Обзоры
Active Directory в профиль и анфас
0

Active Directory в профиль и анфас

Долгое время у операционных систем семейства Windows был один существенный недостаток — в них отсутствовала полноценная служба каталогов. С одной стороны, это осложняло управление информационными системами на их основе, так как администраторы должны были тратить немало времени, настраивая каждый серверный пакет, задавая права доступа к отдельным ресурсам и т. п. С другой стороны, это доставляло немало неудобств конечным пользователям, которым приходилось заводить множество учетных записей и паролей, запоминать их и вводить по нескольку раз в день при работе с различными программами. Для разработчиков ПО, кроме того, возникала дополнительная трудность: они вынуждены были прибегать к различным ухищрениям при создании информационных хранилищ для конфигурационных и управленческих данных, используемых их приложениями.

Ситуацию усугубило бурное развитие сетевых технологий, при котором критериями эффективного функционирования корпоративных сетей стали простота и прозрачность управления системными политиками, взаимодействие работающих в них приложений и безопасность. Все это сформировало насущную потребность в интегрированной службе каталогов для платформы Windows, призванной достойно решить все указанные проблемы.

В связи с отсутствием в этой сфере технологических решений компании Microsoft сторонние производители создали целый ряд собственных служб каталогов для Windows NT. Подробнее эти службы были описаны в предыдущих выпусках еженедельника ("Компьютерное Обозрение", # 8, 9, 2000). К сожалению, и они не смогли до конца решить всех проблем.

Однако с появлением Windows 2000 в этой нелегкой ситуации наметился перелом. Ведь в качестве центрального компонента этой ОС выступает технологическая новинка Microsoft — полновесная служба каталогов Active Directory. Что же таит в себе это нововведение?

Место Active Directory в ОС Windows 2000

Строго говоря, Active Directory не является эксклюзивной инновацией компании Microsoft. Она была создана на базе признанных промышленных стандартов для организации служб каталогов — модели X.500, протоколе доступа LDAP и технологии именования и поиска сетевых ресурсов DNS (заинтересованные читатели смогут найти более подробное обсуждение этих вопросов в "Компьютерном Обозрении", # 12, 2000).

Active Directory является улучшением доменной модели Windows NT. Она нацелена на организацию предоставления сетевых ресурсов в распределенных сетях, снимает ограничения, присущие ее предшественнице в Windows NT, а также избавляет от необходимости плодить сложные иерархии подчиненных и равноправных доменов (деревья доменов и доменные рощи), которые были неизменным атрибутом корпоративных сетей на базе Windows NT Server.

Active Directory позволяет корпорациям эффективно разделять и управлять информацией о своих сетевых ресурсах и пользователях. В дополнение к этому она служит единым центром авторизации в Windows 2000, обеспечивая безопасность и защиту информации при предоставлении тех или иных услуг.

Устройство Active Directory

Остановимся вкратце на внутреннем строении и наиболее важных технологических особенностях службы Active Directory.

Объектное хранилище информации

Active Directory хранит информацию о различных сетевых ресурсах (таких, как пользователи, группы пользователей, рабочие станции, сетевые устройства, приложения и пр.) в виде объектов, которые находятся в централизованном хранилище информации (рис. 1). У них могут быть различные атрибуты (свойства), описывающие характеристики сетевых ресурсов, представляемых ими. Родственные или похожие объекты объединяются в коллекции (например, можно говорить о коллекции объектов, представляющих сетевые принтеры).

Рис. 1. Структура хранилища информации Active Directory

Объектное представление позволяет предприятию хранить большие объемы разнообразных данных в одном месте — информационном хранилище Active Directory — и организовывать однотипный доступ к ним.

Администратор имеет возможность задавать дифференцированные права доступа к различным категориям объектов и их свойствам. Это позволяет строго регламентировать работу пользователей в сети и контролировать их доступ к информации, хранящейся в каталоге Active Directory.

Данные из объектного хранилища могут экспортироваться или импортироваться в него в удобной форме из других информационных систем с помощью технологий Active Directory Connectors.

Иерархичность

IT-менеджеры и администраторы могут упорядочивать представление информации из объектного хранилища Active Directory в соответствии со структурой конкретной организации и характером бизнес-процессов в ней. Для этого в их распоряжении имеется мощный инструмент создания контейнеров объектов, в которые помещаются все сущности, относящиеся к сетевым ресурсам какого-то подразделения корпорации.

