Служба каталогов Active Directory предоставляет возможность разового входа в сеть и содержит центральное хранилище с информацией обо всей инфраструктуре, значительно упрощая управление пользователями и компьютерами и обеспечивая более удобный и надежный доступ к ресурсам сети.
Экономический эффект
Усовершенствования в службе Active Directory предоставляют значительные стратегические преимущества средним и крупным предприятиям, обеспечивая более высокую производительность труда администраторов и пользователей. Базируясь на фундаменте, заложенном в Windows 2000, Windows Server 2003 повышает универсальность, управляемость и надежность Active Directory. Потенциальная выгода для организаций заключается в дальнейшем снижении затрат при повышении эффективности совместного использования различных элементов предприятия и управления ими.
Преимущества | Описание |
Большая гибкость | Новые важные возможности, появившиеся в Active Directory, сделали структуру каталогов этой службы одной из самых гибких на сегодняшнем рынке. Теперь, когда приложения, работающие со службами каталогов, завоевывают все большее распространение, организации могут использовать возможности Active Directory для управления корпоративным сетевым окружением сколь угодно сложной структуры. В любых вариантах применения — от центров данных Интернета до больших распределенных предприятий с множеством филиалов — усовершенствования, отличающие семейство Windows Server 2003, упрощают администрирование и повышают производительность и эффективность, что делает эти системы в высшей степени универсальным решением. |
Снижение совокупной стоимости владения | Служба Active Directory претерпела ряд изменений, направленных на снижение совокупной стоимости владения и эксплуатационных расходов предприятия. На всех уровнях были реализованы новые возможности и усовершенствования, обеспечивающие большую гибкость, упрощающие управление и повышающие надежность. |
Новые возможности и усовершенствования
В ОС Windows Server 2003 корпорация Майкрософт усовершенствовала службу Active Directory, сделав ее более гибкой, надежной и экономичной. В частности, Active Directory в Windows Server 2003 обладает следующими характеристиками:
1. Упрощенное развертывание и управление
2. Большая безопасность
3. Повышенная производительность и надежность
Упрощенное развертывание и управление
Windows Server 2003 предоставляет администраторам более широкие возможности для эффективной настройки службы Active Directory и управления ею, в том числе в условиях очень крупного предприятия с множеством лесов, доменов и узлов. Улучшенные средства перехода и управления вкупе с возможностью переименования доменов Active Directory делают развертывание значительно более простой задачей, чем в операционной системе Windows 2000 Server, где впервые появилась эта служба каталогов. С помощью этих средств можно перетаскивать объекты мышью, выделять множество объектов, а также сохранять и повторно использовать запросы. Кроме того, усовершенствования в групповой политике облегчают и делают более эффективным управление группами пользователей и компьютеров в среде Active Directory.
Преимущества | Описание |
ADMT версии 2.0 | Переход на Active Directory стал более простой задачей благодаря ряду усовершенствований в средстве Active Directory Migration Tool (ADMT). В ADMT 2.0 разрешен перенос паролей из Microsoft Windows NT® 4.0 в Windows 2000 и Windows Server 2003, а также из доменов Windows 2000 в домены Windows Server 2003. |
Переименование домена | Эта функция позволяет менять имена DNS и NetBIOS доменов, входящих в состав леса, причем новый лес остается "правильно сформированным". Администраторам предоставляется большая свобода в изменении структуры Active Directory после ее развертывания. Проектные решения теперь являются обратимыми, что удобно для организаций, участвующих в слиянии или претерпевающих значительную реструктуризацию. |
Переопределение схемы | Гибкость Active Directory повысилась за счет возможности деактивировать атрибуты и определения классов в схеме Active Directory. Атрибуты и классы можно переопределять, если в первоначальном определении была допущена ошибка. |
Режим приложений AD/AM | Active Directory в режиме приложений (AD/AM) — это новая возможность Active Directory, нацеленная на сценарии развертывания, которые связаны с приложениями, работающими со службой каталогов. AD/AM работает как внешняя служба и в силу этого не требует развертывания на контроллере домена. Это означает, что несколько экземпляров AD/AM могут работать одновременно на одном сервере, причем конфигурацию для любого из них можно настраивать независимо от остальных. Примечание. AD/AM будет выпускаться как отдельный компонент в составе Windows Server 2003. |
