Обзор доменных служб Active Directory

Используя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server.

Остальная часть этого раздела содержит общий обзор роли сервера AD DS. Дополнительные сведения о новых компонентах AD DS в Windows Server 2012 см. в разделе Новые возможности доменных служб Active Directory (AD DS).

Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене.

Упорядочение элементов сети в иерархическую вложенную структуру предоставляет следующие преимущества.

• Лес действует как защитная граница для организации и определяет объем полномочий администраторов. По умолчанию лес содержит один домен, который называется корневым доменом леса.
• Чтобы структурировать данные AD DS, что позволит организациям реплицировать данные только там, где необходимо, в лесу можно создать дополнительные домены. Это позволяет AD DS глобально масштабировать сеть, имеющую ограниченную полосу пропускания. Домен Active Directory поддерживает также ряд других основных функций, которые связаны с администрированием, включая действующие во всей сети удостоверения пользователей, проверку подлинности и отношения доверия.
• Наличие подразделений упрощает делегирование прав, облегчая управление большим количеством объектов. С помощью делегирования владельцы могут передавать полные или ограниченные права на объекты другим пользователям или группам. Функция делегирования прав важна, так как помогает распределять управление большим количеством объектов между несколькими людьми, которым доверяется выполнение задач администрирования.

Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Администрирование на основе политики облегчает управление даже очень сложной сетью.

Доменные службы Active Directory предоставляют следующие дополнительные возможности.

• Набор правил — схема, определяющая классы объектов и атрибуты, которые содержатся в каталоге, ограничения и пределы для экземпляров этих объектов, а также формат их имен.
• Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска данных каталога независимо от того, какой домен в каталоге действительно содержит искомые данные.
• Механизм запросов и индексирования, благодаря которому объекты и их свойства могут публиковаться и находиться сетевыми пользователями и приложениями.
• Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена, доступные для записи в домене, участвуют в репликации и содержат полную копию всех данных каталога для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.
• Роли хозяев операций (известные также как гибкие операции с единым хозяином, или FSMO). Контроллеры доменов, исполняющие роли хозяев операций, предназначены для выполнения специальных задач по обеспечению согласованности данных и исключению конфликтующих записей в каталоге.

Требования доменных служб Active Directory

---

Оборудование, программное обеспечение и параметры конфигураций, необходимые для выполнения этого компонента. Предварительные требования для выполнения этой роли. Специальное оборудование, необходимое для роли или компонента.

Требование	Описание
TCP/IP	Настройте соответствующие адреса TCP/IP и DNS-сервера.
NTFS	Диски, на которых хранится база данных, файлы журналов и папка SYSVOL для доменных служб Active Directory (AD DS) должны находиться в локальном фиксированном томе. Папку SYSVOL необходимо поместить в том с файловой системой NTFS. В целях безопасности базу данных и файлы журналов службы каталогов Active Directory необходимо хранить в томе с файловой системой NTFS.
Учетные данные	Чтобы установить новый лес AD DS, необходимо иметь права локального администратора на этом сервере. Для установки дополнительного контроллера домена в существующем домене вы должны быть членом группы администраторов домена.
Инфраструктура службы доменных имен (DNS)	Убедитесь в существовании инфраструктуры DNS. Перед установкой AD DS можно при необходимости установить DNS-сервер. При создании нового домена в процессе установки автоматически создается DNS-делегирование. Для создания DNS-делегирования требуются учетные данные, имеющие разрешение на обновление родительских DNS-зон. Дополнительные сведения см. на Странице мастера параметров DNS.
Adprep	При добавлении первого контроллера домена, на котором установлена ОС Windows Server 2012, к существующей службе Active Directory команды adprep.exe выполняются автоматически. Эти команды имеют дополнительные требования к учетным данным и подключению. Дополнительные сведения см. в разделе Запуск Adprep.exe.
Контроллеры домена только для чтения (RODC)	Дополнительные требования для установки контроллеров RODC. Режим работы леса должен соответствовать хотя бы Windows Server 2003. В том же домене должен быть установлен хотя бы один контроллер домена для записи, работающий под управлением Windows Server 2008 или более поздней версии. Дополнительные сведения см. в разделе Требования для развертывания RODC.

Примечание
Контроллеры домена обычно не размещают другие роли сервера, исключая роль DNS-сервера.