Контейнеры могут быть вложенными, и тогда они располагаются в виде иерархического дерева в соответствии с организационной структурой предприятия. Это напоминает представление данных на жестком диске в виде каталогов и файлов, используемое многими операционными системами (в том числе и из семейства Windows).

С помощью дерева контейнеров можно охватить всю информационную среду корпорации. Таким образом обеспечивается единое централизованное представление информации, облегчающее поиск необходимых ресурсов и управление ими в масштабе предприятия.

Наличие множественной репликации данных между контроллерами домена

Для обеспечения высокой производительности, надежности и отказоустойчивости в Active Directory применяется технология множественной репликации данных между контроллерами домена (multi-master replication). Это позволяет создавать несколько копий из каталога (реплик) и размещать их в различных точках сети. Изменения информации, произошедшие в какой-то из них, передаются по сети всем другим репликам (в отличие от единичной репликации, в которой все изменения должны вноситься только в главную копию, а реплики хранят лишь ее слепок на определенный момент времени).

Такая архитектурная особенность Active Directory может быть по достоинству оценена корпорациями с распределенной географической структурой. Многие из них эксплуатируют собственную WAN для обмена информацией между своими филиалами, а также с организациями-партнерами. При проектировании такой WAN полностью синхронизированные реплики информации из каталога размещаются в каждом региональном офисе, и пользователи могут быстро искать требуемые ресурсы с помощью локальных реплик, не нагружая сеть запросами к главной копии в центральном офисе.

Механизмы обеспечения защиты информации

Одна из важных технологических особенностей Active Directory — ее тесная интеграция с подсистемой безопасности Windows 2000. Это позволяет организовать защиту данных, находящихся в ее хранилище, на качественно новом уровне.

Фактически Active Directory является центром авторизации для всех пользователей серверов под управлением Windows 2000. Поддерживая все аутентификационные механизмы проверки пользователя, заложенные в эту операционную систему (в том числе протокол Kerberos, электронные сертификаты X.509 и аутентификация посредством смарт-карточки), служба каталогов позволяет пользователю работать по принципу "единожды авторизовался — получил все доступные ресурсы". Эта модель авторизации применима как для пользователей локальной сети, так и для тех, кто попадает на сервер из Internet или корпоративной сети intranet.

Кроме того, служба Active Directory в полной мере поддерживает инфраструктуру криптографии на основе открытых ключей (несимметричную криптографию) и протоколы обеспечения безопасности информации в Internet (например, SSL, LDAP поверх SSL и др.).

Синхронизация с другими каталогами

Active Directory может использоваться совместно с другими службами каталогов. При этом для синхронизации содержимого в них применяется промышленный стандарт DirSync, предложенный Internet Engineering Task Force (IETF).

Трудовые будни Active Directory

Active Directory — это не просто технологическая новинка Microsoft, рассчитанная на обеспечение успеха очередной маркетинговой кампании. Это в полном смысле слова тягловая лошадка, которая существенно скрасит повседневную работу за компьютером и системным администраторам, и разработчикам, и просто пользователям.

Кроме того, Active Directory является логическим следствием стратегии компании Microsoft, направленной на обеспечение низкой совокупной стоимости владения (TCO) системной платформой Windows. Благодаря гибкости и поддержке множества промышленных стандартов применение данной службы позволяет корпорациям с толком использовать все инвестиции, сделанные ранее в развитие собственной информационной среды. Это особенно рельефно проявляется в том случае, если перед корпорацией стоит задача расширения своего бизнеса в Internet.

Active Directory и пользователи

Пользователям не нужно будет более запоминать и постоянно вводить множество паролей при работе с программами. Приложения, поддерживающие службу Active Directory, не станут лишний раз беспокоить их, запрашивая все нужные сведения из информационного хранилища каталога и предоставляя полномочия в соответствии с полученными данными. Облегчается также и взаимодействие с сетевыми ресурсами. При наличии в корпоративной сети службы Active Directory пользователю не нужно знать точного расположения тех или иных ресурсов (таких, как общедоступные папки, сетевые принтеры и др.). Ему достаточно направить соответствующий вербализованный запрос в службу каталогов через утилиту поиска из меню Пуск, и нужный объект будет найден. Например, с помощью Active Directory можно легко выполнить запрос на поиск всех лазерных принтеров, находящихся в отделе стратегического планирования в вашей организации (конечно, при условии, что администратор вашей локальной сети создал в хранилище Active Directory соответствующие контейнеры и описания для объектов).

