Служба Active Directory и Windows Server 2003


В Windows Server 2003 служба Active Directory не претерпела революционных изменений по сравнению с версией, имеющейся в Windows 2000, ее условно можно называть Active Directory 1.1. Контроллеры под управлением Windows 2000 Server и Windows Server 2003 могут сосуществовать в одном домене (и даже вместе с Windows NT 4.0 BDC), однако все новые возможности Active Directory реализуются только тогда, когда все контроллеры доменов в лесе работают под управлением Windows Server 2003.
Перечислим ниже главные особенности Active Directory на базе Windows Server 2003.

  •  На смену смешанному (mixed) и основному (native) режиму доменов Windows 2000 пришли функциональные уровни (functional levels), которые определяют возможности доменов и леса (глава 18). Например, изменение имени контроллера домена или домена возможно только на функциональном уровне Windows Server 2003.
  •  Улучшения в административных оснастках для управления доменами (глава 20). Например, включены возможности хранимых запросов и одновременного изменения свойств нескольких объектов каталога, улучшены средства поиска.
  •  Утилиты командной строки для управления Active Directory (глава 20).
  •  Установка контроллеров домена из архивной копии (глава 19). Эта возможность позволяет уменьшить количество реплицируемой информации за счет того, что основная часть каталога копируется из архива, а по сети передаются только последние изменения каталога.
  •  Кэширование информации о членах универсальных (universal) групп. В многодоменных конфигурациях с несколькими сайтами эта функция позволяет уменьшить трафик, возникающий при аутентификации пользователей, или вообще отказаться от желательного присутствия сервера глобального каталога в каждом сайте.
  •  Разделы приложений (application directory partiotions). Разделы каталога, создаваемые пользователями или приложениями. Имеют свою топологию репликации, при которой контроллеры домена — носители реплики некоторого раздела каталога — определяются выборочно администратором; на других контроллерах этот раздел будет отсутствовать.
  •  Объектный класс InetOrgPerson может использоваться для переноса информации из других LDAP-совместимых каталогов. Этот класс является субъектом безопасности, и ему можно назначать права и разрешения.
  •  Возможность переименования (изменения DNS- и NetBIOS-имен) контроллеров домена и доменов. При этом нельзя только переопределить корневой домен леса, т. е. передать его функции другому домену в лесе.
  •  Установление доверительных транзитивных отношений между лесами, при которых пользователи одного домена могут аутентифицироваться для доступа ко всем или некоторым ресурсам другого леса.
  •  Улучшения механизма репликации Active Directory. В частности, значительно уменьшен трафик, возникающий при изменении членства в группе (поскольку реплицируется не весь атрибут members, а только измененный элемент) и при репликации данных Глобального каталога.
  •  Динамические объекты, которые имеют установленный срок жизни. Если приложение не обращается к таким объектам в течение заданного интервала времени, то объекты автоматически удаляются из каталога.