Nasazení řadičů domény služby AD DS
Řadiče domény ověřují všechny uživatele a počítače v doméně. Proto je důležité zajistit optimální počet a umístění řadičů domény v jakémkoli prostředí SLUŽBY AD DS, zejména ve větších distribuovaných prostředích, jako je ten, na který společnost Contoso přechází.
Nasazení řadičů domény SLUŽBY AD DS v místním prostředí
Proces nasazení řadiče domény má dva kroky. Nejprve nainstalujete binární soubory potřebné k implementaci role řadiče domény. K tomuto účelu můžete použít Centrum pro správu Windows nebo Správce serveru. Na konci počátečního procesu instalace jste nainstalovali soubory SLUŽBY AD DS, ale ještě nenakonfigurovali službu AD DS na serveru. Druhým krokem je konfigurace role AD DS. Nejjednodušší způsob, jak tuto konfiguraci provést, je použít Průvodce konfigurací služby Active Directory Domain Services. Průvodce spustíte tak, že v Správce serveru vyberete odkaz SLUŽBY AD DS.
V rámci konfigurace role SLUŽBY AD DS musíte poskytnout odpovědi na otázky v následující tabulce:
Otázka
Komentáře
Instalujete novou doménovou strukturu, nový strom nebo další řadič domény pro existující doménu?
Odpověď na tuto otázku určuje, jaké další informace můžete potřebovat, například název nadřazené domény.
Jaký je název DNS (Domain Name System) domény služby AD DS?
Při vytváření prvního řadiče domény pro doménu musíte zadat plně kvalifikovaný název domény (FQDN). Když přidáte řadič domény do existující domény nebo doménové struktury, použijete existující název domény.
Jakou úroveň zvolíte pro funkční úroveň doménové struktury?
Úroveň funkčnosti doménové struktury určuje dostupné funkce doménové struktury a podporovaný operační systém řadiče domény. Tím se také nastaví minimální úroveň funkčnosti domény pro domény v doménové struktuře.
Jakou úroveň zvolíte pro funkční úroveň domény?
Úroveň funkčnosti domény určuje funkce domény, které budou k dispozici, a podporované operační systémy řadiče domény.
Bude řadič domény serverem DNS?
Roli DNS můžete nainstalovat jako součást nasazení řadiče domény.
Bude řadič domény hostitelem globálního katalogu?
Ve výchozím nastavení je tato možnost vybrána.
Bude řadič domény řadičem domény jen pro čtení (RODC)?
Tato možnost není dostupná pro první řadič domény v doménové struktuře.
Co bude heslo režimu obnovení adresářových služeb (DSRM)?
To je nezbytné pro obnovení databázových objektů služby AD DS ze zálohy.
Jaký je název rozhraní NetBIOS pro doménu SLUŽBY AD DS?
Při vytváření prvního řadiče domény pro doménu je nutné zadat název rozhraní NetBIOS pro doménu.
Kde se vytvoří databáze, soubory protokolů a složky SYSVOL?
Ve výchozím nastavení se složka souborů databáze a protokolů nachází v umístění C:\Windows\NTDS. Ve výchozím nastavení se složka SYSVOL nachází ve složce C:\Windows\SYSVOL.
Instalace řadiče domény na instalaci jádra serveru systému Windows Server
Počítač s Windows Serverem, na kterém běží instalace jádra serveru, nemá Správce serveru grafické uživatelské rozhraní (GUI). Proto je nutné použít alternativní metody k instalaci souborů pro roli řadiče domény a k instalaci samotné role řadiče domény. Můžete použít Windows Admin Center, Správce serveru, Windows PowerShell nebo Nástroje pro vzdálenou správu serveru (RSAT) nainstalované v jakékoli podporované verzi Windows Serveru, která má desktopovou funkci, nebo jakéhokoli podporovaného klienta Windows, jako je Windows 10.
Instalace řadiče domény z média
Pokud máte síťové připojení mezi lokalitami, které jsou pomalé, nespolehlivé nebo nákladné, může být užitečné přidat další řadič domény ve vzdáleném umístění nebo pobočce. Pokud chcete v tomto scénáři výrazně snížit objem provozu přes propojení WAN (Wide Area Network), můžete vytvořit zálohu služby AD DS (třeba na jednotku USB) a provést tuto zálohu do vzdáleného umístění. Pokud jste ve vzdáleném umístění a spustíte Správce serveru pro instalaci služby AD DS, můžete vybrat možnost Instalovat z média . Většina kopírování probíhá místně. V tomto scénáři propojení WAN přenáší pouze provoz související se zabezpečením a změny služby AD DS po zálohování. Propojení WAN také pomáhá zajistit, aby nový řadič domény obdržel všechny změny provedené v centrální službě AD DS po vytvoření instalace ze zálohy médií.
Důležité informace o pobočkách
Když nasadíte řadič domény v pobočce, který nezaručuje fyzické zabezpečení, můžete použít další opatření ke snížení dopadu porušení zabezpečení. Jednou z možností je nasazení řadiče domény jen pro čtení. Řadič domény jen pro čtení obsahuje kopii databáze SLUŽBY AD DS jen pro čtení a ve výchozím nastavení neukračuje žádná uživatelská hesla. Řadič domény jen pro čtení ale můžete nakonfigurovat tak, aby ukládaly hesla pro uživatele ve firemní pobočce. Pokud dojde k ohrožení zabezpečení řadiče domény jen pro čtení, potenciální ztráta rizika informací je nižší než u úplného řadiče domény pro čtení a zápis.
Upgrade řadičů domény z předchozí verze
Proces upgradu řadiče domény je stejný pro všechny verze Windows Serveru počínaje Windows Serverem 2012 R2 až Windows Serverem 2025. K upgradu na doménu systému Windows Server 2025 můžete použít některou z následujících metod:
- Upgradujte operační systém na existujících řadičích domény se systémem Windows Server 2012 R2 nebo novějším.
- Přidejte servery se systémem Windows Server 2025 jako řadiče domény v doméně, která už má řadiče domény se staršími verzemi Windows Serveru.
Doporučujeme druhou metodu, protože po dokončení máte čistou instalaci operačního systému Windows Server 2025 i databáze SLUŽBY AD DS. Pokaždé, když přidáte nový řadič domény, Windows Server automaticky aktualizuje záznamy DNS domény, aby klienti mohli vyhledat a používat tento řadič domény.
Nasazení řadičů domény AD DS na virtuálních počítačích Azure
Azure poskytuje infrastrukturu jako službu (IaaS), což je cloudová virtualizační platforma. Při nasazování služby AD DS v Azure IaaS instalujete řadič domény na virtuální počítač, takže všechna pravidla, která platí pro virtualizaci řadiče domény, platí pro nasazení služby AD DS v Azure.
Při implementaci služby AD DS v Azure zvažte následující:
- Síťová topologie. Abyste splnili požadavky služby AD DS, musíte k ní vytvořit virtuální síť Azure a připojit k ní virtuální počítače. Pokud chcete připojit existující místní infrastrukturu služby AD DS, můžete rozšířit síťové připojení k místnímu prostředí. Toho můžete dosáhnout prostřednictvím metod hybridního připojení, jako je připojení virtuální privátní sítě (VPN) nebo okruh Azure ExpressRoute v závislosti na rychlosti, spolehlivosti a zabezpečení, které vaše organizace vyžaduje.
- Topologie lokality. Stejně jako u fyzické lokality byste měli definovat a nakonfigurovat lokalitu služby AD DS, která odpovídá adresního prostoru IP vaší virtuální sítě Azure.
- Přidělování IP adres. Všechny virtuální počítače Azure ve výchozím nastavení přijímají adresy DHCP (Dynamic Host Configuration Protocol), ale můžete nakonfigurovat statické adresy, které se budou uchovávat při restartování a vypínání.
- DNS. Předdefinovaná služba DNS Azure nesplňuje požadavky služby AD DS, jako jsou dynamické záznamy prostředků DNS a služby (SRV). Pokud chcete poskytovat funkce DNS pro prostředí AD DS v Azure, můžete použít roli serveru DNS Windows Serveru nebo jiná řešení DNS dostupná v Azure, jako jsou zóny Azure private DNS.
