Exportovat (0) Tisk
Rozbalit vše
Expand Minimize
Označili jako užitečné: 0 z 1 - Ohodnotit toto téma

Služba Active Directory v systému Windows Server 2003 s aktualizací Service Pack 1

K čemu slouží služba Active Directory?

Služba Active Directory® je adresářová služba, která ukládá informace o objektech v síti a poskytuje uživatelům a správcům sítě přístup k těmto informacím. Objekty služby Active Directory obvykle zahrnují sdílené prostředky, například servery, svazky, tiskárny a účty počítačů a uživatelů sítě.

Služba Active Directory se skládá z následujících součástí:

  • Schéma. Jedná se o soubor pravidel, který definuje třídy objektů a atributů obsažených v adresáři, omezující podmínky a limity výskytů těchto objektů a formát jejich názvů.
  • Globální katalog. Toto úložiště dat obsahuje informace o každém objektu v adresáři. Tato funkce umožňuje uživatelům a správcům najít informace o adresáři bez ohledu na to, která doména v adresáři tato data skutečně obsahuje.
  • Dotazování a indexování. Pomocí tohoto mechanismu mohou uživatelé v síti nebo aplikace publikovat a vyhledávat objekty a jejich vlastnosti.
  • Replikační služba. Tato služba distribuuje data z adresáře v síti. Všechny řadiče domény se účastní replikace a obsahují úplnou kopii všech informací o adresáři pro svou doménu. Změny dat adresáře jsou replikovány do všech řadičů v doméně.
  • Klientský software služby Active Directory. Klient služby Active Directory poskytuje mnoho funkcí služby Active Directory dostupných v klientech se systémem Windows 2000 Professional nebo Windows XP Professional počítačům se systémy Windows 95, Windows 98 a Windows NT 4.0.

Koho se tato funkce týká?

Změny služby Active Directory systému Windows Server 2003 Service Pack 1 (SP1) jsou určeny následujícím uživatelům:

  • Odborníci v oblasti IT, kteří poskytují podporu pro službu Active Directory, například správci služby Active Directory, správci schématu služby Active Directory, správci systému DNS (Domain Name System) a správci řadiče domény.
  • Odborníci technické podpory.
  • Vývojáři aplikací.
  • Systémoví integrátoři.

Jaké funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Připomenutí zálohování adresářové služby

Nová zpráva o události (událost s ID 2089) poskytuje informace o stavu každého oddílu adresáře, který je v řadiči domény uložen, včetně oddílů adresáře aplikace a oddílů ADAM (Active Directory Application Mode). Pokud se uprostřed intervalu čekací doby zálohování (doby platnosti) nepodaří zálohu oddílu vytvořit, bude tato událost zaznamenána do protokolu událostí adresářové služby a bude se zobrazovat denně, dokud se záloha oddílu nevytvoří.

Vyšší míra zabezpečení replikace a méně chyb při replikaci

Metadata replikace již nejsou ve výchozím nastavení uchovávána v rámci řadičů domény, ze kterých byla služba Active Directory odebrána, přestože čekací dobu můžete nastavit. Tato změna vylepšuje míru zabezpečení replikace a eliminuje chybové zprávy replikace, jejichž vytváření způsobují nezdařené pokusy o replikaci s již vyřazenými řadiči domény. Další informace o zachování metadat replikace naleznete v tématu How the Active Directory Replication Model Works (Principy modelu replikace služby Active Directory) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=46510.

Vylepšení instalace serverů DNS z média

Vylepšení poskytovaná položkou Instalovat z média, která umožňuje zařadit oddíly adresáře aplikace na zálohovací médium používané k instalaci nového řadiče domény, usnadňují tvorbu takového nového řadiče domény představujícího server DNS. Díky této možnosti není nutné před spuštěním serveru DNS do provozu replikovat oddíly adresáře aplikace DomainDNSZones a ForestDNSZones.

Vylepšení replikace a testování služby DNS

Nástroj příkazového řádku Dcdiag.exe, který je k dispozici v nástrojích odborné pomoci systému Windows, obsahuje s ohledem na zabezpečení služby Active Directory nové možnosti zasílání zpráv o celkovém funkčním stavu replikace. Tento test poskytuje společně s podrobnými informacemi o jednotlivých testovaných řadičích domény souhrn výsledků a diagnostiku všech chyb zabezpečení. Nástroj Dcdiag.exe obsahuje také nové testy služby DNS zaměřené na funkčnost připojení, dostupnost služby, servery pro předávání a odkazy na kořenové servery, delegování, dynamickou aktualizaci, registraci záznamu lokátoru, překlad externích názvů a infrastrukturu rozlehlé sítě. Tyto testy lze provádět na jednom řadiči domény nebo v rámci všech řadičů domény ve stromové struktuře. Další informace o změnách v nástroji Dcdiag.exe naleznete v části tohoto článku věnované nástroji Dcdiag.exe.

