Síť Peer-to-Peer

vhodná pro malý počet počítačů (10-25)

data a prostředky jsou distribuovány na jednotlivých stanicích

stanice poskytuje data a prostředky ostatním uzivatelům v síti, kteří jsou ve stejné skupině.

Výhody:

není třeba server

snadná správa

nizsí pořizovací náklady

Nevýhody:

poskytující stanice musí být zapnutá

nepřehledná správa pro více uzivatelů

méně síťových funkcí

Nezbytné prostředky pro stanici:

prostředky sítě (síťová karta + ovladač, kabel)

protokol (TCP/IP, IPX/SPX, NetBEUI, atd.)

klient sítě

Identifikace v síti:

v Doméně - Server

v Skupině - Peer to Peer

Active Directory

obsahuje účty v doméně

Nativní mód - vse nainstalováno na W2K - instalace AD

Mix mód - na pracovních stanicích jsou i jiné OS; mohu přejít na Nativní mód

Adresářová sluzba obsazená ve Windows 2000 Server. Skladuje informace o objektech v síti a zpřístupňuje tyto informace uzivatelům a administrátorům sítě.

Active Directory dává uzivatelům přístup k povoleným zdrojům odkudkoli ze sítě prostřednictvím jednoduchého přihlasovacího procesu. Zajisťuje to administrátorům intuitivní hierarchický pohled na síť a jednoduchou administraci pro vsechny objekty sítě.

Doména

Skupina počítačů, které jsou částí sítě a sdílejí společnou adresářovou databázi. Doména je organizována v úrovních a je spravována jako jednotka se společnými pravidly a procedurami. Kazdá Doména má jedinečné jméno.

Na Intenetu jsou domény definovány IP adresami. Vsechna zařízení sdílející část IP adresy jsou v té samé doméně.

V doméně má správce sítě moznost pracovat centrálně: vsechny činnosti platí pro vsechny zúčastněné počítače. Správce si tak můze být jist, ze při vyjmutí určitého uzivatele z doménové databáze se dotyčný skutečně nebude moci ze zádného počítače přihlásit. To je výhodné předevsím pro početnějsí skupiny uzivatelů nebo skupiny, kde se vyzaduje vyssí úroveň zabezpečení.

Pracovní Skupina (Workgroup)

Pracovní skupina je vhodná pro spojení mensího postu počítačů, pouzití je řádově do 20 připojených strojů. Centrální správu nemá, kazdý systém definuje své vlastní pozadavky. Do takto zřízené sítě můzeme přidat libovolný počet Windows. Vsechny znaky jednoduse definované sítě zůstanou zachovány: sdílená správa adresářů a tiskáren bez moznosti centrální administrace správcem sítě.

Active Directory

Základní rysy:

AD přinásí řadu nových rysů, které umozňují nasazení W2K i ve velmi velkých organizacích kde předchozí WinNT nemohly být z důvodu malé skálovatelnosti (limit 40 000 objektů v databázi SAM), ploché doménové struktuře (neexistence hierarchie ve velkých doménách přinásela problémy s oddělením kompetencí za správu logických celků v rámci jediné domény), způsobu replikace či jiných důvodů implementovány buď vůbec,anebo jen za cenu mnoha kompromisů zejména v oblasti návrhu doménové struktury a následně i správy této infrastruktury.

Integrace s DNS

Integrace sluzby DNS (Domain Name System) a AD je jedním ze základních rysů operačních systémů řady W2K Server. AD pouzívá DNS pro rozpoznání jmen (name resolution) pouzívaných v komunikaci mezi jednotlivými počítači v síti (namísto jejich IP adres).

AD i DNS jsou jmennými prostory (namespace). Jmenný prostor je jakákoliv oblast, která umozňuje rozpoznat jméno. Rozpoznání jména je proces přiřazení jména nějakému objektu nebo informaci, kterou jméno představuje. Jmenným prostorem tedy je jak telefonní seznam, tak například i souborový systém NTFS, protoze oba představují prostor, kde mohou být jména (jméno telefonního účastníka, resp. jméno souboru) přiřazena hledané informaci (telefonnímu číslu, resp. konkrétnímu souboru).

DNS domény a AD pouzívají identická doménová jména pro různé jmenné prostory. Přestoze oba jmenné prostory sdílejí shodnou doménovou strukturu, nejedná se o shodné jmenné prostory. Kazdý jmenný prostor obsahuje jiné informace a spravuje jiné objekty. DNS obsahuje své zóny a záznamy, AD obsahuje domény a doménové objekty.

Doménová jména pro DNS vyuzívají hierarchickou strukturu pojmenování, která představuje stromovou strukturu. Jedinou kořenovou doménu (root domain) lze přirovnat ke kmeni nebo kořenu stromu, nadřízené nebo téz rodičovské (parent) a podřízené nebo téz dceřiné (child) domény pak k jeho větvím. Například ve jménu child.parent.microsoft.com je child dceřinou doménou domény parent, která je zase dceřinou doménou domény microsoft.com. Kazdý počítač v DNS doméně je tak identifikován jedinečným způsobem pomocí tzv. fully qualified name (FQDN). Plné pojmenování (FQDN) počítače computer patřícího do výse uvedené domény pak bude computer.child.parent.microsoft.com.

AD je s DNS integrován takto:

Domény AD a DNS mají stejnou hierarchickou strukturu odrázející shodnou organizační strukturu firmy (microsoft.com je současně doménou DNS i AD).

SND zóny mohou být ulozeny v AD, přičemz vyuzívají AD pro potřeby replikace a zabezpečení.