- Disky. Máte kontrolu nad ukládáním konfigurací disků virtuálních počítačů Azure do mezipaměti. Když nainstalujete službu AD DS na virtuální počítač Azure, měli byste umístit soubory NTDS.DIT a SYSVOL na jeden ze svých datových disků a nastavit předvolbu mezipaměti hostitele toho disku na NONE.
Údržba řadičů domény služby AD DS
Pro každé prostředí služby AD DS platí provozní aspekty, které se zaměřují na zachování kontinuity podnikových procesů ověřovacích služeb. To zahrnuje zálohování a obnovu řadičů domény a objektů služby AD DS, které tyto řadiče hostují.
Udržování dostupnosti řadiče domény Active Directory Domain Services (AD DS)
Řadiče domény používají proces replikace s více hlavními servery ke kopírování dat z jednoho řadiče domény do druhého. Osvědčeným postupem je, že doména služby AD DS by měla mít alespoň dva řadiče domény na lokalitu služby AD DS. Díky tomu bude databáze služby AD DS lépe dostupná a rozloží zatížení ověřování během přihlašování ve špičce.
Důležité
U většiny podniků zvažte jako absolutní minimum dva řadiče domény pro každou geografickou oblast, které pomáhají zajistit vysokou dostupnost a výkon.
Plánování zálohování a obnovení služby AD DS
Udržování spolehlivosti dat služby Active Directory je důležité. Provádění pravidelných záloh může být součástí tohoto procesu, ale znalost toho, jak obnovit nebo obnovit data po selhání, je nezbytné.
Obnovení odstraněných objektů SLUŽBY AD DS pomocí koše
Vzhledem k tomu, že obnovení objektů odstraněných ze služby AD DS pomocí tradičních metod zálohování zahrnuje dočasné výpadky operačního systému, nabízí Windows Server funkci Koš služby Active Directory, která poskytuje jednoduchou metodu obnovení odstraněných objektů bez výpadků služby AD DS. Po povolení Active Directory Recycle Bin se kontejner Odstraněné objekty zobrazí v Centru správy služby Active Directory. Odstraněné objekty se v tomto kontejneru uchovávají, dokud nevyprší jejich životnost odstraněného objektu. U nových nasazení služby AD DS je tato životnost nastavená na 180 dnů, ale máte možnost ji změnit. Objekty můžete obnovit buď do původního umístění, nebo do alternativního umístění v rámci služby AD DS.
Důležité
Koš pro Active Directory nemůžete použít k vrácení změn do existujících objektů. V takových případech musíte použít tradiční metody zálohování a obnovení služby AD DS.
Zálohování a obnovení služby AD DS
Pokud chcete službu AD DS obnovit, musí záloha explicitně obsahovat data o stavu systému. Stav systému je kolekce důležitých souborů rolí operačního systému a serveru, které zahrnují databázi AD DS a registr.
Důležité
Tento scénář nepodporuje úplné zálohování serveru, které se používá k úplnému obnovení serveru.
Pokud chcete provést obnovení služby AD DS, musíte mít úplný přístup k souborům na řadiči domény. To vyžaduje restartování řadiče domény v režimu obnovení adresářových služeb (DSRM). Pokud místně restartujete řadič domény, otevřete pokročilé možnosti spuštění a v nabídce zvolte dsRM.
Když v režimu dsRM spustíte řadič domény, přihlásíte se jako správce pomocí hesla DSRM. K obnovení databáze adresáře pak můžete použít zálohování Windows Serveru. Po dokončení procesu obnovení je nutné restartovat server, který obnovujete. Řadič domény zajišťuje, aby jeho databáze byla konzistentní se zbytkem domény tím, že přetáhne od partnerů replikace změny adresáře, ke kterému došlo od data zálohování.
