Доменна структура мереж побудованих на базі ОС сімейства Windows Server.

Сети на платформе Windows Server используют доменную модель, в основе которой лежит понятие домена - совокупности компьютеров, характеризующейся наличием общей базы учетных записей пользователей и единой политикой осуществления защиты. Всей структурой централизованно управляет служба каталогов Windows Directory Service (NTDS). Доменный метод организации упрощает централизованное управление сетью и позволяет использовать Windows Server в качестве сетевой операционной системы предприятия любого масштаба. Доменная служба каталогов обеспечивает пользователям однократную регистрацию в сети для доступа ко всем серверам и ресурсам информационной системы независимо от места регистрации. Доменная организация облегчает создание сетей методом объединения существующих сетевых фрагментов.

В серверных сетях, как правило, все совместно используемые каталоги располагаются на выделенных серверах, а совместно используемые принтеры подключены к специализированным серверам печати. Однако это ни в коей мере не ограничивает возможностей пользователей по предоставлению ресурсов своих рабочих станций в совместное использование так, как это делается в одноранговых сетях.

Для организации доменной структуры в сети и для установления в ней определенных отношений и правил используется сервер, работающий под управлением операционной системы Microsoft Windows Server и выступающий в качестве главного контроллера домена, на котором хранится база учетных записей пользователей этого домена, где записаны уникальные параметры пользователей и их привилегии. Кроме главного контроллера домена, может существовать любое количество резервных контроллеров домена, которые хранят копии этой учетной базы домена на случай, если в какой-то момент главный контроллер будет недоступен. Когда пользователь рабочей станции регистрируется в сети, происходит его идентификация на главном контроллере или на одном из резервных контроллеров домена. Если пароль и имя пользователя совпадают с введенным, то пользователь регистрируется в домене.

При введении администратором нового пользователя изменения в базу пользователей домена могут быть внесены только на главном контроллере домена. Если главный контроллер недоступен, то новый пользователь не получит учетной записи в данном домене.

 

Адміністрування в доменах.

Active Directory - домены и доверие(Active Directory Domains and Trusts)

С помощью оснастки Active Directory — домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native). Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory. Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Интернете. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.

Оснастку Active Directory — домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск | Программы | Администрирование | Active Directory - домены и доверие

После загрузки оснастки Active Directory — домены и доверие появляется окно, аналогичное показанному на рис. 25.1.

Для добавления дополнительных суффиксов UPN:

1) Укажите корневой узел оснастки Active Directory — домены и доверие и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства (Properties).

2) В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).

Изменение режима работы домена

Домены Windows 2000 могут работать в одном из двух режимов:

Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.

Управление доверительными отношениями

Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.