в. Рис. 23.4). Якщо призначити певні права доступу до об'єктів OU, то ці права можуть успадкувати всі вкладені об'єкти.
Дерево створюють і модифікують з використанням ММС (модуль Active Directory Users and Computers).
В операційній системі Windows NT 4 були два типи груп: локальні та глобальні. Ці групи могли містити тільки користувачів були призначені виключно для контролю доступу.
У AD збережено ці типи груп, однак додано ще універсальні групи (Universal Group). Ці групи працюють, якщо в мережі не використовують резервні контролери доменів (BDC), успадковані від попередньої системи NT4 (тобто система працює тільки на Windows 2000). Універсальні групи можуть складатися з глобальних груп та інших універсальних груп довільного домену лісу. Крім того, до групи AD можна вкладати не тільки об'єкти-користувачі, але й об'єкти-комп'ютери.
У AD змінений і механізм реплікації. У NT 4 головна доступна для запису копія БД SAM домену зберігається тільки на головному контролері домену. У W2000 доступна для запису копія DIT міститься на кожному контролері. Система відстежує зміни, привласнюючи кожної такій зміні номер USN (UpdateSequence Number) і часову мітку. При реплікації між контролерами передається не вся база даних, а тільки інформація про зміни. Якщо надійшла інформація про зміни одного і того ж об'єкта, то контролер порівнює тимчасові позначки і приймає рішення про зміни. Такий механізм реплікації забезпечує мінімум інформації у разі передачі мережі і високі параметри продуктивності контролерів.
Якщо в NT4 були тільки головні і резервні контролери доменів, які надавали один і той же сервіс з розпізнавання користувачів, то в AD контролери доменів виконують набагато більше функцій. Один сервер може виконувати декілька функцій. Визначено такі функції.
Головний контролер домену (PDC). У мережах, де є станції з NT 4, надає сервіс голові ного контролера.
Контролер пулу відносних ідентифікаторів (RID Pool). Відносний ідентифікатор (Relative Identifier (RID)) є частиною ідентифікатора об'єкта. Контролер пулу відносних ідентифікаторів координує привласнення унікальних ідентифікаторів доонтроллерамі системи.
Контролер інфраструктури. Підтримує узгодженість даних з загального каталогу, налаштування мережі і налаштування реплікації.
Контролер схеми визначає контролер, на якому дозволено вносити зміни в схему БД AD.
Незважаючи на великі потенційні можливості, AD як служба каталогів з зручністю у використанні значно відстає від інших СК. Порівняємо AD з NDS, яка сьогодні є самою СК.
У AD контейнери не можуть бути принципалами безпеки. NDS дозволяє призначати права доступу на рівні контейнерів. Наприклад, контейнер відділ розробки може отримати права доступу до певного принтера. У цьому випадку всі користувачі цього відділу зможуть користуватися.
У AD всі назви об'єктів повинні бути унікальними незалежно від місця їх розташування в дереві. У NDS ім'я об'єкта має бути унікальним тільки в межах свого безпосереднього контейнера.
У NDS спадкування прав динамічне якщо користувачеві призначено право доступу до контейнера, то оновлюється лише ACL для цього контейнера. Разом з тим при перевірки прав доступу враховують права у всіх контейнерах. У AD спадкування прав статичну: якщо змінюються права доступу до контейнера, то змінюються ACL для всіх вкладених об'єктів контейнера для великого і складного дерева може зажадати багато ресурсів.
Контролер AD може бути контролером тільки одного домену, тоді як сервер NDS може зберігати репліки декількох розділів. Отже, потенційно при рівності серверів NDS є стійкою і надійною.
Значним недоліком AD також її орієнтація на структуру доменів DNS, обмежує користувачів. NDS не має таких обмежень, і дерево каталогів можна, наприклад, створювати згідно організаційній структурі підприємства, філії якого розташовані в різних зонах DNS.
Для повідомлення про зміни в статусі сервісів AD використовує записи DNS про ресурси (RFC 2052). Однак DNS не цілком виконує цю функцію. NDS наприклад, використовує для цього спеціально призначений протокол SLP (RFC 2165). У багатьох випадках DNS діє як окрема служба (на базі UNIX-сервера) та інтеграція її з AD проблематична.
Сьогодні AD підтримує тільки ОС Windows, тоді як NDS - багато систем.
3.4 Служби NIS і NIS +
(Мережева Інформаційна Служба) - служба каталогів, розроблена і реалізована Sun Microsystems для систем на основі UNIX. NIS спочатку називалися Yellow Pages (YP), але через проблеми з торговим знаком Sun змінила цю назву. Стара назва (yp...