Neautoritativní obnovení
Ve výchozím nastavení obnovíte zálohu služby AD DS k ověřenému datu. V podstatě vracíte řadič domény zpět v čase. Když se služba AD DS restartuje na řadiči domény, řadič domény kontaktuje své partnery pro replikaci a požádá o všechny následné aktualizace. Jinými slovy, řadič domény zachytí zbytek domény pomocí standardních mechanismů replikace.
Tento typ obnovení je užitečný v případě, že došlo k poškození nebo poškození adresáře na řadiči domény, ale problém se nerozšířil na jiné řadiče domény. V některých scénářích ale tento přístup není vhodný. To například neumožňuje obnovit objekt, který jste odstranili po provedení zálohy, pokud se toto odstranění replikovalo do jiných řadičů domény. Pokud obnovíte známou dobrou verzi služby AD DS a restartujete řadič domény, odstranění, ke kterému došlo po provedení zálohování, se jednoduše replikuje zpět do řadiče domény.
Autoritativní obnovení
Autoritativní obnovení umožňuje obnovit známou dobrou kopii objektů služby AD DS, která nahrazuje aktuální verzi těchto objektů v databázi SLUŽBY AD DS. V autoritativním obnovení začnete se stejným pořadím kroků jako neautoritativní obnovení. Než restartujete řadič domény, označte obnovené objekty, které chcete zachovat jako autoritativní, aby se mohly replikovat z obnoveného řadiče domény směrem k jeho partnerským řadičům replikace.
Správa role globálního katalogu služby AD DS
V rámci plánování nasazení řadiče domény je důležité identifikovat optimální počet a umístění role globálního katalogu. To se stává relevantní při rozšiřování prostředí SLUŽBY AD DS do jiných umístění, stejně jako v případě plánovaného rozšíření společnosti Contoso.
Správa role globálního katalogu služby AD DS
Globální katalog je částečná, jen pro čtení, prohledávatelná kopie všech objektů v doménové struktuře. Globální katalog může urychlit vyhledávání objektů, které mohou být uloženy na řadičích domény v jiné doméně v doménové struktuře.
V rámci jedné domény obsahuje databáze služby AD DS na každém řadiči domény všechny informace o každém objektu v této doméně. Pouze podmnožina těchto informací se však replikuje na servery globálního katalogu v jiných doménách v doménové struktuře. V rámci domény se dotaz na objekt směruje na jeden z řadičů domény v této doméně. Tento dotaz ale nevrací výsledky o objektech v jiných doménách v rámci doménové struktury. Aby dotaz zahrnoval výsledky z jiných domén doménové struktury, musíte zadat dotaz na řadič domény, který je také serverem globálního katalogu.
Globální katalog neobsahuje všechny atributy pro každý objekt. Místo toho udržuje podmnožinu atributů, které budou pravděpodobně užitečné při hledání mezi doménami. Mezi tyto atributy patří například givenName, displayName a mail. Sadu atributů replikovaných do globálního katalogu můžete změnit úpravou schématu služby AD DS.
V doménové struktuře s více doménovými strukturami může být vyhledávání v globálním katalogu užitečné v mnoha situacích. Když například server se systémem Microsoft Exchange Server obdrží příchozí e-mail, musí vyhledat účet příjemce, aby se mohl rozhodnout, jak zprávu směrovat. Díky automatickému dotazování globálního katalogu může server najít příjemce v prostředí s více doménou. Kromě toho platí, že když se uživatelé přihlásí ke svým účtům služby Active Directory, musí řadič domény, který provádí ověřování, kontaktovat globální katalog, aby před ověřením uživatelů zkontroloval členství ve univerzální skupině.
V jedné doméně byste měli nakonfigurovat všechny řadiče domény tak, aby měly kopii globálního katalogu. V doménových strukturách více domén a více lokalit může někdy dávat smysl omezit počet řadičů domény hostující roli globálního katalogu, aby se snížil objem provozu replikace, i když se jedná o neobvyklý scénář. Mějte však na paměti, že to při provádění dotazů globálního katalogu bude znamenat závislost na připojení k jiným lokalitám.
Tip
Pokud nepotřebujete snížit objem provozu replikace, zvažte konfiguraci každého řadiče domény jako globálního katalogu.
