Tempat Membuat Titik Koneksi Layanan
Saat instans Active Directory Domain Services diinstal, penginstal layanan membuat objek titik koneksi layanan (SCP) di Active Directory Domain Services. Tujuan utamanya adalah untuk meminimalkan lalu lintas replikasi dan untuk memungkinkan administrasi dan pemeliharaan objek yang efisien.
Ketahuilah bahwa aplikasi klien menemukan SCP dengan mencari kata kunci direktori di SCP. Atribut kata kunci SCP disertakan dalam Katalog Global; klien dapat mencari Katalog Global untuk menemukan SCP di forest. Untuk alasan ini, klien tidak memengaruhi tempat menerbitkan SCP.
Meminimalkan Lalu Lintas Replikasi
Untuk meminimalkan lalu lintas replikasi, buat SCP di partisi domain domain komputer host layanan. Misalnya, Anda dapat membuat SCP sebagai objek turunan objek komputer tempat layanan diinstal. Partisi domain Active Directory Domain Services, terkadang disebut konteks penamaan domain, berisi objek khusus domain seperti objek untuk pengguna dan komputer domain. Replika penuh semua objek dalam partisi domain direplikasi ke setiap pengendali domain (DC) untuk domain, tetapi tidak direplikasi ke DC domain lain.
Jangan membuat SCP di partisi Konfigurasi, juga dikenal sebagai konteks penamaan konfigurasi, karena perubahan pada partisi Konfigurasi direplikasi ke setiap DC di forest. Seperti disebutkan di atas, klien di seluruh forest dapat meminta Katalog Global untuk menemukan SCP di mana saja di forest, sehingga membuat SCP di partisi Konfigurasi tidak membuatnya lebih terlihat oleh klien; itu hanya menghasilkan lebih banyak lalu lintas replikasi.
Kemudahan Administrasi
Pertimbangkan panduan berikut untuk administrasi objek:
- Tempatkan objek khusus layanan di mana administrator dapat mengontrol akses ke objek tersebut menggunakan kebijakan dan izin akses yang diwariskan.
- Tempatkan objek di mana administrator dapat dengan mudah menemukannya.
Lokasi default yang baik yang memenuhi kedua tujuan adalah membuat SCP dan objek khusus layanan lainnya di bawah objek komputer komputer host dari setiap instans layanan. Untuk informasi selengkapnya, lihat Menerbitkan Di Bawah Objek Komputer.
Alternatif yang baik untuk layanan yang tidak terkait dengan satu host adalah membuat kontainer untuk objek layanan di bawah kontainer Sistem dalam partisi domain. Untuk informasi selengkapnya, lihat Menerbitkan dalam Kontainer Sistem Domain.
Diagram berikut menunjukkan bagian dari hierarki kontainer default untuk partisi domain.
Diagram menunjukkan hierarki domain default yang disertakan dengan Active Directory Domain Services. Namun, banyak perusahaan membuat hierarki kontainer unit organisasi (OU) untuk mengelompokkan kelas objek, seperti pengguna dan komputer, bersama-sama untuk tujuan administrasi. Administrator kemudian dapat menerapkan kebijakan dan entri kontrol akses (ASE) yang dapat diwariskan ke unit organisasi untuk mendelegasikan otoritas administratif untuk objek di unit organisasi. Hal ini memungkinkan administrator mengelola perusahaan secara efisien, tetapi memiliki beberapa konsekuensi bagi pemrogram layanan:
- Objek komputer untuk host layanan mungkin tidak berada di bawah kontainer Komputer seperti yang ditunjukkan dalam diagram. Untuk informasi selengkapnya tentang cara menemukan objek komputer untuk komputer lokal, lihat Menerbitkan Di Bawah Objek Komputer.
- Administrator dapat memindahkan objek saat kebutuhan organisasi mereka berubah. Ini berarti Bahwa Anda tidak dapat bergantung pada objek Anda yang tersisa di lokasi tetap; artinya, layanan Anda tidak dapat bergantung pada nama khusus objek yang tetap sama. Sebagai gantinya, gunakan atribut objectGUID objek, yang tidak berubah jika objek dipindahkan atau diganti namanya. Untuk informasi selengkapnya, dan contoh kode yang membuat SCP, menyimpan objectGUID-nya, dan kemudian mengambil objectGUID untuk mengikat SCP, lihat Membuat dan Memelihara Service Koneksi ion Point.
- Semua kelas objek terkait layanan standar, serta subkelas kelas ini, adalah anak-anak yang valid dari kelas komputer dan organizationalUnit . Jika Anda memperluas skema untuk menentukan kelas khusus layanan Anda sendiri, pastikan bahwa kelas computer dan organizationalUnit disertakan dalam kemungkinan atasan.
- Alat penginstal layanan menentukan lokasi default untuk membuat SCP. Anda mungkin ingin mengizinkan administrator menginstal layanan untuk menentukan jalur penginstalan alternatif.
Objek khusus layanan tidak boleh dibuat di area berikut:
- Layanan tidak boleh menerbitkan objek langsung dalam kontainer Pengguna atau Komputer dari partisi domain, juga tidak boleh membuat kontainer baru dalam kontainer ini. Namun, layanan dapat menerbitkan objek sebagai objek turunan objek komputer, apakah objek komputer disimpan dalam kontainer Komputer atau tidak.
- Layanan, yang menggunakan pendaftaran dan resolusi Soket Windows (RnR) atau API layanan nama RPC (RpcN) untuk mengiklankan diri mereka sendiri, membuat objek yang tepat dalam kontainer WinsockServices dan RpcServices di bawah kontainer Sistem partisi domain. Jangan membuat objek secara eksplisit dalam kontainer ini. Melakukannya tidak menyebabkan bahaya langsung, tetapi mungkin membingungkan bagi administrator.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk