загрузка...
загрузка...
На головну

Довірчі відносини

Домени

ім'я

дерево

контейнер

об'єкт

простір імен

область дії

Область дії (scope) Active Directory досить обширна. Вона може включати окремі мережеві об'єкти (принтери, файли, імена користувачів), сервери і домени в окремій глобальної мережі. Вона може також охоплювати кілька об'єднаних мереж. Деякі з розглянутих нижче термінів відносяться до групи мереж, тому важливо пам'ятати, що Active Directory може бути налаштована на управління як окремим комп'ютером, так і комп'ютерною мережею або групою мереж.

Active Directory, як і будь-яка інша служба каталогів, є перш за все простором імен. Простір імен - це така обмежена область, в якій може бути розпізнано дане ім'я. Розпізнавання імені полягає в його зіставленні з деяким об'єктом або об'ємом інформації, якому це ім'я відповідає. Наприклад, телефонний довідник являє собою простір імен, в якому іменам телефонних абонентів можуть бути поставлені у відповідність телефонні номери. Файлова система Windows утворює простір імен, в якому ім'я файлу може бути поставлено у відповідність конкретному файлу.

Active Directory утворює простір імен, в якому ім'я об'єкта в каталозі може бути поставлено у відповідність самому цьому об'єкту.

Об'єкт - це непорожній, іменований набір атрибутів, що позначає щось конкретне, наприклад користувача, принтер або додаток. Атрибути містять інформацію, однозначно описує даний об'єкт. Атрибути користувача можуть включати ім'я користувача, його прізвище та адресу електронної пошти.

Контейнер аналогічний об'єкту в тому сенсі, що він також має атрибути і належить простору імен. Однак, на відміну від об'єкта, контейнери не означає нічого конкретного: він може містити групу об'єктів або інші контейнери.

Термін «дерево» використовується в даному документі для опису ієрархії об'єктів і контейнерів. Як правило, кінцевими елементами дерева є об'єкти. У вузлах (точках розгалуження) дерева розташовуються контейнери. Дерево відображає взаємозв'язок між об'єктами або вказує шлях від одного об'єкта до іншого. Простий каталог являє собою контейнер. Комп'ютерна мережа або домен теж є контейнерами. Безперервним піддерево називають будь-яку безперервну частину дерева, що включає всі елементи кожного, хто входить в неї контейнера.

Служба Active Directory допускає існування двох типів імен, використовуваних для ідентифікації об'єктів:

  • Унікальне ім'я. Кожен об'єкт в Active Directory має унікальне ім'я (Distinguished Name, DN). Це ім'я містить вказівку на домен, в якому знаходиться об'єкт, і повний шлях в ієрархічній структурі контейнерів, який призводить до даного об'єкта. Типовим унікальним ім'ям (DN) є ім'я: / O = Internet / DC = COM / DC = Microsoft / CN = Users / CN = James Smith. Це ім'я означає об'єкт типу «користувач» з ім'ям «James Smith», що знаходиться в домені Microsoft.com.
  • Відносне ім'я. Відносне унікальне ім'я об'єкта (Relative Distinguished Name, RDN) - це та частина імені, яка сама є частиною атрибута об'єкта. У наведеному вище прикладі RDN-ім'ям об'єкта «James Smith» служить групове ім'я (CN) CN = James Smith. RDN-ім'ям батьківського об'єкта є ім'я CN = Users.

Контексти імен (сегменти, розділи)

Active Directory може складатися з одного або декількох контекстів імен або сегментів (розділів). Контекстом імен може бути будь-який безперервне поддерево каталогу. Контексти імен є одиницями реплікації.

У Active Directory кожен сервер завжди містить не менше трьох контекстів імен:

  • логічну структуру;
  • конфігурацію (топологію реплікації і відповідні метадані);
  • один або кілька користувальницьких контекстів імен (піддерева, що містять об'єднані в каталог об'єкти).

Домен - це єдина область, в межах якої забезпечується безпека даних в комп'ютерній мережі під управлінням ОС Windows [2]. Active Directory складається з одного або декількох доменів. Стосовно до окремої робочої станції доменом є сама станція. Межі одного домену можуть охоплювати більше фізичну пристрій. Кожен домен може мати свої правила захисту інформації і правила взаємодії з іншими доменами. Якщо кілька доменів пов'язані один з одним довірчими стосунками і мають єдину логічну структуру, конфігурацію і глобальний каталог, то говорять про дереві доменів.

Оскільки домени розмежовують зони безпеки, спеціальний механізм, званий довірчими стосунками (trust relationships), дозволяє об'єктам в одному домені [довіряють (trusted domain)] звертатися до ресурсів в іншому [недовірливому (trusting domain)].

Windows Server 2003 підтримує шість типів довірчих відносин:

Основні поняття служби каталогів «-- попередня | наступна --» Збір і аналіз інформації
загрузка...
© om.net.ua