Správa hlavních operačních serverů služby AD DS
Služba AD DS používá k kopírování dat mezi řadiči domény více hlavních procesů a automaticky implementuje algoritmus řešení konfliktů, který opravuje souběžné konfliktní aktualizace. Tato ustanovení umožňují distribuovaný model správy, kdy více uživatelů a aplikací může souběžně aplikovat změny na objekty SLUŽBY AD DS na různých řadičích domény. Takový model je nezbytný pro podporu jakéhokoli prostředí služby AD DS se dvěma nebo více řadiči domény. Je ale důležité pro větší distribuovaná prostředí, jako je contoso. Je ale důležité si uvědomit, že určité operace můžou provádět jenom konkrétní role na konkrétním řadiči domény.
Co jsou operační servery služby AD DS?
Role hlavního operačního serveru služby AD DS zodpovídají za provádění operací, které nejsou vhodné pro více hlavních modelů. Řadič domény, který má jednu z těchto rolí, je hlavní operační server. Role hlavního operačního serveru se také označuje jako role FSMO (Flexible Single Master Operation). Existuje pět rolí hlavního operačního serveru:
- Hlavní server schématu
- Hlavní názvový server domény
- Hlavní server infrastruktury
- Hlavní server RID
- Hlavní server emulátoru primárního řadiče domény
Ve výchozím nastavení je první řadič domény nainstalovaný v doménové struktuře hostitelem všech pěti rolí. Tyto role však můžete přenést po nasazení dalších řadičů domény. Při provádění změn specifických pro hlavní operační server se musíte připojit k řadiči domény s rolí. Pět rolí hlavního operačního serveru má následující distribuci:
- Každá doménová struktura má jeden hlavní server schématu a jeden hlavní název domény.
- Každá doména služby AD DS má jeden hlavní server IDENTIFIKÁTORů RID, jeden hlavní server infrastruktury a jeden emulátor primárního řadiče domény (PDC).
Všechny pět můžete umístit na jeden řadič domény nebo je distribuovat mezi několik řadičů domény.
Hlavní operační servery doménové struktury
Doménová struktura má následující role hlavního operačního serveru:
- Hlavní název domény Jedná se o řadič domény, který musíte kontaktovat, když přidáte nebo odeberete doménu nebo provedete změny názvu domény.
Důležité
Pokud není hlavní název domény dostupný, nebudete moct do doménové struktury přidávat domény.
- Hlavní server schématu. Jedná se o řadič domény, ve kterém provedete všechny změny schématu.
Důležité
Pokud není hlavní server schématu dostupný, nebudete moct provádět změny schématu.
Poznámka
Příkaz Get-ADForestWindows PowerShellu , z modulu Active Directory pro Windows PowerShell, zobrazí vlastnosti doménové struktury, včetně aktuálního pojmenování hlavní domény a hlavního schématu.
Řadiče operací domény
Doména má následující role hlavního operačního serveru:
- Hlavní server RID. Při každém vytvoření objektu zabezpečení, jako je uživatel, počítač nebo skupina ve službě AD DS, přiřadí řadič domény, ve kterém jste vytvořili objekt, jedinečný identifikační číslo, které se označuje jako ID zabezpečení (SID). Aby se zajistilo, že žádné dva řadiče domény nepřiřazují stejný identifikátor SID dvěma různým objektům, hlavní server RID přiděluje každému řadiči domény v rámci domény bloky IDENTIFIKÁTORů RID, které se mají použít při vytváření identifikátorů SID.
Důležité
Pokud hlavní server RID není dostupný, může do domény dojít k potížím s přidáním objektů zabezpečení. Vzhledem k tomu, že řadiče domény používají svoje stávající identifikátory RID, nakonec je vyčerpaly a nemůžou vytvářet nové objekty.
