Как-то раз, болтая на Twitter'е, я заявил, что Active Directory — лучшее изобретение Microsoft. Отчасти я сказал так, чтобы подразнить гусей, и действительно, тут же нашелся человек, заявивший мне в ответ, что Active Directory — это «просто LDAP». Простим ему это заблуждение — он линуксоид.

В статье «Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008» я рассказывал, какие дополнительные настройки могут потребоваться для того, чтобы разрешить пользователям аутентификацию на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена. Однако бывают ситуации в которых требуется, напротив, запретить аутентификацию при подобных обстоятельствах.

Чтобы в полной мере использовать возможности контроллеров доменов только для чтения, следует учитывать некоторые особенности этой новой технологии, реализованной в Windows Server 2008. Сделать новый контроллер домена доступным только для чтения в процессе начальной настройки очень легко.

Во многих организациях управление учетными записями и доменными ресурсами осуществляется с помощью Microsoft Active Directory. Этот инструмент впервые появился в Windows 2000 Server и с тех пор функциональность Active Directory настолько расширилась, что управлять ею с помощью штатных инструментов стало довольно затруднительно.

Во многих ситуациях интеграция зон DNS в Active Directory является самым оптимальным вариантом конфигурации. Кроме того, я очень люблю использовать запись CNAME для работы с приложениями — например, для подключения к базам данных с помощью ODBC. Однако трудность заключается в том, что разрешения DNS зависят от разрешений Active Directory, а в крупных организациях за администрирование Active Directory и за администрирование приложений, как правило, отвечают разные лица.

Службы удаленных рабочих столов (Remote Desktop Services, RDS) — незаменимое средство администрирования Windows и эффективный механизм вывода данных во многих ситуациях. Многие администраторы и опытные пользователи работают сразу с несколькими мониторами, подключенными к одной рабочей станции. Подключение к удаленному рабочему столу в большинстве случаев создает незначительную нагрузку на сервер, но иногда возникает необходимость ограничить количество мониторов, допустимых для использования при удаленном подключении, с помощью групповой политики.

В мае 2009 года, когда я работал в компании Infinite Group Inc., мне было поручено провести оценку виртуализации во всех муниципальных колледжах штата Миссисипи (США) и разработать набор рекомендаций по виртуализации Active Directory. Поскольку большинство сетевых служб Windows зависят от Microsoft Active Directory, к виртуализации этой роли следует подходить с особой осторожностью. В частности, нужно тщательно продумать следующие аспекты.

В Windows Server 2008 R2 появилась новая категория учетных записей, значительно облегчающая управление учетными записями служб на локальном компьютере. Рик Вановер (Rick Vanover) рассказывает об этом подробнее.

В Windows Server 2008 появились управляемые службы доменов, позволяющие управлять серверами контроллеров домена на глубоком уровне. Рик Вановер (Rick Vanover) рассказывает об особенностях новой функции. Системы Windows Server 2008, на которых установлена роль службы каталогов Active Directory (Active Directory Domain Services), обладают новой функциональностью по сравнению с предыдущими версиями Windows Server.

В некоторых организациях насчитывается множество подразделений, но далеко не все из этих подразделений располагают контроллерами домена для локальной аутентификации. Если в рамках организации используется Windows 2008, эту проблему можно решить с помощью контроллеров домена только для чтения (Read Only Domain Controllers), которые позволяют значительно усовершенствовать процесс аутентификации в среде Active Directory. С выходом Windows 7 у администраторов появятся дополнительные возможности для управления ссылками WAN (см., например, статью: "Кэширование данных филиалов для ускорения обмена файлами в корпоративной сети").