Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
В последних нескольких статьях из этого цикла я много говорил о том, что такое Active Directory, и как она работает по отношению к сетевым контроллерам домена. Вы уже знаете из предыдущих статей, что Active Directory – это база данных, содержащая различные объекты, такие как учетные записи пользователей (user account) и учетные записи компьютеров (computer account). В этой статье я хочу продолжить обсуждение и показать вам устройство Active Directory.
Если вы когда-нибудь использовали Microsoft Access или SQL Server, то вы, вероятно, сможете открыть базу данных и посмотреть ее содержимое. Однако, ни одно из основных средств для администрирования, используемых для управления Active Directory не позволит вам просмотреть всю базу данных Active Directory. Вместо этого, компания Microsoft предоставляет вам набор инструментов для управления, каждый из которых сфокусирован на определенной области базы данных. Если вы новый администратор, то чаще всего вам придется использовать средство администрирования под названием консоль пользователей и компьютеров Active Directory Users and Computers console.
Вы можете запустить консоль Active Directory Users and Computers на любом контроллере домена Windows Server 2003 domain controller, выбрав команду Active Directory Users and Computers из меню Start / All Programs / Administrative Tools. Сама по себе консоль выглядит так, как изображено на рисунке A
Рисунок A: Консоль Active Directory Users and Computers console – основной административный инструмент для управления объектами Active Directory
Далее я расскажу о процессе создания или редактирования объектов Active Directory, а сейчас я пойду дальше и покажу вам эту консоль, т.к. она позволяет немного увидеть структуру Active Directory. Если вы посмотрите на Рисунок A, то вы заметите, что есть несколько контейнеров, каждому из которых соответствует объект определенного типа. Каждому объекту в целой структуре Active Directory присвоен тип объекта (object type или класс объекта — object class). Каждый объект также имеет набор атрибутов, связанных с ним. Атрибуты меняются в зависимости от типа объекта.
Например, контейнер Users (пользователи) содержит учетные записи пользователей (user account), каждый из которых классифицируется как пользовательский объект, что показано на рисунке B. Если щелкните правой кнопкой мыши на одном из этих пользовательских объектов и выберите команду Properties (свойства) из контекстного меню, то вы увидите окно со свойствами объекта, изображенное не рисунке C.
Рисунок B: Контейнер Users содержит учетные записи пользователей, которые классифицируются, как пользовательские объекты
Рисунок C: Если вы щелкните правой кнопкой мыши на пользовательском объекте и выберите команду Properties из контекстного меню, то вы увидите окно со свойствами
Если вы посмотрите на Рисунок C, то увидите, что есть различные поля для информации о фамилии, имени, номере телефона и т.п. Каждое из этих полей соответствует определенному атрибуту конкретного объекта. Хотя большинство из полей, изображенных на рисунке, не заполнено, в реальной жизни в них должна содержаться правильная информация. В действительности, многие приложения спроектированы таким образом, чтобы извлекать информацию напрямую из Active Directory. Например, Microsoft Exchange Server (почтовый сервер от компании Microsoft) создает список глобальных адресов, основываясь на содержимом Active Directory. Этот глобальный список адресов (global address list) используется для отправки электронной почты пользователям в другой компании.
Если вы посмотрите на рисунок D, то вы увидите окно, в котором я осуществил поиск по имени Hershey (это кличка моего кота), и Outlook вернул мне все записи из списка глобальных адресов (Global Address List), которые содержат имя Hershey. Не удивительно, что вернулся лишь один результат. Если вы посмотрите на результат поиска, то сможете увидеть, что Outlook отображает должность, рабочий номер телефона, и размещение. Вся эта информация извлекается из Active Directory.
Рисунок D
Если вы хотите узнать более подробную информацию о пользователе, то вы можете щелкнуть правой кнопкой мыши на имени пользователя и выбрать команду Properties (свойства) из контекстного меню. В результате этого появится окно, изображенное на рисунке E. Помните, что это не административное окно. Это окно, к которому может получить доступ напрямую любой пользователь компании с помощью Outlook 2007, чтобы найти информацию о сотрудниках.
Рисунок E: Вы можете получить информацию из Active Directory напрямую с помощью Microsoft Outlook
Легко забыть о значимости того, что я вам сейчас показал. Кроме всего прочего, Outlook – это продукт компании Microsoft, поэтому легко было бы предположить, что Outlook сможет извлечь информацию из Active Directory, которая является частью другого продукта компании Microsoft.
Большинство людей, однако, не понимают, что любому человеку с нужными правами достаточно легко получить информацию из Active Directory. В действительности существует бесчисленное множество продуктов сторонних производителей, которые имеют взаимодействовать с Active Directory. Некоторые из них способны даже хранить данные в специализированных разделах Active Directory.
Причина, по которой вы или сторонние производители программного обеспечения могут взаимодействовать с Active Directory, заключается в том, что Active Directory в своей основе использует хорошо известный стандарт. В основе Active Directory лежит стандарт под названием X.500. Стандарт X.500 – это в основном лишь общий способ реализации службы директорий (directory service). Компания Microsoft – это не единственная компания, которая создала службу директорий, основываясь на этом стандарте. Novell создала свою службу директорий NetWare Directory Service также основываясь на этом стандарте.
Существует также стандартный способ доступа к информации службы директорий. В среде Active Directory доступ к информации службы директорий осуществляется с помощью протокола Lightweight Directory Access Protocol, также известный как LDAP. Протокол LDAP работает на основе протокола TCP/IP.
Первое, что вам нужно запомнить относительно протокола LDAP, заключается в том, что несмотря на его название в нем нет ничего легковесного (хотя он гораздо легковеснее оригинального протокола для доступа к директории, который не был спроектирован для использования преимуществ стека протокола TCP/IP). По LDAP были написаны целые книги, и более глубокое рассмотрение этого протокола выходит за рамки этой статьи.
Я лишь хочу сказать вам, что каждый объект в Active Directory ссылается на выдающееся имя (distinguished name или кратко DN). Выдающееся имя зависит от положения объекта в иерархии директории. Существует множество различных компонентов, которые могут попасть в выдающееся имя (distinguished name), но некоторые наиболее общи – это общее имя (common name или CN) и имя домена (domain name или DC). Например, предположим, что домен Contoso.com содержит учетную запись под названием User1, учетная запись располагается в контейнере Users. В таком случае, выдающееся имя для учетной записи пользователя будет выглядеть следующим образом:
CN=User1, CN=Users, DC=Contoso, DC=com
В этой статье, я рассказал о том, что информация, хранящаяся в Active Directory, может быть использована внешними приложениями благодаря использованию протокола LDAP. В следующей статье из этого цикла я продолжу обсуждение о различных названиях и о том, как они относятся к Active Directory.
www.windowsnetworking.com
Tags: dns, domain, Exchange, ldap, SQL, SQL Server