Преимущества Active Directory

Служба каталогов Active Directory является службой, интегрированной с MS Windows начиная с Windows 2000 Server. Active Directory обеспечивает иерархическую структуру построения организации, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба позволяет использовать простые и интуитивно понятные имена объектов, которые в ней содержатся, при этом доступ к ней может быть осуществлен с помощью таких инструментов, как программа просмотра ресурсов Интернет.

Распределенные службы безопасности также используют Active Directory в качестве хранилища учетной информации.

Преимущества интеграции управления учетными записями со службой каталогов Active Directory таковы:

· учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых организационными подразделениями или просто подразделениями. В домене может быть произвольное число подразделений, организованных в виде древовидного пространства имен. Это пространство имен может быть выстроено в соответствии с подразделениями и отделами в организации. Так же как и организационные подразделения, учетные записи пользователей являются объектами каталога и могут быть легко переименованы внутри дерева доменов при перемещении пользователей из одного отдела в другой;

· в каталоге Active Directory поддерживается большое число объектов: размер одного домена не ограничивается производительностью сервера, хранящего учетные записи. Дерево связанных между собой доменов может поддерживать большие и сложные организационные структуры;

· администрирование учетной информации расширено за счет использования графических средств управления Active Directory, а также за счет поддержки OLE в языках сценариев. Общие задачи могут быть реализованы в виде сценариев, позволяющих автоматизировать администрирование;

· служба тиражирования каталогов позволяет иметь несколько копий учетной информации, причем обновления этой информации могут выполняться в любой копии, а не только на выделенных первичных контроллерах домена. Протокол LDAP и синхронизация каталогов позволяют обеспечивать механизмы связи каталога Windows с другими каталогами на предприятии;

· хранение учетной информации в Active Directory означает, что пользователи и группы представлены в виде объектов каталога. Права на чтение и запись могут быть предоставлены как по отношению ко всему объекту целиком, так и по отношению к отдельным его свойствам. Администраторы могут точно определять, кто именно и какую именно информацию о пользователях может модифицировать. Например, оператору телефонной службы может быть разрешено изменять информацию о телефонных номерах пользователей, но при этом он не будет обладать привилегиями системного оператора или администратора.

Если в компании-заказчике заинтересованы в выполнении наиболее сильно интегрированной службы каталога для Windows Server 2003, то Active Directory является логичным выбором. Другая очень популярная причина, подталкивающая к реализации службы Active Directory, состоит в поддержке Microsoft Exchange Server 2000¹⁾. Далее описаны несколько ключевых преимуществ службы Active Directory Windows Server 2003 [13].

· Централизованный каталог. Active Directory является единственной централизованной службой каталога, которая может быть реализована в пределах предприятия. Это упрощает сетевое администрирование, поскольку администраторы не должны соединяться с несколькими каталогами, чтобы выполнять управление учетными записями. Другая выгода от применения централизованного каталога состоит в том, что он может также использоваться другими приложениями, такими как Exchange Server 2000. Это упрощает полное сетевое администрирование, так как используется единая служба каталога для всех приложений.

· Единая регистрация. После успешной идентификации пользователям будет предоставлен доступ ко всем сетевым ресурсам, для которых им было дано разрешение, без необходимости регистрироваться снова на различных серверах или доменах.

· Делегированное администрирование. Active Directory предоставляет администраторам возможность передавать административные права. Используя мастер Delegation Of Control Wizard (Делегирование управления) или устанавливая определенные разрешения на объекты Active Directory, администраторы могут предлагать тонко настроенные административные права. Например, можно назначить определенной учетной записи пользователя административное право сбрасывать пароли в домене, но не создавать, удалять или как-либо изменять пользовательский объект.

· Интерфейс общего управления. Есть несколько способов, которыми можно получить выгоду от интеграции между Active Directory и операционной системой. Один из путей состоит в использовании интерфейса общего управления - консоли управления Microsoft (ММС - Microsoft Management Console). При взаимодействии с Active Directory через графический интерфейс пользователя ММС все инструментальные средства управления дают согласующееся друг с другом впечатление и ощущение от их использования. Для Active Directory эти средства включают Active Directory Users And Computers (Active Directory: пользователи и компьютеры), Active Directory Domains And Trusts (Active Directory: домены и доверительные отношения) и Active Directory Sites And Services (Active Directory: сайты и службы). Оснастки ММС функционируют так же, как все другие средства администрирования Windows Server 2003, например оснастки DHCP и DNS.

· Интегрированная безопасность. Служба Active Directory работает рука об руку с подсистемой безопасности Windows Server 2003 при аутентификации безопасных пользователей и обеспечении защиты общедоступных сетевых ресурсов. Сетевая защита в сети Windows Server 2003 начинается с аутентификации во время регистрации. Когда безопасный пользователь входит в домен Windows Server 2003, подсистема защиты вместе с Active Directory создает лексему доступа, которая содержит идентификатор защиты (SID - Security Identifier) учетной записи пользователя, а также идентификаторы SID всех групп, членом которых является данный пользователь. Идентификатор SID является атрибутом пользовательского объекта в Active Directory. Затем лексема доступа сравнивается с дескриптором защиты на ресурсе, и, если устанавливается соответствие, то пользователю предоставляется требуемый уровень доступа.

· Масштабируемость. Поскольку организация либо постепенно растет в процессе бизнеса, либо это происходит быстро, через ряд слияний с другими компаниями и в результате приобретений, служба Active Directory спроектирована масштабируемой, для того чтобы справляться с этим ростом. Можно расширить размер доменной модели или просто добавить больше серверов, чтобы приспособиться к потребностям увеличения объема. Любые изменения в инфраструктуре Active Directory должны быть тщательно реализованы в соответствии с проектом Active Directory, который предусматривает такой рост. Отдельный домен, представляющий самый маленький раздел инфраструктуры Active Directory, который может реплицироваться на единственный контроллер домена, может поддерживать более одного миллиона объектов, так что модель отдельного домена подходит даже для больших организаций.