Усовершенствования групповой политики | Вместе с Windows Server 2003 корпорация Майкрософт выпускает новое средство управления групповой политикой, призванное унифицировать этот процесс. Консоль управления групповой политикой (GPMC) представляет собой единое решение для управления всеми задачами, относящимися к групповой политике. GPMC позволяет администраторам управлять групповой политикой множества доменов и узлов в составе конкретного леса с помощью упрощенного пользовательского интерфейса с поддержкой перетаскивания объектов мышью. Среди примечательных новых возможностей следует упомянуть резервное копирование, восстановление, импорт, копирование и составление отчетов об объектах групповой политики (GPO). Все эти операции поддерживают использование сценариев, что позволяет администраторам настраивать и автоматизировать процесс управления. В совокупности эти преимущества значительно облегчают использование групповой политики и помогают управлять предприятием с меньшими затратами при сохранении эффективности. |
Улучшенный пользовательский интерфейс | Являясь основным средством корпоративного управления идентификацией, объектами и отношениями, улучшенный интерфейс повышает эффективность управления и расширяет возможности интеграции. Теперь надстройки консоли Microsoft Management Console (MMC) позволяют перетаскивать объекты мышью, выделять множество объектов, а также сохранять и повторно использовать запросы. Администраторы теперь могут одновременно редактировать множество пользовательских объектов, восстанавливать значения по умолчанию для разрешений списков управления доступом (ACL), просматривать эффективные разрешения участников безопасности и определять родительский объект, от которого были унаследованы разрешения. |
Большая безопасность
Дополнительные функции безопасности облегчают управление множеством лесов и междоменными доверительными отношениями. Межлесные доверительные отношения представляют собой новый тип доверительных отношений в Windows, обеспечивающий управление отношениями безопасности между двумя лесами. Они значительно упрощают администрирование безопасности и проверку подлинности между двумя лесами. Пользователям предоставляется безопасный доступ к ресурсам из других лесов без необходимости жертвовать единым входом и административными преимуществами, связанными с возможностью иметь всего одно имя пользователя и пароль в домашнем лесу пользователя. Тем самым обеспечивается гибкость, необходимая для того, чтобы некоторые подразделения или зоны могли иметь собственные леса, не теряя при этом доступа к преимуществам Active Directory. Кроме того, новый диспетчер учетных данных обеспечивает безопасное хранение учетных данных пользователя и сертификатов X.509.
Политики ограниченного использования программ позволяют администраторам запрещать установку нежелательных программ на компьютерах по всей сети.
Преимущества | Описание |
Межлесная проверка подлинности | Межлесная проверка подлинности обеспечивает безопасный доступ к ресурсам в ситуации, когда учетная запись пользователя принадлежит к одному лесу, а учетная запись компьютера — к другому. Эта функция предоставляет пользователям безопасный доступ к ресурсам из других лесов с использованием протокола Kerberos или NTLM, не вынуждая их жертвовать единым входом и административными преимуществами, связанными с возможностью иметь всего одно имя пользователя и пароль в домашнем лесу пользователя. |
Межлесная авторизация | Межлесная авторизация облегчает администраторам выбор пользователей и групп из доверенных лесов для включения в локальные группы или списки управления доступом. Данная функция сохраняет незыблемость границ леса, позволяя при этом устанавливать доверительные отношения между лесами. Она позволяет доверяющему лесу налагать ограничения на принимаемые идентификаторы безопасности при попытках доступа пользователей из доверенных лесов к защищенным ресурсам. |
Усовершенствования в перекрестной сертификации | Возможности перекрестной сертификации клиентских компьютеров Windows Server 2003 были расширены за счет введения перекрестной сертификации на уровне отдела и на глобальном уровне. Например, Win Logon теперь имеет возможность запрашивать перекрестные сертификаты и загружать их в "доверенное хранилище предприятия". По мере построения цепочки будут загружены все перекрестные сертификаты. |
