Обзоры Обзоры 29.04.2003 в 21:00 comment

Active Directory: навстречу администраторам

author avatar
https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

ITC.UA

автор


В свое время платформа Windows 2000 Server была довольно благосклонно встречена
как корпоративными заказчиками, так и аналитиками — и не в последнюю очередь
благодаря появлению Active Directory ("Компьютерное Обозрение", #
22, 2000
). Отсутствие в прежних серверных ОС Microsoft полноценной службы
каталога, которая в полной мере соответствовала бы общепринятым индустриальным
стандартам (модели X.500, протоколу доступа LDAP и технологиям DNS), являлось
весьма существенным недостатком. Поэтому Active Directory стала стратегически
важным обновлением и веским аргументом в конкурентной борьбе.


Однако три года, прошедшие с тех пор, не только подтвердили правильность введения
Active Directory, но и выявили многие слабые стороны в реализации данной службы
в Windows 2000. Пользователи высказывали немало нареканий принципиального характера
(недостатки в организации доменов и доменных рощ, взаимодействии между репликами,
низкая производительность), а также различные пожелания касательно мелких функциональных
доработок. По сути, модернизация службы каталога в Windows Server 2003 является
ответом компании Microsoft на их критические замечания.

Развертывание и управление


Active Directory: навстречу администраторам

Новое средство управления групповыми
политиками

Команда разработчиков Windows Server 2003
внесла целый ряд изменений и дополнений в функциональность Active Directory. Они
были направлены прежде всего на упрощение инициализации службы и выполнения типичных
административных задач.

Говоря об изменениях в ее развертывании в Windows Server 2003, стоит в первую очередь упомянуть о том, что процедура перехода со старых версий серверных ОС Windows (Windows NT Server 4.0, Windows 2000 Server/Advanced Server) на Windows Server 2003 будет значительно облегчена. Это обеспечивается благодаря усовершенствованию приложения для автоматизации переноса инфраструктуры доменов и Active Directory в более старых версиях в AD под управлением Windows Server 2003 — Active Directory Migration Tool (ADMT). Одно из заметных новшеств в ADMT 2.0, поставляемого вместе с Windows Server 2003, — это перенос не только учетных записей, но и пользовательских паролей.

Курс English For IT: Communication від Enlgish4IT.
Почни легко працювати та спілкуватися з мультикультурними командами та міжнародними клієнтами. Отримайте знижку 10% за промокодом ITCENG.
Інформація про курс

Кроме того, Active Directory в новой сетевой операционной системе поддерживает работу в режимах совместимости со старыми версиями Windows (что окажется особенно полезным на начальных этапах перехода организаций на эту ОС, когда контроллеры некоторых доменов в доменных рощах все еще управляются Windows NT или Windows 2000).

Новая платформа дает системным администраторам возможность более гибко работать с доменными структурами. Теперь они смогут оперативно переименовывать домены и контроллеры доменов "на лету" (для этих целей служат утилиты rendom.exe и netdom.exe соответственно), а также удалять контроллер домена (утилита DCPromo.exe). Дополнительно реализована функция оперативного изменения схемы объектных моделей Active Directory без переустановки ОС. Это значительно снизит трудоемкость исправления ошибок, допущенных на этапе первичного планирования структуры Active Directory и ее развертывания.

Был также усовершенствован GUI административных приложений, с помощью которых системные администраторы управляют содержимым службы каталога. Теперь он поддерживает Drag-and-Drop, множественное выделение элементов и одновременное редактирование нескольких объектов, а также сохранение и повторное использование ранее созданных пользовательских запросов на поиск в объектном хранилище Active Directory.

Групповые политики

Значительные изменения претерпела и процедура управления групповыми политиками. Теперь все операции с групповыми объектами (Group Policy Оbjects — GPO) будут выполняться через новую консоль — Microsoft Group Policy Management Console (GPMC). Данное приложение, имея интуитивный и удобный пользовательский интерфейс, позволяет унифицировать операции с объектами групповых политик различных типов. С его помощью можно единообразно управлять ими на всем множестве доменов и узлов, принадлежащих одной и той же доменной роще.

