Функциональные уровни леса и домена

Функциональные уровни леса и домена

Функциональный уровень леса доменов определяет набор функциональных возможностей Active Directory, доступных в масштабах всего леса доменов. Существует два функциональных уровня.

  • Windows 2000 . Данный функциональный уровень предполагает наличие в сети контроллеров домена различных версий — Windows NT/2000 и Windows Server 2003. В этом случае некоторая часть новых возможностей Active Directory недоступна. Используется функциональность леса, поддерживаемая системами Windows 2000.
  • Windows Server 2003 . Чтобы поднять лес доменов на этот функциональный уровень, нужно перевести все контроллеры домена леса под управление Windows Server 2003. На этом функциональном уровне становятся доступными новые возможности, перечисленные в табл. 19.2. Эти функции касаются всего леса доменов и доступны в любом домене.

Таблица 19.2. Новые возможности доменов и леса, доступные на функциональном уровне Windows Server 2003

Функция Описание
Переименование домена Любой домен может быть переименован. Процесс переименования может привести к изменению положения домена в рамках иерархии домена (за исключением корневого домена леса)
Доверительные отношения между лесами доменов Между двумя лесами доменов, находящимися на функциональном уровне Windows Server 2003, могут быть установлены транзитивные доверительные отношения (как односторонние, так и двусторонние)
Репликация связанных (linked) значений Изменение состава группы пользователей приводит к передаче информации только о новых или удаленных членах группы
Деактивация объектов схемы Определения классов объектов и атрибутов, содержащиеся в схеме, не могут быть удалены (поскольку это нарушило бы целостность каталога). Вместо этого администратор может выполнить деактивацию требуемого объекта (например, если он содержит ошибку). Впоследствии объект может быть снова активирован
Оптимизация процесса репликации содержимого глобального каталога Если происходит изменение одного из атрибутов объекта, содержащегося в глобальном каталоге, реплицируется не весь объект, а только измененный атрибут
Динамические объекты и вспомогательные классы Администратор может создавать в каталоге объекты, которые имеют , ограниченный срок жизни (существуют в каталоге в течение строго определенного периода времени)
Усовершенствованный алгоритм генерации топологии репликации Оптимизирована работа сервиса Knowledge Consistency Checker (KCC) для лесов доменов, имеющих большое количество сайтов

Таким образом, чтобы сделать доступными весь спектр возможностей Windows Server 2003, администратор должен поднять лес доменов на функциональный уровень Windows Server 2003.
Существует еще один функциональный уровень, который используется в ситуации, когда происходит обновление сети на основе Windows NT до Windows Sewer 2003. В этом случае первый же контроллер домена Windows NT, обновленный до Windows Server 2003, переводится на функциональный уровень Windows Server 2003 interim. Этот функциональный уровень допускает существование в сети только контроллеров домена Windows NT и Windows Server 2003. Контроллеры домена под управлением Windows 2000 не допускаются.
Функциональный уровень Windows Sewer 2003 interim включает в себя все возможности, доступные на уровне Windows 2000, плюс две функции уровня Windows Server 2003:

  • усовершенствованный алгоритм генерации топологии репликации;
  • репликация связанных значений.
Читайте также:  Как убрать эксплорер браузером по умолчанию

Очевидно, что для переведения леса доменов на функциональный уровень Windows Server 2003 необходимо, чтобы все домены находились на функциональном уровне Windows Server 2003.

Почти всегда целью создания сайта является получение прибыли, которая в свою очередь, зависит от его внешнего вида. Статистика говорит, что около 94% людей, при выборе товара, сначала обращают внимание на упаковку, а потом уже на её содержимое. И если эта упаковка не привлекательная и безвкусная, мало кто обратит на нее внимание, и, соответственно, товар не будет пользоваться спросом.
В случае с интернет, “упаковкой” выступает ваш сайт, а “товаром” — его контент. Если сайт выглядит непривлекательно, то каким бы ценным и нужным не было его содержимое, люди будут обходить его стороной. Наша задача — сделать ваш сайт привлекательным и удобным, чтобы люди чувствовали себя уютно и комфортно, чтоб они возвращались к вам еще и еще. Соответствие между ценой и качеством вас, несомненно, порадуют.
.
Мы делаем сайты для бизнеса, а не красочную картинку, которая увешена тяжеловесными флэшами и огромными фотографиями.
Пользователя, когда он попадает на абсолютно любой сайт, прежде всего интересует информация, затем, как реализовать на этом сайте полученную информацию, чтобы было удобно и просто (юзабилити), подбор цветовой гаммы, расположение блоков на странице и многое другое.

Перед тем, как заказывать создание сайта, рекомендуем прочесть статью А зачем мне (нам) сайт? или Что нужно знать заказчику сайта
Да и вообще, обратите внимание на раздел Статьи о продвижении сайта и бизнеса там вы найдёте ответы на многие вопросы.


Kyle Beckman написал простой, но полезный материал на портале http://4sysops.com, посвященный нововведениям в корзине AD в Windows Server 2012. Его обзор показался нам довольно интересным, поэтому мы приводим его перевод на Хабрахабре. Заинтересованных приглашаем под кат.

