Korzystanie z Active Directory

    Active Directory jest złożonym mechanizmem do zarządzania zasobami sieciowymi. Gruntowna znajomość tej technologii jest niezbędna do skutecznego administrowania systemem. Skalowalność i rozszerzalność Active Directory jest jego niewątpliwym atutem. Niemal każde działanie administracyjne wpływa w mniejszym lub większym stopniu na działanie lub zawartość tej usługi. Głównym mechanizmem, wykorzystywanym przez Active Directory do identyfikacji obiektów, jest Domain Name System (DNS). DNS służy do przypisywania nazwy hostom, adresów numerycznych protokołu TCP/IP. Domeny DNS budowane są w sposób hierarchiczny. Dzięki takiemu podejściu możemy zobaczyć na różnych poziomach hierarchii domeny główne, podrzędne a także komputery np. zeta.microsoft.com gdzie zeta jest nazwą komputera zaś microsoft jest nazwą domeny organizacyjnej a com jest domeną główną najwyższego poziomu. Domeny główne zorganizowane są zależnie od typu organizacji (np. com - organizacje komercyjne, org - niekomercyjne) lub geograficznie za pomocą dwuliterowych identyfikatorów krajów (np. pl dla Polski, de dla Niemiec). DNS jest nierozłączną częścią usługi Active Directory. Nie można zainstalować Active Directory bez uprzednio zainstalowanego serwera DNS. Jednak należy pamiętać, że mają one swoje własne odrębne zadania.
Korzystając z Active Directory możemy rozróżnić dwa pojęcia struktury sieci: struktura fizyczna (podsieci i lokacje), która służy do opisania fizycznej budowy sieci i stworzenia fizycznej mapy sieci, oraz struktura logiczna (jednostka organizacyjna, domena, drzewo domen) umożliwiająca proste zarządzanie kontami sieciowymi i udostępnionymi zasobami.
    Nazwy domen muszą być unikatowe w całej sieci. Możemy jednak tworzyć w obrębie jednej domeny jej pod domeny (np. update.microsoft.com jest pod domeną domeny microsoft.com). Aby zagwarantować unikatowość nazwy, każdą domenę nadrzędną należy zarejestrować przed jej założeniem. Domeny mogą obejmować więcej niż jedną lokację fizyczną. Dzięki temu w skład jednej domeny może wchodzić np. wiele różnych podsieci. Domena Active Directory to grupa komputerów korzystająca z jednej wspólnej katalogowej bazy danych. Baza ta zawiera obiekty definiujące konta użytkowników, grupy użytkowników, komputery i zasoby udostępnione. Kilka domen korzystających ze wspólnych danych katalogowych nazywamy lasem domen. Domena, która posiada poddomeny nazywa się drzewem. Aby zobaczyć strukturę domenową dla danej sieci należy kliknąć menu Start, następnie Narzędzia administracyjne i w końcu Domeny i relacje zaufania usługi Active Directory.

    Bardziej szczegółową grupą w domenie jest jednostka organizacyjna. W ramach jednej domeny może być wiele jednostek organizacyjnych, które mogą odzwierciedlać np. podział przedsiębiorstwa na działy. Obiekty zawarte w jednostkach organizacyjnych muszą należeć do tej samej domeny co jednostka. Dodatkowym atutem wykorzystywania jednostek organizacyjnych jest możliwość przypisywania Zasad grupy dla małych zbiorów zasobów, przez co nie musimy zmieniać zasad dla całej domeny. Dzięki temu, że jednostki organizacyjne pomagają w uporządkowaniu obiektów zgodnie z ich funkcjonalnością, łatwiejsze jest zarządzanie zasobami. Przykładowo jednemu użytkownikowi możemy nadać prawa administracyjne w jednej jednostce organizacyjnej a inny może mieć takie prawa dla całej domeny. Jednostki organizacyjne przedstawione są jako foldery w konsoli Użytkownicy i komputery usługi Active Directory.

    Wszystkie omawiane wcześniej pojęcia dotyczyły struktury logicznej sieci. Do odzwierciedlenia fizycznej struktury służą lokacje i podsieci. Lokacja jest to grupa komputerów znajdująca się w jednej lub kilku podsieciach. Nie istnieje żadna zależność pomiędzy strukturą logiczną budowaną przez domeny a strukturą fizyczną. Podsieć to grupa adresów sieciowych definiowana pewnym zakresem adresów i wspólną maską np. 192.168.29.0/24. Active Directory umożliwia utworzenie wielu lokacji w obrębie jednej domeny. Lokacje i podsieci możemy zobaczyć w konsoli Lokacje i usługi Active Directory dostępnej w Narzędziach administracyjnych w Panelu sterowania. Usługa Active Directory działa nie tylko z Windows Serwer 2003, lecz również ze starszymi systemami z rodziny Windows. Systemy takie jak Windows 95, Windows 98 czy Windows NT mogą uzyskać dostęp do Active Directory pod warunkiem, że mają zainstalowane odpowiednie oprogramowanie klienckie. Komputery z zainstalowanym systemem Windows Serwer 2003, Windows XP i Windows 2000 mogą w pełni korzystać z możliwości oferowanych przez Active Directory. Domena może zawierać jeden lub kilka kontrolerów. System Windows Server 2003 może działać w roli kontrolera domeny lub serwera członkowskiego. Jedyna różnica polega na tym, że serwer członkowski może zostać wypromowany do roli kontrolera domeny. W przypadku, kiedy w domenie działa kilka kontrolerów, dane katalogowe są replikowane pomiędzy nimi. Można wybrać dowolny kontroler na którym będą dokonywane zmiany a następnie zmiany te będą kopiowane do pozostałych kontrolerów. Domyślnie wszystkie kontrolery w domenie mają identyczną pozycje w hierarchii. Możliwe jest jednak nadanie pierwszeństwa w wykonywanych zadaniach dla wybranych kontrolerów. W celu zapewnienia obsługi starszych systemów, Active Directory dysponuje czterema różnymi poziomami funkcjonalności:

• Windows 2000 mieszany - obsługuje domeny Windows Serwer 2003, Windows 2000 i Windows NT, jednak domeny działające w tym trybie nie mogą korzystać z wielu nowych funkcji oferowanych przez Active Directory np. z grup uniwersalnych, konwersji typów grup, prostego przemianowywania kontrolerów domen, centrum dystrybucji kluczy Kerberos. Kontroler domeny Windows Serwer 2003 pracujący w tym trybie, skonfigurowany jest, jako emulator głównego kontrolera domeny i obsługuje dwa protokoły uwierzytelniające: Kerberos (podstawowy mechanizm uwierzytelniania w Windows Serwer 2003) i NTLM (wykorzystywany do uwierzytelnienia komputerów w domenach Windows NT).
• Windows 2000 macierzysty - tryb ten obsługuje tylko domeny Windows Serwer 2003 i Windows 2000, udostępnia większość funkcji Active Directory z wyjątkiem prostego przemianowywania kontrolerów domen, centrum dystrybucji kluczy Kerberos oraz aktualizacji czasu logowania. Nie jest możliwe obniżenie poziomu do trybu mieszanego, mechanizm replikacji NTLM nie jest już obsługiwany. Nie można też przyłączyć żadnego kontrolera domeny Windows NT.
• Windows Server 2003 tymczasowy - obsługuje domeny Windows Serwer 2003, Windows NT, nie obsługuje domen Windows 2000, ma te same ograniczenia, co tryb Windows 2000 mieszany, pozwala na aktualizacje domen z Windows NT do Windows Server 2003 z pominięciem szczebla Windows 2000. Aktualizacje należy rozpocząć od głównego kontrolera domeny, a na końcu aktualizować kontrolery zapasowe. Po udanej aktualizacji wszystkich kontrolerów można podnieś poziom funkcjonalności do najwyższego.
• Windows Server 2003 - daje pełny dostęp do funkcji Active Directory które nie były dostępne na pozostałych poziomach, niestety nie obsługuje też domen Windows 2000 i Windows NT. Na tym poziomie nie ma możliwości obniżenia poziomu funkcjonalności na niższy. Ten tryb pozwala zmieniać nazwy domen zarządzanych przez Windows Serwer 2003, tworzenie rozszerzonych dwukierunkowych relacji zaufania pomiędzy lasami domen, umieszczenie domeny na innym poziomie hierarchii.

    Poziom funkcjonalności ustalany jest podczas instalacji pierwszego kontrolera domeny. Proces uaktualniania może powodować znaczące opóźnienia w działaniu serwerów, generuje bardzo duży ruch w sieci tym samym spowalniając transmisje danych przez sieć. Aby podnieść poziom funkcjonalności domeny klikamy menu Start, Narzędzia administracyjne i Domeny i relacje zaufania usługi Active Directory. Teraz klikamy prawym klawiszem myszy na domenę, której chcemy podnieść poziom funkcjonalności i z menu wybieramy Podnieś poziom funkcjonalności domeny. W nowym oknie zostaną wyświetlone informacje o nazwie domeny oraz jej aktualnym poziomie. Lista rozwijana zawiera poziomy funkcjonalności, na które możemy zmienić domenę. Po wybraniu poziomu należy kliknąć przycisk Podnieś, po czym trzeba jeszcze potwierdzić zmianę poziomu przyciskiem OK. Trzeba pamiętać, że zmiany te są nieodwracalne. Jeżeli chcemy podnieść poziom funkcjonowania lasu, to procedura ta jest analogiczna, z tą różnicą, że z menu wybieramy polecenie Podnieś poziom funkcjonowania lasu.
    Dostęp do danych Active Directory realizują protokoły dostępowe. Umożliwiają one komunikację z komputerami, na których działa usługa Active Directory. W celu zapewnienia jednolitości danych w kilku domenach niezbędna jest replikacja. Nową funkcją systemu Windows Serwer 2003 jest partycja katalogu aplikacji. Jest to struktura logiczna. Służy do sterowania replikacją danych w obrębie lasu. Administrator może zdefiniować partycje katalogu aplikacji np. w celu sterowania powielaniem informacji DNS. Dzięki temu inne systemy domeny nie będą replikować informacji DNS. Ważnym elementem Active Directory jest magazyn danych, zwany też bardzo często katalogiem. Jest to kontener przechowujący informacje o udostępnionych zasobach, zasadach grupy czy kontach użytkowników. Katalog ten przechowywany jest koniecznie na partycji NTFS, w pliku o nazwie Ntds.dit. Jednak nie wszystkie dane znajdujące się w katalogu podlegają replikacji. Replikowane są tylko dane dotyczące domeny (informacje o kontach użytkowników, udostępnionych zasobach, zasadach grupy), dane konfiguracji opisujące topologie katalogu (lista wszystkich domen, lokalizacje kontrolerów domeny, itp.) oraz dane schematu zawierające opis obiektów i wszystkich typów danych, jakie mogą być przechowywane w katalogu. Możemy rozszerzać domyślne schematy tworząc nowe obiekty lub dodając atrybuty do istniejących obiektów. Dane schematów replikowane są do wszystkich domen w drzewie i lesie, natomiast dane domeny replikowane są do wszystkich kontrolerów w domenie.
    Znajomość podstawowych pojęć i mechanizmów związanych z usługą Active Directory jest niezbędna do poprawnego skonfigurowania usługi. Im więcej wiemy o tej usłudze, tym łatwiej będzie nam, zapoznać się z narzędziami do jej konfiguracji. Skalowalność i rozszerzalność Active Directory, zapewnia jej coraz szybszy rozwój i długą żywotność. Dlatego każdy administrator systemu Windows Serwer 2003 prędzej czy później zetknie się z tą usługą.