Курс English For IT: Communication від Enlgish4IT.
Почни легко працювати та спілкуватися з мультикультурними командами та міжнародними клієнтами. Отримайте знижку 10% за промокодом ITCENG.
Інформація про курс

В новом механизме управления предусмотрены достаточно развитые средства автоматизации. Теперь применение политик осуществляется "опосредованно" через WMI-фильтры (скажем, те или иные настройки нужны только на машинах с определенной аппаратной конфигурацией и пр.). GPMC обеспечивает программные интерфейсы для всех своих функций, благодаря чему системные администраторы способны, при желании, частично или полностью автоматизировать свою работу, написав соответствующие программы на языках сценариев Windows Scripting Host (JavaScript, VBScript).

Кроме того, GPMC выполняет дополнительные, ранее не доступные операции. Сюда относятся экспорт, импорт, резервное копирование и восстановление GPO. Имеется даже специальная утилита DCGpoFix.exe, восстанавливающая групповые политики по умолчанию для любого объекта. Также GPMC предоставляет множество отчетов, призванных облегчить системным администраторам решение вопросов "учета и контроля".

Кстати, эта консоль распространяется как отдельный
компонент
и может устанавливаться как на Windows Server 2003, так и на Windows
XP (с необходимыми обновлениями).

AD для приложений

Еще одной привлекательной особенностью Active Directory в новой ОС является поддержка виртуальных копий объектного хранилища для отдельных приложений, что обеспечивается службой Active Directory in Application Mode (AD/AM). Не будучи системно-значимой службой, AD/AM не требует установки на контроллере домена (к слову, Microsoft декларирует возможность развертывания службы AD/AM и на рабочих станциях под управлением Windows XP). На одном и том же физическом сервере могут одновременно запускаться несколько копий AD/AM. Каждая из них обслуживает отдельное приложение, и при этом приложения будут иметь изолированные, не пересекающиеся друг с другом блоки информации (виртуальные экземпляры объектного хранилища). Такая возможность пригодится при создании сложных конфигураций ПО на одном физическом сервере, когда требуется исключить работу отдельных приложений с одними и теми же наборами конфигурационной информации из общих разделов AD.

Кроме того, появление AD/AM может сыграть на руку и разработчикам приложений. Ведь теперь в составе ОС Windows появляется полноценная и достаточно производительная "база данных" с удобными интерфейсами доступа (ADSI) для размещения всей необходимой информации (как конфигурационной, так и программно-ориентированной). Это уменьшит стоимость многих программных решений на базе Windows Server 2003 (в том числе и серверного класса) — они теперь обойдутся в своих минимальных и среднемощных конфигурациях без промышленных СУБД. Безусловно, AD/AM будет работать и с приложениями, интегрированными с объектным хранилищем Active Directory до появления самой службы.

Усовершенствования в модели безопасности

Прежде всего упрощены поддержка множественных доменных рощ и организация доверительных отношений между доменами в различных рощах. На базе предыдущей версии серверных ОС (Windows 2000 Server/Advanced Server) управление ими было трудоемким, а кроме того, системные администраторы постоянно сталкивались с некоторыми существенными ограничениями в организации доступа к информационным ресурсам в среде со сложной распределенной структурой. Новые элементы модели безопасности Active Directory в Windows Server 2003 призваны устранить подобные проблемы.

Благодаря межрощевой аутентификации (Cross-Forest Authentication) организован безопасный доступ пользователей доменов одной рощи к ресурсам, находящимся в другой роще, без многократного ввода пользовательских учетных записей и паролей (или аутентификаций с применением инфраструктуры Kerberos). Таким образом, принцип единственного входа в сеть здесь торжествует ко взаимной выгоде пользователей и системных администраторов: первым больше не придется проводить аутентификацию в каждой доменной роще, вторым — поддерживать множество учетных записей для одних и тех же пользователей в различных доменных рощах.