С момента появления в Windows Server 2008 R2 корзина AD претерпела существенные изменения: в Windows Server 2012 появился графический интерфейс. Корзина AD позволяет Вам восстанавливать удаленные объекты AD без принудительного восстановления AD или восстановления из tombstone объектов. Также в новую корзину добавлена возможность фиксировать информацию о членстве в группах и атрибутах, так что Вам не придется вручную восстанавливать настройки, как это приходилось делать с tombstone объектами.
Изначально доступ к корзине AD осуществлялся через Powershell. В Windows Server 2012 Вы можете получить доступ к объектам через Active Directory Administrative Center (ADAC), обладающий графическим интерфейсом. По умолчанию – когда Вы создаете новый лес или домен – Корзина AD выключена. Если Вы ее включаете, то потом не выключить. Поэтому рекомендую сначала осуществить все манипуляции в тестовой среде – включение этой функции меняет то, как AD хранит удаленные объекты.
Для начала Вам потребуется следующее:

Читайте также:  Преобразовать текст в таблицу excel

• Хотя бы один контроллер домена, работающий под Windows Server 2012 с включенным Active Directory Administrative Center.
• Все контроллеры домена (или серверы, на которых запущены AD LDS) должны работать под Windows Server 2008 R2 или выше.
• Лес должен работать на функциональном уровне Windows Server 2008 R2.

Функциональный уровень леса (Forest Functional Level)

Для начала убедитесь, что лес работает на корректном функциональном уровне леса. Проще все это сделать с помощью PowerShell командлета Get-ADForest. Запустите команду Get-ADForest yourdomain.local.


Функциональный уровень леса

В окне PowerShell можно увидеть, что лес работает в режиме, he Windows 2008 и должен быть поднят хотя бы до уровня Windows Server 2008 R2. Запустим командлет Set-ADForestMode.
Set-ADForestMode -Identity yourdomain.local -ForestMode Windows2008R2Forest.


Режим леса (Forrest mode)

Подтверждаем – и готово! Если еще раз запустим Get-ADForest yourdomain.local, увидим, что режим леса поменялся.


Windows Server 2008 R2 Forest Mode

Включаем Корзину Active Directory в Windows Server 2012

Теперь когда функциональный уровень леса находится на минимально доступимом уровне, мы можем включить корзину AD. И опять проще всего это сделать через Powershell:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=4sysops,DC=com’ –Scope ForestOrConfigurationSet –Target ‘ad.4sysops.com’
Подтвердите включение корзины.


Включение корзины AD в Windows Server 2012

После этих манипуляций, можем приступать к тестированию возможностей корзины. Доступ к ней можно получить через Active Directory Administrative Center (ADAC) на стартовом экране Вашей контроллера домена.


Active Directory Administrative Center (ADAC)

В ADAC выберите домен (в данном случае ad.local) и увидите контейнер с удаленными объектами (Deleted Objects). Внутри вряд ли что-то будет, поэтому давайте создадим тестовые объекты, которые мы могли бы удалить. Я создал несколько пользователей и групп безопасности. А теперь удаляем их.


Удаление объектов в ADAC

Теперь они появились в пункте Deleted Objects.

Читайте также:  Дефрагментация диска на андроид


Удаленные объекты в ADAC

Ок, выбираем объекты, которые хотим восстановить и нажимает кнопку Restore. Объекты будут восстановлены в оригинальную OU как будто их удаление и не происходило.


AD Recycle Bin Windows Server 2012 Восстановление объектов

И это все. Графический интерфейс довольно простое, но долгожданное нововведение в Windows Server 2012. К сожалению, через графический интерфейс Вы увидите только имя объекта, last known parent и GUID. Если Вам нужна более детальная информация, Вам придется сначала восстановить объект, а затем удалить, если он окажется не тем, который Вам нужен.

Высший уровень логической иерархии AD — это лес. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации.

В состав леса могут входить как один, так и несколько доменов. Все объекты, создаваемые внутри леса, имеют общий набор атрибутов. Например, объект «пользователь» содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и другие параметры. Меняя этот набор, мы меняем его для всех объектов леса. Такой набор называется схемой AD. Она описывает все объекты, которые мы можем создать, и их структуру.

По умолчанию первый домен, который создан в лесу, считается его корневым доменом. Под доменом понимается логическая группа пользователей и компьютеров, которые поддерживают централизованное администрирование и настройки безопасности. Домен также служит единицей для репликации — все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.

Домены принято именовать, используя пространство имен DNS. Доверие, в свою очередь, — это связь между двумя доменами, при которой устанавливаются разрешения на доступ к тем или иным объектам другого домена. Дерево — не что иное, как набор доменов, которые используют связанные пространства имен. К примеру, если домен называется xakep.ru, то дочерний домен test будет выглядеть как test.xakep.ru. Резюмируя, можно условно нарисовать такую схему: «Лес — дерево — домен».

Общая структура

Xakep #252. Чемоданчик хакера

Чаще всего в организациях используют самую простую структуру. Один лес и в нем корневой домен, который содержит различные объекты, такие как пользователи и компьютеры. Развитая структура встречается в основном в крупных компаниях, с большим штатом ИТ-специалистов и разными уровнями ответственности. Зачастую полные права есть лишь у архитекторов, а рядовые администраторы имеют права только в своих доменах.

С первоначальной терминологией все. В одном из следующих выпусков расскажу о типах доверительных отношений.

Ссылка на основную публикацию
Файл с расширением dav чем открыть
Файл формата DAV открывается специальными программами. Чтобы открыть данный формат, скачайте одну из предложенных программ. Чем открыть файл в формате...
У вас сломался холодильник
Поломка холодильника всегда застает в врасплох. И определить причину моментально практически невозможно. Нужно как можно быстрее «спасти» продукты. Обычно надолго...
У каких марок телефонов хорошая камера
Производители будто бы соревнуются - кто сколько датчиков встроит в девайс. Есть уже с четырьмя и даже пятью камерами! Как...
Файл подкачки windows 7 на флешку
В прошлой статье рассказано, как определиться с оптимальным размером файла подкачки, что делать с SSD-дисками и как установить размер файла...
Adblock detector