© 2000–2012 NoNaMe
[img=doci/act/active_directory-1145287635_i_3866.jpg]
Active Directory состоит из двух частей: физическая и логическая.
Физическая часть состоит из самого домен контроллера или многих контролеров, файла который и есть вся база Active Directory а также сайтов.
Логическая часть состоит из Доменов, Деревьев, Лесов, Схемы и.т.д
Итак, рассмотрим физическую часть подробнее.
Все данные хранятся в одном файле Ntds.dit который расположен в папке %SystemRoot%NTDS и на всех контролерах домена. Вторая копия храниться в папке %SystemRoot%System32 в том же самом файле Ntds.dit но разница только в том что в этом файле нет информации а только структура, когда вы запускаете команду dcpromo этот файл просто копируется из %SystemRoot%System32 в %SystemRoot%NTDS.
По описанию домен контроллера это компьютер, под управлением Windows 2003 который содержит копию базы данных Active Directory. Также для работы Active Directory необходимы специальные домен контролеры, которые несут на себе уникальные роли: Global Catalog и Operation Masters.
Global Catalog
Уникальная роль которая может копироваться для отказоустойчивости и распределения ресурсов но везде она одна и тоже. Global Catalog уникален в рамках леса (Forest). Первый установленный Domain Controller становится автоматически Global Catalog-ом. В настройках Active Directory Sites and Services вы можете указать добавочные Global Catalog-и и включается это вот так:
[img=doci/act/active_directory-1145287443_i_1936.jpg]
Для чего нужен Global Catalog? Во первых он нужен для поиска в Active Directory любого ресурса или информации (это будут права доступа или что-то другое) и только он!!! Запросы к Global Catalog-у посылаются на порт 3268 с помощью протокола LDAP.
Второе для Log-on-а опять же ведется поиск имени пользователя его прав и.т.д и только потом происходит соединение с Domain Controller-ом для авторизации.
Кроме Global Catalog-а есть еще пять ролей которые уникальны и не могут быть повторены, каждая роль имеется только в единственном экземпляре (правда она может быть перенесена (Transferred) или отнята (Seize)). Эти роли называются FSMO (Flexible Single-Master Operations). Вот какими они бывают и присутствуют в любом домене:
• Schema Master
• Domain Naming Master
• RID Master
• PDC Emulator
• Infrastructure Master
Первые две роли распространяются на Лес (Forest Wide) то есть в одном лесе есть только один Schema Master и один Domain Naming Master.
Остальные три распространяются на Домен (Domain Wide) то есть в одном домене есть только один RID Master, один PDC Emulator Master и один Infrastructure Master. Если вы добавляете новый домен (заметьте не домен контроллер а домен) то эти три роли автоматически появляются там но никак не зависят от другого домена.
Schema master.
Автоматически создается на первом домен контролере. Schema это схема Active Directory в которой описаны какие объекты и атрибуты могут существовать и создаваться в Active Directory. Schema может модифицироваться и дополнятся как вручную так и с помощью приложений которые используют или встраиваются в Active Directory например Microsoft Exchange Server. Перенос Scheme-мы осуществляется в MMC Active Directory Schema.
[img=doci/act/active_directory-1145287521_i_7789.jpg]
Для переноса или отнятия роли Schema Master надо быть в группе Enterprise Administrator и Schema Admins.
[img=doci/act/active_directory-1145287568_i_8520.jpg]
Domain Naming Master.
Отвечает за добавление, удаление и переименования домен контроллеров. Когда вы добавляете новый доен контроллер происходит проверка имени чтобы не было совпадений и только в этом случае если все хорошо то вы сможете продолжить установку!!!
Перенос Domain Naming Master-а осуществляется в MMC Active Directory Domain and Trusts.
[img=doci/act/active_directory-1145287672_i_2328.jpg]
Для переноса Domain Naming Master надо быть в группе Enterprise Administrator.
[img=doci/act/active_directory-1145287695_i_3832.jpg]
RID Master.
Отвечает за уникальность SID-ов (Security Identifier) в домене, любой компонент в Active Directory имеет SID будь-то юзер, компьютер или группа. RID (Relative Identifier) мастер выдает по десять RID-ов домен контроллеру а на основе RID-ов он генерирует SID-ы. RID мастер нужен для того чтобы соблюдать уникальность SID-ов в домене. По окончании свободных RID-ов домен заново запрашивает еще десять RID-ов и так далее до скончании веков :).
Перенос RID Master-а осуществляется в MMC Active Directory Users and Computers.
[img=doci/act/active_directory-1145287734_i_1116.jpg]
Для переноса RID Master надо быть в группе Enterprise Administrator.
[img=doci/act/active_directory-1145287774_i_1143.jpg]
PDC Emulator.
Отвечает за совместимость с старыми системами вышедшими до Windows 2000, для того чтобы было возможно менять пароль и на нем запускался бы Master Browser который нужен для сетей основанных на NetBIOS.
В windows 2000 и Windows 2003 PDC Emulator всеравно нужен для работы домена для смены пароля, если на другом контроллере домена не прошла авторизация она повторяется на PDC Emulator-е и если в этом случае все проходит успешно, то пользователь или другой ресурс считается авторизированным.
Перенос PDC Emulator-а осуществляется в MMC Active Directory Users and Computers.
[img=doci/act/active_directory-1145287734_i_1116.jpg]
Для переноса PDC Emulator надо быть в группе Enterprise Administrator.
[img=doci/act/active_directory-1145287971_i_8576.jpg]
Infrastructure Master.
Отвечает за обновление между доменными групп к пользователем отношений. Скажем в одном домене было изменено имя пользователя cn(common name) то Infrastructure Master должен послать оповещение (репликацию) другим доменам которые входят в этот лес или дерево.
Перенос Infrastructure Master-а осуществляется в MMC Active Directory Users and Computers.
[img=doci/act/active_directory-1145287734_i_1116.jpg]
Для переноса Infrastructure Master надо быть в группе Enterprise Administrator.
[img=doci/act/active_directory-1145287916_i_1873.jpg]
Ну вот и все!!!
P.S. Продолжение следует. Надеюсь я смогу весь Active Directory описать таким образом, по-моему описано понятно и на легком языке. Также пишите насчет чего хотите прочитать, и если я это знаю, то обязательно напишу. Если кто хочет помочь, в этом святом деле буду очень благодарен.
© 2000–2012 NoNaMe