Los conceptos básicos de la explicación detallada de Windows Active Directory
Sabemos que uno de los mayores avances y éxitos del sistema WIN2K radica en su recientemente introducido "servicio Active Directory (Directorio Activo)", que hace que el sistema WIN2K esté más estrechamente conectado con varios servicios y protocolos en Internet, porque el método de denominación del directorio es coherente con el método de denominación del "nombre de dominio" y luego se resuelve a través de DNS, de modo que se logra el mismo efecto a través de la resolución WINS en Internet. Active Directory también ilustra el cambio estratégico de Microsoft en la estructura de red. Aunque algunos productos (como EXCHANGE SERVER, IIS, etc.) han proporcionado servicios similares a Active Directory en la era NT anterior, Active Directory como un nuevo método de servicio integral es lo que siguió. el nacimiento de WIN2K. Active Directory parece estar en todas partes de todo el sistema WIN2K. Sin embargo, no es fácil comprender verdaderamente todos los aspectos de "Active Directory". Aquí me gustaría utilizar algunas explicaciones populares y dedicar algunos capítulos a hacer un análisis detallado de los aspectos principales de Active Directory. Todavía temo que Active Directory de WIN2K pueda ser una oportunidad para que los principiantes en psicología obtengan una comprensión integral.
1. El origen de Active Directory
Cuando se habla de Active Directory, los más fáciles de recordar son el "directorio" y la "ruta" en Windows 9X/ME, y el " "carpeta" en Windows 9X/ME. En ese momento, "directorio" o "carpeta" solo representaba la ubicación y la relación jerárquica de un archivo en el disco. Una vez generado un archivo, el directorio donde se encuentra el archivo es relativamente fijo ( por supuesto, se puede eliminar, transferir, etc., pero ahora no se consideran), es decir, sus propiedades son relativamente fijas y estáticas. Todo lo que este directorio puede representar es la ubicación de almacenamiento de todos los archivos en este directorio y el tamaño total de todos los archivos, y no se puede obtener otra información relevante. Esto afecta la eficiencia general del uso del directorio, lo que también afecta la eficiencia general del directorio. Complicando toda la gestión del sistema. Debido a que no están relacionados entre sí, el mismo objeto debe configurarse varias veces en diferentes aplicaciones, lo que es bastante engorroso de administrar y afecta la eficiencia del uso de recursos del sistema. Para cambiar esta relación ineficiente y fortalecer la asociación con los protocolos relevantes en Internet, Microsoft decidió realizar una reforma integral en WIN2K, es decir, introducir el concepto de Active Directory. La clave para comprender el directorio activo está en la palabra "actividad". No elimine la palabra "actividad" y solo entiéndala de la palabra "directorio". Entonces usted y yo aún no podremos separarnos del significado original a continuación. Directorio o carpeta en Windows 9x. Debido a que este directorio está activo, es dinámico. Es un directorio que contiene funciones de servicio. Puede asociarse y asignarse "de aquí a allá". como su número de cuenta, datos de nacimiento, correo electrónico, número de teléfono, etc., aunque los archivos que componen esta información pueden no estar en el mismo lugar. Al mismo tiempo, diferentes aplicaciones también pueden compartir esta información, lo que reduce el desperdicio de recursos de desarrollo del sistema y mejora la eficiencia de utilización de los recursos del sistema.
Active Directory incluye dos aspectos: directorio y servicios relacionados con directorio. Un directorio es un contenedor físico que almacena varios objetos. Desde una perspectiva estática, no existe una diferencia esencial entre Active Directory y los "directorios" y "carpetas" que hemos conocido antes. Es solo un objeto y una entidad. es un servicio que permite que toda la información y los recursos del directorio funcionen. Active Directory es un servicio de directorio distribuido. La información se puede distribuir en varias computadoras diferentes para garantizar que los usuarios puedan acceder a ella rápidamente porque la misma información está disponible en varias computadoras. por lo que tiene un fuerte control sobre el contenido de la información. Debido a esto, proporciona a los usuarios una vista unificada sin importar desde dónde acceden o dónde se encuentra la información.
2. Terminología relacionada
Aunque muchas tecnologías utilizadas en Active Directory también han aparecido en otros productos de software, esta es la primera vez que aparece como una solución de red integral entre ellas. Hay muchos sustantivos o términos de los que quizás nunca hayas oído hablar, por lo que es necesario aprender más sobre Active Directory.
