Компоненты Active Directory (логическая часть) (Гл

[img=doci/act/active_directory-1145633993_i_6792.jpg]

После того как вы установили Active Directory в своей организации,

вы будете работать с логической структурой Active Directory. База Active Directory содержит в себе следующие структурные объекты:

• Partitions (Разделы)
• Domains (Домены)
• Domain Trees (Деревья)
• Forests (Леса)
• Trusts (Доверия)
• Sites (Сайты)
• Organizational Units OU (Организационные единицы)

Partitions

Как было описано ранее, база данных Active Directory хранится в одном файле на жестком диске каждого Домен Контролера. Разделы Active Directory можно просмотреть или редактировать (очень не рекомендуется) через Ldp.exe или ADSI Edit (adsiedit.msc).

[img=doci/act/active_directory-1145634110_i_9727.jpg]

Domain Directory Partition
Это раздел, с которым происходит наибольшая работа. Этот раздел содержит всю информацию о домене, информацию о пользователях, группах, компьютерах и контактах. Все что возможно просмотреть через Active Directory Users and Computers вся эта информация хранится в разделе domain directory partition.
Этот раздел автоматически реплицируется (копируется) на все домен контролеры в домене. Раздел содержит информацию, которая нужна для контролера домена чтобы он мог аутентифицировать пользователей.

Configuration Directory Partition
Этот раздел содержит информацию о конфигурации всего домена. Например информацию о сайтах, линках между сайтами и связях репликации. Также много приложений сохраняют там свою информацию например Exchange 2000 или ISA Server.
Этот раздел автоматически реплицируется (копируется) на все домен контролеры в лесе (Forest). Каждый домен контролер содержит изменяемую копию. Это значит что после внесений изменений она реплицируется на все домены в лесе.

Schema Directory Partition
Этот раздел содержит информацию о схеме всего домена. Как было описано Схема это набор правил о том, какие объекты могут быть созданы в Active Directory.
Этот раздел автоматически реплицируется (копируется) на все домен контролеры в лесе (Forest). Только один домен контролер имеет изменяемую копию Схемы а остальные читаемую.

Global Catalog Partition.
Global Catalog только читаемый раздел его невозможно просмотреть (никак!!!). Global Catalog создается из остальных разделов Active Directory.

Application Directory Partitions.
Этот раздел можно создавать как и в ручную так и автоматически создают некоторые программы как Microsoft DNS Server. Как эта информация будет реплицироваться уже настраивается в самом разделе.

Domains

Домен это базовый строительный блок в модели Active Directory. Домен это административная единица (то есть им управляет одна группа администраторов). Каждый домен состоит из одного домен или больше контролеров.
Первый домен контролер называется Forest Root Domain, а также содержит в себе все роли Active Directory (PDC Emulator, Global Controller и.т.д.). Домен бывает dedicated и non-dedicated. Dedicated также называется пустым и не содержит в себе никаких пользователей и групп кроме стандартных. Non-dedicated это домен который в котором создаются пользователи и группы и другие атрибуты.
Все остальные домены существуют как ровня (такой же домен только с другим именем) или как дочерние которые продолжают иерархию имени!!!
Пример:

[img=doci/act/active_directory-1145634278_i_7796.jpg]

Domain Trees

Те домены которые состоят в отношениях Parent – Child и продолжают пространство имен называются Дерево Домена (или Доменов ?)

[img=doci/act/active_directory-1145634312_i_7238.jpg]

Forests

Лес может быть описан как: что обобщает все домен контролеры!

Общая Схема
Все домен контролеры в лесу имеют общую схему. Единственный выход если вы хотите использовать разные схемы это создать два или более леса.
Общая Configuration Directory Partition.
Общий Global Catalog Partition.
Общие Администраторы.
В лесе создаются две уникальные группы Schema Admins которые могут модифицировать схему и Enterprise Admins которые могут убавлять и добавлять домены, Enterprise Admins автоматически добавляются в группу Administrators в каждом домене леса !!!
Общие доверительные отношения
Каждый домен в лесе доверяет каждому домену в лесе !!!

