W2K3 AD II.
2004/05/17 11:57
2593 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A cikksorozat ezen részében található újdonságok a Windows Server 2003-el épített teljes tartományokra illetve erdőkre is kihatnak.

Fontos!
A bevezető bekezdésben említett hatókörök miatt ezeknek az újdonságoknak az alkalmazása csak akkor mehet végbe ha a tartomány illetve az erdő funkcionalitási szintjét Windows Server 2003-as szintre emeljük. Ezt alapos megfontolás után külön-külön kell megtennünk az "Az AD funkcionalitási szintjei" c. cikkben említett módon.

Tartomány- és tartományvezérlő átnevező eszközök
A tartományok bizonyos feltételek (pl. a funkcionalitási szint megfelelő állapota az összes tartományvezérlőn, az új zóna előzetes elkészítése, Enterprise Admins csoporttagság) teljesülése esetén átnevezhetők. A tartomány új nevével együtt frissül természetesen a DNS névtér és a címtár is. Tudnunk kell viszont, hogy nem teljes szabadságot ad a kezünkbe ez az eszköz, sőt bizonyos esetekben lehetetlen is a tartomány átnevezése (pl. az azonos tartományban működő Exchange Server esetén).
Emellett lefokozás nélkül a tartományvezérlők is átnevezhetőek. Tartományvezérlőket a következő okokból célszerű átnevezni:
- Hálózat átalakítása a szervezeti vagy egyéb igények szerint.
- Egyszerűbb kezelés és felügyeleti vezérlés

A tartományvezérlők átnevezésekor biztosítani kell, hogy a tartományvezérlő újraindításának esetét kivéve a kliensek megszakítás nélkül képesek megtalálni vagy hitelesíteni az átnevezett tartományvezérlőt. A tartományvezérlő új nevével a rendszer automatikusan frissíti a DNS névteret és az Active Directory címtárat. Amint az új név bekerül a DNS-be és az Active Directoryba, a kliensek azonnal meg tudják találni és hitelesíteni tudják az átnevezett tartományvezérlőt. A DNS és az Active Directory replikációjának késése megnövelheti az átnevezett tartományvezérlő ügyfelek általi kereséséhez és hitelesítéséhez szükséges időt.

Erdőszintű bizalmi kapcsolatok
Az erdőkkel kapcsolatban is történt egy alapvető változás, amely ugyan nem minden szervezetnél lesz valószínűleg fontos, de azért lényeges, ugyanis innentől az erdőszintű bizalmi kapcsolatok (trust) lehetővé teszik egyirányú vagy kétirányú tranzitív kapcsolatok kiterjesztését az adott erdő határain túlra, egy másik erdőre. Eddig ilyen bizalmi kapcsolatot csak az erdőn belül, két vagy több tartomány között volt lehetséges készíteni. Fontos újdonság volt a Windows 2000 bevezetésével, hogy az NT4-gyel ellentétben ezek a kapcsolatok nemcsak automatikusan kétirányúak lettek egy erdőn belül (röviden: ha az "A" tartomány bizik a B-ben, akkor a "B" tartomány is az A-ban), hanem tranzítivak is, tehát ha "A" bízik a "B"-ben és a "B" is a "C"-ben, akkor alapértelmezés szerint "A" is a "C"-ben és fordítva. A Windows Server 2003 segítségével viszont erdők (tehát teljesen különböző sémát használó szervezetek) is összekapcsolhatóak ezen módon. Fontos tudni ellenben, hogy ennél a fajta bizalmi kapcsolatnál nincs implicit (azaz automatikus) tranzítivitás, viszont a két erdő akármelyik két tartománya között kialakulhat kétirányú bizalmi kapcsolat, amely a további előnyükk- Javul az erőforrások kezelése, mert csökken a külső bizalmi kapcsolatok száma.
- Egyszerű felhasználónév alapján történő hitelesítés használható.
- Mind a Kerberos, mind az NTLM protokollok használhatóak hitelesítésre.

A tartományok és erdők közötti erőforrások felhasználói elérésének ellenőrzése
Adott erdő vagy tartomány felhasználóinak megtiltható a másik erdő vagy tartomány erőforrásainak használata. Értelemszerűen az egyszerűbbé váló megbízotti kapcsolatokat használatával új biztonsági problémák is előjöhetnek (főleg erdőkre vonatkozóan, hiszen két erdő ilyetén módú összekötésével szabadabban turkálhatnak egymás tartományaiban a felhasználók. Ennek kiküszöbölésére a hozzáférési szabályok engedélyezésével meghatározhatjuk azt a felhasználói vagy csoport kört, amelyek ebben az esetben is jogosultak hozzáférni a tartomány vagy erdő erőforrásaihoz.

Sémaobjektumok megszüntetése
A Windows 2003 Serverben immár lehetséges a séma felesleges vagy hibás osztályainak és attribútumainak inaktiválása. Ez nem törlést jelent, hanem csak a forgalomból kivonást. Szükség esetén újra lehet aktíválni vagy esetleg újrahasznosítani új definiciókkal. Mi értelme van ennek? Tudnunk kell, hogy minden alkalommal amikor egy alkalmazás vagy pl. egy rendszerfrissítés kapcsán séma bővítést követünk el, a séma hízik. Viszont abban az esetben ha eltávolitjuk a kérdéses alkalmazást, a séma az alkalmazásra vonatkozó része az eltávoltás ellenére megmarad, örökre. Ez tehát felesleges erőforrás pazarlást és kevésbé átláthatóságot jelent, de eddig nem volt mi tenni. A Windows Server 2003-ban viszont van némi lehetőség a takarításra, akár a séma MMC moduljából, akár programozási módszerekkel.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten