Описанный выше каталог реализован в Windows (начиная с Windows 2000) как служба каталогов (Active Directory, AD). Служба каталогов Windows имеет в своей структуре такие единицы, как:
лес;
дерево;
домен;
организационное подразделение (Organization Unit. OU);
сайты.
Хотя многие методы управления сетью в Windows базируются на службе каталогов (например, групповые политики), все же существенная часть операций унаследована исторически. Например, группы безопасности существуют отдельно от подразделений. И если вы меняете членство пользователя в подразделении, то для последующей коррекции его прав доступа необходимо дополнительно вручную изменить группу безопасности, в которую входит пользователь.
Домен
Традиционно основной логической единицей в Windows считается домен. Внутри домена реализуются все политики управления пользователями, компьютерами и сетью в целом. В одной организации может существовать несколько доменов. Это могут быть как вложенные домены, так и домены с различными пространствами имен.
Пространство имен— это совокупность уникальных имен. В данном про¬странстве имен по конкретному имени однозначно может быть определен соот¬ветствующий ему объект. Типичный пример — структура DNS. Например, в пространстве имен различных доменов могут существовать компьютеры с оди¬наковым именем хоста: test.xnets.ru и test.usb-disk.ru. Однако в пространстве имен NetBIOS одинаковых наименований компьютеров быть не может. Поэтому при объединении таких компьютеров в единую локальную сеть вам необходимо будет дать им различающиеся NetBIOS-имена.
Наличие в одной организации доменов с отличающимися именами характерно для транснациональных организаций. Например, головное предприятие может иметь домен testorg.ru, а его подразделение в другой стране — testorg.cs. В то же время создание вложенных доменов не имеет особого смысла при проектировании информационной структуры предприятия. Подобная структура оправдана только в том случае, если для некоторого подразделения необходима иная политика паролей учетных записей (например, более строгие требования к составу пароля, наличие блокировок и т. п.). Все другие настройки могут быть выполнены политиками подразделений.
Подразделение
Домены Windows (начиная с версии Windows 2000) могут содержать подразделения (Organization Unit, OU). OU — это своеобразный контейнер, в который можно помещать, как компьютеры, так и пользователей. (Речь идет о соответствующих логических объектах).
Основная причина создания OU для администраторов системы— это воз¬можность применения к объектам OU групповых политик . По¬вторюсь, что групповые политики — это основное средство управления ком¬пьютерной сетью. С их помощью можно автоматически устанавливать на за¬данные компьютеры программное обеспечение, выполнять настройку прикладных программ, менять параметры безопасности сегмента сети, раз¬решать или запрещать запуск конкретных программ и т. п. Каждое OU может, в свою очередь, содержать внутри себя любое количество вложенных OU, учетные записи компьютеров и пользователей, группы (поль¬зователей). Если попробовать изобразить графически такую структуру — до¬мен с несколькими вложенными доменами со структурой OU, пользователя¬ми и компьютерами, то такой рисунок будет напоминать дерево с вершиной, ветвями, листьями. Этот термин и сохранен для описания такой структуры.
Следует особо обратить внимание, что при удалении OU будут удалены и содержащиеся в нем объекты (например, учетные записи компьютеров).
Лес
Если на одном предприятии существуют несколько доменов с различными пространствами имен (например, testorg.ru и testorg.cs), то представленная графически такая структура будет напоминать лес. Лес — это коллекция (одного или более) доменов Windows 2000/2003, объединенных общей схемой, конфигурацией и двусторонними транзитивными доверительными отношениями. Обратите внимание, что деревья в таком лесу не самостоятельны. Все эти деревья создаются внутри одной организации и управляются централизованно администраторами предприятия. Говоря терминами логической организации сети, между любыми доменами внутри предприятия существуют доверительные двусторонние отношения. Практически это означает, что администратор предприятия является "начальником" администратора любого домена, а пользователь, прошедший аутентификацию в одном домене, уже "известен" в другом домене предприятия.
Многие администраторы доменов в структуре леса заблуждаются, считая что только они могут управлять безопасностью объектов. Даже если они явно запретили доступ каким-либо пользователям, то владелец корневого домена (леса) Windows всегда имеет возможность получить доступ к объектам и назначить собственные права. Иными словами, в сети с централизованным управлением необходимо полностью доверять тем администраторам, которым принадлежат корневые права.
Сайты
Если домены и OU описывают логическую организацию, то сайты (Sites) предназначены для описания территориальных делений. Считается, что внутри одного сайта присутствуют скоростные каналы связи (обычно компьютеры сайта находятся в одном сегменте локальной сети). А различные сайты связаны друг с другом относительно медленными каналами связи. Поэтому между ними создаются специальные механизмы репликации данных. Например, можно задать график репликации (использовать периоды наименьшей загрузки каналов связи), выбрать используемый протокол (IP или путем приема/передачи сообщений по протоколу SMTP) и т. п. Соотношение территориальной и логической структуры выбирается из конкретной конфигурации предприятия. Например, можно создать несколько сайтов в одном домене или сформировать в каждом сайте свой домен и т. п.
Поскольку алгоритм выбора контроллера домена рабочей станцией использует структуру сайтов, то создание дополнительных сайтов может быть способом балансировки нагрузки между контроллерами домена.
Режимы совместимости доменов и леса
Домены Windows могут обслуживаться контроллерами на базе операционных систем Windows NT 4.0 Server или Windows 200х. Более новая операционная система обеспечивает большие возможности в управлении доменами и большую безопасность. Однако в целях обратной совместимости домены Windows могут работать в различных режимах (mode). Если в вашей сети нет контроллеров на базе предыдущих версий ОС, то следует перевести домен в режим наибольшей безопасности. Данная операция доступна в свойствах домена в оснастке управления, а для леса— в соответствующей оснастке управления сайтами и службами (в свойствах соответствующего объекта).