Podpora spouštění řadičů domény ve virtuálních počítačích

Na jeden fyzický server se systémem Windows Server 2003 a Microsoft Virtual Server 2005 můžete do samostatných virtuálních počítačů nainstalovat více řadičů domény se systémem Windows Server 2003 nebo Windows 2000 Server. Tato platforma je vhodná pro testovací prostředí. Pomocí virtuálních počítačů můžete na jednom serveru s jedním operačním systémem efektivně vytvořit hostitele více domén, více řadičů stejné domény či dokonce více stromových struktur. Operační systém Windows Server 2003 s aktualizací SP1 obsahuje také ochranu proti poškození adresáře, jehož příčinou může být nesprávné zálohování a obnovení bitových kopií řadiče domény. Další informace o spouštění řadičů domény ve virtuálních počítačích naleznete v tématu Running Domain Controllers in Virtual Server 2005 (Spouštění řadičů domény v systému Virtual Server 2005) na webu společnost Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38330.

Zasílání zpráv o správné funkci a stavu hlavního operačního serveru

Pokud nelze operaci vyžadující řadič domény s rolí hlavního operačního serveru (označované také jako pružné operace typu single-master (FSMO)) provést, budou nyní do protokolu událostí adresářové služby zaznamenány události. Události identifikují držitele rolí hlavního operačního serveru, kteří neexistují, držitele, kteří existují, ale jsou nedostupní, nebo jsou dostupní, ale nebyli za poslední dobu replikováni s kontaktujícím řadičem domény. Další informace o hlavních operačních serverech naleznete v tématu How Operations Masters Work (Principy hlavních operačních serverů) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38333.

Prodloužení doby ukládání odstraněných objektů

Výchozí doba, po kterou je kopie odstraněného objektu uchovávána ve službě Active Directory (označovaná jako doba platnosti), byla ze 60 dnů prodloužena na 180 dnů. Delší doba platnosti snižuje pravděpodobnost, že doba zachování odstraněného objektu v místním adresáři odpojeného řadiče domény překročí okamžik trvalého odstranění objektu z řadičů domény v režimu online. Doba platnosti se po upgradu na systém Windows Server 2003 s aktualizací SP1 nezmění automaticky, dobu platnosti však můžete po upgradu změnit ručně. Nové stromové struktury instalované se systémem Windows Server 2003 s aktualizací SP1 budou mít výchozí dobu platnosti 180 dnů. Další informace o době platnosti naleznete v tématu How the Data Store Works (Principy úložiště dat) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38339.

Vylepšený překlad názvu řadiče domény

S ohledem na chyby překladu názvu systému DNS (Domain Name System), ke kterým může dojít během vyhledávání partnerských serverů pro replikaci a serverů globálního katalogu, vyžadují řadiče domény se systémem Windows Server 2003 a aktualizací SP1 další případně registrované varianty názvu serveru, což snižuje počet chyb způsobených zpožděním a nesprávnou konfigurací systému DNS. Další informace o překladu názvu DNS naleznete v tématu How DNS Support for Active Directory Works (Principy podpory DNS pro službu Active Directory) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38335.

Zjednodušený proces odebírání serverových metadat

Nástroj příkazového řádku Ntdsutil.exe pro správu databáze služby Active Directory obsahuje nové příkazy, které usnadňují odebírání metadat řadiče domény. Předběžné kroky, například připojení k serveru, doméně a webovému serveru, již nejsou požadovány. Stačí jednoduše zadat server, který chcete odebrat. Můžete také zadat server, na kterém chcete odstranění provést. Další informace o změnách v nástroji Ntdsutil.exe naleznete v části tohoto článku věnované nástroji Ntdsutil.exe.

Vylepšené zabezpečení k ochraně důvěrných atributů

Chcete-li zakázat přístup pro čtení důvěrných atributů, například čísla sociálního zabezpečení, ale současně přístup pro čtení jiných atributů objektu povolit, můžete nastavením příznaku vyhledávání u příslušného objektu attributeSchema označit určité atributy jako důvěrné. Ve výchozím nastavení mají přístup pro čtení důvěrných atributů pouze správci domény, úroveň tohoto přístupu však můžete delegovat. Další informace o přístupu k atributům naleznete v tématu How Security Descriptors and Access Control Lists Work (Principy seznamů řízení přístupu a popisovačů zabezpečení) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=45972.

