Основные сведения о логической модели Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Проектирование логической структуры для служб домен Active Directory (AD DS) включает определение связей между контейнерами в каталоге. Эти связи могут быть основаны на административных требованиях, таких как делегирование полномочий, или они могут быть определены операционными требованиями, например необходимость управления реплика.

Прежде чем разрабатывать логическую структуру Active Directory, важно понимать логическую модель Active Directory. AD DS — это распределенная база данных, которая хранит и управляет сведениями о сетевых ресурсах, а также данными, зависящими от приложений с поддержкой каталогов. AD DS позволяет администраторам упорядочивать элементы сети (например, пользователи, компьютеры и устройства) в иерархическую структуру хранения. Контейнер верхнего уровня — это лес. В лесах находятся домены, а внутри доменов — подразделения. Это называется логической моделью, так как она не зависит от физических аспектов развертывания, таких как количество контроллеров домена, необходимых в каждой топологии домена и сети.

Лес Active Directory

Лес — это коллекция одного или нескольких доменов Active Directory, которые совместно используют общую логическую структуру, схему каталогов (определения классов и атрибутов), конфигурацию каталога (сведения о сайте и реплика tion information), а также глобальный каталог (возможности поиска по всему лесу). Домены в одном лесу автоматически связаны с двусторонними отношениями доверия.

Домен Active Directory

Домен — это секция в лесу Active Directory. Секционирование данных позволяет организациям реплика управлять данными только в том месте, где это необходимо. Таким образом, каталог может масштабироваться глобально по сети с ограниченной пропускной способностью. Кроме того, домен поддерживает ряд других основных функций, связанных с администрированием, включая:

  • Удостоверение пользователя на уровне сети. Домены позволяют создавать удостоверения пользователей один раз и ссылаться на любой компьютер, присоединенный к лесу, в котором находится домен. Контроллеры домена, составляющие домен, используются для безопасного хранения учетных записей пользователей и учетных данных пользователей (например, паролей или сертификатов).

  • Проверка подлинности. Контроллеры домена предоставляют службы проверки подлинности для пользователей и предоставляют дополнительные данные авторизации, такие как членство в группах пользователей, которые можно использовать для управления доступом к ресурсам в сети.

  • Отношения доверия. Домены могут расширить службы проверки подлинности пользователям в доменах за пределами собственного леса с помощью доверия.

  • Репликация. Домен определяет секцию каталога, содержащего достаточные данные для предоставления доменных служб, а затем реплика его между контроллерами домена. Таким образом, все контроллеры домена являются однорангами в домене и управляются как единица.

Организационные подразделения Active Directory

Подразделения можно использовать для формирования иерархии контейнеров в домене. Подразделения используются для группировки объектов в административных целях, таких как применение групповой политики или делегирование полномочий. Управление (над подразделением и объектами в нем) определяется списками управления доступом (ACL) в подразделении и объектах в подразделении. Чтобы упростить управление большим количеством объектов, AD DS поддерживает концепцию делегирования полномочий. С помощью делегирования владельцы могут передавать полный или ограниченный административный контроль над объектами другим пользователям или группам. Делегирование важно, так как оно помогает распределять управление большим количеством объектов между несколькими людьми, доверенными для выполнения задач управления.