Una estructura activa del directorio (ANUNCIO) del es un marco jerárquico de los objetos . Los objetos entran en tres categorías amplias: recursos (e. impresoras ), servicios (e. email ) y usuarios (cuentas y grupos de usuario). El ANUNCIO proporciona la información en los objetos, organiza los objetos, controles acceso y fija seguridad.

Cada objeto representa un solo &mdash de la entidad; si un usuario, una computadora, una impresora, o un &mdash del grupo; y sus cualidades. Ciertos objetos pueden también ser envases de otros objetos. Un objeto es identificado únicamente por su nombre y tiene un sistema de &mdash de las cualidades; las características y la información que el objeto puede contener el — definido por un esquema, que también determina la clase de objetos que se puedan almacenar en el ANUNCIO.

Cada objeto de la cualidad se puede utilizar en varios diversos objetos de la clase del esquema. Estos objetos del esquema existen para permitir que modifican el esquema sea extendido o cuando son necesarios. Sin embargo, porque cada objeto del esquema es integral a la definición de los objetos del ANUNCIO, desactivando o cambiando estos objetos pueden tener consecuencias serias porque cambiará fundamental la estructura del ANUNCIO sí mismo. Un objeto del esquema, cuando está alterado, propagará automáticamente a través de directorio activo y una vez que se crea puede solamente ser &mdash desactivado; no suprimido. El cambio del esquema requiere generalmente una cantidad justa de planeamiento.

Bosques, árboles, y dominios

Los objetos llevados a cabo dentro de un dominio se pueden agrupar en los envases llamados las unidades de organización (OUs). OUs da a dominio una jerarquía, facilita la su administración, y puede dar una apariencia de la estructura de la compañía del ANUNCIO en términos de organización o geográficos. OUs puede contener OUs - de hecho, los dominios son envases en este sentido - y puede sostener OUs jerarquizado múltiple. Microsoft recomienda como pocos dominios como sea posible en ANUNCIO y una confianza en OUs producir la estructura y mejorar la puesta en práctica de políticas y de la administración. El OU es el nivel común en el cual aplicar el agrupar las políticas, que son ANUNCIO se oponen llamaron los objetos de Group Policy (GPOs), aunque las políticas se puedan también aplicar a los dominios o a los sitios (véase abajo). El OU es el nivel en el cual las energías administrativas se delegan comúnmente, pero la delegación granular puede ser realizada en objetos o cualidades individuales también.

El ANUNCIO también apoya la creación de los sitios del, que son físicos, algo que lógico, las agrupaciones definidas por uno o más subnets del IP. Los sitios distinguen entre las localizaciones conectadas por (e. LAN ) las conexiones de poca velocidad (e. el PÁLIDO, el VPN ) y de alta velocidad. Los sitios son independiente del dominio y de la estructura del OU y son comunes a través del bosque entero. Los sitios se utilizan para controlar el tráfico de red generado por la réplica y también para referir a clientes a los reguladores más cercanos del dominio. El intercambio 2007 también utiliza la topología del sitio para la encaminamiento del correo. Las políticas pueden también ser aplicadas en el nivel del sitio.

La división real de la infraestructura de información de compañía en una jerarquía de uno o más dominios y OUs a nivel superior es una decisión dominante. Los modelos comunes están al lado de unidad de negocio, por la localización geográfica, por ELLA servicio, o al lado de tipo de objeto. Estos modelos son también de uso frecuente en la combinación. OUs se debe estructurar sobre todo para facilitar a la delegación administrativa, y secundario, para facilitar el uso de la política del grupo. Aunque la forma de OUs un límite administrativo, el único límite verdadero de la seguridad sea el bosque sí mismo y un administrador de cualquier dominio en el bosque debe ser confiado en a través de todos los dominios en el bosque.

La información activa del directorio se lleva a cabo físicamente en uno o más reguladores iguales (DCS) del dominio del par, substituyendo el modelo del NT PDC/BDC. tiene una copia del ANUNCIO; cambios en una computadora que es sincronizada (convergida) entre todas las computadoras de la C. por la réplica del Multi-amo. Los servidores unidos adentro al ANUNCIO, que no son reguladores del dominio, se llaman Member Servers. La base de datos del ANUNCIO está partida en diversos almacenes o particiones del . Microsoft refiere a menudo a estas particiones como “nombrando contextos”. La partición del “esquema” contiene la definición de las clases y de las cualidades de objeto dentro del bosque. La partición de la “configuración”, contiene la información sobre la estructura física y la configuración del bosque (tal como la topología del sitio). La partición del “dominio” celebra todos los objetos creados en ese dominio. La primera réplica de dos particiones a todos los reguladores del dominio en el bosque. La partición del dominio repliega solamente a los reguladores del dominio dentro de su dominio. Un subconjunto de objetos en la partición del dominio también se repliega a los reguladores del dominio que se configuran como catálogos globales.