AD pouzívá DNS pro vyhledání doménových řadičů vysláním pozadavku na nalezení specifického záznamu.

Prohledávání

Pro vyhledávání objektů v AD je mozné vyuzít příkaz Search v nabídce Start nebo Snap-in AD Users & Computers. Lze vyhledávat podle jména, příjmení, adresy email, umístění kanceláře nebo dalsích vlastností objektu. Pro optimalizaci vyhledávání je vyuzívaán server Global Catalog.

Rozsiřitelnost

AD je rozsiřitelný, coz znamená moznost rozsiřovat schéma adresáře o nové třídy objektů nebo přidávat nové atributy k jiz existujícím třídám objektů. Schéma obsahuje definici kazdé třídy objektu a kazdého atributu třídy a je ulozeno v AD. Libovolnému objektu v AD tedy můzete přidat novou vlastnost, coz v řeči schématu představuje přidání dalsího atributu třídě příslusného objektu.

Správa prostřednictvím zásad skupiny

Zásady skupiny (Group Policy), představují sadu konfiguračních nastavení, která jsou aplikována na uzivatele nebo počítače v okamziku, kdyz se v případě počítačů spustí OS, v případě uzivatelů ve chvíli jejich přihlásení k systému. Vsechna nastavení zásad skupiny jsou ulozena jako GPO (Group Policy Object). GPO jsou aplikována na domény, sítě, organizační jednotky. Nastavení GPO určuje druh přístupu k objektům adresáře a zdrojům domény, dále jaké doménové zdroje (tiskárny, aplikace) jsou uzivateli dostupné apod.

Zásady skupiny velmi zjednodusují správu systému, protoze díky vyuzití hierarchie AD je mozné výsledné zásady objektu zařazeného do některé organizační jednotky vytvořit postupným skládáním jednotlivých zásad přiřazených doméně a příslusné organizační jednotce, v níz je objekt zařazen. Nejvyssí prioritu mají pak zásady ulozené nejblíze dotčenému objektu. Jsou-li tedy některá nastavení zásad domény a pro organizační jednotku, v níz je objekt zařazen, různé, uplatní se nastavení z FPO pro organizační jednotku. Je-li struktura org. jednotek víceúrovňová, výsledné zásady se skládají opět podle jejich hierarchie.

Vzhledem k tomu, ze sestavení výsledné konfigurace zásad skupiny zavírá jistý čas, nedoporučuje se vytvářet přílis slozité struktury se 4 a více úrovněmi organizačních jednotek v hierarchii, protoze například čas pro přihlásení uzivatele se tak značně prodlouzí. Zejména tehdy, pokud doménový řadič není umístěn v síti, z níz se uzivatel přihlasuje, či při přihlasování přes telefonické propojení.

Skálovatelnost

AD můze zahrnovat jednu nebo více domén, kazdou s jedním nebo více doménovými řadiči, coz obojí umozňuje rozsiřovat (ve smyslu skálovat) AD podle pozadavků na počet o adresáře zařaditelných objektů, přičemz je současně mozné topologii adresáře přizpůsobit pozadavkům síťové infrastruktury. Několik domén můze být sloučeno do doménového stromu, několik doménových stromů (Domain Tree) můze být sloučeno do doménové struktury (Domain Forest). V nejednodussí struktuře je jednoduchá doména současně samostatným stromem a lesem.

Doména

Doména definuje oblast zabezpečení. Adresář můze obsahovat jednu nebo více domén, přičemz kazdá z nich má své zásady zabezpečení (security policy) a vztah důvěryhodnosti s ostatními doménami. Domény poskytují následující moznosti:

Zásady zabezpečení a nastavení nepřesahují z jedné domény do druhé.

Moznost udělení řízení pro vykonávání činností souvisejících se správou systému konkrétním uzivatelům na úrovni organizačních jednotek eliminuje potřebu vytvoření velkého počtu správců s přílis sirokými právy pro správu celé domény

Domény umozňují lépe strukturovat síť, aby více odpovídala organizačnímu uspořádání

V kazdé doméně jsou ulozeny pouze informace o objektech příslusné domény. Dělením na více domén je mozné zajistit potenci růstu pro velmi vysoké počty objektů v rámci doménové struktury organizace.

Domény jsou jednotkami pro replikaci. Vsechny doménové řadiče domény mohou dostávat změny v nastavení a slození objektů a tyto změny zasílat ostatním doménovým řadičům domény.

Domain Tree

Doménový strom představuje strukturu několika domén s jednou kořenovou doménou spojených vztahem důvěryhodnosti (trust), jejichz pojmenován představuje spojitý jmenný prostor DNS.

První doména kazdé doménové struktury se nazývá kořenová (root domain).

Dalsí domény v jednom doménovém stromu jsou podřízené nebo téz dceřiné (child domain).

Vsechny domény, které mají společnou kořenovou doménu vytvářejí, souvislý jmenný prostor. Jméno child domény se skládá ze jména child.parent.cz.

Doménová struktura (Domain Forest)

Doménová struktura představuje několik doménových stromů s jedinou kořenovou (root) doménou spojených vztahem důvěryhodnosti (trust), jejichz pojmenování nevytváří spojitý jmenný prostor DNS. V současné době nelze spojit dva jmenné prostory s různými root doménami.

Vsechny domény doménového stromu v jedné doménové struktuře mají společné následující rysy:

tranzitivní (průchozí, neomezený pouze na dvě sousední domény) vztah důvěryhodnosti mezi doménami.

tranzitivní vztah důvěryhodnosti mezi doménovými stromy

společné schéma

společnou informaci o konfiguraci

společný globální katalog