Windows 2000 Основные концепции службы Active Directory
Листья и контейнеры
LDAP
После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к
данным Active Directory используется протокол LDAP. Как и DNS, LDAP — это стандарт,
разработанный консорциумом IETF и происходящий от сложной, но не используемой
широко службы каталогов Х.500, созданной в середине 80-х годов. Active Directory
поддерживает не только версию 2 протокола LDAP, описанную в RFC 1777, но и версию
3, рассматриваемую в RFC 2251. В настоящее время практически все фирмы-поставщики
служб каталогов предлагают LDAP-совместимые продукты, поэтому клиенты LDAP сторонних
поставщиков могут обращаться к LDAP-серверу Active Directory. Протокол LDAP работает
поверх TCP/IP и — как следует из названия протокола — определяет способы доступа
к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует
соглашения по именованию информации в каталоге, в явном виде описывая структуру
этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются
в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть
либо контейнером (container), либо листом (leaf). Различие между
ними вполне очевидно: контейнеры могут содержать другие элементы, а листья — нет.
Каждый элемент (контейнер
или лист) представляет собой некоторый объектный класс, определяющий атрибуты
(называемые также свойствами) данного элемента. Поскольку атрибуты есть
и у контейнеров, и у листьев, информация, хранящаяся в дереве каталога, распределена
по всем узлам. Тип информации (объектные классы и типы атрибутов), содержащейся
в конкретной базе данных Active Directory, задается схемой, определенной для этого
каталога. В Active Directory схема каждого каталога представлена элементами, хранящимися
непосредственно в самом каталоге. Компания Microsoft определяет стандартную схему,
однако пользователи и разработчики программных средств могут добавлять новые классы
и типы атрибутов. Изменение схемы каталога — полезная возможность, которой нужно
пользоваться очень осторожно, поскольку такие изменения могут иметь весьма значительные
последствия.
Схема
Active Directory достаточно сложна и содержит сотни и сотни объектных классов
и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:
user — описывает конкретного пользователя домена. Среди атрибутов этого класса:
canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя),
homePostalAddress (Домашний почтовый адрес), telephoneNumber (Номер телефона),
thumbnailPhoto (Фотография).
printQueue
— позволяет клиенту находить некоторый принтер. Среди атрибутов: location
(Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).
compoter — идентифицирует
некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem
(Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста)
и machineRole (Назначение компьютера; этот атрибут указывает, является ли данный
компьютер контроллером домена, рядовым сервером или рабочей станцией).
organizationalUnit — описывает подразделения конкретного домена. Самый
важный.атрибут— ои (Имя организационной единицы). Организационные единицы играют
очень важную роль при структурировании информации, внутри домена (это будет описано
чуть позже).
Каждый элемент Active Directory и каждый атрибут любого элемента имеют список
управления доступом (ACL), который определяет права и возможности пользователей
в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может
позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям
— читать и изменять некоторые из атрибутов, а остальным — запретить какой-либо
доступ к элементу. Эффективное управление доступом невозможно без достоверной
аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos.
(Kerberos — стандарт, созданный консорциумом IETF и поддерживаемый многими поставщиками;
ключевая технология для обеспечения распределенной безопасности Windows 2000.)
Windows 2003 server Учебник
Восстановление файлов и настроек</p><p class="Text">
<br> Если вы сохраняли свои
файлы и настройки старой системы с помощью мастера Files and Settings Transfer
Wizard (Мастер переноса файлов и параметров) или средства миграции пользовательских
настроек User Settings Migration Tool, USMT, обсуждавшихся ранее в этой главе,
то после первой загрузки — самое время восстановить их. После этого можно начинать
обычную работу с системой. <br> <p class="Prim"> Многие
пользователи, решившие
применить средства миграции файлов и настроек из прежней операционной системы,
часто задают вопрос о том, почему некоторые индивидуальные настройки и предпочтения
не входят в силу после восстановления сохраненной миграционной информации. В
частности,
это относится к программам, требующим пароля (после восстановления индивидуальных
настроек такие программы могут не работать совсем) и параметрам настройки дисплея
(экранное разрешение). Следует сразу же указать, что такие особенности не являются
следствием ошибки, а наоборот, представляют собой внутренние свойства операционной
системы, заложенные в нее разработчиками. Так, например, переноса паролей при
миграции не происходит, поскольку это противоречит внутренней логике системы
безопасности
Windows Server 2003. Проще говоря, система таким образом защищает ваши пароли.
Чтобы обойти это ограничение, следует повторно задать пароли после миграции
приложений,
которые требуют их ввода. Что касается разрешения экрана монитора, то оно также
не переносится в новую систему, поскольку этот параметр является аппаратным
(hardware-specific).
Чтобы обойти это ограничение, разрешение экрана следует установить вручную после
переноса пользовательских файлов и параметров.
