[ Pobierz całość w formacie PDF ]
.Atrybut(y) obowiązkoweOptional Attr.Atrybut(y) opcjonalneOperational Attr.Atrybut(y) roboczeDefined in the SchemaZdefiniowane w schemacie656Rysunek 19.2Każdy obiekt katalogowy musi przynależeć do określonej klasyClass UserKlasa UżytkownikInstantiationPrzynależność do klasyObjectObiektJohn DoeJan Kowalski758Rysunek 22.1Pojedyncza domena systemu Windows NT Server zwykle kończy jako pojedyncza domena Active DirectorySingle NT DomainPojedyncza domena NTSingle AD DomainPojedyncza domena Active Directory758Rysunek 22.2Pojedyncza domena główna NT może być w Active Directory przekształcona w drzewo domen lub konsolidowana w mniejszą liczbę domenNT Master DomainDomena główna NTAD Domain TreeDrzewo domen Active DirectorySingle AD DomainPojedyncza domena Active Directory759Rysunek 22.3Model wielu domen głównych może, lecz nie musi, stanowić kandydata do radykalnej konsolidacji w pojedynczą domenę Active Directory.Wszystko zależy od okoliczności.NT Multiple Master DomainWiele domen głównych NTSingle AD DomainPojedyncza domena Active Directory760Rysunek 22.4Struktura wielu domen głównych może zostać przekształcona na kilka różnych sposobów, zależnie od potrzeb organizacji.Najbardziej prawdopodobnym scenariuszem jest przekształcenie w pojedyncze drzewo domen lub las.NT Multiple Master DomainWiele domen głównych NTAD Domain TreeDrzewo domen Active DirectoryAD ForestLas Active Directory761Rysunek 22.5Tak model pełnego zaufania powinien wyglądać w Active Directory: jako pojedyncza domena lub drzewo domenComplete TrustPełne relacje zaufaniaAD Domain TreeDrzewo domen Active DirectorySingle AD DomainPojedyncza domena Active Directory762Rysunek 22.6Tak nie należy przekształcać modelu pełnego zaufania na strukturę Active Directory (dzieląc na odrębne lasy), jeśli potrzebne są jakiekolwiek relacje zaufania między domenami.Jednostronne relacje zaufania należy pozostawić dla partnerów biznesowychComplete TrustPełne relacje zaufaniaSeparate AD ForestsOdrębne lasy Active Directory768Rysunek 22.7Różnice pomiędzy migracją wewnątrz lasu a między lasami są ogromneSourceŹródłoInter-forestMiędzy lasamiForest BoundaryGranica lasuTargetCelIntra-forestWewnątrz lasu779Rysunek 22.8Przykład początkowego projektu drzewa domen Active Directory, opartego na modelu wielu domen głównych780Rysunek 22.9Ta sama struktura wielu domen głównych przeniesiona do Active Directory z wykorzystaniem domeny-zasobnika, aby uniknąć tworzenia dwóch drzew domen781Rysunek 22.10Tak wykonywana jest zawsze modernizacja dowolnej domenyAD mixed modeActive Directory - tryb mieszanyAD native modeActive Directory - tryb macierzystyWindows 2000 PDCWindows NT BDCsPDC - Windows 2000Wszystkie BDC - Windows NTAll Windows 2000 DCsWszystkie kontrolery domen w Windows 2000783Rysunek 22.11Początkowa konfiguracja domeny przeznaczonej do migracji do systemu Windows 2000 Server: prosta domena Windows NT z jednym PDC i dwoma BDC783Rysunek 22.12Ta sama domena po migracji PDC do kontrolera domeny Active DirectoryDomain databaseBaza danych domenyGlobal CatalogWykaz globalny785Rysunek 22.13Domena po migracji wszystkich BDC do DC Active Directory.Przechodząc w tym ustawieniu do trybu macierzystego uzyskamy dostęp do pełnej funkcjonalności Active DirectoryDomain databaseBaza danych domenyGlobal CatalogWykaz globalny796Rysunek 23.1Strategia Microsoftu dla systemu Windows 2000 Server i Active Directory jest bardzo prosta: uczynić z Active Directory centrum przedsiębiorstwaAny LDAP serverDowolny serwer LDAPNetWare NDS or binderyNetware NDS lub bindery797Rysunek 23.2Aby uzyskać dostęp do zestawu wszystkich aplikacji serwerowych Microsoftu będzie oczywiście potrzebne tylko jedno logowanieClientKlientFile and Print ServicesUsługi plikowe i drukowaniaRemote AccessDostęp zdalnyOther AppInna aplikacja798Rysunek 23.3Microsoft w ten sposób wyobraża sobie udostępnienie pojedynczego podpisu (Single Sign-On) we współpracy z innymi systemami operacyjnymiVia (Kerberos, NTLM.)Przez (Kerberos, NTLM.)Multiple vendorsKlienty WWW różnych producentów799Rysunek 23.4Podstawowe działanie protokołu Kerberos - uwierzytelnianie użytkowników1.Sends TGT.1.Wysłanie TGT i żądanie od KDC biletu sesji do docelowego serwera2.Present session ticket.2.Prezentacja biletu sesji podczas konfiguracji połączenia3
[ Pobierz całość w formacie PDF ]