|
Komputery
działające pod kontrolą systemów Windows Server 2003, Windows XP
i Windows 2000 pozwalają w pełni wykorzystać możliwości
oferowane przez Active Directory. Komputery te uzyskują dostęp do
sieci jako klienci Active Directory. Mogą wówczas wykorzystać
przechodnie relacje zaufania istniejące w obrębie drzewa lub
lasu domen. Przechodnie relacje zaufania nie są ustanawiane bezpośrednio.
Wynikają ze struktury lasu i przypisanych uprawnień. Relacje te
pozwalają uwierzytelnionym użytkownikom uzyskać dostęp do zasobów
w dowolnej domenie w obrębi e lasu.
Systemy
korzystające z Windows Server 2003 udostępniają usługi innym
systemom i mogą pełnić rolę kontrolerów domeny lub serwerów członkowskich.
Cechą odróżniającą kontroler domeny od serwera członkowskiego
jest fakt, że jest na nim uruchomiona usługa Active Directory.
Serwer członkowski może zostać wypromowany do roli kontrolera
domeny poprzez zainstalowanie Active Directory. Możliwe jest też
obniżenie kontrolera do funkcji serwera członkowskiego. Oba
procesy wykonywane są przy pomocy Kreatora instalacji Active
Directory.
Domena
zawiera jeden lub więcej kontrolerów. W przypadku kilku kontrolerów
dane katalogowe są automatycznie replikowane pomiędzy nimi, przy
użyciu modelu replłkacji o wielu wzorcach. Model ten pozwala na użycie
dowolnie wybranego kontrolera jako miejsca dokonywania zmian,
gwarantując skopiowanie ich później do pozostałych kontrolerów.
Ze
względu na strukturę o wielu wzorcach, wszystkie kontrolery domeny
mają domyślnie identyczną pozycję w hierarchii. Możliwe jest
nadanie pewnym kontrolerom pierwszeństwa w wykonywaniu
specyficznych działań, takich jak wskazanie serwera czołowego
odpowiedzialnego za replikację pomiędzy lokacjami. Niektóre
zadania są lepiej wykonywane przez pojedynczy serwer. Serwer taki
nosi nazwę wzorca operacji. Dostępnych jest pięć różnych
ról wzorców operacji, z których każda może zostać przypisana
innemu kontrolerowi domeny. Więcej informacji na ten temat dostępnych
jest w sekcji „Role wzorców operacji" w dalszej części
tego rozdziału.
Każdy
komputer pracujący pod kontrolą Windows 2000, Windows XP
Professional lub Windows Server 2003 przyłączany do domeny posiada
konto w domenie. Podobnie jak inne zasoby, konta komputerów
przechowywane są w katalogu Active Directory jako obiekty. Konta te
służą do sterowania dostępem do sieci i jej zasobów. Dostęp do
sieci realizowany jest poprzez konto komputera, które
uwierzytelniane jest zanim komputer uzyska dostęp do jakichkolwiek
zasobów.
System
Windows Server 2003 wykorzystuje wykaz globalny Active Directory do
uwierzytelniania zarówno komputerów, jak i logowań użytkowników.
W środowiskach wielodomenowych, jeśli wykaz globalny jest niedostępny,
jedynie członkowie grupy Administratorzy domeny mogą się załogować.
Wynika to z faktu, że informacje o członkostwie grup uniwersalnych
są przechowywane w wykazie globalnym. System Windows Server 2003
oferuje możliwość buforowania informacji o członkostwie grup
uniwersalnych.
| 
