Служба каталога Active Directory предназначена для хранения всевозможной служебной информации, обеспечения удобного доступа к ней со стороны пользователей и администратора сети. Саму службу и соответствующую ей унифицированную базу данных с информацией обо всех объектах и устройствах сети называют Active Directory. В ней хранится информация о пользователях, компьютерах, принтерах, приложениях и множестве других сетевых объектов.
К достоинствам службы Active Directory можно отнести следующее:
•развитость системы защиты, позволяющей установить права доступа к определенной информации или сетевому объекту;
•высокая производительность службы каталога, обусловленная распределенностью базы данных, хранимой на нескольких серверах;
•расширяемость, обеспечивающая возможность добавления новых типов объектов и новых свойств объектов.
•В базе данных Active Directory можно хранить фактически любую информацию, которая может оказаться полезной для организации работы вычислительной сети. Для примера назовем следующие сведения, обычно размещаемые в Active Directory:
•Пользователи. В каталоге хранится различная информация о пользователях сети, например, имя, пароль, метод аутентификации, адрес электронной почты, местоположение, контактный номер телефона, должность и даже адрес личной странички Web.
•Компьютеры. Каталог содержит информацию о подключенных к сети компьютерах, например, используемую операционную систему, основное предназначение, логическое местоположение в каталоге, физическое местоположение в здании предприятия, имя пользователя, ответственного за обслуживание компьютера, и т. п.
•Папки общего доступа. Информация о дисковых каталогах общего доступа публикуется в базе данных Active Directory, благодаря чему пользователи могут осуществлять поиск сетевых файлов и каталогов при помощи средств службы каталога. При этом поиск осуществляется с использованием ключевых слов и описаний. Сетевой каталог становится доступным вне зависимости от своего местоположения. Чтобы получить доступ к сетевому каталогу, пользователь не обязан знать имя сервера, на котором расположен этот каталог.
•Принтеры. В Windows 2000/2003 подсистема печати интегрирована в Active Directory, благодаря чему пользователи могут осуществлять поиск принтеров по всему предприятию. Любые связанные с принтером сведения, которые могут оказаться полезными для пользователей (например, запас бумаги, количество цветов, разрешающая способность и физическое местоположение), хранятся непосредственно в службе каталога, что облегчает поиск и использование принтера.
•Прикладные программы, поддерживающие работу с Active Directory. Базу данных Active Directory легко расширить, поэтому разработчики прикладных программ могут использовать службу каталога для хранения любой информации, относящейся к их программам. Информацию, опубликованную в Active Directory, можно сделать доступной для других клиентов. Например, администраторы сети могут использовать подобную информацию для того, чтобы искать сетевые приложения и службы, подключаться к ним и управлять ими.
•Политики. Политика группы представляет собой мощное средство администрирования компьютеров и пользователей сети в составе Windows 2000/2003. Администраторы сети используют политику группы для управления конфигурацией пользовательских компьютеров и самих сетевых пользователей. С помощью политики группы удобно управлять реестром, конфигурацией системы безопасности, прикладными программами, сценариями, запуском и завершением работы настольных систем, подключением и отключением пользователей, а также перенаправлением дисковых каталогов.
•Конфигурация Active Directory. В базе данных Active Directory хранится также информация о конфигурации самой службы каталога, а также о каналах обмена данными между сетевыми серверами.
Пользователи сети могут использовать службу каталога Active Directory в следующих целях:
•Подключение к сети. Для подключения к домену Windows 2000/2003 пользователь должен предъявить системе аутентификации свои атрибуты (регистрационное имя, пароль или смарт-карту), которые сравниваются с информацией, хранящейся в службе каталоге.
•Поиск ресурсов в сети. Пользователи могут использовать службу каталога для получения информации о других пользователях, файловых ресурсах, ресурсах печати, а также любых других данных, опубликованных в каталоге. Существует множество методов поиска данных в каталоге, что делает поиск информации в Active Directory чрезвычайно удобным.
•Использование прикладных программ, работающих с Active Directory. В процессе работы прикладные программы могут обращаться к службе каталога с использованием стандартных протоколов доступа. Они могут извлекать данные из каталога и передавать их пользователям, а также принимать данные от пользователей и вносить их в каталог, облегчая тем самым взаимодействие пользователей с каталогом. Кроме того, прикладные программы могут вносить в каталог свою собственную информацию, упрощая собственное администрирование и управление.
Администраторы могут использовать службу каталога Active Directory в следующих целях:
•Контроль защиты сетевых ресурсов.Каталог Active Directory — это база данных учетных записей, входящих в состав доменов Windows 2000/2003.
•Применение политик в отношении клиентских систем. Политики можно использовать для предоставления пользователям прав доступа к клиентским и серверным системам, настройки внешнего вида графического рабочего стола, управления автоматической установкой прикладных программ и т. п.
•Перенаправление запросов на доступ к ресурсам или службам на серверы, расположенные «ближе» к пользователю. Служба каталога содержит информацию о топологии сети, с учетом которой запросы клиентов автоматически адресуются серверам, расположенным поблизости от этих клиентов. Таким образом, благодаря Active Directory для обмена данными между клиентами и серверами в первую очередь используются высокоскоростные локальные каналы связи. Передача данных через удаленные каналы связи осуществляется в случае необходимости.
•Публикация информации в каталоге. Обычно в каталоге публикуется информация, которая должна быть постоянно доступна для клиентов сета. Размещение данных в каталоге Active Directory обеспечивает их доступность для всех клиентов сети Windows 2000/2003. Репликация, синхронизация и надежность доступа к этой информации обеспечиваются механизмами службы Active Directory.
•Централизованное хранение конфигурационных данных. Вместо того чтобы настраивать одно и то же сетевое приложение на каждом из клиентских компьютеров по отдельности, администратор может разместить конфигурационные данные этого приложения в службе каталога. В этом случае при изменении конфигурационных данных приложение будет работать по-новому на всех компьютерах сети, где оно установлено.
•Автоматическая настройка сетевых устройств с помощью унифицированных средств Active Directory. Сетевые устройства, способные работать с каталогом, могут использовать информацию из Active Directory для управления сетевым трафиком.
