Рис. 5.2. Домены

Каждый домен в дереве является отдельной и явно выраженной административной единицей, так же как и границей для целей репликации. То есть, если вы создали учетную запись пользователя в домене filial1.firma.ru, то эта учетная запись, существующая на контроллере домена, будет реплицирована на все контроллеры домена filial2.firma.ru.

Каждый новый «дочерний» домен имеет transitive (транзитивные) двунаправленные доверительные отношения с «родительским» доменом. Это достигается автоматически в Active Directory и позволяет пользователям из одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых доверительных отношений, пользователи в filial1 могут получать доступ к ресурсам (для чего у них должны быть соответствующие разрешения) в filial2 и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет своему «родительскому» домену firma , который в свою очередь «доверяет» filial2 – таким образом filial1 доверяет filial2 и наоборот).

Дерево, в общих чертах, можно определить как набор доменов, которые связаны отношениями «дочерний»/«родительский» и поддерживают связанное пространство имен. [4]

5.1.2.3 Лес

Лес – это термин, применяемый для описания совокупности Active Directory деревьев. Каждое дерево в лесе имеет собственное отдельное пространство имен. Например, давайте предположим, что наша фирма владеет еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое собственное отдельное пространство имен, я могу достичь этого объединив деревья и сформировать лес, как показано ниже:

Рис. 5.3. Лес

Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-прежнему остается доменом и может иметь собственное дерево. Заметьте, что здесь существуют транзитивные доверительные отношения между «корневыми» доменами каждого дерева в лесу – это позволит пользователям домена acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в то же время поддерживает проверку подлинности в собственном домене.

Первый домен, созданный в лесу, рассматривается как «корень» леса. Одна из самых важных особенностей леса – это то, что каждый отдельный домен поддерживает общую схему – определения для различных объектов и связанных с ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть создан из одного дерева, которое содержит всего один домен. Это будет маленький лес, но формально это будет лес. [4]

5.1.2.4 Организационные единицы

Организационные единицы (обычно называемые OU) – это контейнеры внутри Active Directory которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. OU могут быть созданы для организации объектов несколькими путями, в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в OU могут служить учетные записи пользователей, компьютеров, групп и т.д. Рисунок 5.1.3 показывает пример OU, основанной на местоположении пользователей и ресурсов:

Рис. 5.4. Организационные единицы.

OU может содержать только объекты из того домена, в котором они расположены. Также заметьте, что структура OU может широко варьироваться от компании к компании. Она разрабатывается с целью облегчить администрирование ресурсов и применения групповых политик. В то время как полный административный контроль может быть дан (делегирован) пользователю через OU, для больших организаций становиться возможным иметь только один домен, в котором каждая структура будет имеет собственный контроль только над своей OU. [1]

5.1.3. Физическая структура

Физическая структура Active Directory связана с двумя главными типами объектов – сайтами и контроллерами доменов.

5.1.3.1 Сайты

В отличии от NT 4, в Windows 2000 Active Directory предусматривает концепцию физического местоположения внутри структуры. В Active Directory сайт – это совокупность подсетей TCP/IP, между которыми существует высокоскоростное соединение. Хотя «высокоскоростное» - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN – соединениям. Вы определяете сайт в Active Directory для контроля репликации, аутентификации и местоположения служб. Как только сайт будет создан, компьютеры клиентов будут пытаться аутентифицироваться на контроллере домена, который находится на данном сайте, вместо того, чтобы посылать запросы по WAN (глобальной сети).

Сайты также позволяют вам контролировать, когда репликация может происходить между контроллерами доменов. Например, в NT 4, все BDC получают данные от PDC в процессе репликации, используя 5-минутный интервал уведомления об изменениях. Так как в NT не было предусмотрено простого пути для контроля репликации между физическими местоположениями (это можно сделать, используя специальные скрипты для регистра), трафик репликации может перегрузить линии и снизить производительность сети. Если же вы определите сайт в Active Directory, вы можете также определить время и дни, в которые репликация между сайтами должна происходить, как часто она должна происходить, и преимущественные пути для ее прохождения. Вы должны заметить, однако, что по умолчанию существует только один сайт, и пока вы не создадите другие, репликация будет происходить, как и раньше, каждый 5-минутный интервал уведомления об изменениях. Также важно отметить, что сайты – это другой элемент, который позволяет большим компаниям иметь только один домен. Так как не существует соотношения между логической и физической структурой Active Directory, вы можете иметь один домен и сотню сайтов. Возможность контролировать трафик репликации – одно из наибольших преимуществ управляемости Active Directory.

5.1.3.2 Контроллеры доменов

Домена не может существовать без по крайней мере одного контроллера домена, где храниться база данных Active Directory. В отличие от Windows NT, где была только одна копия базы, позволяющая делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в Windows 2000 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Как и в NT 4, должно быть как минимум два контроллера в домене для целей избыточности, а, как правило, и гораздо больше, в зависимости от размера организации. [4]