny). Zestaw' ten nie jest jednak kompletny. Dane G C są czerpane ze wszysddch partycji-"!:

katalogów domeny w lesie. Są one następnie replikowane do każdego GC przy wykorzystaniu nor-. _;

malnego procesu replikacji usługi Active Directory.

Wskazówka Decyzja o replikacji danego atrybutu do GC jes t determinowana przez schemat Przy j j| .

użyciu przystawki Schem at Usługi Active Directory w konsoli MMC administrator może ustalić dodat- | j j :

kowe atrybuty, które mają podlegać replikacji do GC. Aby dodać atrybut do GC należy wybrać opcję T.

Replikuj Ten Atrybut w Wykazie globalnym. Ustawia się w ten sposób wartość parametru isMem-

berOfPartialAttributeSet atrybutu na true. Można również ustawić dodawanie atrybutu do GC, jeśli |j |.

przewiduje się, że użytkownicy będą potrzebować możliwości wyszukania danego obiektu w lesie. |j |.

Atrybuty, do których odwołanie następuje rzadko, nie są zazwyczaj dodawane do GC. Pierwszy kon- k

troler domeny instalowany w domenie staje się automatycznie GC. Dodatkowe kontrolery domeny C

mogą zostać wyznaczone na Wykazie Globalnym poprzez wybór opcji Serwer Wykazu Globalnego p

w narzędziu administracyjnym Usługi i Lokacje Active Directory. W celu optymalizacji procesu logo-

wania istnieje możliwość desygnowania dodatkowych kontrolerów domeny do pełnienia funkcji GC. || f

Wykorzystanie GC do procesu logowania jest opisane w dalszej części tego woluminu, w rozdziale 5 g ł

„Projektowanie Struktury Usługi Active Directory", który dostarcza bardziej szczegółowych informa- ;

cji na temat ilości serwerów GC oraz prawidłowego ich umiejscowienia.

Można się zastanawiać, do; czego w ogóle są potrzebne serwery G C. Jednym z powodów jest moz- ^

liwość wykorzystania ich do przeszukiwania usługi Active Directory. Bez G C, żądanie wyszukiwa-Jjg:

nia, otrzymywane przez kontroler domeny, który n ie zawierał poszukiwanego obiektu, spowodo- Jg|:wałoby przekierowanie zapytania do innego kontrolera domeny. Ponieważ GC zawiera kompletną -

listę każdego obiektu w lesie (chociaż nie każdego atrybutu ob iektu), serwer G C może odpowiadać 'i,

na każde zapytanie, używając atrybutu, który został zreplikowany do GC bez potrzeby odwoływania ,

się do innego kontrolera domeny. Zapytanie, które jest przesyłane do serwera GC, jest zapytaniem •'

protokołu LD AP wykorzystującym port 3268 (domyślny port GC ). ..ji:

Drugim, bardziej skomplikowanym powodem konfigurowania serwerów GC jest obsługa procesu'y logowania użytkowników. (Zazwyczaj każde logowanie użytkownika do domeny wiąże się z odwo

łaniem do GC . Dzieje się ¡:ak, ponieważ kontrolery domeny, nie będące GC , nie zawierają żadnych j ę

uniwersalnych informacji o członkostwie grup. Grupy uniwersalne są jedynie dostępne w domenach ||v

z poziomem funkcjonalności Microsoft Windows 2000 Macietzysty lub Windows Server 2003. sj®

Poziomy funkcjonalności są używane w Windows Server 2003 w celu uaktywnienia cech usługi A cti ve ^

Directory dla wszysddch kontrolerów domeny, które je obsługują. Gru py uniwersalne mogą zawierać

konta użytkowników i grup z każdej domeny w danym lesie. Ponieważ uniwersalne członkostwo

grupy ma zasięg lasu, członkostwo grupy może być rozwiązane pizez kontroler domeny, który zawiera

katalogową informację o zasięgu lasu, czyli taką, która znajduje się w G C. Aby zapewnić precyzyjność

żetonu bezpieczeństwa, który jest generowany dla użytkownika podczas uwierzytelniania, musi nastą

pić odwołanie do GC, mające na celu ustalenie uniwersalnego członkostwa grupy użytkownika.

