Active Directory - do czego użyć

Active Directory to usługi katalogowe do Windows Server 2003. Katalog przechowuje informacje o obiektach dostępnych w sieci - czy są to udziały sieciowe, drukarki, komputery, czy też wyspecjalizowane serwery bazodanowe, czy inne oprogramowanie serwerowe.

Active Directory to usługi katalogowe do Windows Server 2003. Katalog przechowuje informacje o obiektach dostępnych w sieci - czy są to udziały sieciowe, drukarki, komputery, czy też wyspecjalizowane serwery bazodanowe, czy inne oprogramowanie serwerowe.

Przy użyciu Active Directory można odwzorować strukturę przedsiębiorstwa (np. podział na jednostki organizacyjne, działy itp). Dzięki temu, że obiekty "należą" do określonego węzła drzewa (lub - lasu), można precyzyjnie definiować łańcuch uprawnienia lub delegować "prawa administracyjne".

Usprawnienia w usługach katalogowych w Windows Server 2003 obejmują chyba każdy aspekt działania Active Directory. Nowa usługa działa szybciej i nawet na analogicznym sprzęcie może obsłużyć więcej użytkowników. Katalog jest znacznie bardziej elastyczny w stosunku do tego, który był dostępny w Windows 2000 Server. Można niemal dowolnie zmieniać schemat katalogu (czyli strukturę określającą, w jaki sposób opisywane są obiekty umieszczane w drzewie AD). W ten sposób można na przykład dodatkowo opisać informacje o koncie użytkowników lub o zainstalowanych specjalistycznych drukarkach. Niewykorzystywane obiekty schematu mogą być np. ukrywane.

Warto dodać, że aby edytować schemat, należy zarejestrować specjalne biblioteki oraz utworzyć własną konsolę administracyjną (np. używając polecenia mmc /a); szczegóły opisane są w pomocy Windows Server 2003).

Mechanizmy replikacji mogą przesyłać tylko zmiany, nawet gdy zmodyfikowany został schemat katalogu (wykorzystywana jest technologia Inter-Site Topology Generator - ISTG), gdzie minimalizowana jest ilość przesyłanych informacji.

Logowanie do domeny Windows Server 2003 odbywa się znacznie szybciej. Klient może przechowywać w pamięci podręcznej informacje pozwalające zalogować się do domeny (które w Windows 2000 znajdują się w tzw. Global Catalog). Ułatwia to wykorzystanie Active Directory, gdy łącze pomiędzy zdalnym biurem a centralą nie jest pewne (nie trzeba w każdym oddziale instalować kopii GC).

Schemat Active Directory składa się z wieluset obiektów, opisujących różne elementy infrastruktury IT.

Schemat Active Directory składa się z wieluset obiektów, opisujących różne elementy infrastruktury IT.

W Windows Server 2003 można zainstalować specjalną konsolę do zarządzania polisami grupowymi (GPMC). Konsola pozwala przypisywać uprawnienia na dowolnym "węźle" drzewa. Instalacja nowej polisy sprowadza się do przeciągnięcia obiektu na dany węzeł. GPMC pozwala także na praktyczne przetestowanie działania polis - można wygenerować "wynikowy" zestaw uprawnień, a nawet przetestować, jakie operacje da się wykonać po nałożeniu określonych ograniczeń w różnych węzłach drzewa.

Dzięki Active Directory administrator ma potężne narzędzie pozwalające na wprowadzenie porządku i określonej, hierarchicznej struktury w sieci.

Równocześnie jest to bardzo interesująca struktura, pozwalająca zapisać informacje na potrzeby własnych aplikacji, rozwijanych wewnątrz przedsiębiorstwa (czy też wdrażanych w firmie). Jednak w niektórych scenariuszach wdrożeń instalacja pełnej infrastruktury katalogowej może być niepotrzebna. Firma może już mieć katalog Active Directory, a aplikacja wymaga na przykład tylko mechanizmu do przechowania tymczasowych danych. Jeżeli zostaną umieszczone w "dużym" katalogu, to będą podlegać replikacji itp., a nie zawsze jest to potrzebne.

Wreszcie czasami w małej firmie może w ogóle nie być takich informacji, które nie muszą być replikowane w całej strukturze Active Directory.

W Windows Server 2003 dostępny jest specjalny "tryb" działania Active Directory, pozwalający wydzielić fragment katalogu na potrzeby danej aplikacji. Taka partycja często bywa przydatna. Można określić, że np. nie będzie ona replikowana pomiędzy kolejnymi serwerami AD. W ten sposób każdy oddział, pracujący na własnych aplikacjach przechowujących dane w wydzielonej partycji AD nie będzie niepotrzebnie wysyłał informacji do innych serwerów.

Dostępna jest także specjalna wersja usług Active Directory - Active Directory Application Mode (ADAM). Tego typu katalog może być instalowany "obok" głównej instalacji AD; nawet w środowisku Windows XP. Na jednym serwerze może obok siebie działać kilka niezależnych instancji ADAM.

ADAM może być wykorzystane np. jako repozytorium informacji o użytkownikach w przypadku serwera WWW. Dzięki temu serwer byłby w ogóle "poza" główną instalacją AD (instalacja serwera WWW w ramach AD zawsze jest niepotrzebnym ryzykiem).

Warto dodać, że pakiet (do pobrania ze stron Microsoftu) zajmuje 16 MB.

Dla programisty do obsługi "dużego" Active Directory, jak i ADAM dostępne są dwa interfejsy programistyczne. ADSI jest specjalnym API opracowanym przez Microsoft do obsługi Active Directory. Równocześnie do operacji na katalogu można wykorzystywać zapytania zgodne z LDAP (uniwersalny schemat kwerend przeznaczony do odpytywania struktur katalogowych).

W Windows Server 2003 obsługiwane są wirtualne listy elementów. Klient, który chce odczytać duży zestaw obiektów, może utworzyć po stronie serwera specjalny tymczasowy obiekt - listę, po czym przeglądać kolejno informacje, ściągając je małymi partiami. Jest to rozszerzenie LDAP opracowane przez IETF. W LDAP w Windows Server 2003 można wykorzystać bezpieczną komunikację przy użyciu TLS (zgodnie z RFC 2830) oraz autoryzację typu diggest, jak to opisuje RFC 2829.

Interfejs ADSI bezproblemowo może być wykorzystywany z poziomu aplikacji pisanych w .NET. Dostępne są specjalne biblioteki, zatem z punktu widzenia programisty obsługa katalogu sprowadza się praktycznie do używania dwóch obiektów: opisującego encję AD oraz pośrednika w wyszukiwaniu informacji.


Zobacz również