С точки зрения значимости для сетевой инфраструктуры предприятия службу каталогов Active Directory, пожалуй, нельзя сравнить ни с одним компонентом Windows 2000. И именно наличие AD является, на мой взгляд, главным отличием этой операционной системы от ее предшественницы — Windows NT 4.0. Объединение всей информации о сети, ее компонентах, пользователях, компьютерах, службах в рамках глобального информационного справочника предприятия — вот основная задача AD.
Все это позволяет выполнять администрирование именно так, как должно быть и как невозможно было сделать в NT, т. е. централизованно. Конечно, нельзя сказать, что система администрирования версии 4.0 была разрозненной, но уже одно то, что для управления различными компонентами системы приходилось запускать свои программы управления, часто не согласованные в плане интерфейсов и функций, заставляло задуматься о необходимости реализации другого подхода к управлению. Как известно, впервые консоль управления Microsoft Management Console появилась в Windows NT 4.0 и предназначалась для администрирования Internet Information Server, версии 4.0. А служба каталогов была реализована как дополнительный компонент и, естественно, не имела тех возможностей, что появились в Windows 2000.
Но в рамках уже сложившейся инфраструктуры NT эффективно развернуть такую глобальную службу невозможно, и как раз из-за того, что она системообразующая. Именно поэтому перед теми, кто решает перейти к сетям на базе Windows 2000, и встает проблема AD. Двухлетний опыт внедрения Windows 2000 уже показал, что именно служба каталогов, вернее, сложность ее развертывания и миграции данных из имеющихся сетей, оказывается основным «препятствием» в процессе создания новой инфраструктуры. Сказывается и отсутствие в самой операционной системе Windows 2000 инструментов для проведения миграции, и необходимость предварительного, подчеркну, обучения администраторов работе с этим новым элементом системы, и зачастую запутанность системы прав и разрешений в имеющихся сетях. Ну и психологический фактор тоже нельзя сбрасывать со счетов. Да, есть утилиты независимых разработчиков, которые могут облегчить процесс миграции, и учиться работать со службой каталогов можно на своих ошибках. Но все же хотелось бы иметь возможность предварительного анализа имеющейся инфраструктуры на предмет работоспособности в условиях функционирования службы каталогов и соответствующие функции в стандартном наборе функций операционной системы, особенно учитывая всю сложность перехода к сетям на базе AD.
Active Directory в Windows 2000 — большой шаг вперед, да и набор возможностей для версии 1.0 впечатляет. Но, на мой взгляд, сложность процедуры перехода от сетей на базе NT к сетям на базе Windows 2000 вкупе с AD была недооценена Microsoft.
AD — не для новичков, слишком она сложна и требует четкого понимания работы и возможностей служб и компонентов сетей NT и Windows 2000. Некоторые ошибки при ее развертывании можно исправить, лишь выполнив весь процесс внедрения заново. Но не стоит отчаиваться, как говорят, не так страшен черт, как его малюют. К тому же в планируемой к выпуску в следующем году новой версии Windows .NET Server ожидается появление большого числа встроенных средств, облегчающих развертывание AD. Можно даже сказать, что основной задачей при разработке службы каталогов в новой версии было именно усовершенствование возможностей AD. Кстати, в сети самой Microsoft в качестве контроллеров доменов работают бета-версии Win.NET Server.
Перспективы
Для сетей на базе Windows 2000 переход к версии AD в Win.NET Server будет выполняться в рамках процесса обновления операционной системы, ну а для сетей на базе NT он должен пройти намного легче, правда, если не полениться и предварительно подчистить имеющуюся инфраструктуру доменов NT 4.0. На крайний случай в состав Win.NET Server включена утилита Active Directory Migration Tool (ADMT) 2.0, которая может помочь осуществить миграцию. Кроме того, должна быть реализована возможность установления доверительных отношений между лесами, функция переименования доменов и отмены изменений, внесенных в схему службы AD, что раньше было невозможно.
При этом ожидаются многочисленные изменения в интерфейсе окна управления AD: например, появится возможность перетаскивания объектов, выбор и редактирование свойств сразу нескольких объектов, сохранение запросов к базе службы каталогов и еще много другого. Ну и, для любителей, полный набор команд и утилит командной строки, что также пригодится и при составлении сценариев.
ДМИТРИЙ ТОРОПОВ - главный редактор журнала Windows 2000 Magazine/RE, системный администратор, MCSE. С ним можно связаться по электронной почте по адресу: toropovd@osp.ru.