Uwaga Windows Server 2003 obsługuje nową cechę znaną jako buforowanie członkostwa

grup uniwersalnych, która umożliwia logowanie się do sieci Windows Server 2003 bez kon

taktu z GC. Członkostwo grupy uniwersalnej zaczyna być buforowane na kontrolerach domen

nie będących serwerami GC od momentu, gdy użytkownik loguje się po raz pierwszy, przy założeniu, że opcja ta jest uaktywniona. W momencie gdy informacja ta jest uzyskana z GC, zostaje

buforowana przez czas nieokreślony na kontrolerze domeny dla danej lokalizacji, a następnie

okresowo uaktualniana (domyślnie raz na 8 godzin). Uaktywnienie tej cechy powoduje skrócenie

czasu logowania dla utytkowników z odległych lokalizacji, ponieważ uwierzytelniające kontrolery

domen nie muszą odwoływać się do GC. Aby uaktywnić opcję członkostwa grupy uniwersalnej

w lokacji należy otworzyć przystawkę Lokacje i Usługi Active Directory, a następnie wybrać pożą

daną lokację w drzewie konsoli. W panelu ze szczegółami należy kliknąć prawym przyciskiem

myszy na Ustawienia NTDS Lokalizacji, a następnie kliknąć Właściwości. W arkuszu Właściwości

należy wybrać opcję Włącz buforowanie członkostwa grup uniwersalnych, a następnie wybrać

lokacje, z której dana lokacja będzie pobierać uaktualnienia do bufora. Opcja

spowoduje odświeżenie lokacji z najbliższej lokacji, którą zawiera GC.

Poziomy funkcjonalnościW systemie Windows Server 2003 każdemu lasowi oraz każdej domenie w obrębie lasu może

zostać przypisany określony poziom funkcjonalności. Poziomy funkcjonalności są używane w celu

uaktywnienia cech, które są zgodne przy określonej kombinacji systemów operacyjnych, obsługi

wanych przez różne wersje poziomów funkcjonalności. Kiedy określony poziom funkcjonalno

ści jest ustawiany dla domeny, dotycz)' on tylko tej domeny. Jeśli nie zostało określone inaczej,

domeny są tworzone z poziomem funkcjonalności mieszanym Windows 2000; lasy są tworzonez poziomem funkcjonalności Windows 2000.

Tabela 2-1 zawiera poziomy funkcjonalności domeny i systemy operacyjne obsługiwane na kon

trolerach domen w danej domenie.

Tabela 2-1, Poziomy funkcjonalności domeny

Poziom funkcjonaln ości domen y Systemy operacyjne obsługiwane na kontrolerach

________________________________ domeny w danej domenie______________________

Windows 2000 mieszany (domyślny) Window s N T 4

Windows 2000

Window s Server 2003

Windows 2000 macierzysty Window s 2000


Windows Server 2003 tymczasowy Window s N T 4


Windows Server 2003 Window s Server 2003

20 Część I: Przegląd Active Directory dla Windows Server 2003 Rozdziat 2: Składniki Active Directory 21


19/208


ciąg dalszy ze strony poprzedniej

Tabela 2-2 przedstawia poziomy funkcjonalności lasu oraz systemy operacyjne obsługiwane na kon

trolerach domen w danym lesie:

Tabela 2-2. Poziomy funkcjonalności lasu

Poziom funkcjonalności lasu Systemy operacyjne obsługiwane na Kontrolerach

•domeny w danym lesie

Windows 200

Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny

Documents

Transcript of Mulcare M. - Active Directory Dla Microsoft Windows Server 2003 Przewodnik Techniczny