Основы работы в сети. Часть 9. Информация об Active Directory

Опубликовано: 23 Марта, 2023

  • Основы работы в сети, часть 11: консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа

В нескольких последних частях этой серии статей я много говорил о том, что такое Active Directory и как она работает в отношении контроллеров домена вашей сети. Из предыдущих статей этой серии вы уже знаете, что Active Directory — это, по сути, база данных, содержащая различные объекты, такие как учетные записи пользователей и учетные записи компьютеров. В этой статье я хочу продолжить обсуждение, показав вам, как устроена Active Directory.

Если вы когда-либо использовали Microsoft Access или SQL Server, вы, вероятно, привыкли открывать базу данных и просматривать ее целиком. Однако ни один из основных инструментов администрирования, используемых для управления Active Directory, не позволит вам увидеть всю базу данных Active Directory. Вместо этого Microsoft предоставляет вам множество инструментов управления, каждый из которых ориентирован на определенную область базы данных. Как новый администратор вы, вероятно, будете чаще всего использовать инструмент администрирования — консоль Active Directory Users and Computers.

Вы можете получить доступ к консоли «Пользователи и компьютеры Active Directory» с любого контроллера домена Windows Server 2003, выбрав команду «Пользователи и компьютеры Active Directory» в меню сервера «Пуск» / «Все программы» / «Администрирование». Сама консоль выглядит примерно так, как вы видите на рисунке А.

Изображение 20548
Рисунок A: Консоль «Пользователи и компьютеры Active Directory» — это основной инструмент администрирования для управления объектами Active Directory.

Позже я расскажу о процессе создания или редактирования объектов Active Directory, а пока хочу показать вам эту консоль, потому что она немного раскрывает структуру Active Directory. Если вы посмотрите на рисунок A, то заметите, что там есть несколько контейнеров, каждый из которых соответствует определенному типу объекта. Каждому объекту во всей Active Directory назначается тип объекта (известный как класс объекта). Каждый объект также имеет ряд атрибутов, связанных с ним. Конкретные атрибуты различаются в зависимости от типа объекта.

Например, контейнер «Пользователи» заполнен учетными записями пользователей, которые классифицируются как пользовательские объекты, как показано на рисунке B. Если вы щелкните правой кнопкой мыши один из этих пользовательских объектов и выберите команду «Свойства» в появившемся контекстном меню, вы см. лист свойств пользовательских объектов, как показано на рисунке C.

Изображение 20549
Рисунок B. Контейнер «Пользователи» заполнен учетными записями пользователей, которые классифицируются как пользовательские объекты.

Изображение 20550
Рисунок C: Если щелкнуть правой кнопкой мыши объект пользователя и выбрать команду «Свойства» в появившемся контекстном меню, вы увидите лист свойств пользователя.

Если вы посмотрите на рисунок C, то увидите, что там есть поля для различной информации, такой как имя, фамилия, номер телефона и т. д. Каждое из этих полей соответствует определенному атрибуту отдельного объекта. Хотя большинство полей, показанных на рисунке, не заполнены, в реальной ситуации эти поля можно использовать для создания корпоративного каталога. На самом деле многие приложения предназначены для извлечения информации непосредственно из Active Directory. Например, Microsoft Exchange Server (сервер электронной почты Microsoft) создает глобальный список адресов, основанный на содержимом Active Directory. Этот глобальный список адресов используется при отправке сообщений электронной почты другим пользователям в компании.

Если вы посмотрите на рисунок D, вы увидите экран, на котором я выполнил поиск по имени Hershey (имя моей кошки, если вам интересно), и Outlook вернул все записи глобального списка адресов, содержащие имя Hershey. Неудивительно, что есть только один результат. Однако, если вы посмотрите на часть окна с результатами, вы увидите, где Outlook отобразил бы заголовок пользователя, рабочий номер телефона и местоположение, если бы эти поля были заполнены. Вся эта информация была извлечена из Active Directory.

Изображение 20551
Рисунок D

Если вы хотите увидеть еще больше информации о пользователе, вы можете щелкнуть правой кнопкой мыши имя пользователя и выбрать команду «Свойства» в появившемся меню. При этом отобразится экран, показанный на рисунке E. Имейте в виду, что это не административный экран. Это экран, к которому любой пользователь в компании может получить доступ непосредственно через Outlook 2007, чтобы найти информацию о других сотрудниках.

Изображение 20552
Рисунок E: Вы можете просматривать информацию Active Directory напрямую через Microsoft Outlook.

Легко пренебречь значением того, что я только что показал вам. В конце концов, Outlook — это продукт Microsoft, поэтому имеет смысл только то, что Outlook может извлекать информацию из Active Directory, которая является частью другого продукта Microsoft.

Однако многие люди не осознают, что любой, у кого есть соответствующие разрешения, довольно легко извлекает информацию из Active Directory. На самом деле существует бесчисленное множество сторонних продуктов, предназначенных для взаимодействия с Active Directory. Некоторые даже способны хранить данные в выделенных разделах Active Directory.

Причина, по которой вы или сторонние поставщики программного обеспечения можете взаимодействовать с Active Directory, заключается в том, что Active Directory основана на хорошо известном стандарте. Active Directory основана на стандарте под названием X.500. Стандарт X.500 — это, по сути, обычный способ реализации службы каталогов. Microsoft — не единственная компания, которая создала службу каталогов на основе этой службы. Первоначально Novell создала службу каталогов NetWare на основе этого стандарта.

Существует также стандартный способ доступа к информации службы каталогов. В среде Active Directory для доступа к информации каталога используется протокол облегченного доступа к каталогам, также известный как LDAP. Протокол LDAP работает поверх протокола TCP/IP.

Первое, что вам нужно знать о протоколе LDAP, это то, что тот, кто назвал его, должен был быть на взломе, потому что в нем нет ничего легковесного (хотя он более легковесный, чем исходный протокол доступа к каталогу, который не был разработан, чтобы использовать преимущества стека протоколов TCP/IP). О LDAP написаны целые книги, и его подробное обсуждение на данном этапе серии статей не совсем уместно.

Что я вам скажу, так это то, что на каждый объект в Active Directory ссылаются по отличительному имени (часто сокращенно DN). Отличительное имя основано на положении объекта в иерархии каталогов. Существует множество различных компонентов, которые могут входить в отличительное имя, но некоторые из наиболее распространенных — это обычное имя (сокращенно CN) и доменное имя (сокращенно DC). Например, предположим, что домен Contoso.com содержит учетную запись с именем User1, и эта учетная запись находится в контейнере Users. В такой ситуации отличительным именем для учетной записи пользователя будет:

CN=User1, CN=Users, DC=Contoso, DC=com

Вывод

В этой статье я объяснил, что информация, хранящаяся в Active Directory, может использоваться внешними приложениями с помощью протокола LDAP. В следующей статье этой серии я продолжу обсуждение отличительных имен в их отношении к Active Directory.

 

  • Основы работы в сети, часть 11: консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023