К слову, при работе с сетевыми принтерами пользователю не нужно будет тратить время на их инсталляцию, так как Active Directory сама сообщит операционной системе на его рабочей станции, откуда взять драйверы и конфигурационную информацию для них (конечно, часть работы при этом возьмет на себя другая важная служба Windows 2000 — Windows Installer).

Кроме того, у пользователя теперь есть возможность автоматически загружать на свой рабочий стол привычное окружение вне зависимости от узла, с которого он вошел в сеть. Например, он может на любой машине сети работать с необходимым ему пакетом офисных программ, любимым редактором математических формул, подключаться к нужным сетевым дискам или использовать собственную коллекцию ссылок на Web-узлы и пр. Это является следствием совместной работы Active Directory и службы IntelliMirror. Такая возможность особенно ценна в учебных лабораториях и университетских компьютерных классах, но также применима и на производстве.

Active Directory и IT-специалисты

Системные администраторы и IT-менеджеры также почувствуют значительное облегчение при использовании возможностей Active Directory. Прежде всего наличие единого локуса, в котором в иерархическом виде представлены все сведения о пользователях и сетевых ресурсах, значительно снижает трудоемкость и временные затраты на администрирование корпоративных информационных систем. При этом больше не нужно будет по отдельности конфигурировать различные программные и аппаратные средства. Кроме этого, повышается надежность и точность реализации системных политик, так как администратор сможет работать с целыми контейнерами, представляющими схожие или структурно единые группы объектов информационной системы, а не только с каждым объектом по отдельности.

С помощью Active Directory можно добиться оптимизации затрат на управление корпоративной информационной средой. При этом часть административных функций может спускаться с уровня предприятия в целом на уровень отдельных его подразделений. Например, право управления паролями сотрудников отдела маркетинга может быть передано администратору из этого отдела, однако более критичная операция — добавление нового пользователя — может быть оставлена за главным системным администратором корпорации. При такой балансировке высококвалифицированный персонал из числа администраторов и IT-менеджеров может больше времени посвящать вопросам формирования стратегии организации в области информационных технологий.

Далее, Active Directory является стержневым компонентом при организации удаленного администрирования рабочих станций, устройств и приложений в сети. Именно ее наличие в сочетании с использованием специальных средств удаленного управления (например, дорогостоящего пакета SMS или бесплатной платформы WMI) позволят свести к минимуму выполнение таких задач на локальных компьютерах. Кроме того, в паре с технологией IntelliMirror служба каталогов Active Directory позволяет автоматизировать процесс установки типичного программного обеспечения на рабочие станции клиентов. Например, если в хранилище Active Directory есть информация о том, что Иванов И. В. является сотрудником бухгалтерии, а для всех сотрудников этого отдела задан перечень программ, с которыми они работают на своих машинах, то эти программы будут автоматически установлены на его компьютер.

Другим примером удаленного администрирования может быть составление и применение расписания допустимых нагрузок на отдельные сегменты сети, а также установление квот на сетевой трафик для различных групп пользователей. К примеру, если финансовый департамент компании каждый вечер с 17.00 до 19.00 принимает по электронной почте объемные отчеты региональных представительств о дневных оборотах, то с помощью Active Directory можно сконфигурировать сеть таким образом, что сетевым пакетам для сущностей, принадлежащих к контейнеру финансового департамента, будет предоставлен после 17.00 высокий приоритет и гарантированная часть общего сетевого канала, на которую в вечернее время не сможет покуситься ни один другой процесс.

Для некоторых системных администраторов Active Directory может показаться незаменимой для воплощения в жизнь принципа "не пущать". На основании данных, хранящихся в объектном репозитории Active Directory, можно задавать перечень дозволенных операций и исполняемых приложений, доступных тем или иным категориям пользователей на тех или иных рабочих станциях. Например, таким способом можно запретить использовать игровые программы в рабочее время.

