Windows 2000 Основные концепции службы Active Directory
Механизмы именования
в Active Directory
Каждый домен в Windows 2000 имеет DNS-имя, однако DNS-имена не применяются для
именования отдельных элементов базы данных Active Directory. Вместо "этого следует
использовать имена, принятые в LDAP. Согласно требованиям протокола LDAP один
{или — очень редко — несколько) из атрибутов элемента каталога служит для именования
этого элемента. Например, для идентификации экземпляра (элемента) объектного класса
user может быть задействовано значение атрибута сn; а для объекта класса organizational
Unit — значение атрибута оu.
На рис. 23.2 показана гипотетическая структура очень простого домена Windows 2000
для компании BHV. Предположим, что эта компания имеет два структурных подразделения
(отдел продаж и редакционную группу) и доменное имя компании — bhv.com. По функциональным
обязанностям члены редакционной группы делятся на администрацию и редакторов.
Практически в любом домене для деления пространства имен используются подразделения
или организационные единицы (OU), и демонстрационный домен — не исключение. Ниже
корня домена располагаются два подразделения: sales (отдел продаж) и
office (редакционная группа). Имя каждого подразделения определяется
значением ее атрибута оu.
Рис 23.2 Структура каталога простого домена Windows 2000
Примечание
Объектам
Active Directory (в частности, подразделениям) можно давать и русские имена (возможно,
из нескольких слов). Однако, если локальная сеть подключается к Интернету, нужно
учитывать, что в стандартных интернетовских DNS-именах разрешены только латинские
буквы!
Ниже подразделения sales располагаются объекты класса user. Имя.каждого объекта
определяется атрибутом en (Common-Name), и эти объекты хранят информацию о пользователях
домена. Организационная единица office делится еще на два подразделения: Admins
и Editors. Ниже располагаются элементы каталога для отдельных работников,
имена которых также определяются атрибутами сп.
Для получения информации о некотором элементе, например, Director, клиент должен
указать уникальное имя этого элемента, которое называется отличительным,
или различающимся, именем (distinguished name). Отличительное имя — это
набор имен, отражающих путь от корня дерева домена до интересующего элемента.
Для элемента Director, например, отличительным именем будет cn=Director, ou=Admms,
dc=bhv, dc=eom. В последних двух элементах имени dc означает domain component,
эти элементы представляют DNS-имя домена в соответствии с соглашениями LDAP.
Отличительные имена уникальным образом идентифицируют узлы в базе данных Active
Directory, однако их нельзя назвать "дружественными". Можно не перечислять в имени
все типы атрибутов явно (cn=, ou=, dc= и т. п.), а записать это имя как //bhv.com/Admins/Director.
В передаваемых LDAP-пакетах всегда указывается отличительное имя, однако в пользовательском
интерфейсе можно применять более удобную и простую форму имени. Помимо отличительного
имени каждый объект каталога имеет относительное отличительное имя (relative
distinguished name), которое является атрибутом самого этого объекта, а не образуется
как цепочка имен до объекта от корня дерева. Таким образом, для элемента Director,
например, относительным отличительным именем будет cn=Director. Для родительского
объекта этого элемента относительное отличительное имя — ou=Admins. В Active Directory
имеется несколько контекстов имен (naming contexts), или разделов
(partitions), которые представляют собой законченные, непрерывные поддеревья
каталога и являются объектами репликации. Каждый сервер с Active Directory имеет
по меньшей мере три контекста имен:
Схема
(Schema), описывающая классы объектов и их атрибуты, хранящиеся в Active
Directory.
Конфигурация (Configuration)
(топология репликации и связанные с ней метаданные, например, сведения о контроллерах
домена).
Один (в нашем примере — bhv.com) или
несколько пользовательских, или доменных, контекстов имен (т.
е. контекстов, содержащих реальные, рабочие объекты каталога), при этом контроллеры
домена хранят реальные объекты только своего домена.
Windows 2003 server Учебник
Восстановление файлов и настроек</p><p class="Text">
<br> Если вы сохраняли свои
файлы и настройки старой системы с помощью мастера Files and Settings Transfer
Wizard (Мастер переноса файлов и параметров) или средства миграции пользовательских
настроек User Settings Migration Tool, USMT, обсуждавшихся ранее в этой главе,
то после первой загрузки — самое время восстановить их. После этого можно начинать
обычную работу с системой. <br> <p class="Prim"> Многие
пользователи, решившие
применить средства миграции файлов и настроек из прежней операционной системы,
часто задают вопрос о том, почему некоторые индивидуальные настройки и предпочтения
не входят в силу после восстановления сохраненной миграционной информации. В
частности,
это относится к программам, требующим пароля (после восстановления индивидуальных
настроек такие программы могут не работать совсем) и параметрам настройки дисплея
(экранное разрешение). Следует сразу же указать, что такие особенности не являются
следствием ошибки, а наоборот, представляют собой внутренние свойства операционной
системы, заложенные в нее разработчиками. Так, например, переноса паролей при
миграции не происходит, поскольку это противоречит внутренней логике системы
безопасности
Windows Server 2003. Проще говоря, система таким образом защищает ваши пароли.
Чтобы обойти это ограничение, следует повторно задать пароли после миграции
приложений,
которые требуют их ввода. Что касается разрешения экрана монитора, то оно также
не переносится в новую систему, поскольку этот параметр является аппаратным
(hardware-specific).
Чтобы обойти это ограничение, разрешение экрана следует установить вручную после
переноса пользовательских файлов и параметров.
