Istnieją dwie podstawowe metody organizacji komputerów w sieci - grupa robocza oraz domena. Active Directory to rozwiązanie kojarzone z dużymi sieciami korporacyjnymi, ponieważ zapewnia ona scentralizowaną administrację oraz bezpieczeństwo. Jednak ta technologia może znaleźć zastosowanie w mniejszych sieciach. Na pewno świetnie sprawdzi się w firmach - zarówno większych, jak i mniejszych. Omówione zostaną podstawowe składniki domeny oraz praca w środowisku domenowym z Windows XP Professional.
Domeny Active Directory
Active Directory to rozwiązanie służące do scentralizowanego zarządzania i zabezpieczania sieci LAN oraz podłączonych do niej komputerów. Aby możliwe było centralne zarządzanie siecią, musimy wiedzieć, jakie zasoby (współdzielone komputery, drukarki, urządzenia, usługi programowe, konta użytkowników) ona zawiera i kto z nich korzysta. Te dane muszą być skatalogowane w bazie danych. Aplikacje o takim działaniu nazywamy usługami katalogowymi. Active Directory jest nazwą usługi katalogowej dostępnej w Windows Server 2003. Komputer, na którym zainstalujemy Active Directory, nazywa się kontrolerem domeny. Jest on odpowiedzialny za uwierzytelnianie użytkowników logujących się do domeny oraz za komunikację z innymi domenami. Często używa się w domenie kilku takich serwerów, aby usprawnić jej funkcjonowanie. Przechowują one informacje o użytkownikach, komputerach i współdzielonych zasobach. Administratorzy domeny mają możliwość określania jakie czynności dany użytkownik lub komputer może wykonać. Na przykład do jakich zasobów ma dostęp i jakie aplikacje ma prawo uruchamiać. W domenie występują również inne typy serwerów. Serwer DNS (Domain Name System) jest kluczem do poprawnego działania Active Directory. Jest to spowodowane tym, że DNS jest używany do wyszukiwania kontrolerów domen w sieci. Jeżeli stacje robocze nie będą w stanie odszukać kontrolera domeny to mogą wystąpić różne problemy na przykład z zalogowaniem się. Serwer terminalowy, który posiada zainstalowany program Terminal Services. Umożliwia on klientom logowanie się w serwerze i uruchamianie w nim aplikacji, zupełnie jakby byli oni bezpośrednio zalogowani na serwerze. Występują również serwery członkowskie, czyli serwery Active Directory, które nie są kontrolerami domeny. Mogą one pełnić różne funkcje, jak na przykład serwer pliku lub serwer wydruku. W sieciach zwykle adresy IP przydzielane są dynamicznie za pomocą serwera DHCP. Dynamiczny adres IP ma to do siebie, że co pewien czas może się zmieniać. W przypadku komputerów pełniących w sieci ważne funkcje (na przykład kontroler domeny) zmieniający się adres IP może być przyczyną problemów z komunikacją w sieci. Dlatego dobrym rozwiązaniem jest adres statyczny. Jednostka może pełnić kilka funkcji - na przykład kontroler domeny może być jednocześnie serwerem DNS. Jednak tego typu rozwiązania mogą być przyczyną pewnych utrudnień w sieci. Użycie kilku maszyn usprawnia pracę, ponieważ pozwala uniknąć spowolnień spowodowanych nadmiernym obciążeniem jednego komputera. Inną zaletą jest wyeliminowanie słabego punktu. Jeżeli jedna maszyna pełniąca rolę jednego serwera ulegnie awarii, nie zakłóci pracy pozostałych. Wadą są koszta, które trzeba ponieść w celu zakupu większej ilości sprzętu oraz pojawiający się problem zarządzania wieloma serwerami.
Struktura domeny
Podstawowymi składnikami strukturalnymi w domenie Active Directory są Domena, Jednostka organizacyjna oraz Miejsce. Domena jest logiczną grupą użytkowników podlegających tym samym zasadom w kwestii administracji i bezpieczeństwa. Warto zwrócić uwagę na to, że położenie fizyczne nie ma tutaj znaczenia, dlatego jest to grupa logiczna. Mogą ją stanowić komputery znajdujące się w jednym pomieszczeniu, w jednym budynku lub znajdujące się gdziekolwiek na świecie. W związku z tym jednostki znajdujące się w domenie nie muszą znajdować się w tej samej sieci LAN. Domena może używać łączy rozległych (WAN). Czasami potrzebne jest użycie więcej niż jednej domeny w jednym środowisku sieciowym. Jest tak wtedy, gdy w pewnych grupach istnieją inne wymogi bezpieczeństwa lub uwierzytelniania użytkowników. Jednak założenie domeny jest dosyć kosztowne ze względu na konieczność zakupu sprzętu oraz jego obsługi. Poza tym powstają pewne komplikacje z komunikacją między domenami oraz współdzieleniem zasobów. Innym rozwiązaniem są jednostki organizacyjne. Umożliwiają one podział bez istotnych zmian w środowisku sieciowym oraz podział domeny na części, o które mogą dbać inni administratorzy. Jednostki organizacyjne mają różne zastosowania. Na przykład umożliwiają osobną administrację każdego oddziału w firmie. Pomaga to uporządkować zasoby. Poza tym mogą służyć do podziału różnych klas zasobów. Na przykład można utworzyć jednostkę administracyjną współdzielonych folderów lub jednostkę organizacyjną użytkowników. Innym zastosowaniem jest podział domeny według lokalizacji. Jeżeli na przykład firma ma siedziby w kilku miastach, wówczas oddział w każdym mieście może stanowić odrębną jednostkę organizacyjną. Istnieje również możliwość tworzenia grup użytkowników według fizycznego położenia. Składnikiem w domenie Active Directory pozwalającym na takie rozwiązanie jest Miejsce. Jeżeli stacje robocze znajdują się w tej samej sieci LAN, to mogą należeć do tego samego miejsca. Pozwala to uniknąć niepotrzebnych połączeń z użyciem sieci rozległych, które są wolniejsze i czasami również droższe. Nie ma potrzeby, aby użytkownik podczas logowania był uwierzytelniany przez kontroler domeny w innym mieście, jeżeli może być w tej samej sieci lokalnej. Pozwala to usprawnić ruch między danymi lokalizacjami. Jest także istotne ze względu na replikację. Polega ona na tym, że wszystkie kontrolery domeny posiadają kopię głównej bazy danych i każda zmiana w którymkolwiek z serwerów powielana jest na pozostałych. następuje powielanie każdej zmiany na wszystkich serwerach. Zapewnia ona synchronizację i odporność na błędy. Nazwa domeny Active Directory jest podobna do domeny internetowej. Może nią być na przykład moja_nazwa.com. Zarazem może być to adres strony internetowej oraz z odpowiednim przedrostkiem nazwa logowania użytkowników w domenie (na przykład annakowalska@moja_nazwa.com) i adres e-mail.
Praca z Windows XP Professional w środowisku domenowym
Aby w domenie użytkownik mógł zalogować się na każdym komputerze z zainstalowanym Windows XP Professional wystarczy, że administrator utworzy dla niego konto. Będzie ono przechowywane w kontrolerze domeny. Tym sposobem dana osoba bez problemu zaloguje się na każdej stacji roboczej podając na ekranie logowania Windows XP Professional przydzieloną nazwę i hasło. Aby stworzyć taką możliwość w grupie roboczej, konieczne jest utworzenie konta na każdym komputerze z osobna. Jeżeli w danej grupie znajduje się dużo stacji roboczych, jest to uciążliwe i czasochłonne. Poza tym w domenie administrator może w większym stopniu kontrolować każdą jednostkę niezależnie od użytkownika zalogowanego na niej lokalnie.
Przyłączanie się do domeny
Aby zalogować się do domeny trzeba posiadać utworzone przez administratora konto i przydzieloną nazwę oraz hasło. Konieczne jest również prawo użytkownika do przyłączania komputera do domeny, które domyślnie posiadają administratorzy. Mogą oni jednak przyznawać to prawo dowolnym osobom lub grupom. Należy pamiętać, że nie można przyłączyć do domeny komputera z zainstalowanym Windows XP Home. Jeżeli karta sieciowa jest zainstalowana i istnieje fizyczne połączenie z siecią pozostaje jedynie przypisanie właściwego adresu IP, który często jest przydzielony dynamicznie. W sytuacji, gdy jest statyczny i nieznany, należy skontaktować się z administratorem. Do domeny można przyłączyć się ręcznie lub za pomocą Kreatora identyfikacji sieciowej. Najpierw opisany zostanie drugi sposób. Aby uruchomić kreatora należy być zalogowanym w Windows XP jako administrator. Klikamy na przycisk Start, wybieramy Ustawienia, Panel sterowania i uruchamiamy narzędzie System. W oknie Właściwości systemu otwieramy zakładkę Nazwa komputera i klikamy na przycisk Identyfikator sieciowy. Uruchomiony zostaje kreator i na pierwszej stronie klikamy przycisk Dalej. Pojawia się strona Łączenie z siecią.