1. Espacio de nombres: Básicamente, Active Directory es un espacio de nombres. Podemos entender el espacio de nombres como el límite de análisis de cualquier nombre dado. rangos de información mapeados. En términos sencillos, es la suma de toda la información relacionada que podemos encontrar buscando un objeto en el servidor. Por ejemplo, si hemos definido un usuario en el servidor, como por ejemplo: nombre de usuario, contraseña de usuario, unidad de trabajo, número de contacto, dirección particular, etc., entonces la suma mencionada anteriormente se entiende ampliamente como el espacio de nombre del nombre "usuario", porque solo necesitamos ingresar un nombre de usuario para encontrar toda la información que mencioné anteriormente. La resolución de nombres es el proceso de traducir un nombre en el objeto o información representado por el nombre. Por ejemplo, en un directorio telefónico que forma un espacio de nombres, podemos analizar el nombre de cada cuenta telefónica en el número de teléfono correspondiente, en lugar de la situación actual en la que el nombre es el nombre y el número es el número, y no hay una línea horizontal. conexión en absoluto. El sistema de archivos del sistema operativo Windows también forma un espacio de nombres, y cada nombre de archivo se puede analizar en el archivo mismo (que contiene toda la información que debería tener).
2. Objeto: Objeto es una entidad de información en Active Directory, que es lo que normalmente vemos como "atributos", pero es una colección de atributos, que a menudo representan entidades tangibles, como cuentas de usuario. nombre del archivo, etc. Un objeto describe sus características básicas a través de atributos. Por ejemplo, los atributos de una cuenta de usuario pueden incluir el nombre del usuario, el número de teléfono, la dirección de correo electrónico y la dirección particular.
3. Contenedor: El contenedor es parte del espacio de nombres de Active Directory. Al igual que el objeto de directorio, también tiene atributos, pero a diferencia del objeto de directorio, no representa una entidad tangible, sino que representa un lugar donde. Los objetos se almacenan. Espacio, porque solo representa el espacio para almacenar un objeto, por lo que es más pequeño que el espacio de nombres. Por ejemplo, un usuario es un objeto, pero el contenedor de este objeto está limitado al espacio de información que el propio objeto puede proporcionar, por ejemplo, solo puede proporcionar el nombre de usuario y la contraseña de usuario. Otros como unidad de trabajo, número de contacto, domicilio, etc. no pertenecen al rango contenedor de este objeto.
4. Árbol de directorios: en cualquier espacio de nombres, el árbol de directorios se refiere a la estructura jerárquica compuesta por contenedores y objetos. Las hojas y los nodos del árbol suelen ser objetos, y los nodos que no son hojas del árbol son contenedores. Un árbol de directorios expresa cómo se conectan los objetos y también muestra la ruta de un objeto a otro. En Active Directory, el árbol de directorios es la estructura básica. A partir de cada contenedor, se puede formar un subárbol profundizando. Un simple directorio puede constituir un árbol, al igual que una red informática o un dominio. Esto también es fácil de entender. Cuando aprendimos computadoras por primera vez, ¿no comenzamos con una comprensión integral del concepto de ruta? De hecho, este "árbol de directorios" también es una "relación de ruta". "ruta" "¡Creo que no hay problema en comprender este" árbol de directorios "!
5. Dominio: El dominio es el límite de seguridad del sistema de red WIN2K. Sabemos que la unidad más básica de una red informática es un "dominio". Esto no es exclusivo de WIN2K, pero Active Directory puede ejecutarse a través de uno o más dominios. En una computadora independiente, un dominio se refiere a la computadora misma. Un dominio se puede distribuir en múltiples ubicaciones físicas. Al mismo tiempo, una ubicación física se puede dividir en diferentes segmentos de red en diferentes dominios. su relación con Relaciones de confianza con otros dominios. Cuando se conectan varios dominios a través de relaciones de confianza, Active Directory puede ser compartido por varios dominios de confianza
6. Unidad organizativa: un tipo particularmente útil de objeto de directorio contenido en un dominio es la unidad organizativa.
Las unidades organizativas son contenedores que colocan usuarios, grupos, computadoras y otras unidades en Active Directory. Las unidades organizativas no pueden incluir objetos de otros dominios. Una unidad organizativa es la unidad funcional más pequeña a la que se pueden asignar configuraciones de política de grupo o se pueden delegar derechos administrativos. Las unidades organizativas le permiten crear contenedores dentro de dominios que representan jerarquías lógicas. Esto le permite administrar la configuración y el uso de cuentas, recursos y recursos según su modelo organizacional. Puede usar unidades organizativas para crear una administración que se pueda escalar a cualquier tamaño. Modelo. A los usuarios se les pueden otorgar derechos administrativos sobre todas las unidades organizativas del dominio o sobre una sola unidad organizativa. Los administradores de las unidades organizativas no necesitan tener derechos administrativos sobre ninguna otra unidad organizativa del dominio. Las unidades organizativas son un poco como nuestros grupos de trabajo en el dominio. Era NT. Empezamos con Esto se puede entender en términos de permisos de gestión.
7. Árbol de dominios: el árbol de dominios consta de múltiples dominios. Estos dominios comparten la misma estructura de tabla y configuración, formando un espacio de nombres continuo. Los dominios de un árbol están conectados a través de relaciones de confianza y Active Directory contiene uno o más árboles de dominio. Cuanto más profundo sea el nivel de dominio en el árbol de dominios, más bajo será el nivel. Un "." representa un nivel. Por ejemplo, el dominio child.Microsoft.com tiene un nivel más bajo que el dominio Microsoft.com porque tiene dos relaciones jerárquicas. mientras que Microsoft.com sólo tiene un nivel. El dominio Grandchild.Child.Microsoft.com es inferior a Child.Microsoft.com por el mismo motivo.
Los dominios en el árbol de dominios están conectados entre sí a través de relaciones de confianza transitivas bidireccionales. Debido a que estas relaciones de confianza son bidireccionales y transitivas, un dominio recién creado en un árbol o bosque de dominios puede establecer inmediatamente una relación de confianza con todos los demás dominios en el árbol o bosque de dominios. Estas relaciones de confianza permiten un proceso de inicio de sesión único que autentica a los usuarios en todos los dominios de un árbol o bosque de dominios, pero esto no significa necesariamente que un usuario autenticado tenga los mismos derechos y permisos en todos los dominios del árbol de dominios. Debido a que los dominios son límites de seguridad, a los usuarios se les deben asignar los derechos y permisos adecuados por dominio.
8. Bosque de dominio: un bosque de dominio se compone de uno o más árboles de dominio que no forman un espacio de nombres continuo. La diferencia más obvia entre este y el árbol de dominio mencionado anteriormente es que entre estos árboles de dominio. No se forma un espacio de nombres continuo y el árbol de dominios se compone de algunos dominios con espacios de nombres continuos. Sin embargo, todos los árboles de dominio en el bosque de dominios siguen compartiendo la misma estructura de tablas, configuración y catálogo global. Todos los árboles de dominio en el bosque de dominios se establecen a través de relaciones de confianza de Kerberos, por lo que cada árbol de dominio conoce la relación de confianza de Kerberos y diferentes árboles de dominio pueden hacer referencias cruzadas a objetos en otros árboles de dominio. Cada bosque de dominio tiene un dominio raíz. El dominio raíz del bosque de dominio es el primer dominio creado en el bosque de dominio. El dominio raíz de todos los árboles de dominio en el bosque de dominio establece una relación de confianza transitiva con el dominio raíz del bosque de dominio.
9. Sitio: Un sitio se refiere a una ubicación de red que incluye un servidor de dominio Active Directory, generalmente una o más subredes conectadas a través de TCP/IP. Las subredes dentro del sitio están conectadas a través de una red rápida y confiable. La división de sitios permite a los administradores configurar fácilmente la compleja estructura de Active Directory, hacer un mejor uso de las características físicas de la red y mantener las comunicaciones de la red en un estado óptimo. Cuando un usuario inicia sesión en la red, el cliente de Active Directory encuentra el servidor de dominio de Active Directory en el mismo sitio. Dado que la comunicación de red dentro del mismo sitio es confiable, rápida y eficiente, para el usuario, puede iniciar sesión en el sistema de red interno. el límite de tiempo. Debido a que el sitio está delimitado por subredes, Active Directory puede encontrar fácilmente el sitio donde se encuentra el usuario al iniciar sesión y luego encontrar el servidor de dominio de Active Directory para completar el trabajo de inicio de sesión.
10. Controlador de dominio: El controlador de dominio es la computadora del servidor WIN2K configurada mediante el Asistente de instalación de Active Directory. El Asistente de instalación de Active Directory instala y configura los componentes de su elección que brindan servicios de Active Directory a usuarios y computadoras de la red. Los controladores de dominio almacenan datos de directorio y administran las interacciones entre el usuario y el dominio, incluidos los procesos de inicio de sesión del usuario, la autenticación y las búsquedas en el directorio. Un dominio puede tener uno o más controladores de dominio.
