| Понятие
службы каталога и Active Directory Объединение компьютеров в единую информационную
сеть позволяет пользователям совместно использовать общие ресурсы. Современные
операционные системы, ориентированные на корпоративный рынок, используют для организации
ресурсов специальную сетевую службу, дающую пользователям возможность получения
доступа к ресурсам сети без необходимости точного знания местоположения этих ресурсов.Протокол
LDAP Для лучшего понимания роли протокола LDAP рассмотрим основные идеи спецификации
Х.500. Данная спецификация была разработана Международным консультационным комитетом
по телефонии и телеграфии (Consultative Committee for International Telephone
and Telegraph, CCITT) совместно с Международной организацией по стандартизации
(International Standardization Organization, ISO).- Информационная модель
Active Directory
- Объекты и дерево каталога Основным структурным компонентом
каталога является элемент (entry), который в терминологии Active Directory называется
объектом (object). Объекты являются фундаментальными единицами, которыми манипулирует
служба каталога. При этом каждый объект характеризует некоторую отдельную сущность
(например, принтер, компьютер, совместно используемую папку или пользователя).
- Атрибуты Каждый объект каталога состоит из набора атрибутов (attributes),
каждый из которых содержит частичку информации, характеризующей объект.
- Схема
каталога Определения всех классов объектов, а также совокупность правил, позволяющих
управлять структурой каталога и его содержимым, хранятся в специальной иерархической
структуре, которая называется схемой каталога (schema). Чтобы создать в каталоге
объект нового типа, необходимо, прежде всего, добавить в схему определение нового
класса объектов.
- Модель именования LDAP Одним из условий успешного
манипулирования объектами каталога является однозначная идентификация каждого
объекта. Для именования и идентификации объектов в каталоге протокол LDAP использует
механизм отличительных имен (Distinguished Name, DN).
Схемы
именования объектов в Active Directory - Основные имена субъектов безопасности
Механизм основных имен (Security principal name, SPN) реализует способ именования
объектов каталога, рассматриваемых подсистемой безопасности Windows Server 2003
в качестве своих субъектов.
- Полные доменные имена (Fully Qualified Domain
Name, FQDN) используется для однозначной идентификации объектов в пространстве
доменных имен.
- Глобально уникальные идентификаторы Отличительное имя однозначно
определяет объект в каталоге. Однако перемещение объекта или его переименование
(равно как и переименование любого из контейнеров, внутри которых данный объект
содержится) приводит к изменению его отличительного имени.
- Имена NetBIOS
До появления службы каталога Active Directory в качестве основного способа именования
объектов в операционных системах Windows применялись имена NetBIOS. В частности
этот способ именования используется в операционных системах Windows 95/98/NT.
- Унифицированный
указатель ресурсов LDAP Протокол LDAP является одним из стандартных методов доступа
к каталогу Active Directory. Любое LDAP-совместимое приложение
может обратиться к объектам каталога посредством запроса, записанного в формате
унифицированного указателя ресурсов LDAP (LDAP Uniform Resource Locator, LDAP
URL).
- Канонические имена Вместо отличительного имени для определения
положения объекта в дереве каталога можно использовать так называемое каноническое
имя (canonical name).
|
