Служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды.
Основное назначение служб каталогов - управление сетевой безопасностью.
1) Рабочая группа - предназначена для использования в небольших одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер в сети с операционными системами Windows NT/2000/XP/2003 имеет свою собственную локальную базу данных учетных записей и с помощью этой локальной БД осуществляется управление доступом к ресурсам данного компьютера.
· SRV-1 и SRV-2 – серверы
· WS-1 и WS-2 – рабочие станции
· SAM-1, SAM2, SAM-3 и SAM-4 – базы данных
· USER-1 и USER-2 - учетные записи пользователей, существующие в каждой из баз SAM
Компьютер SRV-1 ничего «не знает» об учетных записях компьютеров SRV-2, WS-1, WS-2, а так же всех остальных компьютеров сети.
2) Доменная модель безопасности - основана на единой базе данных служб каталогов, доступной всем компьютерам сети. С помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.
· DC-1 иDC-2– контроллеры домена
· SRV-1 и SRV-2 – серверы, WS-1– одна из рабочих станций
· SAM-1, SAM2, SAM-3– базы данных
· USER-1 и USER-2 - учетные записи пользователей, существующие в домене
· Group-1 и Group-2 – группы доменных пользователей
Пользователь регистрируется на компьютере ("входит в систему") со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам.
· Служба каталогов Active Directory является, без сомнения, одним из главных концептуальных новшеств системы Windows Server (начиная с 2000).
· Все учетные пользовательские записи созданы однократно в доменной базе данных.
· С помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
· Единая регистрация в сети - пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
· Безопасность информации - средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети.
· Централизованное управление - администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.
· Администрирование с использованием групповых политик – GPO определяют «правила» работы в системе, привязываются к сайтам, доменам или организационным единицам.
· Гибкость изменений - служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься.
· Интеграция с DNS - единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
· Расширяемость каталога - администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.
· Масштабируемость - служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т.е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
· Репликация информации - в службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
· Гибкость запросов к каталогу – быстрый поиск в сети объектов сети по их свойствам. Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.
· Стандартные интерфейсы - для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.