Para lograr alta disponibilidad y tolerancia a fallas, es posible que una organización pequeña que utilice una única red de área local (LAN) solo requiera un dominio con dos controladores de dominio. Las grandes empresas con múltiples ubicaciones de red requieren uno o más controladores de dominio en cada ubicación para brindar alta disponibilidad y tolerancia a fallas.
El controlador de dominio del servidor WIN2K amplía las capacidades y características proporcionadas por los controladores de dominio del servidor WINNT 4.0. La replicación multi-home del servidor WIN2K sincroniza los datos del directorio en cada controlador de dominio para garantizar que con el tiempo esta información pueda permanecer consistente. es decir, es dinámico. Esta es la función de Active Directory. La replicación multihomed es un desarrollo del modelo de controlador de dominio principal y de respaldo utilizado en WINNT Server 4.0, donde solo un servidor, el controlador de dominio principal, tenía una copia de lectura y escritura del directorio.
3. La importancia de instalar Active Directory
Decimos que uno de los éxitos y la creatividad de WIN2K es la introducción exitosa de los servicios de Active Directory. Entonces, ¿cuál es la importancia de instalar Active Directory? ¿Directorio? Esta es la primera pregunta que deberíamos hacernos todos los que somos nuevos en WIN2K. Debido a que Active Directory no es un servicio que deba instalarse en el sistema WIN2K y es muy difícil entenderlo completamente, ¿cuál es el significado de instalar Active Directory? Se refleja principalmente en los siguientes aspectos:
1. La seguridad de la información se mejora enormemente
Después de instalar Active Directory, la seguridad de la información se integra completamente con Active Directory, la autorización del usuario. administración y directorio El control de acceso se ha integrado en Active Directory (incluido el acceso de usuario y los permisos de inicio de sesión, etc.) y son medidas de seguridad clave para el sistema operativo WIN2K. Active Directory controla de forma centralizada la autorización del usuario. El control de entrada al directorio no solo se puede definir en los objetos de cada directorio, sino también en cada atributo de cada objeto. Esto es algo que ningún sistema anterior puede lograr, incluido WINNT 4.0. Además, Active Directory también puede proporcionar políticas de seguridad de alcance de aplicación y almacenamiento, proporcionando políticas de seguridad de alcance de aplicación y almacenamiento. Las políticas de seguridad pueden incluir información de la cuenta, como restricciones de contraseña en todo el dominio o acceso a recursos específicos del dominio. Por lo tanto, desde la perspectiva de un determinado programa, se puede decir que la seguridad de WIN2K es la seguridad incorporada en Active Directory. Se puede ver que cómo configurar la seguridad de los objetos y atributos en Active Directory es la clave para un administrador de red. configurar el sistema WIN2K.
2. Introducir una administración basada en políticas para hacer la administración del sistema más clara.
Los servicios de directorio activo incluyen almacenamiento de datos de objetos de directorio y estructuras jerárquicas lógicas (en referencia a los directorios y directorios mencionados anteriormente). dominio, árbol de dominio, bosque de dominio, etc.), como un directorio que almacena políticas asignadas a un entorno específico, llamado Objetos de política de grupo. Como estructura lógica, proporciona un entorno en capas para aplicaciones de políticas. Un objeto de Política de grupo representa un conjunto de reglas comerciales que incluyen configuraciones relacionadas con el entorno al que se aplican. La Política de grupo es una configuración que se utiliza cuando se inicializa un usuario o computadora. Todas las configuraciones de política de grupo están contenidas en objetos de política de grupo (GPO) que se aplican a Active Directory, dominios o unidades organizativas. La configuración de los GPO determina los permisos de acceso a los objetos del directorio y los recursos del dominio, qué recursos del dominio pueden utilizar los usuarios y cómo se utilizan estos recursos del dominio. Por ejemplo, los objetos de Política de grupo pueden determinar qué aplicaciones ven los usuarios en sus computadoras cuando inician sesión, cuántos usuarios pueden conectarse al servidor cuando se inicia en el servidor y cuándo los usuarios se mueven a diferentes departamentos o grupos, qué archivos o servicios. son accesibles. Los objetos de política de grupo le permiten administrar una pequeña cantidad de políticas en lugar de una gran cantidad de usuarios y computadoras. Active Directory le permite aplicar la configuración de la Política de grupo al entorno apropiado, ya sea toda su organización o un departamento específico dentro de su organización.