Причем эта схема работает не только в корпоративной сети LAN и через VPN, но и при связи через Internet без создания виртуальных защищенных туннелей. В этом случае задействуются службы Internet Authentication Service и Remote Authentication Dial-In User Service (IAS/RADIUS).

Дополнительно межрощевая авторизация (Cross-Forest Authorization) позволяет системным администраторам включать пользователей из доверенных доменных рощ в локальные группы на компьютерах своей доменной рощи и в ACL, которыми определяются права их доступа к тем или иным ресурсам подконтрольной доменной рощи.

Важным нововведением также явилось создание программной инфраструктуры Credential Manager, предоставляющей централизованное защищенное хранилище для атрибутов, удостоверяющих личность пользователя (в том числе их паролей и персональных электронных сертификатов X.509). Credential Manager стала своего рода апофеозом реализации принципа единственной реализации. Так, с его помощью можно сохранить атрибуты персональной идентификации для выполнения той или иной программы, установленной на компьютере, а затем использовать их автоматически при каждом последующем ее запуске.

Среди других изменений в модели безопасности стоит упомянуть усовершенствования в механизме обмена сертификатами безопасности между узлами сети (наряду с обменом клиентскими сертификатами обеспечивается обмен сертификатами уровней департамента и сети в целом), а также появление политик, управляющих доступом к программному обеспечению. Например, запрет на запуск любых программ, не получивших "разрешения" от IT-департамента.

Производительность и взаимодействие реплик

Разработчики внесли в Windows Server 2003 существенные изменения, направленные на повышение эффективности репликации данных и синхронизации отдельных реплик Active Directory. Прежде всего они коснулись "интеллектуализации" этого процесса. В частности, теперь обновляется только модифицированный объект, что значительно экономит сетевой трафик, а также делает более надежной синхронизацию.

Благодаря реализации концепции разделов Active Directory (Application Directory Partitions) информация в объектном хранилище разбивается на части (например, в одни разделы помещаются данные, используемые только в локальных репликах Application Directory, а в другие — те, что необходимы для синхронизации со всеми прочими репликами). При этом системные администраторы могут настроить репликацию не всего объектного хранилища, а только отдельных разделов Application Directory (в вышеуказанном случае допускается синхронизация исключительно разделяемой информации). Такой подход к репликации также направлен на уменьшение сетевого трафика.

В Windows Server 2003 добавлена "ручная" синхронизация, при которой системные администраторы способны создать резервную копию главной реплики Active Directory (к примеру, располагающейся в центральном офисе компании) в виде файлов, а затем передать их на любых носителях информации в офисы (или в региональные представительства), где расположены подчиненные реплики. Затем "локальные" администраторы и IT-менеджеры подчиненных реплик синхронизируют свое объектное хранилище путем восстановления резервной копии из файлов.

Еще одно изменение в синхронизации данных в AD затронуло приоритет локальных реплик при обслуживании пользовательских запросов на вход в сеть в подчиненных сегментах (региональных офисах крупных фирм, департаментах больших организаций и т. д.). Это дает не только экономию сетевого трафика, но и минимизирует негативное влияние возможных разрывов связи между локальной репликой и центральной копией каталога Active Directory на работу пользователей.

В завершение этой темы хотелось бы подчеркнуть, что также были значительно усовершенствованы средства мониторинга и управления репликацией данных — добавлена утилита Health Monitoring, улучшен Inter-Site Topology Generator (ISTG), который теперь поддерживает доменные рощи с большим числом узлов, чем в Windows 2000 и пр.

Заключение

В целом рассмотренные нововведения в Active Directory отвечают традиционной
маркетинговой стратегии и продуктовой политике серверных ОС Windows (уменьшение
трудозатрат на эксплуатацию, увеличение производительности и масштабируемости,
снижение совокупной стоимости владения платформой). Как мы и отметили вначале,
большинство изменений вызваны в первую очередь запросами потребителей. И хотя
все они (особенно связанные с надежностью и безопасностью) должны пройти в дальнейшем
апробацию в "полевых условиях", полезность и ценность некоторых из них
несомненны.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: