Управление деревом и лесом

Возможно, неискушенный читатель, ознакомившись с предыдущим разделом, решит, что автор бредит, настолько рассуждения о деревьяхи лесе на первый взгляд кажутся бессвязными. Могу лишь посоветоватьабстрагироваться от привычного восприятия леса и деревьев как объектов природы и настроиться на то, что это объекты Active Directory.
Как и любыми, объектами службы каталогов необходимо управлять. Представьте себе небольшую фирму, организовавшую деревья и леса

Active Directory в соответствии со своей структурой. Более чем очевидно, что это нельзя сделать раз и навсегда. Предприятие может расти, его структура — перестраиваться, отделы и подразделения — исчезать или создаваться заново. В соответствии с этими изменениями надо будет модифицировать и структуру сети, и такие возможности в Active Directory предусмотрены. К операциям реструктуризации и переименования объектов в каталоге относятся:

- простое добавление доменов;

- простое удаление доменов;

- переименование доменов;

- переразмещение деревьев доменов и лесов;

- слияние деревьев в лес.

Добавление домена — самая простая из перечисленных операций. Домен можно подключить к дереву во время установки контроллера домена. Все что для этого нужно сделать — указать существующий в Active Directory домен в качестве родительского. При этом между доменами будут установлены доверительные отношения Kerberos, что позволит новому домену присоединиться к дереву.

Удаление домена не является удалением в полном смысле этого слова — домен просто исключается из дерева. Проделать эту операцию можно в любое время. Но предварительно следует убедиться, что у исключаемого домена нет дочерних доменов — иначе доверительные отношения дочернего домена окажутся разорванными, и он также будет исключен из дерева.

Любой объект в каталоге Active Directory может иметь несколько имен: общее, относительное и т. п. Единственным всегда неизменным идентификатором объекта является Глобальный уникальный идентификатор GU1D (Globally Unique Identifier). GUID - это многозначное число, создаваемое контроллерами домена. Алгоритм создания идентификатора не допускает дублирования. Именно этот никогда не изменяемый идентификатор может использоваться в Active Directory для того, чтобы свободнопереименовывать домены, как и любые объекты4.

GUID также позволяетперемещать домены в дереве или в лесу. Во время частичного тиражирования в глобальный каталог заносится подмножество свойств объекта. В это подмножество входит и GUID. Если объект перемещен, то глобальный каталог может использовать GUID для поиска объекта и его отличительного имени на основе нового относительного ID и LDAP-пути к новому местоположению.

Включение домена в лес не сложнее подключения к дереву доменов и рассматривалось ранее.

Если используется сервер динамического DNS Windows NT 5.0, то при перемещении или переименовании домена средствами администрирования автоматически выполняется коррекция записей в базе DNS. При использовании UNIX DNS-сервера создается файл, в который заносятся и подлежащие удалению, и новые записи. Дополнительно в Windows NT Workstation 5.0 автоматически изменяются настройки TCP/IP, и вносится новое имя домена.