В Windows Server 2003 служба
В Windows Server 2003 служба Active Directory не претерпела революционных изменений по сравнению с версией, имеющейся в Windows 2000, ее условно можно называть Active Directory 1.1. Контроллеры под управлением Windows 2000 Server и Windows Server 2003 могут сосуществовать в одном домене (и даже вместе с Windows NT 4.0 BDC), однако все новые возможности Active Directory реализуются только тогда, когда все контроллеры доменов в лесе работают под управлением Windows Server 2003.
Перечислим ниже главные особенности Active Directory на базе Windows Server 2003.
На смену смешанному (mixed) и основному (native) режиму доменов Windows 2000 пришли функциональные уровни (functional levels), которые определяют возможности доменов и леса (глава 18). Например, изменение имени контроллера домена или домена возможно только на функциональном уровне Windows Server 2003.
Улучшения в административных оснастках для управления доменами (глава 20). Например, включены возможности хранимых запросов и одновременного изменения свойств нескольких объектов каталога, улучшены средства поиска.
Утилиты командной строки для управления Active Directory (глава 20).
Установка контроллеров домена из архивной копии (глава 19). Эта возможность позволяет уменьшить количество реплицируемой информации за счет того, что основная часть каталога копируется из архива, а по сети передаются только последние изменения каталога.
Кэширование информации о членах универсальных (universal) групп. В многодоменных конфигурациях с несколькими сайтами эта функция позволяет уменьшить трафик, возникающий при аутентификации пользователей, или вообще отказаться от желательного присутствия сервера глобального каталога в каждом сайте.
Разделы приложений (application directory partiotions). Разделы каталога, создаваемые пользователями или приложениями. Имеют свою топологию репликации, при которой контроллеры домена — носители реплики некоторого раздела каталога — определяются выборочно администратором; на других контроллерах этот раздел будет отсутствовать.
Объектный класс InetOrgPerson может использоваться для переноса информации из других LDAP-совместимых каталогов. Этот класс является субъектом безопасности, и ему можно назначать права и разрешения.
Возможность переименования (изменения DNS- и NetBIOS-имен) контроллеров домена и доменов. При этом нельзя только переопределить корневой домен леса, т. е. передать его функции другому домену в лесе.
Установление доверительных транзитивных отношений между лесами, при которых пользователи одного домена могут аутентифицироваться для доступа ко всем или некоторым ресурсам другого леса.
Улучшения механизма репликации Active Directory. В частности, значительно уменьшен трафик, возникающий при изменении членства в группе (поскольку реплицируется не весь атрибут members, а только измененный элемент) и при репликации данных Глобального каталога.
Динамические объекты, которые имеют установленный срок жизни. Если приложение не обращается к таким объектам в течение заданного интервала времени, то объекты автоматически удаляются из каталога.
Содержание раздела