Службы каталогов. Часть 1 - Общие понятия.

  • Автор:

Directory-Service-1-000.png

По мере роста локальной сети предприятия сложность структуры и трудоемкость администрирования возрастают в геометрической прогрессии и каждый системный администратор рано или поздно задумывается о внедрении службы каталогов. Однако очень часто возникают затруднения, связанные с тем, что администраторы слабо представляют, что же это такое - служба каталогов и с чем ее едят. Дабы устранить данный пробел мы начинаем этот цикл статей, где, как всегда, расскажем просто о сложном, начав с самого начала.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Что бы понять, что такое служба каталогов и для чего она нужна, рассмотрим организацию локальной сети на примере некого развивающегося предприятия. Первоначально, имея несколько компьютеров их объединяют в сеть на основе рабочей группы. Зачем? Для того, чтобы совместно использовать общие ресурсы: папки и файлы, принтеры, доступ в интернет.

Пока предприятие маленькое, все друг друга знают и постоянно на виду в сети используется гостевая модель доступа, как наиболее простая в реализации. Это значит что любой пользователь, имея ПК, физически подключенный к сети, может получить доступ к любым ее ресурсам.

По мере развития фирма расширяется, появляется деление на отделы и возникает необходимость разделения доступа к ресурсам. В рабочей группе все компьютеры равноправны, поэтому, для обеспечения доступа к некому ресурсу, на данном ПК должны быть заведены учетные записи для каждого пользователя, которому необходимо обеспечить доступ. Администратор сети в рабочей группе понятие весьма условное, на каждом ПК имеется свой, локальный, администратор, не имеющий аналогичных полномочий на других компьютерах. Рассмотрим схему более подробно:

Directory-Service-1-001.png

В нашей рабочей группе имеются два ПК на которых работают пользователи Иванов (логин: Ivanov, пароль 123) и Петров (логин: Petrov, пароль 345). Для того, чтобы Иванов имел доступ к общим ресурсам Петрова, на его (Петрова) компьютере необходимо добавить учетную запись Ivanov и наоборот. Через некоторое время в сети появляется файловый сервер, на котором необходимо добавить все учетные записи пользователей, которые должны иметь доступ к его ресурсам. Отдельно стоит поговорить об организации доступа в интернет, обычно для этого используют стороннее ПО со своим списком пользователей и своим методом авторизации, что выливается в еще один список пользователей и еще один набор паролей.

Что мы имеем в итоге? Каждый пользователь имеет несколько паролей (а то и несколько пар логин-пароль): от учетной записи, от интернета. В дальнейшем, при появлении в сети новых сервисов (эл. почта, службы терминалов и т.п.), этот список будет только расти. Теперь представим ситуацию, когда Иванов решил поменять пароль к своей учетной записи. Пароль также придется сменить на всех ПК и серверах сети или при доступе к ним Иванову придется отдельно авторизовываться со своим старым паролем.

И вот, в один прекрасный день (но явно не для админа), в нашу организацию пришел работать Сидоров. Его учетную запись следует создать на всех ПК и серверах к которым он должен иметь доступ. А если компьютеров в сети не один десяток? А если завтра он перейдет в другой отдел и должен будет иметь доступ к ПК Иванова, но не иметь доступа к ПК Петрова? Да, админу не позавидуешь...

Вот здесь и выходит на первый план необходимость в едином хранилище учетных записей пользователей и ресурсов локальной сети и таким хранилищем выступает служба каталогов. При этом мы переходим от организации сети на базе рабочей группы к доменной структуре, которая более сложная, но в тоже время позволяет четко выстроить иерархию доступа к ресурсам вашей сети. Вернемся к нашей схеме:

Directory-Service-1-002.pngКак видим, в нашей сети появился новый участник - контроллер домена. Это сердце сети, единое хранилище записей о всех ее ресурсах: рабочих станциях, принтерах, серверах, пользователях и группах пользователей. Теперь, авторизуясь на своем ПК, пользователь вводит логин и пароль выданные ему администратором домена. Эти учетные данные проверяются контроллером домена, который, в случае успешной авторизации, выдает ему своеобразный "пропуск" (билет сеанса), дающий пользователю возможность использовать все, разрешенные для его группы, ресурсы сети без дополнительной авторизации.

Выгоды от такого подхода очевидны, все учетные записи пользователей создаются один раз, на контроллере домена, любой новый сервис в сети достаточно ввести в общий каталог и доступ к нему автоматически могут получить все пользователи. Теперь появление нового сотрудника - Сидорова, не вызовет у админа головной боли, он один раз создаст его учетную запись и поместит ее в необходимую группу, при переходе сотрудника из отдела в отдел достаточно будет просто переместить пользователя из одной группы в другую. Один единственный раз.

Следует четко усвоить - служба каталогов предоставляет админу единую точку управления пользователями и ресурсами сети. Все изменения делаются один раз - на контроллере домена и применяются для всей сети. При доменной структуре, администратор, как капитан на судне - "первый после Бога", имеет неограниченный доступ к любому ПК в сети.

Существует довольно много реализаций служб каталогов, наиболее распространенной и богатой по возможностям является Active Directory от Microsoft, существуют также открытые решения, такие как OpenLDAP, Apache Directory Server, 389 Directory Server, домен Samba и иные. Все эти решения, их достоинства и недостатки мы более подробно рассмотрим в следующей статье.

Дополнительные материалы:


  1. Службы каталогов. Часть 1 - Общие понятия
  2. Службы каталогов. Часть 2 - Реализации служб каталогов
  3. Службы каталогов. Часть 3 - Структура Active Directory
  4. Active Directory - от теории к практике. Часть 1 - общие вопросы
  5. Active Directory - от теории к практике. Часть 2 - разворачиваем доменную структуру
  6. Active Directory - от теории к практике. Часть 3 - настройка DHCP
  7. Active Directory - от теории к практике. Часть 4 - перенос учетных записей в домен
  8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
  9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
  10. Синхронизация времени Active Directory с внешним источником
  11. Обновление схемы Active Directory
  12. Управление ролями FSMO при помощи Ntdsutil
  13. Управление ролями FSMO с помощью PowerShell
  14. Восстанавливаем доверительные отношения в домене
  15. Очистка метаданных контроллера домена в Active Directory

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments