Примечание. Основным различием Windows 2000 Server и Windows 2003 является гибкость и управляемость AD

Основным различием Windows 2000 Server и Windows 2003 является гибкость и управляемость AD. Самое значительное изменение, связанное с безопасностью, связано с доверием между лесами.

AD может состоять из одного или более доменов, причем каждый домен имеет свои политики безопасности и безопасные (т. е. доверенные) взаимоотношения с другими доменами. Пространство имен домена соответствует домену DNS, а домен Root - это первый домен, создаваемый в AD. Все домены в AD совместно используют одну и ту же конфигурацию, схему и глобальный каталог. Ключевыми компонентами AD и их функциями являются следующие элементы.

· Global Catalog (GC, Глобальный каталог). Серверы GC содержат частичные реплики всех доменов в AD, а также полную реплику схемы и именования конфигурации, поэтому эти системы являются носителями секретной информации и должны соответствующим образом защищаться.

· Схема. Схема определяет, какие объекты и атрибуты могут храниться в AD. Она поддерживает все классы объектов и атрибуты, содержащиеся в AD. Для каждого класса объектов схема определяет место в AD для создания класса объекта, а также список атрибутов, которые должен содержать класс. Это ключевой компонент AD, и очень важно обеспечить его безопасность

· Домен. Домен - это группа компьютеров, объединенных для формирования административной ограниченной области пользователей, групп, компьютеров и организационных единиц.

· Организационная единица (OU) - это тип объектов каталога, с которыми можно связать групповые политики и таким образом определять в них ограничения безопасности. Это наименьшие административные единицы в AD, формирующие границы защищаемой области. По умолчанию, так как домен является ограниченной областью администрирования, и OU существует только внутри домена, домен является наиболее внешней организационной единицей.

· Групповые политики. Объект домена, обеспечивающий возможность группирования параметров безопасности и конфигурации в шаблоны, которые могут применяться к отдельным системам, доменам или организационным единицам.

· Доверительные взаимоотношения. Доверительные взаимоотношения позволяют использовать информацию из одного домена, такую как идентификаторы безопасности пользователей, в другом домене. По умолчанию в AD имеется двустороннее транзитивное доверие. Домены с двусторонним доверием полностью доверяют друг другу. Транзитивное доверие означает, что если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Можно сравнить этот принцип с доверием в Windows NT, где оно было однонаправленным (поэтому приходилось настраивать доверие в отдельном порядке) и не транзитивным, т. е. доверие имело место только по отношению к тем доменам, с которыми были установлены непосредственные доверительные отношения.