Desemejante de versiones anteriores de Windows que utilizaron el NetBIOS para comunicar, el directorio activo se integra completamente con DNS y TCP/IP - el DNS es de hecho requerido . Para estar completamente - funcional, el servidor de DNS debe apoyar los expedientes del recurso SRV o los expedientes de servicio.

La réplica del ANUNCIO es “tirón” algo que “empuje”. El inspector (KCC) de la consistencia del conocimiento del crea una topología de la réplica de los acoplamientos del sitio del usar los sitios definidos del para manejar tráfico. La réplica de Intrasite es frecuente y automática como resultado de la notificación del cambio, que acciona a pares para comenzar un ciclo de la réplica del tirón. Los intervalos de la réplica de Intersite son menos frecuentes y no utilizan la notificación del cambio por abandono, aunque éste sea configurable y se pueda hacer idéntico a la réplica del intrasite. Un diverso “coste” se puede dar a cada acoplamiento (e.) y la topología del acoplamiento del sitio será alterada por consiguiente por el KCC. La réplica entre los reguladores del dominio puede ocurrir transitivo con varios acoplamientos del sitio en los puentes del acoplamiento del sitio del del mismo-protocolo, si el “coste” es bajo, aunque el KCC cueste automáticamente conexiones que transitivas directas de un acoplamiento del sitio-a-sitio más bajo. la réplica del Sitio-a-sitio se puede configurar para ocurrir entre un servidor de la cabeza de puente del en cada sitio, que entonces repliega los cambios al otro DCS dentro del sitio.

En un bosque del multi-dominio la base de datos del ANUNCIO se reparte. Es decir, cada dominio mantiene una lista solamente de esos objetos que pertenezcan en ese dominio. Así pues, por ejemplo, un creado por el usuario en el dominio A sería enumerado solamente en reguladores del dominio del dominio a. Los servidores globales (GC) del catálogo se utilizan para proporcionar un listado global de todos los objetos en el bosque. El catálogo global se sostiene en los reguladores del dominio configurados como réplica global global de los servidores del catálogo de los servidores del catálogo a sí mismos todos los objetos de todos los dominios y por lo tanto, proporcionar un listado global de objetos en el bosque. Sin embargo, para reducir al mínimo tráfico de la réplica y mantener la base de datos de la CROMATOGRAFÍA GASEOSA las cualidades pequeñas, solamente seleccionadas de cada objeto se repliegan. Esto se llama el sistema parcial de la cualidad (PAS). El PAS puede ser modificado modificando el esquema y marcando las cualidades para la réplica a la CROMATOGRAFÍA GASEOSA.

La réplica del directorio activo utiliza las llamadas de procedimiento alejado entre los sitios que usted puede también elegir para utilizar smtp para la réplica, pero solamente para los cambios en el esquema o la configuración. El smtp no se puede utilizar para replegar la partición del dominio. Es decir si un dominio existe en ambos lados de una conexión PÁLIDA, usted debe utilizar RPCs para la réplica.

La base de datos, el almacén del ANUNCIO del directorio del, en Windows 2000 utiliza el motor extensible Azul-basado JET (ESE98) del almacenaje, limitado a 16 Terabyte y a 1 mil millones objetos en la base de datos de cada regulador del dominio. Microsoft ha creado bases de datos de NTDS con más de 2 mil millones objetos. (El encargado de cuenta de seguridad de NT4 podría apoyar no más de 40.DIT llamado, tiene dos tablas principales: los datos del tabulan y la tabla del acoplamiento del . En Windows 2003 una tercera tabla principal fue agregada para citar como ejemplo del descriptor de la seguridad solo.

El directorio activo es un componente necesario para muchos servicios de Windows en una organización tal como intercambio.

Papeles de FSMO

Nombramiento

Cada objeto tiene un nombre distinguido (DN) del, así que un objeto de la impresora llamó el HPLaser3 en la comercialización OU y el foo.org del dominio, tendría el DN: El CN=HPLaser3, OU=Marketing, DC=foo, DC=org donde está nombre el NC del común y C. del es clase de objeto del dominio, DNs puede tener mucho más de cuatro porciones. El objeto puede también tener un nombre canónico, esencialmente el DN del en revés, sin los identificadores, y usar rayas verticales: foo.org/Marketing/HPLaser3 . Para identificar el objeto dentro de su envase el nombre distinguido relativo (RDN) del se utiliza: CN=HPLaser3 . Cada objeto también tiene una cadena binaria (GUID), 128 únicos y constantes del identificador único global - que sea utilizada por AD para la búsqueda y la réplica. Ciertos objetos también tienen un nombre principal (UPN), una forma del usuario del del Domain Name objectname del @. ¡medio del capítulo sobre la estructura. Esto es temporal aquí. ¡!!! Discrepo, forma de las confianzas las conexiones externas al bosque-->

Confianza