Active Directory является LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам»)-совместимой реализацией службы каталогов (это средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах) корпорации Мicrosoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать глобальные политики, развёртывать программы на множестве компьютеров (через глобальные политики или посредством Microsoft Systems Management Server 2003) и устанавливать важные обновления на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее). Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
Помимо обычных для служб каталогов задач, Active Directory способна удовлетворить широкий спектр потребностей по обработке имен, обслуживанию запросов, регистрации, администрированию и устранению конфликтов. В Active Directory используется тесно увязанный набор API и протоколов, так что она может работать с несколькими пространствами имен, собирать и предоставлять информацию о каталогах и ресурсах, находящихся в удаленных филиалах и под управлением разных ОС. Active Directory имеет следующие возможности и характеристики:
Поддержка открытых стандартов для облегчения межплатформных операций с каталогами, в т. ч. доменной системы имен DNS и стандартных протоколов, таких как LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам»).
Поддержка стандартных форматов имен для простоты миграции и эксплуатации.
Богатый набор API, которые могут использоваться как для командных сценариев, так и в программах на C/C++.
Простой и интуитивно понятный процесс администрирования благодаря несложной иерархической доменной структуре и использованию технологии «перетащить и оставить».
Возможность расширения набора объектов в каталогах, за счет гибкой логической схемы.
Быстрый поиск по глобальному каталогу.
Быстрое и удобное обновление информации посредством многоуровневой (multimaster) репликации данных.
Совместимость с предыдущими версиями ОС Windows NT.
Взаимодействие с сетями NetWare.
Active Directory позволяет управлять с одного рабочего места всеми заявленными ресурсами (файлами, периферийными устройствами, базами данных, подключениями к серверам, доступом к Web, пользователями, другими объектами, сервисами и т. д.). В качестве идентификационной службы в ней используется доменная система имен (DNS), применяемая в Интернете, объекты в доменах строятся в иерархию организационных единиц (ОЕ), а домены могут быть объединены в древовидную структуру. Администрирование становится еще проще, так как в Active Directory отсутствует понятие главного контроллера доменов (ГКД) и резервного контроллера доменов (РКД). В Active Directory существуют только контроллеры домена (КД), и все они равны между собой. Администратор может сделать изменения на любом КД, и эти изменения будут скопированы на всех остальных КД.
Active Directory отделяет логическую структуру иерархии доменов Windows 2003 от физической структуры сети. Объекты: ресурсы хранятся в виде объектов. Схема Active Directory:
Домены: базовая организационная структура.
Деревья: несколько доменов объединяются в иерархическую структуру.
Леса: группа из нескольких деревьев домена.
Организационные единицы: позволяют делить домен на зоны и делегировать на них права.
Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.
Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и подконтейнеров, упрощающей поиск, доступ и управление, она во многом похожа на файловую систему Windows с файлами в папками.
Классы объектов. Объект на самом деле представляет собой просто набор атрибутов. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта.
Классы и атрибуты, определяемые ими, собирательно называются Active Directory Schema — в терминологии баз данных схема (schema) — это структура таблиц и полей, а также их взаимосвязи. Active Directory Schema можно считать набором данных (классов объектов), определяющим то, как организована и хранится реальная информация (атрибуты объекта) в каталоге.
Active Directory — не первая служба каталогов. В современных сетях используется несколько служб каталогов и стандартов. Вот лишь некоторые из них:
Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
Lightweight Directory Access Protocol (LDAP). LDAP была разработана в ответ на критические замечания по DAP, которая оказалась слишком сложной для применения в большинстве случаев. LDAP быстро стала стандартным протоколом каталогов в Интернете.
Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500.
Active Directory. Составная часть сетей под управлением Windows Server 2000 или Windows Server 2003. Соответствует стандарту LDAP.
