Именование в Active Directory
Имя домена Active Directory обычно является полным DNS-именем домена. Тем не менее, для обеспечения обратной совместимости каждый домен также имеет пред-Windows 2000 имя для использования компьютерами с операционными системами предыдущих версий Windows. Пред-Windows 2000 имя домена может использоваться для входа в домен Windows Server 2003 с компьютеров с операционными системами предыдущих версий Windows, при этом используется следующий формат: имя_домена\имя_пользователя. Этот же формат может использоваться для входа в домен Windows Server 2003 с компьютера под управлением Windows 2000, Windows XP; или с сервера под управлением Windows Server 2003. Можно также использовать имя участника-пользователя (UPN), связанное с соответствующей учетной записью, для входа на компьютер под управлением Windows 2000, Windows XP; или на сервер под управлением Windows Server 2003.
Учетные записи пользователей
В Active Directory каждая учетная запись пользователя имеет имя входа пользователя, пред-Windows 2000 имя входа пользователя (имя учетной записи диспетчера учетных записей безопасности) и суффикс UPN. При создании учетной записи пользователя администратор указывает имя входа пользователя и выбирает суффикс UPN. Active Directory составляет пред-Windows 2000 имя входа пользователя, используя первые 20 байт имени входа пользователя. Пред-Windows 2000 имя входа пользователя в любое время может быть изменено администраторами.
В Active Directory каждая учетная запись пользователя имеет имя участника-пользователя в соответствии с документом IETF RFC 822 Standard for the Format of ARPA Internet Text Messages. Имя участника-пользователя составляется из имени входа пользователя и суффикса имени участника-пользователя, соединенных знаком «@».
Примечание
- Не следует добавлять знак «@» в имя входа пользователя или в суффикс имени участника-пользователя. Active Directory автоматически добавит его при создании имени участника-пользователя. Имя участника-пользователя, содержащее более одного знака «@», является недопустимым.
Внимание!
- Windows NT 4.0 и более ранние домены разрешают использование точки (.) в конце имени входа пользователя, если только оно не состоит из одних точек. Домены Windows Server 2003 не разрешают использование одной или нескольких точек в конце имени входа пользователя.
Вторая часть имени участника-пользователя — суффикс имени участника-пользователя — обозначает домен, к которому относится учетная запись пользователя. Суффиксом имени участника-пользователя может быть DNS-имя домена, DNS-имя любого домена в составе леса либо альтернативное имя, созданное администратором и использующееся только для входа в систему. Этот альтернативный суффикс имени участника-пользователя не обязательно должен быть допустимым DNS-именем.
В Active Directory по умолчанию суффиксом имени участника-пользователя является DNS-имя домена, в котором создана учетная запись пользователя. Обычно это имя домена, зарегистрированного в Интернете как домен предприятия. Использование альтернативных имен доменов в качестве суффиксов имен участников-пользователей обеспечивает дополнительную безопасность входа в сеть и упрощает имена, используемые для входа в другой домен леса.
Например, если организация использует сложное дерево доменов, упорядоченное по отделам и географическим областям, имена доменов могут быть достаточно длинными. Предположим, что по умолчанию суффиксом имени участника-пользователя в таком домене является sales.westcoast.microsoft.com. Тогда имя входа пользователя в данном домене будет иметь вид [email protected]. В данном случае для упрощения имени входа пользователя можно применять суффикс «microsoft», что позволит использовать имя входа user@microsoft. Дополнительные сведения об учетных записях пользователей см. в разделах Учетные записи пользователей и компьютеров и Имена объектов.
Для удаления или добавления суффиксов имен участников-пользователей служит оснастка «Active Directory — домены и доверие». Дополнительные сведения см. в разделе Добавление суффиксов имени участника-пользователя.
Учетные записи компьютеров
Каждая учетная запись компьютера в Active Directory имеет относительное различающееся имя, пред-Windows 2000 имя компьютера (имя учетной записи диспетчера учетных записей безопасности), основной DNS-суффикс, DNS-имя узла и имя участника-службы. Администратор указывает имя компьютера при создании учетной записи. Это имя компьютера используется в качестве относительного различающегося имени LDAP.
