Активные директории

Степан Ильин aka Step

Хакер, номер #074, стр. 074-018-1

(step@real.xakep.ru)

Технология Active Directory в разрезе

В последнее время все чаще и чаще на адрес нашего FAQ’а приходят письма с просьбами объяснить, что такое Active Directory. Очень странный ажиотаж. Десять одинаковых вопросов за два месяца – это нонсенс. Хотя тенденция вполне закономерная. Аббревиатура AD (Active Directory) в рунете, да и не только, встречается сплошь и рядом. Однако хорошей инфы по теме не так уж и много. Все больше и больше попадаются подробные мануалы, касающиеся настройки и решения многочисленных проблем с AD. Мы же в такие дебри лезть пока не будем. И пока просто разберемся, что представляют собой эти активные директории. Может быть, это не такой уж и дикий зверь?

Домен и рабочая группа

Прежде чем описывать архитектуру AD, неплохо было бы вспомнить такие старые понятия, как домен и рабочая группа. Итак, какая между ними разница? Рабочая группа – это объединение сетевых компьютеров, предоставляющих удаленный доступ к своим ресурсам, то есть файлам, принтерам и т.п. Такой подход не подразумевает использования выделенного сервера, а посему используется в небольших локалках. Компьютеры в такой сети используют равномерный доступ к своим ресурсам, причем каждый из них имеет свою собственную БД безопасности. Проще говоря, на каждом компьютере четко прописывается, какие пользователи к каким ресурсам имеют доступ. Такая децентрализация администрирования учетных записей, естественно, не очень удобна. Любому новому пользователю приходится создавать аккаунт на каждой из машин. Если не прописать аккаунт хотя бы на одной из них, то юзер не сможет получить к ней доступ.

Доменная структура в этом смысле куда более привлекательна. Основной ее козырь – централизованная система аутентификации. Все учетные записи пользователей домена хранятся в одном-единственном месте – в контроллере домена. Последний обычно представляет собой специально выделенный компьютер с серверной ОС. Когда пользователь входит в домен, контроллер проверяет по каталогу (БД учетных записей домена) его имя с паролем и выдает соответствующие полномочия. Преимущество такого подхода очевидно. Пользователя нужно прописать только один раз на контроллере домена.

Причем тут AD?

Active Directory - логическое развитие доменной системы. По сути, это своеобразная надстройка над имеющейся схемой. Технология, ставшая неотъемлемой частью серверных версий Windows 2000/2003, предоставляет еще большие возможности, чем доменная система. Active Directory позволяет эффективно создавать открытые сетевые ресурсы, управлять ими и оперировать связанной информацией. Помимо этого, AD выступает в качестве центрального узла аутентификации, то есть контролирует процесс входа юзеров в сеть и, руководствуясь настройками, выдает им соответствующие привилегии.

В умных книжках Active Directory называют службой каталогов нового поколения. Едва ли тебе это что-то сказало, поэтому предлагаю разобраться с понятием «каталог». Каталог (directory) – это база данных с информацией об объектах, связанных между собой определенными отношениями. К примеру, в оглавлении нашего журнала фигурируют названия статей (объектов) и соответствующие им номера страниц (описание по определенному параметру). Но оглавление может содержать и другую полезную инфу: например, аннотации к каждому из материалов (это уже другой параметр). Ситуация в точности повторяется в компьютерных сетях. Объекты здесь, разумеется, другие: рабочие станции, файловые серверы, принтеры, службы факсов, приложения, базы данных. Характеристики и параметры тоже свои. Но смысл остается тем же: каталог, как и оглавление журнала, содержит полную инфу о хранимых в нем объектах. Служба каталогов нужна хотя бы для того, чтобы этими самыми каталогами управлять. Однако это не означает, что она занимается исключительно мониторингом и протоколированием информации. Все это хозяйство нужно администрировать и держать под четким контролем. Это непросто даже в небольших локалках со скромным количеством машин. Что тут говорить о корпоративных, где дело вообще труба? Поэтому если для рядового пользователя локалки AD – это лишь источник информации, в том числе технически необходимой для входа в сеть, то для админов это еще и мощное средство администрирования. Ведь, помимо хранения информации, Active Directory способна решать задачи по обработке доменных имен и запросов, регистрации новых пользователей и т.п. Но давай-ка лучше обо всем по порядку.