[img=doci/act/active_directory-1145634515_i_4275.jpg]

Trusts

Доверие бывают:
• Transitive Trust
• One-Way Trust
• Forest Trust
• Realm Trust

Transitive Trust
В дереве все домены доверяют друг другу, то есть из любого домена пользователь имеет доступ к ресурсам в другом домене в этом лесе.
One-Way Trust
Также называется Shortcut trust рассмотрим на примере!

[img=doci/act/active_directory-1145634629_i_6918.jpg]

Когда Sales.Europe.Contoso.com требуется частый доступ к Research.NAmerika.Contoso.com тогда можно собрать One-Way Trust на самом деле он просто будет ускорять доступ из Sales в Research, а так доступ итак будет существовать за счет Transitive Trusts.
Просто я опять повторяю УСКОРИТ ДОСТУП!!!
Если сделать два One-Way Trust тогда оба домена будут доверять друг другу и между ними ускорится доступ к ресурсам !

[img=doci/act/active_directory-1145634696_i_8384.jpg]

Forest Trusts
Просто доверительные отношения между двумя лесами!!!
Настраивается также как и One – way trust из Active Directory Domains and Trusts
Realm Trust
Доверительные отношения между двумя доменами разных операционных сред которые поддерживают Kerberos v5.
Настраивается также как и One – way trust из Active Directory Domains and Trusts

Sites

То что описывали до этого были физически независимые компоненты Active Directory а сайты полностью зависят от физического расположения доменов.
Сайт это область сети где домен или домены с зарегистрированными в нем компьютерами соединены быстрой, дешевой, надежной сетью.
Сайты нужны для управления сетевым трафиком!
Репликация
Самая главная роль сайтов чтобы оптимизировать трафик репликации. Внутри сайта репликация происходит каждые 5 минут плюс компрессии НЕТ. Между сайтами как вам захочется так и будет происходит репликация и между сайтами трафик репликации сжимается (компрессируется).
Аутентификация
Когда пользователь пытается подключится к домен контролеру для аутентификации то с помощью DNS сервера он пытается найти ближайший домен контроллер который находится желательно в том же сайте или для опроса Global Catalog-а тоже самое действие происходит.

Как настраивать сайт:
каждый домен контроллер появляется в оснастке Active Directory Sites and Services

[img=doci/act/active_directory-1145634893_i_2159.jpg]

Также есть сайт по умолчанию Default-First-Site-Name. Чтобы добавить сайт надо сперва добавить Subnet (сайты основываются на subnet-ах) нажать на Subnets правой кнопкой мышки и выбрать New Subnet прописать и нажать ОК.

[img=doci/act/active_directory-1145634932_i_4265.jpg]

Потом нажать на Sites и выбрать New Site и ввести имя сайта и внизу выбрать Site-Link
потом ОК.

[img=doci/act/active_directory-1145634961_i_1133.jpg]

Потом перетащить в этот сайт домен контролер который принадлежит этой подсети !

Organizational Units

OU созданы для упрощения управления. OU по идее должны повторять реальную структуру организации. OU можно использовать для двух нужд для делегирования прав и для управления группой объектов.
Для делегирования прав:
Вы можете передать право на управление OU любому пользователю! Для этого надо на OU нажать правую кнопку мыши и выбрать Delegate Control… дальше объяснять не буду потому что и долго и предельно просто!
Для управления группой объектов:
На любой OU можно применить любое количество GPO.
GPO подразделяется на две части Computer management и User management в зависимости какой настроен он применяется к компьютерам или юзерам находящимися в этом OU.

GPO делится еще на 5 частей:
Administrative Templates:
Используется для настройки регистров, рабочего стола включая доступ к компонентам операционной системы, контрольной панели и настройки Offline файлов
Security:
Для настройки локальной, доменной и сетевой безопасности
Software Installation:
Для установки и управления приложениями
Scripts:
Для запуска скриптов во время включения и выключения компьютера, во время входа и выхода пользователя из или в систему.
Folder Redirections:
Для перенаправления Profile-ов или некоторых папок на сетевые сервера.

Я описываю общие настройки которые нужны для того чтобы ваш домен мог функционировать как надо и если что-то произойдет вы смогли и понимали в чем дело!!!
Если все рассматривать подробно то на это не хватит даже многих лет!!!