|
Поиск
информации:
Индексы и Глобальный каталог
При помощи протокола LDAP несложно
получить доступ к некоторому объекту (элементу), если клиенту известно имя домена,
к которому этот объект относится, и отличительное имя объекта. Что же делать,
если клиент знает только имя домена, а отличительное имя объекта ему не известно?
Предположим, что клиенту известны значения только некоторых атрибутов объекта.
В Active Directory можно осуществлять поиск, зная только значение атрибута.
Например, с помощью запроса к каталогу можно найти все объекты класса user со
значением Director. Поскольку общее число элементов в каталоге бывает достаточно
велико, такой поиск может выполняться медленно. Для ускорения поиска Active
Directory позволяет индексировать атрибуты заданных типов.
Более сложный случай: предположим,
что клиент знает, в каком лесе выполнять поиск, однако ему неизвестно, в каком
домене данного леса находится искомый атрибут. Даже если для данного атрибута
имеется индекс, поиск в каждом домене, входящем в лес, может отнять много времени.
Для решения этой проблемы в Active Directory существует
глобальный каталог
(Global Catalog, GC). Все домены, входящие в некоторое дерево или лес доменов,
используют общий, единый глббальный каталог, в котором имеется копия каждого
элемента этих доменов. Однако в глобальный каталог входят только некоторые из
атрибутов каждого элемента — те, которые могут представлять интерес в "масштабах"
леса. В Active Directory имеется набор стандартных атрибутов для каждого объекта,
которые всегда присутствуют в глобальном каталоге, но с помощью оснастки
Схема
Active Directory
(Active Directory Schema) администраторы могут указывать
и свои атрибуты для хранения в глобальном каталоге (нужно только помнить при
этом, что при изменении схемы требуется полная синхронизация всех атрибутов
объектов, хранящихся в глобальном каталоге, для всех доменов в лесе, и это может
вызвать значительный трафик в сети). При необходимости можно также индексировать
типы атрибутов в глобальном каталоге для ускорения поиска.
Кроме поиска, глобальный каталог
реализует еще одну из основных возможностей Active Directory — единую регистрацию
в сети. В доменах, работающих в
основном
(native) режиме, глобальный
каталог хранит информацию об универсальных группах, в которую могут входить
члены разных доменов.
Эта информация используется при регистрации
в сети клиентов Active Directory. Фактически не только пользователи, но и все
объекты (например, каждый компьютер), проходящие аутентификацию в Active Directory,
должны обращаться к серверу глобального каталога. Если в момент регистрации
пользователя глобальный каталог недоступен, то этот пользователь сможет зарегистрироваться
только локально, а не в сети. Исключение составляют члены групп администраторов
домена (Domain Admins).
По умолчанию глобальный каталог создается
автоматически на первом контроллере домена в лесе. В нем хранятся
полная
копия всех объектов Active Directory для того домена, в который он входит,
и
частичная
копия (т. е. в глобальном каталоге хранятся не все свойства,
а только некоторые) объектов, относящихся ко всем другим доменам, образующим
лес.
|