Uchování historie identifikátorů SID při označení objektů za neplatné

Do sady atributů, které jsou uchovávány při odstranění a označení objektu za neplatný, byl přidán atribut sIDHistory. Při opětovné aktivaci (zrušení odstranění) objektu označeného za neplatný bude nyní společně s objektem obnoven atribut sIDHistory. Další informace o označení objektů za neplatné naleznete v tématu How the Data Store Works (Principy úložiště dat) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=45973.

Vylepšení nástroje Adprep.exe v upgradech systému Windows 2000 Server

Vylepšení nástroje Adprep.exe snižuje dopad synchronizace Služby replikace souborů (FRS), která je výsledkem aktualizace souborů SYSVOL prováděné během upgradu. Nástroj Adprep.exe slouží k upgradu schématu systému Windows 2000 Server na schéma systému Windows Server 2003 a aktualizaci některých konfigurací specifických pro stromovou strukturu a doménu, včetně složky SYSVOL, které jsou nezbytné pro provoz řadiče domény se systémem Windows Server 2003. Nástroj nyní umožňuje při přípravě domény na upgrade provádět operace se složkou SYSVOL v rámci samostatného kroku. Do nástroje byl pro aktualizace složky SYSVOL, které lze provádět ve vhodnou dobu po upgradu, přidán nový přepínač /gpprep. Příkaz adprep /domainprep, který dříve prováděl aktualizace adresáře i složky SYSVOL, nyní aktualizuje pouze adresář. Nástroj Adprep.exe nyní také rozpoznává rozšíření schématu jiných výrobců, která blokují upgrade, blokující rozšíření umožňuje identifikovat a doporučuje opravy. Kromě toho rozpoznává také objekty schématu serveru Microsoft Exchange Server, což umožňuje schéma serveru Exchange Server příslušným způsobem připravit na pojmenování objektu InetOrgPerson. Další informace o změnách v nástroji Adprep.exe naleznete v části tohoto článku věnované nástroji Adprep.exe.

Změny v přetahování objektů v modulu snap-in Uživatelé a počítače služby Active Directory

V systému Windows Server 2003 Service Pack 1 byly na základě reakcí zákazníků provedeny dvě změny v chování při přetahování v modulu snap-in Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console).

Zaprvé, ve výchozím nastavení se nyní při přetahování objektů v modulu snap-in Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console) zobrazí dialogové okno pro potvrzení. V systému Windows Server 2003 byla podpora přetahování v modulu snap-in Uživatelé a počítače služby Active Directory povolena. Neposkytovala však žádné dialogové okno pro potvrzení při přesunování objektů. To usnadňovalo přesunování objektů, mohlo však snáze dojít k nechtěnému přesunutí objektu do chybného umístění, čímž mohly klientské pracovní stanice ztratit přístup k velmi důležitým prostředkům. Díky zahrnutí dialogového okna pro potvrzení do chování při přetahování má správce možnost opravit neúmyslnou chybu dříve, než bude mít dopad na organizaci. Ve zobrazeném dialogovém okně pro potvrzení je k dispozici zaškrtávací políčko Pokud je spuštěna konzola Uživatelé a počítače služby Active Directory, tuto zprávu již příště nezobrazovat.

Pokud uživatel políčko Pokud je spuštěna konzola Uživatelé a počítače služby Active Directory, tuto zprávu již příště nezobrazovat zaškrtne, dialogové okno pro potvrzení se již během aktuální relace modulu snap-in nezobrazí. Následné pokusy o přetažení v této relaci modulu snap-in proběhnou bez potvrzení.

Pokud uživatel políčko Pokud je spuštěna konzola Uživatelé a počítače služby Active Directory, tuto zprávu již příště nezobrazovat nezaškrtne, upozornění se zobrazí pokaždé, když se uživatel pokusí přetáhnout objekt.

Zadruhé, správce může zcela zakázat přetahování nastavením atributu flags v kontejneru specifikátorů zobrazení. Kontejner specifikátorů zobrazení se nachází v adresáři v umístění: CN=DisplaySpecifiers,CN=Configuration,DC=<vložit název domény>. Tento atribut lze nastavit pomocí nástroje ADSIedit.msc, který je k dispozici v nástrojích odborné pomoci systému Windows.

Celkové chování je následující:

  • Pokud je atribut flags nastaven na libovolnou hodnotu, je přetahování zakázáno. Nejedná se o výchozí nastavení.
  • Pokud atribut flags není nastaven (výchozí), bude uživatel moci v modulu snap-in Uživatelé a počítače služby Active Directory přetahováním přesunovat objekty.
Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft. Všechna práva vyhrazena.