Active Directory составляет пред-Windows 2000 имя, используя первые 15 байт относительного различающегося имени. Пред-Windows 2000 имя в любое время может быть изменено администратором.
DNS-имя узла называется полным именем компьютера и является полным доменным именем DNS. Полное имя компьютера состоит из имени компьютера (первые 15 байт имени учетной записи SAM компьютера без знака «$») и основного DNS-суффикса (DNS-имени домена, в котором создана эта учетная запись компьютера). Оно указано на вкладке Имя компьютера компонента «Свойства системы» панели управления.
По умолчанию основной DNS-суффикс полного доменного имени компьютера должен совпадать с именем домена Active Directory, к которому принадлежит этот компьютер. Чтобы разрешить использование других основных DNS-суффиксов, администратор домена может создать ограниченный список разрешенных суффиксов, создав атрибут msDS-AllowedDNSSuffixes контейнера объекта домена. Этот атрибут создается и управляется администратором домена через интерфейсы ADSI или по протоколу LDAP.
Дополнительные сведения см. в разделах Имена объектов и Учетные записи пользователей и компьютеров.
Имя участника-службы является многозначным атрибутом. Обычно оно строится на основе DNS-имени узла. Имя участника-службы используется в процессе взаимной проверки подлинности между клиентом и сервером, на котором работает определенная служба. Клиент находит учетную запись компьютера, основанную на имени участника-службы, к которой он пытается подключиться. Имя участника-службы могут изменять члены группы «Администраторы домена».
Хранилище данных каталога
Хранилище данных каталога
Хранилище данных в службе каталогов Active Directory используется для данных всех каталогов. Это хранилище данных часто называется каталогом. Этот каталог содержит сведения о таких объектах, как пользователи, группы, компьютеры, домены, подразделения и политики безопасности. Эти сведения могут быть опубликованы для использования пользователями и администраторами.
Каталог хранится на контроллерах домена и доступен для сетевых приложений или служб. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения каталога, выполненные на одном контроллере домена, реплицируются на другие контроллеры домена, на дерево доменов или лес. В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения. Данная модель хранения и репликации предоставляет данные каталогов пользователям и администраторам домена.
Данные каталога хранятся в файле Ntds.dit на контроллере домена. Рекомендуется размещать данный файл в разделе NTFS. Дополнительные сведения о средстве управления базой данных и файлами журналов Active Directory см. в разделе Файлы программы Ntdsutil. Важные данные хранятся под защитой, а общие данные каталога — на общем системном томе, где они могут реплицироваться на остальные контроллеры домена. Дополнительные сведения о репликации см. в разделе Общие сведения о репликации.
Между контроллерами домена реплицируются следующие данные каталога.
- Данные домена
Данные домена содержат сведения об объектах домена. Это такие сведения, как адреса электронной почты, атрибуты учетных записей пользователей и компьютеров и опубликованные ресурсы, представляющие интерес для администраторов и пользователей.
Например, когда учетная запись пользователя добавляется в сеть, объект учетной записи пользователя и данные атрибута сохраняются в данных домена. При изменении объектов в каталоге организации, например при создании, удалении объекта или изменении атрибута объекта, эти сведения сохраняются в данных домена. - Данные конфигурации
Данные конфигурации описывают топологию каталога. Эти данные включают список всех доменов, деревьев и лесов, а также местонахождение контроллеров доменов и глобальных каталогов. - Данные схемы
Схема — это формальное определение всех объектов и данных атрибута, которые могут храниться в каталоге. Контроллеры домена, работающие под управлением Windows Server 2003, содержат схему по умолчанию, определяющую различные типы объектов, такие как учетные записи компьютеров, группы, домены, организационные подразделения и политики безопасности. Администраторы и программисты могут расширить схему, определяя новые типы объектов и атрибутов или добавляя новые атрибуты для существующих объектов. Объекты схемы защищены с помощью таблиц управления доступом, которые предоставляют возможность изменения схемы только пользователям, прошедших проверку.
Дополнительные сведения см. в разделе Схема. - Данные приложений
Данные, хранящиеся в разделе каталога приложений, предназначены для случаев, когда сведения необходимо реплицировать в небольшом масштабе. Разделы каталога приложений по умолчанию не являются частью хранилища данных каталога, они должны создаваться, настраиваться и управляться администратором.
