Интеграция DNS.

Модель защиты данных.

Все объекты в Active Directory защищены списками контроля доступа (Access Control List, ACL), которые определяют, кто из пользователей может видеть данный объект, и какие действия с объектом разрешены каждому из пользователей. Если пользователю не разрешено видеть данный объект, то у него нет и никаких средств узнать о его существовании.

Список контроля доступа состоит из записей управления доступом (Access Control Entries, ACE). Они хранятся вместе с объектом, который защищается данным списком. В операционной системе список ACL хранится в двоичном формате и называется дескриптором безопасности (Security Descriptor). Каждая запись ACE содержит идентификатор защиты (Security Identifier, SID), который однозначно указывает на лицо, ответственное за безопасность данного объекта – им может быть отдельный пользователь или группа пользователей, и содержит информацию о том, какой тип доступа к объекту разрешен записью ACE.

Списки ACL в каталогах содержат записи, относящиеся к объекту в целом, и записи, относящиеся к отдельным атрибутам объекта. Это дает возможность администратору не только указывать, какие пользователи могут видеть данный объект, но и какие свойства этого объекта будут видны пользователям.

Служба Active Directory тесно интегрирована с системой имен доменов (Domain Name System, DNS). DNS представляет собой распределенное пространство имен, которое используется в Интернет и в котором именам отдельных компьютеров и служб ставятся в соответствие адреса, формируемые по правилам протокола TCP/IP. Большинство крупных организаций, имеющих свои внутренние сети (интрасети), используют DNS в качестве системы распознавания имен. Active Directory использует DNS в качестве службы размещения.

Имена доменов в Windows 2003 строятся по правилам DNS. Например, “Microsoft.com” – корректное DNS-имя домена; оно также может являться именем домена и в Windows 2003. Высокая степень интеграции DNS означает, что служба Active Directory хорошо совместима с такими сетевыми средами как Интернет и интрасети. С ее помощью клиенты быстро и без труда могут находить серверы каталогов. Организация может напрямую подключать к Интернету свои серверы, поддерживающие Active Directory – это упростит защиту передаваемых данных, и будет способствовать развитию связей компании с клиентами и деловыми партнерами.

Серверы Active Directory публикуют свои адреса таким образом, что клиенты могут найти их, зная только имя домена.

@ Публикация имен серверов Active Directory осуществляется с помощью записей ресурсов служб (ServiceResource Records, SRV RR) в системе DNS. Каждая такая запись служит для сопоставления имени службы с адресом сервера, который поддерживает данную службу. Запись SRV RR имеет следующую форму:
<service>.<protocol>.<domain>
Серверы Active Directory поддерживают работу службы LDAP поверх протокола TCP, поэтому опубликованные имена имеют такой вид:
ldap.tcp.<domain>
Таким образом, запись SRV RR для имени “Microsoft.com” будет иметь вид “ldap.tcp.microsoft.com.” Дополнительная информация в записи указывает приоритет и вес сервера, что позволяет клиентам выбирать тот сервер, который наилучшим образом подходит для выполнения их конкретной задачи.

После того, как сервер Active Directory установлен, он публикует свое имя через систему Dynamic DNS (см. ниже). Поскольку адреса TCP/IP могут со временем изменяться, серверы время от времени проверяют правильность своей регистрационной информации и при необходимости обновляют ее.