Active Directory придется ко двору и в гетерогенной информационной среде, где возникает необходимость в интегрировании серверов и приложений на разных системных платформах. Благодаря наличию множества шлюзов в ней могут консолидироваться массивы управленческой информации, хранимой в других службах каталогов (таких, как NDS, каталоги Unix на базе LDAP, каталоги систем ERP и почтовых систем и пр.).

Для тех IT-специалистов, которые заняты организацией глобальных коммуникаций для своих корпораций, Active Directory тоже окажется незаменимой помощницей. Как уже отмечалось ранее, эта служба облегчает построение WAN. Кроме того, надежные механизмы защиты информации и единая модель авторизации, предоставляемые Active Directory, позволяют построить простую и "пуленепробиваемую" систему доступа и разграничения полномочий пользователей вне зависимости от способа, с помощью которого они подключаются к серверу организации (через LAN, корпоративный intranet или Internet). Тесная интеграция Active Directory с протоколами обеспечения безопасности в Internet дает возможность также легко организовать обмен избранными сведениями из ее хранилища с клиентами корпорации через extranet, а также быстро создавать и разворачивать решения в области e-commerce.

Active Directory и разработчики ПО

До недавнего времени разработчики ПО вынуждены были создавать собственные службы каталогов (простые или же достаточно сложные) для хранения конфигурационной и управленческой информации своих приложений. С появлением Active Directory они в полной мере ощутят выгоды от использования этой универсальной базы данных. С одной стороны, отпадет необходимость в собственноручной разработке и поддержке аналогичной инфраструктуры. С другой стороны, их приложения смогут разделять эту информацию с другими программами. Это, несомненно, облегчит использование их продуктов и улучшит интегрирование с системной платформой, а также взаимодействие с пакетами других производителей ПО.

Active Directory является одним из краеугольных камней архитектуры Windows DNA, обеспечивая гибкость и масштабируемость программных систем, созданных на ее основе. Она предоставляет разработчикам мощный интерфейс службы активного каталога ADSI, построенный на базе технологических стандартов СOM/DCOM. С его помощью приложения могут делать запросы и помещать собственную информацию в хранилище службы каталогов. Этот интерфейс доступен из большинства популярных средств разработки, таких, например, как члены семейства MS Visual Studio или же продукты компаний Inprise и PowerSoft.

Кроме того, Active Directory поддерживает и другие технологии, в том числе интерфейс MAPI, протокол LDAP версий 2 и 3.

Одним из наиболее ярких и успешных примеров полной интеграции приложений с Active Directory является новая версия почтовой системы MS Exchange 2000 (здесь активно применялась технология Active Directory Connectors).

Что же будет дальше?

Появление Active Directory может упрочить позиции платформ Windows на рынке информационных технологий для платформ Intel даже в свете значительных капиталовложений в альтернативный проект — Linux. Кроме того, она обещает изменить сам облик и функциональность привычной многим среды Windows и совместимых с ней программных пакетов.

Экран 1
Рис. 2. Архитектура Active Directory

Уже сегодня Active Directory (ее архитектура приведена на рис. 2) претендует на роль универсального интегратора всех приложений, работающих в среде Windows 2 000. Многие ведущие производители ПО (особенно в Западной и Восточной Европе) уже провозгласили стратегический курс на поддержку этой инновации Microsoft. В частности, к этой группе относятся известные разработчики АСУП, такие, как SAP, Baan и J. D. Edwards.

Производители сетевого оборудования также внимательно изучают это технологическое решение. Подтверждением тому стало партнерство между компаниями Cisco и Microsoft в области разработки единого стандарта структуры сетевого каталога и создания сетевого оборудования, поддерживающего этот стандарт (так называемая инициатива DEN, о которой более подробно писалось в "Компьютерном Обозрении", # 4, 2000).

Ведущие компании, поставляющие аппаратное обеспечение для компьютеров, тоже учитывают наличие Active Directory в своих новых разработках. Наиболее продвинулась в этом направлении корпорация Intel, обеспечившая возможность управления параметрами некоторых своих материнских плат через WMI и Active Directory.

Однако только время покажет, приобретут ли указанные тенденции массовый характер. В немалой степени это будет зависеть от разработчиков Microsoft и их стратегии развития самой службы Active Directory.


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: