Розглянемо більш докладно основні можливості систем сімейства Windows
Server 2003. Спочатку розберемо принципово нові засоби, що з'явилися вперше в
цих системах, а потім перелічимо головні можливості, які існували й раніше, у
попередніх системах Microsoft.
Служба Active
Directory і Windows Server 2003
В Windows Server 2003 служба Active Directory не перетерпіла революційних
змін у порівнянні з версією, наявної в Windows 2000, її умовно можна називати
Active Directory 1.1. Контролери під керуванням Windows 2000 Server і Windows
Server 2003 можуть співіснувати в одному домені (і навіть разом з Windows NT
4.0 BDC), однак всі нові можливості Active Directory реалізуються тільки тоді,
коли всі контролери доменів у лісі працюють під керуванням Windows Server 2003.
Перелічимо нижче головні особливості Active Directory на базі Windows Server
2003:
· На зміну змішаному й
основному режиму доменів Windows 2000 прийшли функціональні рівні, які
визначають можливості доменів і лісу. Наприклад, зміна імені контролера домену
або домену можливо тільки на функціональному рівні Windows Server 2003.
· Поліпшення в
адміністративних оснащеннях для керування доменами. Наприклад, включені можливості
збережених запитів і одночасної зміни властивостей декількох об'єктів каталогу,
поліпшені засоби пошуку.
· Утиліти командного
рядка для керування Active Directory.
· Установка контролерів домену
з архівної копії. Ця можливість дозволяє зменшити кількість реплицируемой
інформації за рахунок того, що основна частина каталогу копіюється з архіву, а
по мережі передаються тільки останні зміни каталогу.
· Кэширование інформації
про члени універсальних груп. У багато доменних конфігураціях з декількома
сайтами ця функція дозволяє зменшити трафік, що виникає при аутентификации
користувачів, або взагалі відмовитися від бажаної присутності сервера
глобального каталогу в кожному сайті.
· Розділи додатків.
Розділи каталогу, створювані користувачами або додатками. Мають свою топологію
реплікації, при якій контролери домену - носії репліки деякого роздягнула
каталогу - визначаються вибірково адміністратором; на інших контролерах цей
розділ буде відсутній.
· Об'єктний клас
InetOrgPerson може використатися для переносу інформації з інших LDAP-сумісних
каталогів. Цей клас є суб'єктом безпеки, і йому можна призначати права й
дозволи.
· Можливість
перейменування (зміни DNS- і NetBIOS-імен) контролерів домену й доменів. При
цьому не можна тільки перевизначити кореневий домен лісу, тобто передати його
функції іншому домену в лісі.
· Установлення довірчих
транзитивних відносин між лісами, при яких користувачі одного домену можуть
аутентифицироваться для доступу до всіх або деяких ресурсів іншого лісу.
· Поліпшення механізму
реплікації Active Directory. Зокрема, значно зменшений трафік, що виникає при
зміні членства в групі (оскільки реплицируется не весь атрибут members, а
тільки змінений елемент) і при реплікації даних Глобального каталогу.
· Динамічні об'єкти, які
мають установлений строк життя. Якщо додаток не звертається до таких об'єктів
протягом заданого інтервалу часу, то об'єкти автоматично віддаляються з
каталогу.
