Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 4. Службы каталогов
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
По многим причинам службы каталогов относятся к числу центральных компонентов любой стратегии управления идентификаторами и доступом; наиболее важной из этих причин является то, что службы каталогов представляют собой наиболее распространенный способ хранения идентификаторов и информации проверки подлинности для операционных систем сервера.
Но службы каталогов не хранят исключительно сведения о пользователях. В них также хранится идентификационная информация, касающаяся ресурсов, компьютеров и приложений, поскольку принципы обеспечения безопасности должны распространяться и на эти информационные активы. Благодаря тому что идентификаторы объединяются со средствами проверки подлинности и авторизации, появляется возможность использовать службу каталогов для управления проверкой подлинности регистрационных данных и проверкой прав доступа к ресурсам.
На этой странице
Active Directory Режим приложений Active Directory
Active Directory
Служба каталогов Microsoft® Active Directory® представляет собой безопасное, весьма надежное, распределенное центральное хранилище идентификаторов, которое тесно связано с операционными системами Windows 2000 Server и Windows Server™ 2003. Служба Active Directory позволяет сосредоточить в одном месте функции управления и администрирования учетных записей пользователей, проверки подлинности, поддержки правил обеспечения безопасности, а также информацию о таких ресурсах организации, как компьютеры, принтеры и серверы.
Уникальным свойством службы Active Directory является предоставляемая ею возможность управлять идентификаторами пользователей и контролировать доступ пользователей к разнообразным ресурсам в составе нескольких систем и платформ. Благодаря этому организации получают возможность использовать Active Directory в качестве надежного хранилища идентификаторов, информации проверки подлинности и авторизации, а также распространять эти данные и информацию на другие приложения, системы и платформы.
Управление правами пользователей в службе Active Directory
Применение Active Directory в качестве службы каталогов, предназначенной для хранения идентификаторов пользователей, позволяет организации воспользоваться преимуществами наиболее развитых функциональных возможностей для управления правами доступа пользователей. В результате интеграции этих функций появляется возможность найти решение перечисленных ниже важных проблем управления идентификаторами и доступом, о которых уже шла речь в этой статье.
Безопасность. Внесение изменений в права доступа пользователей может осуществляться во всей сети за один шаг, что позволяет снизить вероятность непреднамеренного создания лазейки, позволяющей получить доступ к конфиденциальной информации.
Сложность управления. Появляется возможность осуществлять управление полномочиями и учетными данными каждого пользователя только в одном месте. Более того, при таком подходе упрощается задача предоставления доступа пользователям, поскольку для доступа к сети и ко всем представленным в ней ресурсам требуется ввести только одно регистрационное имя пользователя и один пароль.
Сокращение расходов и повышение производительности труда. Благодаря тому что для управления группами и ролями применяется единственная система, устраняется излишняя работа, которой приходилось бы заниматься сетевым администраторам, если бы операции предоставления прав и контроля привилегий выполнялись в каждой отдельной системе и в каждом приложении.
Групповая политика
Для определения и ввода в действие параметров конфигурации пользователей и компьютеров, которые распространяются на группы пользователей и компьютеров, могут применяться технологии Group Policy операционных систем Windows Server 2003 и Windows 2000 Server. Благодаря применению технологий Group Policy организация получает возможность задавать следующие параметры групповой политики.
Групповые политики для операционных систем и компонентов Windows, определяемые на основе системного реестра.
Допустимые значения для параметров безопасности локального компьютера, домена и сети, в частности, регламентирующие правила использования паролей и учетных записей.
Параметры установки и сопровождения программного обеспечения, позволяющие централизовать управление установкой, обновлением и удалением приложений.
Групповые политики обеспечивают управление в рамках всей организации параметрами политик, что позволяет повысить безопасность, сократить затраты труда на администрирование, а также снизить расходы на поддержку.
Для получения дополнительной информации о применении технологий Group Policy в операционных системах Windows 2000 Server и Windows Server 2003 см. раздел «Обзор технологий Group Policy» справки Windows, а также страницу Step-by-Step Guide to Understanding the Group Policy Feature Set узла Microsoft TechNet.
Применение языка DSML
Язык DSML (Directory Services Markup Language) позволяет представить информацию о структуре каталога и операциях с каталогом в виде документа XML. Язык DSML позволяет использовать в производственных приложениях, основанных на языке XML, информацию о профилях и ресурсах, полученную из каталога в собственной среде приложения. Кроме того, язык DSML дает возможность применять совместно информацию на языке XML и информацию каталогов, а также создает общую основу для всех приложений с поддержкой XML, повышающую качество использования каталогов.
Службы DSML Services for Windows операционной системы Windows Server 2003 дополняют возможности службы Active Directory. Поскольку в службах DSML Services for Windows используются открытые стандарты, такие как HTTP, XML и SOAP (Simple Object Access Protocol), появляется возможность повысить уровень взаимодействия. Например, для многих устройств и других платформ обеспечивается возможность взаимодействия с помощью службы Active Directory в дополнение к ставшему уже стандартным протоколу LDAP (Lightweight Directory Access Protocol). Такой подход предоставляет много важных преимуществ для ИТ-администраторов и независимых поставщиков программных средств, которые в настоящее время имеют возможность воспользоваться еще большим количеством вариантов доступа к службе Active Directory с помощью открытых стандартов.
Службы DSML Services for Windows поддерживают язык DSML версии 2 (DSMLv2); этот язык регламентирован стандартом, который утвержден организацией по продвижению структурированных информационных стандартов (Organization for the Advancement of Structural Information Standards, OASIS) и поддерживается многими поставщиками служб каталогов. Поддержка спецификации DSMLv2 позволяет обеспечить лучшее взаимодействие с программными продуктами других поставщиков служб каталогов, которые также поддерживают этот стандарт. Сведения о спецификации и схеме DSMLv2 см. на веб-узле OASIS.
Чтобы получить программное обеспечение DSML Services for Windows, см. страницу загрузки Windows Server 2003 Feature Packs на узле Microsoft.com.
Режим приложений Active Directory
Сетевой каталог, подобный предоставляемому службой Active Directory, хорошо подходит для хранения относительно статических, глобально применимых данных. Если же организации или разработчику потребуется хранить информацию, связанную с идентификаторами, которая относится только к конкретному приложению или требует локального управления, для этой цели можно воспользоваться новым режимом Active Directory, называемым режимом приложений Active Directory (ADAM).
Режим ADAM позволяет найти решение многих проблем, возникающих при развертывании приложений, которым требуется структура каталога, но сами эти приложения не слишком хорошо подходят для среды Active Directory в связи с тем, что предъявляют одно или несколько из перечисленных ниже требований.
Хранение данных персонализации.
Хранение данных, требующих частого обновления.
Поддержка приложений, предназначенных для работы с каталогом, которым требуется обобщение таких данных профилей, полученных из нескольких лесов или из другой организации, как структура организационных единиц.
Предоставление возможности перемещения каталога.
Для получения дополнительной информации об использовании режима ADAM в этих сценариях см. статью «Управление доступом к интрасети» этой серии. Чтобы больше узнать о режиме ADAM и загрузить необходимое программное обеспечение, см. страницу Windows Server 2003 Active Directory Application Mode.
Загрузить
Получите серию статей Microsoft по управлению идентификаторами и доступом
Уведомления об обновлениях
Зарегистрируйтесь, чтобы получать информацию об обновлениях и новых выпусках
Обратная связь