- Hlavní server infrastruktury. Tato role udržuje odkazy na objekty mezidomény, například když skupina v jedné doméně má člena z jiné domény. V této situaci spravuje hlavní server infrastruktury zachování integrity tohoto odkazu. Když například zkontrolujete kartu Zabezpečení objektu, systém odkazuje na uvedené IDENTIFIKÁTORy SID a přeloží je na názvy. V doménové struktuře s více doménami hlavní server infrastruktury aktualizuje odkazy na IDENTIFIKÁTORy SID z jiných domén s odpovídajícími hlavními názvy zabezpečení.
Důležité
Pokud hlavní server infrastruktury není dostupný, řadiče domény, které nejsou globálními katalogy, nebudou moct provádět překlad hlavních názvů zabezpečení IDENTIFIKÁTORů SID.
Důležité
Role hlavního serveru infrastruktury by se neměla nacházet na řadiči domény, který hostuje roli globálního katalogu, pokud není nakonfigurovaný každý řadič domény v doménové struktuře tak, aby sloužil jako globální katalog. V tomto případě není role hlavního serveru infrastruktury nutná, protože každý řadič domény zná o každém objektu v doménové struktuře.
- Hlavní server emulátoru primárního řadiče domény. Řadič domény, který je hlavním serverem emulátoru primárního řadiče domény, slouží jako zdroj času pro doménu. Hlavní server emulátoru primárního řadiče domény v každé doméně v doménové struktuře synchronizuje svůj čas s hlavním serverem emulátoru primárního řadiče domény v kořenové doméně doménové struktury. Hlavní server emulátoru primárního řadiče domény v kořenové doméně doménové struktury nastavíte tak, aby se synchronizoval se spolehlivým externím zdrojem času. Ve výchozím nastavení se změny objektů zásad skupiny (GPO) standardně zapisují do hlavního serveru emulátoru primárního řadiče domény. Hlavní server emulátoru primárního řadiče domény je také řadič domény, který přijímá naléhavé změny hesla. Pokud se změní heslo uživatele, řadič domény s hlavní rolí emulátoru primárního řadiče domény tyto informace okamžitě obdrží. To znamená, že pokud se uživatel pokusí přihlásit, řadič domény v aktuálním umístění uživatele kontaktuje řadič domény s rolí hlavního serveru emulátoru primárního řadiče domény, aby zkontroloval nedávné změny. K tomu dochází i v případě, že řadič domény v jiném umístění, který ještě neobdržel nové informace o heslu ověřené uživatelem.
Důležité
Pokud hlavní server emulátoru primárního řadiče domény není dostupný, můžou mít uživatelé potíže s přihlášením, dokud se změny hesla nereplikují do všech řadičů domény.
Poznámka
Příkaz Get-ADDomainWindows PowerShellu z modulu Active Directory pro Windows PowerShell zobrazí vlastnosti domény, včetně aktuálního hlavního serveru RID, hlavního serveru infrastruktury a hlavního serveru emulátoru primárního řadiče domény.
Správa hlavních operačních serverů služby AD DS
V prostředí služby AD DS, ve kterém distribuujete role hlavního operačního serveru mezi řadiče domény, budete možná muset přesunout roli z jednoho řadiče domény do jiného. Když provádíte přesun plánovaným způsobem mezi dvěma online řadiči domény, přesun se označuje jako přenos role. Pokud aktuální držitel role není k dispozici v nouzových situacích, označuje se tento krok jako převzetí role. Při přenosu role se nejnovější data z řadiče domény v této roli replikují na cílový server.
Důležité
Roli byste měli použít pouze jako poslední možnost, pokud neexistuje žádná šance na obnovení aktuálního držitele role.
Přenos rolí hlavního operačního serveru
Role hlavního operačního serveru můžete přenášet pomocí modulů snap-in služby AD DS, které jsou uvedené v následující tabulce.
Role
Přídavný modul
Hlavní server schématu
Schéma služby Active Directory
Hlavní názvový server domény
Doména služby Active Directory a vztahy důvěryhodnosti
Hlavní server infrastruktury
Uživatelé a počítače služby Active Directory
Hlavní server RID
Uživatelé a počítače služby Active Directory
Hlavní server emulátoru primárního řadiče domény
Uživatelé a počítače služby Active Directory
Určení rolí hlavního operačního serveru
Moduly snap-in služby AD DS nelze použít k zachycení rolí hlavního operačního serveru. Místo toho je nutné použít nástroj příkazového řádku ntdsutil.exe nebo Windows PowerShell k převzetí rolí.
