Роли сервера Active Directory
Роли сервера Active Directory
Компьютеры, функционирующие в качестве серверов, могут иметь одну из двух ролей: рядовой сервер или контроллер домена. Сервер, находящийся вне домена, называется выделенным сервером.
Рядовые серверы
Рядовым сервером является компьютер, который отвечает следующим условиям:
- Работает под управлением операционной системы семейства Windows 2000 Server или семейства Windows Server 2003.
- подключен к домену;
- не является контроллером домена.
Рядовой сервер не обрабатывает информацию о входе пользователей в сеть, не участвует в репликации Active Directory и не хранит сведений о политике безопасности домена.
Рядовые серверы обычно выполняют функции файловых серверов, серверов приложений, серверов баз данных, веб-серверов, серверов сертификатов, брандмауэров или серверов удаленного доступа. Дополнительные сведения о ролях серверов см. в разделе Роли сервера.
Следующие возможности, связанные с безопасностью, являются общими для всех рядовых серверов:
- Рядовые серверы придерживаются политики безопасности, определенной для сайта, домена или подразделения.
- Управление доступом осуществляется для ресурсов, доступных на рядовом сервере.
- Пользователи рядовых серверов имеют назначенные права пользователей.
- На рядовом сервере находится база данных локальной политики учетных записей — диспетчер учетных записей (SAM).
Контроллеры домена
Контроллером домена является компьютер, который отвечает следующим условиям:
- Работает под управлением операционной системы семейства Windows 2000 Server или семейства Windows Server 2003.
- Использует Active Directory для хранения копии базы данных домена, доступной для чтения и записи, участвует в репликации с несколькими хозяевами и проверяет учетные данные пользователей при входе в сеть.
Контроллеры домена хранят данные каталога и управляют взаимодействием между пользователями и доменом, а именно: процессом входа в домен, проверкой подлинности и поиском в каталоге. Контроллеры домена синхронизируют данные каталога путем репликации с несколькими хозяевами, постоянно проверяя согласованность информации. Дополнительные сведения о репликации с несколькими хозяевами см. в разделе Общие сведения о репликации.
Active Directory поддерживает репликацию данных каталога с несколькими хозяевами между всеми контроллерами домена в домене. Однако для репликации некоторых данных каталога репликация с несколькими хозяевами недопустима. В этом случае данные будет обрабатывать контроллер домена, называемый хозяином операций. Лес Active Directory поддерживает не менее пяти ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. Дополнительные сведения о хозяевах операций см. в разделе Роли хозяев операций.
При изменении вычислительной среды может возникнуть необходимость изменить роли серверов. При помощи мастера установки Active Directory можно установить Active Directory на рядовом сервере, сделав его таким образом контроллером домена. Можно также сделать контроллер домена рядовым сервером, удалив с него Active Directory. Дополнительные сведения о контроллерах домена см. в разделе Контроллеры домена.
Примечание
- Active Directory нельзя установить на компьютер, работающий под управлением Windows Server 2003, Web Edition, но можно присоединить компьютер к домену Active Directory как рядовой сервер. Дополнительные сведения о Windows Server 2003, Web Edition см. в разделе Общие сведения о Windows Server 2003, Web Edition.
Клиенты Active Directory
Клиенты Active Directory
Клиент Active Directory делает многие возможности Active Directory, применяемые в Windows 2000 Professional или Windows XP Professional., доступными на компьютерах, работающих под управлением Windows 95, Windows 98 и Windows NT 4.0.
- Служба сайта
Позволяет войти в систему на контроллере домена, который является ближайшим к клиенту в данной сети. Дополнительные сведения см. в разделе Поиск контроллера домена. - Интерфейсы службы Active Directory
Возможно использование сценариев для Active Directory. Интерфейсы службы Active Directory предоставляют также общий интерфейс программирования приложений (API) для программистов Active Directory. - Распределенная файловая система
Обеспечивается доступ к общим ресурсам DFS на серверах, работающих под управлением Windows 2000 и Windows Server 2003. - Проверка подлинности NTLM версии 2
Поддерживаются возможности проверки подлинности в NTLM версии 2.
Дополнительные сведения (на английском языке) о включении NTML версии 2 см. в статье Q239869, «How to Enable NTLM 2 Authentication» базы знаний корпорации Майкрософт. - Свойства адресной книги Windows в Active Directory
Можно изменять такие свойства, как номер телефона и адрес, на страницах объекта-пользователя. - Средства поиска Active Directory
При помощи кнопки Пуск возможен поиск принтеров и людей в доменах Windows 2000 Server или Windows Server 2003.
Сведения о публикации принтеров в каталоге Active Directory (на английском языке) можно найти в статье Q234619, "Publishing a Printer in Windows 2000 Active Directory," в базе знаний корпорации Майкрософт.
Windows 2000 Professional и Windows XP Professional. поддерживают те функциональные возможности, которые не обеспечивались клиентом Active Directory в Windows 95, Windows 98 и Windows NT 4.0, включая поддержку Kerberos V5, поддержку групповой политики или интерфейса IntelliMirror и имя участника службы (SPN) или взаимную проверку подлинности. Чтобы воспользоваться этими дополнительными возможностями необходимо обновить операционную систему до Windows 2000 Professional или Windows XP Professional..
Инструкции по установке клиента Active Directory (на английском языке) см. на странице клиента Active Directory на веб-узле корпорации Майкрософт.