/// Навигация по сайту
/// Популярные новости
/// Партнеры
/// РЕКЛАМА
/// Active Directory от простого к сложному. Часть 1
Свободное изложение про это...
Давайте постепенно будем разбирать такое понятие как ActiveDirectory(AD) или я буду писать АД что бы не менять раскладку клавиатуры, а то постоянно забываю переключатся. Итак, что такое ActiveDirectory? Что бы понять это «понятие», и почему не только Микрософт но и другие производители операционных систем сделали такое же «фишку» в своих операционных системах(Макинтош использует «фишку» Open Directory, Novell службу каталогов NDS), начнем с истории. Почему с истории, да потому что тогда станет ясно, что сама жизнь указала на создание такого механизма или лучше скажем так – «не от хорошей жизни» специалисты создали такую «фишку». Я называю пока ActiveDirectory«фишкой», так как предположим, что пока Вы, читатели, не знаете что это за зверь такой ActiveDirectory. По ходу изложения мы будем излагаться все профессиональнее.
Предположим у нас три компа и один сервер. В дальнейшем, что бы не забыть, я буду обозначать компы - ПК от словосочетания персональный компьютер или PC. Так вот, у нас три компа, и три пользователя. Пока все нормально, но вот наша контора начала расширятся и набрали еще трех сотрудников, а комов пока не купили, экономят шефы. Итого у нас есть сеть из 3 ПК и 6 пользователей, которые пока работают попарно по двое на каждом ПК. Получится такая картина как на рисунке 1.
Рисунок 1.
То есть, при появление в компании новых сотрудников и с учетом того что сотрудники будут строго работать только за тех ПК которых за ними укреплены то в этом случае администратор прописывает каждого сотрудника на свой ПК. Исходя из рисунка 1 сетевой администратор прописывает на ПК1 учетные записи для пользователей Вася и Катя, на ПК2 – Толю и Игоря, а на ПК3 – Ивана и Веру (как он это делает конкретно, мы рассмотрим позже). И еще ему надо прописать этих всех пользователей в количестве 6 штук на сервере что бы пользователи могли получить доступ к серверу базы данных. Так что пока терпимо, так как пользователей не так уж и много.
И только прописал пользователей админ, и сел попить пив….простите кофе после праведных трудов, как новое указание от «всевышних». Надо что бы не привязывать пользователей к строго определенному компьютеру, а позволить им работать за любым компьютером. И оплакивая свою несчастную жизнь админ понурив голову, идет и прописывает всех пользователей на всех компьютеров. И если раньше, когда за определенным компьютером работал определенный пользователь или пользователей, то исходя из нашей придуманной конторы на рисунке 1, на каждом компьютере было по две учетные записи. То теперь на каждом компьютере должны быть по 6 прописанных пользователей.
Для тех кто не понимает что такое прописать пользователя – объясняю, вспомните если Вы конечно видели компьютеры, что иногда после того как вы включили компьютер, от Вас требуют какой-то «пароль», и Вы его спрашиваете у хозяина ПК и он «пароль» как правило цифра 1 (это шутка, кто не понял, вернитесь после прочтения всех статьей и дико посмейтесь, над ламерами), и только после ввода пароля Вас пускают работать на компьютере. А требование ввести пароль не появляется при покупки компьютера, а специально прописывается сетевым администратором. И делается это для того что бы у каждого пользователя было свое собственное рабочее пространство, со своими «штучками» (под "штучками" пока что можете понимать какой фон рабочего стола у вас будет, какие программы будут доступны только вам и некому больше,и пока хватит) и еще это делается исхода из требований безопасности. И ХРАНЯТСЯ ВСЕ ЭТИ «пароли» ЛОКАЛЬНО, то есть на том ПК на котором они были прописаны (когда нет централизованного хранилища или AD, но об этом позже). Только еще прошу запомнит что учетные записи еще называются «АКАУНТАМИ». Все! - хватит для начала про учетные записи, так как я еще не сказал про «логин» и еще больше, Вас запутаю, но всему свое время и мы еще поговорим об Active Directory «по взрослому».