Wybieramy opcję Komputer ten jest częścią sieci firmy i używam go do łączenia się z innymi komputerami w sieci. Na kolejnej stronie zaznaczamy Moja firma używa sieci z domenami. Następnie kreator wyświetli informacje, które będą potrzebne, aby podłączyć komputer do domeny. Po przeczytaniu kliknij przycisk Dalej. Teraz należy wpisać nazwę użytkownika i hasło przydzielone przez administratora oraz nazwę domeny po czym można kliknąć przycisk Dalej. Jeżeli ukaże się strona Domena komputera konieczne będzie również podanie Nazwy komputera oraz Domeny komputera (komputer nie musi należeć do tej samej domeny, co konto użytkownika). Po wpisaniu informacji klikamy przycisk Dalej. W następnym oknie Konto użytkownika wybieramy konto, które właśnie zostało utworzone lub inne, które będzie miało dostęp do zasobów sieciowych oraz lokalnego komputera. Przechodzimy do następnego okna klikając przycisk Dalej. Jeżeli będziemy chcieli utworzyć nowe konto, pojawi się strona Poziom dostępu. Konieczny będzie wybór poziomu uprawnień dla użytkownika: Użytkownik standardowy, Użytkownik z ograniczonym dostępem lub Inny. Po odpowiednim wyborze przechodzimy do następnej strony i klikamy przycisk Zakończ, po czym restartujemy komputer. Aby przyłączyć komputer do domeny ręcznie, należy w oknie Właściwości systemu kliknąć przycisk Zmień. Spowoduje to pojawienie się strony, na której trzeba wprowadzić wszystkie potrzebne informacje.
Następnie konieczny będzie restart komputera.
Logowanie się w domenie Windows
Po ponownym uruchomieniu komputera widocznych jest kilka zmian. Podczas logowania zamiast ekranu powitalnego ukazuje się okno dialogowe Logowanie do systemu Windows, w którym należy wpisać nazwę użytkownika oraz hasło. Pozwala ono zalogować się na komputerze lokalnym lub w domenie. Poza tym niemożliwe jest szybkie przełączanie użytkowników i nie ma już możliwości automatycznego logowania do systemu. Jeżeli zapomnisz hasła, nie pojawią się żadne wskazówki przypominające. Aby sprawdzić czy jesteśmy zalogowani, wystarczy uruchomić okno Właściwości systemu (narzędzie w Panelu Sterowania) i wybrać zakładkę Nazwa komputera. Jeżeli podana jest właściwa Pełna nazwa komputera oraz Domena oznacza to, że komputer jest zalogowany.
Zmiany w systemie Windows XP działającym w środowisku domenowym
Po zalogowaniu zauważymy kilka zmian w systemie Windows XP. Nie są one poważne, jednak niektóre mogą nas zbić z tropu, jeżeli się ich nie spodziewamy. W menu Start widoczne jest całe nazwisko zalogowanego użytkownika, zamiast samej nazwy. Podczas logowania po naciśnięciu [Ctrl+Alt+Del] pojawia się okno dialogowe Zabezpieczenia systemu Windows. Poza Menedżerem zadań znajdują się w nim również polecenia Zablokuj komputer, Wyloguj i Zmień hasło. Wybierz Menedżer zadań, aby skorzystać z tego narzędzia tak, jak w grupie roboczej jedynie po naciśnięciu [Ctrl+Alt+Del]. Zmienił się również interfejs narzędzia Konta użytkowników znajdującego się w Panelu sterowania. Można w nim teraz łatwo zmieniać, usuwać i dodawać lokalne konta użytkowników oraz restartować ich hasła. Pamiętajmy jednak, że zmiany te mają jedynie wpływ na lokalny komputer. Użytkownicy nadal będą mogli logować się z komputera do domeny używając swoich nazw i haseł domenowych. Na lokalny komputer będą mogli logować się jedynie za pomocą nazw i haseł skonfigurowanych w narzędziu Konta użytkowników. Karta Zaawansowane pozwala zarządzać hasłami połączeń telefonicznych, VPN lub też własnym profilem .NET Password. Można stworzyć różne hasła dla uzyskania dostępu do różnych zasobów. Innymi zmianami są dwie dodatkowe globalne grupy bezpieczeństwa - Administratorzy domeny oraz Użytkownicy domeny. Jeżeli użytkownik zaloguje się jako administrator domeny otrzymuje również uprawnienia administratora lokalnego i podobnie, jeżeli zaloguje się jako Użytkownik domeny ma ograniczone uprawnienia lokalne. Aby sprawdzić przynależność istniejących kont do grup, w oknie dialogowym Konta użytkowników wybierzmy zakładkę Zaawansowane i kliknijmy przycisk Zaawansowane. Zaznaczmy pozycję Grupy, po czym kliknijmy dwukrotnie na interesujące nas konto grupowe. Jeżeli chcemy po zalogowaniu jako Użytkownik domeny otrzymywać uprawnienia konta administratora, należy za pomocą narzędzia Konta użytkowników na karcie Użytkownicy zaznaczyć tego użytkownika, którego przywileje chcemy zmienić. Pojawi się okno Właściwości i na karcie Członkostwo grupy wybierzmy opcję Inny a następnie z listy pozycję Administratorzy. Kolejną zmianą jest to, że przystąpienie do domeny uniemożliwia proste udostępnianie plików ze względu na bezpieczeństwo i mechanizmy zarządzania zasobami.
