Концепция Active Directory

После создания сети TCP/IP компьютеров Windows 2000 сразу возникает задача управления этой сетью, включающая вопросы аутентификации пользователей, распределения общих ресурсов, защиты сети и подключенных к ней хостов и т.д. Для решения этой задачи в системах Windows 2000 используется служба активного каталога AD (Active Directory), являющаяся дальнейшим развитием доменной модели, используемой в системах Windows NT.

Служба AD основана на концепции иерархического построения сети, состоящей из деревьев, лесов, доменов и организационных подразделений OU (Organizational Unit). Основной структурной единицей является домен - совокупность компьютеров с общим именем распределенной иерархической системы имен DNS (согласно спецификации OSI доменом также называют административную единицу, выделенную по функциональным признакам). Домены, разделяющие общее пространство имен DNS, называют деревом. На физическом уровне домен представляет собой единую локальную сеть компьютеров, а лес - совокупность этих сетей. Внутри доменов выделяются группы компьютеров и пользователей, называемых организационным подразделением.

Все данные, относящиеся к домену, хранятся на контроллерах домена и реплицируются между контроллерами домена и между доменами одного леса. Полная информация, реплицируемая между всеми доменами, хранится в глобальном каталоге. Между доменами могут быть установлены доверительные отношения, после чего каждому домену разрешается доступ к ресурсам другого домена. В отличие от доменной модели Windows NT 4, доверительные отношения могут устанавливаться автоматически при выполнении определенных операций, и эти отношения являются транзитивными и двунаправленными.

Служба активного каталога хранит все данные о структуре сети в виде единого леса доменов, разделенного на сегменты. Сегменты отвечают за информацию определенного типа, например, относящуюся к настройкам служб, или информацию об определенном домене. Эта информация распределяется по контроллерам домена, но логически она хранится в виде централизованной структуры. В ее состав входит информация о пользователях и группах пользователей.

В сетях Windows NT пользователи могли входить в локальные и глобальные группы. В Windows 2000 группы классифицируются следующим образом: существуют группы безопасности, применяемые для назначения прав и разрешений доступа, и группы дистрибуции, предназначенные для отправки сообщений. Группы безопасности подразделяются на следующие группы: локальные, локальные уровня домена и универсальные или глобальные уровня домена. Глобальные группы применяются для работы домена в смешанном режиме, когда он включает компьютеры Windows NT. Универсальные группы существуют, если домен содержит только компьютеры Windows 2000 и работает в основном режиме.

Областью действия локальных групп по-прежнему являются отдельные компьютеры, локальных групп уровня домена - отдельные домены, глобальных и универсальных - все домены леса. В инфраструктуре AD управление пользователями и группами реализуется с помощью консоли Active Directory Users and Computers (Active Directory - пользователи и компьютеры), оснастки Security Configuration and Analysis (Анализ и настройка безопасности) консоли ММС, и средствами настройки групповой политики систем Windows 2000/XP.

Для поиска и обновления информации об объектах AD в доменах Windows 2000/XP используется протокол LDAP (Lightweight Directory Access Protocol - Упрощенный протокол доступа к каталогам) На протоколе LDAP основана работа инструментов администрирования объектами AD, обеспечивающих модификацию, удаление и добавление объектов. Следует также учесть, что некоторые недостатки протокола LDAP служат основой для некоторых хакерских атак.

Более подробные сведения о средствах AD можно почерпнуть в книге "Система безопасности Windows 2000" Р.Брага вместе с описанием настройки безопасности AD, администрирования групп и объектов AD. Здесь мы остановимся на обсуждении нового средства обеспечения сетевой безопасности, появившегося в системе Windows 2000/XP - IP-безопасности.