IAS и межлесная проверка подлинности | Если леса Active Directory находятся в режиме межлесной проверки подлинности с двусторонними доверительными отношениями, данная функция позволяет службе IAS/RADIUS производить проверку подлинности учетной записи пользователя, находящегося в другом лесу. Это дает администраторам возможность легко интегрировать новые леса с уже существующими службами IAS/RADIUS в собственном лесу. |
Диспетчер учетных данных | Диспетчер учетных данных обеспечивает безопасное хранение учетных данных пользователей, включая пароли и сертификаты X.509. Таким образом, всем пользователям, включая перемещающихся, достаточно ввести пароль только один раз. Например, если пользователь пытается запустить специализированное приложение в сети предприятия, то при первой попытке обратиться к этому приложению выполняется проверка подлинности, и запрашиваются учетные данные пользователя. После ввода учетных данных пользователем они будут связаны с запросившим их приложением. В дальнейшем при доступе к этому приложению будут использованы сохраненные учетные данные; повторный запрос этих данных выполняться не будет. |
Политики ограниченного использования программ | Политики ограниченного использования программ служат для регулирования доступа к неизвестному или не имеющему доверия программному обеспечению. С помощью политик ограниченного использования программ можно защитить компьютерную среду от программ неизвестного происхождения, определив совокупность программ, разрешенных для запуска. Чтобы разрешить или не разрешить выполнение программы по умолчанию, можно определить для объекта групповой политики (GPO) уровень безопасности по умолчанию "Неограниченный" или "Не разрешено". Для уровня безопасности по умолчанию можно задавать исключения, создавая правила для конкретного программного обеспечения. |
Повышенная производительность и надежность
Windows Server 2003 обеспечивает более эффективное управление репликацией и синхронизацией данных Active Directory.
Администраторы теперь могут лучше контролировать типы сведений, которые реплицируются и синхронизируются между контроллерами домена, находящимися как внутри одного и того же домена, так и в разных доменах.
Кроме того, Active Directory обеспечивает более совершенную логику отбора информации для репликации: теперь можно реплицировать только ту информацию, которая изменилась, — целиком обновлять крупные фрагменты каталога больше не требуется.
Преимущества | Описание |
Упрощение процедуры входа для удаленных офисов | Филиалы с контроллерами доменов могут обеспечивать вход пользователей в систему с использованием сохраненных в кэше учетных данных, не обращаясь предварительно к глобальному каталогу, что повышает производительность и устойчивость системы при работе в ненадежных глобальных сетях (WAN). Потеря связи между филиалом и глобальным каталогом больше не препятствует входу в систему пользователей филиала. Тем самым обеспечивается более эффективная поддержка филиалов и сокращение трафика в глобальной сети. |
Усовершенствования в репликации членства в группах | Некоторые данные каталога не нужно делать доступными в глобальном масштабе. Данное средство предоставляет возможность размещения данных в Active Directory, не оказывая существенного влияния на производительность сети. Это достигается благодаря контролю над областью репликации и размещением реплик. |
Разделы каталога приложений | Некоторые данные каталога не нужно делать доступными в глобальном масштабе. Данное средство предоставляет возможность размещения данных в Active Directory, не оказывая существенного влияния на производительность сети. Это достигается благодаря контролю над областью репликации и размещением реплик. |
Репликация с временных носителей | Эта функция позволяет администратору выполнить — вместо репликации по сети полной копии базы данных Active Directory — первоначальную репликацию, используя файлы, созданные при резервном копировании имеющегося контроллера домена или сервера глобального каталога. |
Повышение надежности | В Active Directory появился ряд новых возможностей, повышающих надежность. К их числу, в частности, относятся функция контроля работоспособности, позволяющая администраторам проверять репликацию между контроллерами доменов, улучшенная репликация глобального каталога, а также обновленный генератор межузловой топологии (ISTG), который теперь имеет более высокую масштабируемость за счет поддержки лесов с большим количеством узлов, чем в Windows 2000. |
Дата: 2019-07-31, просмотров: 184.