Итак, вернемся к нашему админу. Он идет и прописывает на каждом ПК всех сотрудников конторы. Тоже пока что не страшно. А вот уже начинаются «мраки». В нашу контору взяли на работу еще сотрудников, и купили еще серверов и кучу компьютеров. Смотрите рисунок 2.
Рисунок 2.
И тут понял админ что ему «крышка». Как стольких прописать, настроить, разрешить, одним словом – как все это «блин» администрировать. Решил сперва застрелится, что бы не мучится. Это же ад, а не работа. Но перед смертью решил написать Билу Гейтцу письмо. Пусть и у него совесть помучается. Ну написал что так мол и так, когда было пару компов и пару пользователей, еще ничего, а когда сеть и количество пользователей в сети, а еще и количество серверов выросло то просто стало невозможно работать так как просто невозможно при таком стечении обстоятельств администрировать что либо вообще. Каждый пользователь грозится расправой когда в сотый раз на дню регистрируется на определенный сервер куда ему нужно, а так же что ничего не может найти в сети конторы. Шефы звереют от того что некоторые просматривают их любовную переписку. И так далее…(тут пропускаю). Так что прощай брат Бил..цема, цема и не поминай лихом админа Васю Пупкина. Получил Бил письмо по мылу, прочитал его, и так ему стало жалко админа Васю Пупкина, уронил слезу, и написал – продержись браток еще чуть, чуть. Всем Микрософтом выезжаем на помощь. И вот так появилось в помощь сетевым администраторов такой инструмент какActiveDirectory.
То есть сама жизнь продиктовало необходимость в создание инструмента, который облегчало работу пользователей и сетевым администраторам в повседневной жизни.
После того как Бил помог Васи Пупкину, акаунты (учетные записи) стали хранится централизовано, то есть в одном месте и отпало необходимость прописывать пользователей на каждом ПК и на каждом сервере в нашей сети, а пользователям достаточно один раз зарегистрироваться в сети и больше не надо регится на каждом сервере куда он хочет попасть.Красота. Да и вообще, все что есть у нас в сети ActiveDirectory хранит в одном месте, централизованно,а еще позволяет "пущать" и "не пущать" наглых пользователей куда попало, и позволяет так же управлять (администрировать) всем что есть у нас в сети, не затрачивая дополнительные ресурсы, как в плане взятия на работу еще админов, так и в плане покупки дополнительных средств от сторонних производителей для администрирования сети и объектов находящихся в ней.
И вручил Бил от имени Мелкосовта персонально Васи такой инструмент как ActiveDirectory. И начал Вася с ним работать и увидел что это хорошо. И что у нас получилось с внедрением такого понятия как ActiveDirectory или как еще его называют – Службой каталогов. Смотрим рисунок 3.
Рисунок 3.
А теперь давайте поговорим по взрослому.
Каталог (directory) — называется совокупность информации об объектах, которые тем или иным способом связаны друг с другом.
То есть это какой-то информационный ресурс, используемый для хранения информации о каком-либо объекте. К примеру самый простой и исторический каталог, это такая тетрадка в которой некий гражданин записывает своих должников. Или более современный пример - телефонный справочник содержащий информацию об абонентах телефонной сети. В файловой системе каталоги (директории, папки) хранят информацию о файлах, связанные между собой тем или иным способом, к примеру, все файлы из папки такой-то -это эротические рассказы.
В нашей сети в каталоге может храниться информация об объектах нашей сети. Это могут быть принтеры, компьютеры, пользователи, программные продукты и различные базы данных которые есть у нас в сети. Главная «фишка» или задача здесь в том, что бы предоставить пользователям возможность обнаружить (найти) эти объекты и использовать их, но под зорким глазом администратора, а не так как хотят пользователи.
Давайте разберем понятие объект. И рассмотрим это понятие именно в контексте сети.
