W2K3 AD I.
2004/04/17 19:32
851 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A sorozat első részeként megjelenő cikk témája a Windows Server 2003 tartományt illetve a címtárszolgáltatást érintő változások és újdonságok.

Változások a címtárszolgáltatásban
A Windows Server 2003 címtárszolgáltatásában kisebb-nagyobb változások egyaránt történtek, ezek közül most a legfontosabbakat ismertetjük két részben. Az első csoportban található újdonságok a Windows Server 2003 tartományvezérlők bevezetése után rögtön használhatóak, bármilyen más feltétel (pl. tartomány üzemmód-váltás) teljesítése nélkül.

Több felhasználói objektum kiválasztása
A Windows NT4-ben már használt, de a Windows 2000 Serverben "eltűnt", több felhasználói objektum jellemzőinek együttes módosítása újra megjelent a Windows Server 2003-ban. Nem minden egyes fióktulajdonság megváltoztatására van lehetőség, de a legfontosabbakra igen.

Mentett lekérdezések
A gyakran használt keresési paraméterek a későbbi használat céljából az Active Directory Users and Computers MMC modulban tárolhatók. Immár nagyon kifinomult módon kereshetünk, és az elmentett keresések segítségével anélkül is tárolhatunk olyan információkat, amelyeket egyébként valamilyen módon egységbe kellett volna szerveznünk.

Active Directory parancssori eszközök
A teljes Windows Server 2003-mal kapcsolatban megállapíthatjuk, hogy a parancssori eszközök minden tekintetben nagyot fejlődtek, szélesebb lehetőségeik vannak, és gyakorlatilag szinte 100%-osan használhatóak távvezérlésre is. Nincs ez másképp a címtárszolgáltatással kapcsolatos új parancsokkal sem, amelyek jelentősen egyszerűsíthetik az üzemeltető munkáját, bevatkozási lehetőségeit. Csak felsorolás szinten említünk meg néhányat:

- Dsadd: Felhasználó, csoport, számítógép, kapcsolattartó és szervezeti egység hozzáadása a címtárhoz.
- Dsmod: Címtárobjektumok módosítása, a következő típusú objektumok módosíthatók: felhasználók, csoportok, számítógépek, kiszolgálók, kapcsolattartók és szervezeti egységek.
- Dsrm: Objektumok eltávolítása az Active Directoryból.
- Dsmove: Egy objektum átnevezése a címtárfán belüli áthelyezés nélkül, vagy áthelyezéssel
- DsQuery: Címtári objektumok lekérdezése és keresése megadott keresési feltételek alapján. Általános üzemmódban bármilyen típusú objektum, speciális üzemmódban pedig a kiválasztott objektumtípusok lekérdezésére használatos.
- Dsget: Megadott objektumtípusok kiválasztott jellemzőinek megjelenítése

InetOrgPerson osztály
Az inetOrgPerson osztály az alapséma új rendszerbiztonsági tagja (azaz System Account, az operációs rendszer telepítésekor gyári azonosítót - Security ID, SID - kap), a felhasználó osztályhoz hasonlóan használható. a szervezeten belül a felhasználók jelöléséhez. Ennek a teljesen szabványos (RFC 2798) objektumosztálynak a támogatottsága könnyedebbé teszi a címtáradatok migrálását más (nem a Microsoft által készített) LDAP alapú címtárakból az Active Directoryba.
További tartományvezérlők hozzáadása biztonsági mentés felhasználásával
Windows Server 2003 esetén megtehetjük, hogy egy hordozható médiára (pl. CD-R) másolt biztonsági mentést használunk egy új tartományvezérlő telepítésekor, a címtár adatok forrása gyanánt. Ennek értelmét az adja, hogy távoli telephelyek esetén nem minden esetben rendelkezünk megbízható és/vagy nagy sávszélességű kommunikációs kapcsolattal, így az új tartományvezérlő kialakításakor szükséges címtár replikáció különösen hosszú ideig tartana, ha megvalósulna egyáltalán.

Az Univerzális csoporttagság gyorsítótárazása
A globális katalógus bejelentkezéskori keresése egy telephelyen elkerülhető az univerzális csoporttagság (emlékeztetőül: az univerzális csoport olyan biztonsági vagy terjesztési csoport, amely tagjai a csoport saját tartományában található felhasználók, csoportok és számítógépek lehetnek, de az erdő bármely tartományának erőforrásaira jogosultságokat és engedélyeket kaphatnak) adatainak a hitelesítő (tehát valószinűleg közeli és könnyen elérhető) tartományvezérlőn való tárolásával, a szokásos gyorsítótár elv alapján (cache). Ez azt jelenti, hogy nincs szükség a globális katalógus telephelyi telepítésére, így ez az új lehetőség erősen csökkenti a telephelyek közötti replikációt, így sávszélesség megtakarítással jár. Viszont az érem másik oldalát is látnunk kell: ha a hagyományos globális katalógus műveletekre (pl. keresés) van szükség, akkor az azonnali telephelyek közötti forgalmat okoz.

Active Directory kvóták
A címtárszolgáltatás ezen új lehetősége biztonsági szempontból indokolható, ugyanis a a kvóták megadásávál meghatározható, hogy a felhasználó, csoport vagy számítógép mennyi objektummal rendelkezhet az adott címtárpartícióban. A kvóták alapesetben nem vonatkoznak a tartománygazdákra és a vállalati rendszergazdákra.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
All you need is code Minden a kódolás tanulásához
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek