Домены – основы управления компьютерными системами предприятия

Управление компьютерными системами предприятия

Крупные корпорации вынуждены тратить миллионы долларов в год на приобретение пакетов приложений и на оплату труда персонала, осуществляющего обслуживание компьютеров. И хотя большинство продуктов сторонних производителей предоставляют средства, помогающие управлять компьютерными системами предприятия, в них, как правило, имеется большая разница между декларируемыми и реально существующими функциональными возможностями. И когда, наконец, вы находите то, что нужно, оказывается, что средств, запланированных на приобретение подобных пакетов, уже не осталось. Как же обеспечить обслуживание компьютерной системой предприятия без привлечения дорогостоящих решений сторонних производителей?

NT-домен — это совокупность компьютеров, совместно использующих общую базу данных учетных записей. Диспетчер безопасности учетных записей (Security Account Manager, SAM) является средством, которое вместо хранения учетных записей пользователей и групп на каждом отдельном компьютере обеспечивает их централизованное и безопасное хранение. SAM хранится на сервере, называемом основным контроллером домена (primary domain controller, PDC). В домене ОС NT может существовать только один PDC. Он реплицирует (копирует) доступную только для чтения копию SAM на серверы, называемые резервными контроллерами домена (backup domain controllers (BDC). Эти серверы позволяют снизить нагрузку на PDC, производя обработку запросов аутентификации и получая запросы изменения SAM. Все запросы на изменение SAM, поступившие на BDC, отправляются и обрабатываются на PDC (поскольку на BDC копия SAM имеет статус «только для чтения», a BDC не уполномочен самостоятельно вносить изменения).

Учетные записи пользователей и групп

Учетные записи пользователей и групп хранятся в SAM. Учетная запись пользователя является основным элементом базы данных. В этой записи содержится имя пользователя, пароль, а также сведения о его членстве в различных группах. Учетная запись пользователя предназначена для ограничения доступа к ресурсам. Группа — это упорядоченный список учетных записей. Группы используются для совместного назначения привилегий и для систематизации членства. Например, помещение пользователей в группу «Administrators» (Администраторы) дает им административные полномочия (и делает их чрезвычайно опасными). В NT используются два типа пользователей и групп: локальные и глобальные. Если пользователь или группа — локальные, то их сведения хранятся в SAM локального компьютера и не могут использоваться за пределами данного домена. А если учетная запись или группа — глобальные, то их сведения хранятся на PDC и доступны как в пределах, так и за пределами домена. Например, если вы являетесь локальным администратором компьютера, то вы имеете административные полномочия только в отношении этого компьютера, а не в отношении любого компьютера домена, как администраторы домена.

Доверительные отношения домена

Для совместного использования ресурсов в домене NT использует понятие «доверие». Его можно воспринимать как ключ к вашему кабинету. Когда вы даете ключ от своего кабинета другим сотрудникам, они могут его открыть и войти. Вы не сможете проникнуть в их кабинет, пока они не дадут вам свои ключи. Аналогично поступают и компьютеры: когда один домен доверяет другому, то он позволяет ему подключиться и обращаться к своим ресурсам, как будто тот является частью этого домена. В NT доверительные отношения бывают только односторонними и устанавливаются с помощью утилиты User Manager For Domains. Соответственно, когда два домена доверяют друг другу и позволяют обращаться к своим ресурсам, они должны установить доверие друг к другу (двухстороннее доверие).

Введение в сети Windows 2000

Самым большим достоинством ОС Windows 2000 по сравнению с Windows NT является перестройка структуры и использование служб каталогов. Windows 2000 обеспечивает несколько новых способов формирования структуры и централизованного управления сетью.

Деревья и леса

Windows 2000 позволяет упорядочить домены в иерархические группы, называемые деревьями. Все деревья используют общую схему, глобальный каталог, реплицируемые сведения и пространство имен DNS (например, http://www.piter-press.com). После создания деревьев они могут быть упорядочены в леса. Все леса также используют общую схему, глобальный каталог и реплицируемые сведения, но используют различные пространства имен DNS. Это позволяет вам компоновать ресурсы в двух различных доменах Интернета (например, http://www.mydomain.com и http://www.yourdomain.com). При использовании деревьев и лесов ОС Windows 2000 автоматически устанавливает двухсторонние отношения между всеми доменами.

Объекты

Windows 2000 трактует все имеющиеся ресурсы как объекты. Объекты сами могут состоять из различных ресурсов сети, таких, как пользователи, компьютеры, принтеры и общие ресурсы. Каждый объект имеет собственный, определяемый схемой набор атрибутов, функций и свойств. Каждый раз при обращении к любому ресурсу схема определяет, какие свойства и характеристики доступны. Например, учетная запись пользователя имеет свойство lockout (блокировка), а совместно используемый ресурс в соответствии со схемой такого свойства не имеет.

Организационные подразделения

Windows 2000 позволяет объединять сетевые объекты в логические контейнеры, называемые организационными подразделениями (Organizational Unit, OU). Подразделения могут содержать любые сетевые ресурсы, например группы, очереди, общие ресурсы и даже другие подразделения. При использовании подразделений можно осуществить делегирование административных полномочий, назначать разрешения для всего подразделения, а также для отдельных объектов, входящих в него. Самое распространенное применение подразделений — упорядочение ресурсов компании в соответствии с существующей штатной структурой (например, по отделам).

Глобальный каталог

Windows 2000 хранит сведения обо всех объектах, имеющихся в деревьях и лесах в общей базе данных, называемой глобальным каталогом. Он предназначен для сокращения объема поиска в сети и времени запроса объекта, обрабатывая эти запросы самостоятельно. Глобальный каталог хранится на первом контроллере домена леса. Этот сервер называется сервером глобального каталога. Для сокращения запросов в сети можно назначить дополнительные серверы глобального каталога.

ВНИМАНИЕ — Сервер глобального каталога осуществляет «синхронизацию» своей информации за счет репликации. Наличие большого количества таких серверов может привести к перегрузке сети за счет большого трафика репликации.