Объект – самостоятельная единица, которая представляет некий ресурс, существующий в сети (ПК, пользователи, ПО, …) со всеми его атрибутами. Что такое атрибут? Представьте, что у нас есть автомобиль, так вот автомобиль это объект, а его цвет, мощность и прочие это атрибуты или свойства и характеристики, или у Вас жена, жена объект, а цвет волос, длина ног, объем груди и талии, вредность, ревнивость, и прочие это атрибуты характеризующие жену как объект (Гы!). Но мы не будем пользоваться, когда будем говорить об объектах в большинстве случае словосочетанием «свойства и характеристики» а будем говорить – его атрибуты. К примеру у объекта нашей сети такой как «пользователь» имеются такие атрибуты как -фамилия, имя, логин, пароль, адрес электронной почты и другие. Смотрите рисунок 4.
Рисунок 4.
Служба каталогов - (directoryservice), (на то и служба что бы служить, и приносить нам хоть какуЮту пользу), и посредством исправной службы обеспечивает хранение всей необходимой для применения объектов и управление ими информации в одном месте (централизованно), и благодаря этому процесс обнаружения и администрирования ресурсами сети упрощается. В отличие от каталога, служба каталогов одновременно две роли;
- Источника информации;
- Механизма, с помощью которого эта информация подготавливается для доступа со стороны пользователей.
Служба каталогов – нечто вроде основной панели управления сетевой операционной системы (центрального пульта). Или что бы было совсем понятно.
Служба каталогов - это такое программное обеспечение (ну такая программа) в составе сетевой операционной системы, которая хранит всю информацию об объектах сети, и которая позволяет обнаруживать эти объекты (ну там различные компы, принтеры, юзверей и прочие, что есть у нас в сети, а все, что есть у нас в сети, мы рассматриваем как объекты), предоставлять их в распоряжение пользователям, и управлять ими (администрировать). Понятно? Нет???? Садитесь! Молчать! Два бала! Кх..Кх …отвлекся….
То есть на вопрос – что такое служба каталогов? Вы бойко отвечайте – это такое ПО (программное обеспечение) которая …далее что то мямлите … не забывая вставлять слово «хранит», «обнаруживать», «делать доступным пользователям»….и ….словосочетание «управлять ими», то бишь объектами.
Контролер домена - это компьютер на котором установлено такое ПО как Active Directory.
Так вот, уже слово «фишка», которым мы пользовались в начале нашего трудного повествования обрела некий смысл, и теперь она предстала перд нами как «Служба Каталогов». Что бы не путаться что такое «Служба каталогов» и «ActiveDirectory» , то я напишу так, а вы запомните «навечно».
Служба каталогов ActiveDirectory это программное обеспечение написанное (разработанное) Микрософтом. То есть Мелкософт назвал «службу каталогов» именем «ActiveDirectory». Макинтош назвал свою службу каталогов - Open Directory, а Novell - NDS. Ну, так окрестил свое детище Бил, правда по некоторым историческим данным он сперва хотел назвать «PupkinDirectory», но небезызвестный Вася был против (скромный блин). И скажу даже больше –Служба каталогов ActiveDirectory входит в состав таких сетевых операционных системах производства Микрософт как – WindowsServer 2000 и WindowsServer 2003 и старше.
И получается после стелькой трескотни, в двух словах, что Active Directory содержит каталог, в котором хранится информация о наших сетевых ресурсах и службы которые предоставляющие доступ к этой информации. Ну что то наподобие базы данных с информацией о сетевых ресурсах.
И еще хочу добавить такое «философское» замечание. Почему «философское», да потому что в этой науке больше всего выражений типа «с одной стороны» а потом идет сразу добавление - «а с другой стороны» и в конце вообще не понятно, о какой «стороне» идет речь вообще.
Так вот Служба каталогов - это с одной стороны инструмент администрирования, а с другой средство взаимодействия конечного пользователя с системой.
Чем больше разрастается наша сеть, тем больше в ней объектов, которыми необходимо управлять, и тут без внедрения Службы Каталогов - Active Directory не обойтись, что бы не уподобится Васи.
