Основы компьютерных сетей

Домены Windows 2000


В основу логической структуры Active Directory положены модули, называемые доменами. Несмотря на совпадение терминов, домены Windows 2000 существенно отличаются от доменов Windows NT. Как в Windows NT, так и в Windows 2000 домен представляет область (или границу) обеспечения безопасности, администрирования и репликации. Однако в Windows NT используется плоская структура домена, а в Windows 2000 домены организованы в иерархическое дерево доменов.

Понятия иерархического дерева в Active Directory и NDS значительно отличаются. В NDS сеть не разделена на домены. В то же время сеть Windows 2000 может состоять из многих доменов, организованных в дерево. Кроме того, эти деревья, объединяясь с другими деревьями, могут образовывать лес. На структура доменов Windows 2000, содержащая два дерева доменов (с корневыми доменами shinder.net и tacteam.net), объединенных в лес.

Преимуществом связывания деревьев доменов, имеющих отдельные непересекаю- щиеся пространства имен, является возможность образования доверительного отношения. Рассмотрим доверительные отношения Windows 2000 и работу модулей OU в структуре доменов.

Доверительные отношения в Windows 2000

Между всеми доменами одного дерева и всеми деревьями одного леса автоматически установлено неявное транзитивное доверительное отношение. Это значит, что пользователи, принадлежащие одному домену, могут получать доступ к ресурсам другого домена (конечно, если их учетным записям присвоены соответствующие права доступа к этим ресурсам). Транзитивные доверительные отношения являются большим преимуществом сетей Windows 2000 по сравнению с Windows NT, в которых для достижения того же результата администратору приходилось вручную устанавливать односторонние доверительные отношения между каждой парой доменов.

Как и в NDS, в Active Directory для организации ресурсов в пределах домена используются модули OU. Административные права могут быть переданы отдельным OU. В противоположность этому в сетях Windows NT административные права можно присвоить только на уровне домена.

В Active Directory используется соглашение об именах DNS (Domain Name System), причем работа Active Directory зависит от DNS. В каждой сети Windows 2000 должен быть сервер DNS. Кроме того, обновления зоны информации DNS могут совпадать с зонами репликации Active Directory, что значительно повышает эффективность традиционных методов обновления DNS.

Операционная система Windows 2000 поддерживает DDNS (Dynamic Domain Name System), в которой обновления базы данных DNS выполняются автоматически.

Комментарии закрыты