Nivelul domeniu funcțional și pădure
Gama de optiuni oferite de Active Directory, depinde de ce nivel (sau într-un anumit mod) operează un domeniu separat sau întreaga pădure ca un întreg.
După instalarea sistemului, și de a crea primul controler de domeniu este întotdeauna domeniu de lucru este în mod mixt.
operațiune Domeniul de schimbare nivel este posibilă numai în direcția de creștere a acesteia. Acest lucru se poate face folosind consola administrativă „Active Directory - Domenii si Trusturile“ sau „Active Directory - utilizatori și computere.“ Dacă oricare dintre aceste console clic dreapta pe numele domeniului și selectați „Modificarea nivelului de domeniu funcțional“ în meniul contextual, va apărea bara de instrumente, prezentată în Fig. 6.39:
Pentru a crește nivelul necesar pentru a selecta nivelul dorit și apăsați butonul „Change“. După replicarea acestei schimbări pentru toate controlerele din domeniu vor fi disponibile pentru acest anumit nivel posibil. Rețineți că schimbările sunt ireversibile.
Pentru pădurea ca întreg este de asemenea posibil să se determine nivelurile funcționale. Acest lucru se face cu ajutorul „Active Directory - Domenii si trusturi“ console. Numai este necesar să faceți clic pe un nume de domeniu, faceți clic dreapta, și în inscripția „Active Directory. - Domenii si trusturile“
Există 3 nivele de funcționare de pădure:
Cel mai înalt nivel de funcționare a pădurii permite două obiective foarte importante:
- redenumire domeniu;
- stabilirea unei relații de încredere între două păduri neînrudite cu altele folosind un protocol de autentificare Kerberos ca (fără o astfel de relație de încredere regim poate fi stabilită numai între domeniile individuale, mai degrabă decât păduri întregi, în care este utilizat un protocol mai puțin sigur de autentificare NTLM).
servere de catalog Global și Operațiuni Master
Cele mai multe operațiuni cu Active Directory conturi de administrator de baze de date poate efectua, cu o consolă de conectare respectiv la oricare dintre DCs. Cu toate acestea, pentru a evita inconsecvențele, unele acțiuni trebuie să fie coordonate și efectuate de către special desemnată în acest scop servere. Astfel de DCs sunt numite de masterat operații (operațiuni master), sau de punere în aplicare roluri specializate (flexibile operațiuni cu un singur master abreviat -. FSMO).
Există cinci roluri specializate:
- rolul de master schema - prin intermediul consolei „Active Directory Schema“ (pentru a porni consola, trebuie să vă înregistrați mai întâi componenta software-ul corespunzător de pe linia de comandă: regsvr32 schmmgmt.dll și apoi executați consola în sine este, de asemenea, pe linia de comandă - schmmgmt.msc.);
- rolul maestru de domeniu de denumire - folosind „Active Directory - Domenii si Trusturile“ consola;
- emulator rol PDC. maestru RID și master Infrastructura - prin intermediul consolei - (., de exemplu, poate fi văzut în figura 6.40) "Active Directory Users and Computers".
Trebuie să știi care utilizatorii au dreptul de a modifica rolurile principale operațiuni:
- PDC emulator - membri ai grupului „domeniu“ Admins;
- gazdă RID - membri ai grupului „domeniu“ Admins;
- proprietarul infrastructurii - membri ai grupului „domeniu“ Admins;
- Domeniul de denumire de - membri ai „Enterprise“ Adminii;
- Schema de Master - membri ai grupului „Schema Admins“ sau „administratorul întreprinderii.“
În cazul în care un controler de domeniu care deține operațiunile de maestru rol, nu reușește (din cauza software-ului sau deteriorarea hardware), și nu există nici o modalitate de a restabili sistemul de la o copie de rezervă, apoi utilizați consola administrativă pentru a transfera rolul de servere operaționale nu este posibilă. Restabilește funcționarea unei operațiuni anumit rol principal poate doar prin captarea acest rol, folosind Ntdsutil utilitarul de linie de comandă.
server catalog global
Să ne amintim că catalogul global (global catalog) - este o listă a tuturor obiectelor din pădure Active Directory. În mod implicit, controlerele de domeniu conțin numai informații despre obiectele de domeniu. Un server de catalog global este un controler de domeniu, care conține informații despre fiecare obiect (deși nu toate atributele acestor obiecte), situat în pădure.
Un server de catalog global îndeplinește două funcții importante:
- căutare pentru obiecte de-a lungul pădurii (clienții pot avea acces la cererile de catalog global pentru a căuta obiecte de pe valori specifice de atribute, utilizați un server de catalog global - singura modalitate de a căuta obiecte în întreaga pădure);
- autentificarea utilizatorului (server catalog global furnizează informații despre grupurile universale grup de membru universal utilizatorului ;. ca grupuri universale cu liste de utilizatorii lor membre sunt stocate numai pe serverele de catalog global autentificarea utilizatorilor care aparțin acestor grupuri, este posibilă numai cu participarea server catalog global.) .
Implicit este primul controler de domeniu într-o pădure este un server de catalog global. Cu toate acestea, administratorul de rețea poate atribui orice controler de domeniu este un server de catalog global. Acest lucru se face folosind consola administrativă „Active Directory - site-uri și servicii“, în proprietățile de nod „Setări“ NTDS controler selectat (Figura 6.41.):
Pentru Active Directory activitatea de serviciu eficient este necesar ca, în fiecare site AD a fost un server de catalog global. sau un controler de domeniu, punerea în cache la listele membrilor grupurilor universale. grup universal memoriei cache este, de asemenea, stabilit în consola „Active Directory - site-uri și servicii“, în proprietățile de nod „Setări NTDS“ pentru fiecare site Active Directory. Pentru a activa caching nevoie pentru a pune o căpușă în câmpul „Activează cache membru al grupului universal“ și indicați de care site-ul site-ul va primi o listă a grupurilor universale în „cache de la Refresh:“ (a se vedea Figura 6.42.):