3. Tiene una gran escalabilidad
Active Directory de WIN2K tiene una gran escalabilidad. Los administradores pueden agregar nuevas clases de objetos en el plan o agregar nuevas clases de objetos a las existentes. nuevos atributos. El plan incluye la definición de cada clase de objeto que se puede almacenar en el directorio y las propiedades de la clase de objeto. Por ejemplo, en el comercio electrónico puede agregar un atributo de autorización de compra a cada objeto de usuario y luego almacenar los permisos de compra de cada usuario como parte de la cuenta de usuario.
4. Altamente escalable
Active Directory se puede incluir en uno o más dominios, y cada dominio tiene uno o más controladores de dominio para que pueda ajustar el tamaño del directorio para satisfacer las necesidades de cualquier red. Se pueden formar varios dominios en un árbol de dominios, y Active Directory también se expandirá y contraerá con la expansión y contracción del dominio y podrá adaptarse mejor a los cambios en la red de la unidad. El directorio distribuye su información de esquema y configuración a todos los controladores de dominio del directorio. Esta información se almacena en el primer controlador de dominio del dominio y se replica en cualquier otro controlador de dominio del dominio. Cuando el directorio está configurado como un dominio único, agregar controladores de dominio cambiará el tamaño del directorio sin afectar la sobrecarga administrativa de otros dominios. Agregar dominios a un directorio le permite particionar el directorio para diferentes entornos de políticas y ajustar el tamaño del directorio para acomodar una gran cantidad de recursos y objetos.
5. Capacidades inteligentes de replicación de información
La replicación de información proporciona disponibilidad de información, tolerancia a fallas, equilibrio de carga y ventajas de rendimiento para el directorio. Active Directory utiliza replicación de múltiples hosts, lo que le permite sincronizar. el directorio actualizado en el controlador en lugar de en un único controlador de dominio principal. El modo multimaestro tiene la ventaja de una mayor tolerancia a fallos porque con varios controladores de dominio, la replicación puede continuar incluso si algún controlador de dominio individual deja de funcionar. Debido a la replicación multimaestro, actualizan una única copia del directorio. Una vez que se crea o modifica la información del directorio en un controlador de dominio, la información recién creada o modificada se envía a todos los demás controladores de dominio del dominio, por lo que su información del directorio es. El último. El controlador de dominio necesita la información de directorio más reciente, pero para ser eficiente, debe limitar sus propias actualizaciones solo a información de directorio nueva o modificada para evitar la sincronización durante las horas pico de la red y afectar la velocidad de la red. El intercambio indiscriminado de información de directorio entre controladores de dominio puede provocar la caída de cualquier red rápidamente. A través de Active Directory, sólo se puede replicar la información del directorio modificada sin aumentar significativamente la carga en el controlador de dominio.
6. Estrechamente integrado con DNS
Active Directory utiliza el Sistema de nombres de dominio (DNS) para nombrar el directorio del servidor. DNS es un nombre de host que es más fácil de entender (como Mike). .Miempresa.com ) en una dirección IP digital, que facilita la identificación mutua y la comunicación entre computadoras en una red TCP/IP. Los nombres de dominio en DNS se basan en la estructura de nombres jerárquica de DNS, que es una estructura en forma de árbol invertida con un único dominio raíz, debajo del cual puede haber dominios principales y dominios secundarios (ramas y hojas). Ampliaré esto en un capítulo especial más adelante, pero aquí sólo daré una breve introducción.
7. Interoperable con otros servicios de directorio
Dado que Active Directory se basa en protocolos de acceso a directorios estándar, muchas interfaces de programación de aplicaciones (API) permiten a los desarrolladores ingresar a estos protocolos. Los ejemplos incluyen Active Directory. Interfaz de servicios (ADSI), Protocolo ligero de acceso a directorios (LDAP) versión 3 e Interfaz de proveedor de servicios de nombres (NSPI), por lo que interopera con otros servicios de directorio que utilizan estos protocolos. LDAP es el protocolo de acceso al directorio utilizado para consultar y recuperar información en Active Directory. Como es un protocolo de servicio estándar de la industria, puede utilizar LDAP para desarrollar programas que compartan información de Active Directory con otros servicios de directorio que también admitan LDAP. Active Directory admite el protocolo NSPI utilizado por los clientes de Microsoft Exchange 4.0 y 5.x para brindar compatibilidad con el directorio de Exchange.
8. Consulta flexible
Cualquier usuario puede utilizar el comando "Buscar" en el menú "Inicio", "Entorno de red" o "Usuarios y computadoras de Active Directory" para buscar objetos. Propiedades para encontrar rápidamente objetos en la web. Por ejemplo, puede buscar usuarios por nombre, apellido, nombre de correo electrónico, ubicación de la oficina u otros atributos de la cuenta de usuario, y viceversa.