Wyszukiwanie zasobów domeny
Dostęp do zasobów domeny uzyskamy wyłącznie wtedy, gdy zezwoli na to ich właściciel lub administrator. Jeżeli chcemy znaleźć zasoby, których wolno nam używać, możemy to zrobić w następujący sposób. Można przeglądać zasoby, lecz jest to dobre rozwiązanie jedynie w małej domenie. W dużej liczącej tysiące komputerów trwałoby to zbyt długo i byłoby zbyt męczące. Aby dotrzeć do zasobów musimy otworzyć folder Moje miejsce sieciowe a następnie wybrać komputer, na którym chcemy znaleźć to, co nas interesuje. Drugim sposobem jest odpytanie usługi Active Directory. Przechowuje ona konta użytkowników, konta komputerów, jednostki organizacyjne i wszelkie współdzielone zasoby. Szybkie wyszukanie informacji w katalogowej bazie danych umożliwia protokół Lightweight Directory Acces Protocol (LDAP) używany przez Active Directory. Możemy łatwo znaleźć zasoby klikając łącze Wyszukaj w usłudze Active Directory znajdujące się pod pozycją Zadania sieciowe w folderze Moje miejsce sieciowe. Narzędzie to umożliwia zaawansowane wyszukiwanie np. drukarki według lokalizacji, nazwy, modelu lub na podstawie konkretnych cech. Jeżeli znaleziony został w domenie na przykład jakiś folder, który zawiera interesujące nas dane i często będziemy z niego korzystać warto uzyskać do niego szybki i bezpośredni dostęp. Możemy stworzyć miejsce sieciowe (bezpośrednie połączenie z folderem sieciowym lub dyskiem) lub zmapować dysk sieciowy. Obie opcje dają ten sam efekt. Aby utworzyć miejsce sieciowe, kliknijmy na opcję Dodaj miejsce sieciowe w folderze Moje miejsca sieciowe. Ukaże się okno powitalne. Kliknijmy przycisk Dalej. Aby utworzyć miejsce sieciowe w swojej domenie, zaznaczmy w kolejnym oknie Wybierz inną lokalizację sieciową i kliknijmy przycisk Dalej. Następnie wpiszmy adres lokalizacji, która nas interesuje lub kliknijmy przycisk Przeglądaj w celu wyszukania i wskazania odpowiedniego folderu.
Potwierdź wprowadzone dane i w ostatnim oknie dialogowym wpisz nazwę utworzonego miejsca sieciowego. Po zakończeniu pracy kreatora będzie ono widoczne w folderze Moje miejsca sieciowe. Niektórzy bardziej preferują mapowanie dysku. Polega ono na tym, że znaleziony folder w domenie można odwzorować jako nowy dysk przypisując mu literę, która nie jest używana w lokalnym komputerze dla oznaczenia partycji lub napędu. Aby zmapować dysk w folderze Mój komputer z menu Narzędzia wybierzmy pozycję Mapuj dysk sieciowy. W oknie dialogowym Mapowanie dysku sieciowego wybierzmy literę dla tworzonego dysku oraz wpiszmy ścieżkę w postaci \\nazwa_serwera\nazwa_udziału lub wskaż lokalizację klikając przycisk Przeglądaj.
Po zakończeniu nowy dysk ukaże się w folderze Mój komputer. Bezpośredni dostęp do konkretnego zasobu sieciowego możesz uzyskać wybierając narzędzie Uruchom po rozwinięciu polecenia Start i wpisując ścieżkę UNC (Universal Naming Convention). Jej format jest następujący: \\nazwa_serwera\nazwa_udziału.
341f31d.png)