Дополнительные сведения см. в разделе Разделы каталога приложений.
Примечание
- Если контроллер домена также является глобальным каталогом, то в нем содержится подмножество данных каталогов для всех других доменов леса. Дополнительные сведения о контроллерах домена см. в разделе Контроллеры домена. Дополнительные сведения о глобальном каталоге см. в разделе Роль глобального каталога.
Квоты и разделы каталога
Квоты, новая возможность контроллеров домена в Windows Server 2003, определяют количество объектов, которыми участник безопасности может владеть в данном разделе каталога. (Обычно, но не всегда, владельцем объекта является его создатель.) Квоты позволяют предотвратить отказ в работе служб, возникающий при случайном или намеренном создании участником безопасности объектов до тех пор, пока контроллер домена не исчерпает весь объем дискового пространства.
Квоты задаются и администрируются отдельно для каждого раздела каталога. Однако для раздела схемы квоты не устанавливаются. В заданном разделе каталога можно назначать квоты любому участнику безопасности, включая пользователей, inetOrgPersons, компьютеры и группы. Члены групп «Администраторы домена» и «Администраторы предприятия» освобождаются от квот. В некоторых случаях участнику безопасности может быть назначено несколько квот. Например, пользователю может быть назначена индивидуальная квота, при этом он может входить в одну или несколько групп безопасности, которым также назначены квоты. В таких случаях эффективной является максимальная назначенная квота.
Если участнику безопасности напрямую или через членство в группе не назначена квота, то используется квота раздела по умолчанию. Если квота по умолчанию для данного раздела не установлена явно, то квота по умолчанию является неограниченной.
Объекты-захоронения, владельцем которых является участник безопасности, также потребляют часть его квоты. Для каждого раздела можно задать фактор квоты захоронения, чтобы определить весовой коэффициент захороненных объектов при подсчете квоты. Например, если фактор квоты захоронения для данного раздела равен 25 (или 25%), то объект-захоронение в разделе рассматривается как 0,25 (или 1/4) обычного объекта. Если в данном разделе для квоты пользователя установлено значение 100, то пользователь может обладать максимум 100 обычными объектами или максимум 400 захороненными объектами. Исходно значением по умолчанию фактора квоты захоронения для каждого раздела является 100 (или 100%), то есть обычные и захороненные объекты имеют равный вес.
Следующий пример иллюстрирует возможности использования квот. Рассмотрим домен «sales.northwindtraders.com». Поскольку домен выполняет большое число операций печати, он содержит несколько серверов, каждый из которых поддерживает 1000 или более очередей печати. Исходно квота по умолчанию для раздела домена sales.northwindtraders.com неограничена. Для облегчения контроля за числом создаваемых и принадлежащих пользователям объектов администратор устанавливает для квоты по умолчанию значение 500. Теперь каждый пользователь может обладать максимум 500 объектами раздела. Поскольку очереди печати являются объектами каталога, которые создаются и принадлежат соответствующим серверам печати, то новое значение по умолчанию для квоты устанавливает предельное число очередей печати для каждого сервера печати равным 500. Чтобы снять это ограничение, администратор создает группу «Сервера печати» и добавляет в нее учетные записи всех принтеров печати. Затем администратор задает для квоты данной группы значение 2000. Теперь каждый принтер печати может поддерживать исходное число очередей печати, в то время как квота по умолчанию предотвращает чрезмерное создание объектов остальными участниками безопасности.
Только контроллеры домена, работающие под управлением Windows Server 2003, могут задавать квоты. Квоты используются только в исходных операциях над каталогом и не используются в операциях репликации. Чтобы квоты были полностью эффективны для любого заданного раздела каталога, все контроллеры домена, содержащие изменяемую копию этого раздела, должны работать под управлением Windows Server 2003 . Следовательно, чтобы квоты для раздела каталога домена были эффективны, все контроллеры домена в этом домене должны работать под управлением Windows Server 2003. Чтобы квоты были эффективными для раздела конфигурации, все контроллеры домена в лесу должны работать под управлением Windows Server 2003.
Дополнительные сведения о создании, изменении и запросе квот, квотах по умолчанию и факторах квот захоронения см. в разделах Dsadd, Dsmod и Dsquery.