Poznámka
Tyto nástroje můžete použít také k přenosu rolí.
Syntaxe pro přenos role a určení velikosti role je podobná v prostředí Windows PowerShell, jak ukazuje následující řádek syntaxe:
Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force
Pro předchozí syntaxi jsou důležité definice následující:
- název serveru. Název cílového řadiče domény, do kterého přenášíte jednu nebo více rolí.
- rolenamelist. Seznam názvů rolí služby AD DS oddělený čárkami, který se má přesunout na cílový server.
- -Vynuťte. Volitelný parametr, který zahrnete k rozdělení role místo jeho přenosu.
Správa schématu SLUŽBY AD DS
Mnoho aplikací a služeb využívá data uložená v databázi služby AD DS. Některé z nich, například nově vyvinutá interní aplikace Contoso, kterou potřebujete implementovat, vyžadují, aby data byla v určitém formátu. To zase může vyžadovat rozšíření schématu služby AD DS.
Co je schéma?
Služba AD DS ukládá a načítá informace z široké škály aplikací a služeb. Částečně to dělá standardizací způsobu, jakým adresář SLUŽBY AD DS ukládá data. Díky standardizaci úložiště dat může služba AD DS načítat, aktualizovat a replikovat data a zároveň udržovat integritu dat.
Schéma služby AD DS je komponenta, která definuje všechny třídy objektů a atributy, které služba AD DS používá k ukládání dat. Všechny domény v doménové struktuře obsahují kopii schématu, která se vztahuje na tuto doménovou strukturu. Jakákoli změna schématu se replikuje do každého řadiče domény v doménové struktuře prostřednictvím partnerů replikace. Změny však pocházejí z hlavního schématu.
Objekty
Služba AD DS používá objekty jako jednotky úložiště. Schéma definuje všechny typy objektů. Pokaždé, když adresář spravuje data, adresář dotazuje schéma pro příslušnou definici objektu. Na základě definice objektu ve schématu adresář vytvoří objekt a uloží data.
Definice objektů určují oba typy dat, které objekty mohou ukládat, a syntaxi dat. Můžete vytvořit pouze objekty, které schéma definuje. Vzhledem k tomu, že objekty ukládají data v pevně definovaném formátu, může služba AD DS ukládat, načítat a ověřovat data, která spravuje, bez ohledu na to, která aplikace je poskytuje.
Vztahy mezi objekty, pravidly, atributy a třídami
Objekty schématu služby AD DS se skládají z atributů, které jsou seskupené do tříd. Každá třída má pravidla, která definují, které atributy jsou povinné a které jsou volitelné. Například uživatelská třída se skládá z více než 400 možných atributů, včetně cn (běžný název atribut), givenName, displayName, objectSID a manager. Z těchto atributů jsou atributy cn a objectSID povinné.
Třída uživatele je příkladem strukturální třídy. Strukturální třída je jediným typem třídy, která může mít objekty v databázi služby AD DS. Chcete-li změnit schéma, můžete vytvořit pomocnou třídu s vlastními atributy a pak na ni odkazovat v definici strukturální třídy.
Správa schématu SLUŽBY AD DS
Při správě schématu služby AD DS můžete schéma upravit pouze v případě, že jste členem skupiny Schema Admins v kořenové doméně doménové struktury SLUŽBY AD DS. Pro tento účel můžete použít modul snap-in Schéma služby Active Directory.
Důležité
Schéma služby AD DS nepodporuje odstranění.
Schéma byste měli změnit pouze v případě potřeby, protože schéma řídí ukládání informací. Všechny změny schématu navíc ovlivňují každý řadič domény. Před změnou schématu byste měli zkontrolovat změny a implementovat je až po provedení testování. To pomáhá zajistit, aby změny nepříznivě ovlivnily zbytek doménové struktury nebo žádné aplikace, které používají službu AD DS.