Характеристики служб Active Directory
- Централизованное хранение данных. Все данные относящиеся к Active Directory хранятся в распределенном репозитарии что предполагает возможность доступа из любого места. Наличие единого репозитария хранилища данных сокращает издержки, связанные с администрированием и дублирование данных. Т есть храня все данные о наших объектах в одном месте (это место и есть каталог Active Directory) то нам и проще администрировать, и проще предоставлять пользователям доступ к ресурсам нашей сети. Можно добавить что появляется одна точка входа (читай регистрируются один раз и все) для пользователей (ПК , приложений) если нам что то нужно в сети.
- Масштабируемость. Active Directory позволяет масштабировать каталог (изменять, увеличивать) в соответствии с требованием нашей сети, путем конфигурирования доменов и деревьев, а так же позволяет добавлять новые контролеры доменов, количество объектов в составе одного домена могут исчисляться миллионами. Если другими словами то Active Directory обладает такими механизмами которые позволяют разбить этот репозитарий (читай базу данных) на разделы и при этом не потерять контроль над этой базой из-за ее большого размера,а так же ее централизацию (то есть хранить все в одном месте).
- Расширяемость. Структура базы данных (схема) Active Directory позволяет вносить в нее специальные типы данных, которых по умолчанию в нее нет. Эти типы данных определяют сами администраторы сети, если они ему так нужны.
- Управляемость. В отличие от Windows NT в Active Directory построена на иерархической структуре объектов. Такое построение упрощает администрирование разрешений и других настройках безопасности, во -вторых позволяет пользователям найти сетевые ресурсы (папки, файлы, принтеры,...) легче.
- Интеграция с системой доменных имен DNS. Active Directory обращается в своей работе к DNS. С помощью DNS клиенты определяют местоположение контролеров домена. При использовании собственной службы DNS Active Directory позволяет хранить первичные зоны непосредственно в Active Directory и их репликация среди других контролеров домена.
- Администрирование на основе политик. Политики в Active Directory определяют что разрешено пользователям и компьютерам в рамках нашей сети (еще говорится сайта - но об этом чуть позже), домена или подразделения.
- Возможность взаимодействия с другими службами каталогов. Active Directory построена на стандартных протоколах доступа к каталогам. Как понимать это предложение. А так перед тем как обратится к каталогам происходит такой ритуал в котором и обращающий и тот к кому обратился договариваются о способе взаимодействия. Договариваются посредством протоколов. Ну почти как мы посредством языка. Если язык один и тот же и (к примеру русский,то при желании можно договорится). Active Directory общается посредством так названого протокола - облегченный протокол службы каталогов (Lightweight Directory Access Protocol, LDAP). И любая другая служба каталогов которая поддерживает такой протокол может свободно договорится с Active Directory о взаимодействии между ними.
В Windows Server 2003 протокол LDAP подписывается и шифруется.
Учитывая все сказанное давайте уточним еще раз что нам дает применение службы каталогов Active Directory:
- Позволяет хранить информацию о всех объектах нашей сети в одном месте, а также предоставляет пользователям и системным администраторам возможность пользоваться этой информацией.
- Создает удобство в работе пользователей так как необходимо только один раз зарегистрироваться в системе, введя логин и пароль и в зависимости от тех разрешение которые вам прописал системный администратор получаете этот доступ к необходимым ресурсам.
- Создает удобство в работе администратора так как он получает инструмент который состоит из одной панели управления.
- Повышает степень безопасности путем определения разрешений на доступ к объектам в зависимости к какой группе или организационной единице принадлежит пользователь, а так же делегирования полномочий с разной степенью допуска системным администраторам.
- Позволяет так спроектировать структуру Active Directory как нам необходимо исходя из требований нашей конторы.
Ну пока думаю что достаточно. Есть пункты которые вам прочитавшие до этого места еще непонятны, и вам представляются только как набор слов. Не расстраиваться, в последующих статьях я с вами все постепенно разберем и то что пока непонятно станет ясно.