Active directory лісу і домени, енциклопедія windows

Ліс Active Directory визначає набір одного або декількох доменів, що використовують одні й ті ж схему, конфігурацію і глобальний каталог. Крім цього, всі домени беруть участь в двосторонніх транзитивних відносинах довіри. Звернемо увагу на терміни, які використовуються у визначенні лісу.

  • Домен - домен надає спосіб організації і захисту об'єктів, наприклад, користувачів і комп'ютерів, які є частиною одного простору імен. Наприклад, windata.ru і ebay.com є доменами. Комп'ютери в кожному домені використовують однакову конфігурацію домену і можуть бути об'єктом застосування політик і обмежень, які встановлюються адміністратором домену. Використання доменів дозволяє спростити забезпечення безпеки в масштабі підприємства.
  • Схема - схема Active Directory використовується спільно всіма доменами в межах лісу. Схема це конфігураційна інформація, яка управляє структурою і вмістом каталогу.
  • Конфігурація - конфігурація визначає логічну структуру лісу, наприклад, число і конфігурацію сайтів в межах лісу.
  • Глобальний каталог - глобальний каталог можна сприймати у вигляді довідника для лісу. Глобальний каталог містить інформацію про всі об'єкти лісу включаючи інформацію про розташування об'єктів. Крім цього, глобальний каталог містить інформацію про членство в універсальних групах.
  • Довіра - довіра надає різним доменів можливість працювати разом. Без довіри домени працюють як окремі сутності, тобто користувачі з домену A не зможуть отримувати доступ до ресурсів в домені B. Якщо відношення довіри встановлюється між доменами таким чином, що домен B довіряє домену A, то користувачі домену A зможуть отримувати доступ до ресурсів домена B, якщо у них є відповідні дозволи.

Існує три основних типи відносин довіри.

  • Транзитивні - транзитивні відношення довіри створюються автоматично між доменами одного лісу. Вони дозволяють користувачам будь-якого домену потенційно отримувати доступ до ресурсів будь-якого іншого домену цього лісу, якщо у користувачів є відповідні права доступу.
  • Shortcut - це відношення довіри між доменами одного лісу, які вже мають Транзитивне ставлення довіри. Таке ставлення довіри надає швидшу аутентифікацію і перевірку доступу до ресурсів між несоседних доменами лісу.
  • Зовнішні - зовнішні відносини довіри дозволяють доменів з різних лісів спільно використовувати ресурси. Такі відносини довіри не є транзитивними, тобто вони відносяться тільки до тих доменів, для яких вони створювалися.

З'ясувавши значення базових термінів, розглянемо приклад лісу. Далі представлений єдиний ліс, який містить два дерева доменів.

Active directory лісу і домени, енциклопедія windows

На малюнку показані чотири домена aw.net, west.aw.net, east.aw.net і person.net. Домени aw.net, west.aw.net і east.aw.net знаходяться в одному дереві доменів, так як вони використовують один простір імен (aw.net).

Домен person.net знаходиться в іншому дереві, так як він не є частиною простору імен aw.net. Зверніть увагу, що в межах домену east.aw.net (який не підписаний) показані символи OU. OU - це організаційні підрозділи (organizational units), які будуть розглядатися в черговій статті.

Стрілки на малюнку представляють транзитивні відношення довіри, які автоматично створюються під час першого налаштування доменів в межах лісу. Зверніть увагу, що дочірні домени (east і west) домену aw.net не пов'язані безпосередньо з доменом person.net. Незважаючи на це вони довіряють домену person.net.

Причиною довіри є довіра дочірніх доменів домену aw.net. Так як домен aw.net довіряє домену person.net, дочірні домени aw.net теж довіряють домену person.net. Знаючи це, можна уявити домени Active Directory у вигляді маленьких дітей. Вони беззастережно вірять всьому, що говорять батьки. Якщо батько повідомляє, що іншому домену можна довіряти, значить це саме так і є.

Але різниця між дітьми і дочірніми доменами полягає в тому, що дочірні домени завжди погоджуються і не ставлять запитань батькові.