सक्रिय निर्देशिका
सक्रिय निर्देशिका, माइक्रोसॉफ्ट (Microsoft) द्वारा निर्मित एक प्रौद्योगिकी है जो विभिन्न प्रकार की नेटवर्क सेवाएं प्रदान करती है, जिनमें शामिल हैं:
- एलडीएपी (LDAP)-तुल्य[1] निर्देशिका सेवाएं
- केरबेरोस-आधारित प्रमाणीकरण
- डीएनएस (DNS)-आधारित नामकरण और अन्य नेटवर्क सूचना
- प्राधिकरण के नेटवर्क क्रियान्वयन और समर्पण का केन्द्रीय स्थान [2]
- नेटवर्क आधारित संसाधनों में प्रयोक्ता अभिगम की सूचना सुरक्षा और एकल हस्ताक्षर द्वारा प्रवेश [3]
- सरलतापूर्वक बढ़ाने या घटाने की क्षमता [4]
- अनुप्रयोग डाटा का केन्द्रीय भंडारण स्थल [5]
- कई सर्वरों में निर्देशिका के अद्यतन का तुल्यकालन [6]
मुख्य रूप से विन्डोज़ (Windows) वातावरण में प्रयोग के लिए, एक ही डाटाबेस का प्रयोग करके, सक्रिय निर्देशिका व्यवस्थापकों को एक संगठन के नीतियों को निर्दिष्ट करने, सॉफ्टवेयर को कार्यरत करने और महत्वपूर्ण अद्यतन लागू करने की अनुमति भी प्रदान करती है। सक्रिय निर्देशिका एक केन्द्रीय डाटाबेस में सूचना और सेटिंग्स का भंडारण करती है। कुछ कम्प्यूटरों, प्रयोक्ताओं और प्रिंटरों वाले एक लघु अधिष्ठापन से लेकर कई भौगोलिक स्थानों में फैले हज़ारों-लाखों प्रयोक्ताओं, कई अलग-अलग डोमेनों और बड़े-बड़े सर्वर फार्मों तक के सक्रिय निर्देशिका के नेटवर्कों में भिन्नता हो सकती है।
सक्रिय निर्देशिका का पूर्वावलोकन 1999 में किया गया, विन्डोज़ 2000 (Windows 2000) सर्वर के संस्करण के साथ पहली बार जारी किया गया और विन्डोज़ सर्वर 2003 (Windows Server 2003) में इसकी कार्यक्षमता को बढ़ाने और व्यवस्थापन में सुधार लाने के लिए इसे संशोधित किया गया। अतिरिक्त सुधार विन्डोज़ सर्वर 2003 आर2 (Windows Server 2003 R2) में किया गया। सक्रिय निर्देशिका को विन्डोज़ सर्वर 2008 (Windows Server 2008) और विन्डोज़ सर्वर 2008 आर2 (Windows Server 2008 R2) में परिष्कृत किया गया और सक्रिय निर्देशिका डोमेन सेवाओं के रूप में फिर से इसका नामकरण किया गया।
सक्रिय निर्देशिका को पुराने माइक्रोसॉफ्ट (Microsoft) दस्तावेजों में एनटीडीएस (NTDS) (एनटी (NT) निर्देशिका सेवा) कहा जाता था। इस नाम को अभी भी सक्रिय निर्देशिका की कुछ बाइनरियों में देखा जा सकता है।
संरचना
ऑब्जेक्ट्स
जिन सब चीज़ों पर सक्रिय निर्देशिका नज़र रखती हैं उन्हें ऑब्जेक्ट माना जाता है। एक ऑब्जेक्ट सक्रिय निर्देशिका के अंतर्गत नज़र रखा गया कोई प्रयोक्ता, सिस्टम, संसाधन, या सेवा होता है। सामान्य शब्द ऑब्जेक्ट का प्रयोग इसलिए होता है क्योंकि सक्रिय निर्देशिका विभिन्न प्रकार की वस्तुओं पर नज़र रखने में सक्षम है और कई ऑब्जेक्ट सामान्य ऐट्रिब्यूटों को शेयर कर सकती हैं।
सक्रिय निर्देशिका की संरचना, ऑब्जेक्टों की एक पदानुक्रमित रूपरेखा है। इन ऑब्जेक्टों की दो व्यापक श्रेणियां हैं: संसाधन (जैसे, प्रिंटर) और सुरक्षा तथ्य (प्रयोक्ता या कम्प्यूटर खाते और समूह). सुरक्षा तथ्य, सक्रिय निर्देशिका के ऑब्जेक्ट होते हैं जिन्हें सुरक्षा के अभिगमन और स्थापन को नियंत्रित करने के लिए प्रयुक्त अद्वितीय सुरक्षा पहचानकर्ता एसआईडी (SID) का काम सौंपा जाता है।
प्रत्येक ऑब्जेक्ट एक इकाई — चाहे वह एक प्रयोक्ता, एक कम्प्यूटर, एक प्रिंटर, या एक समूह हो — और इसके ऐट्रिब्यूटों का प्रतिनिधित्व करता है। कुछ ऑब्जेक्ट अन्य ऑब्जेक्टों के कंटेनर हो सकते हैं। एक ऑब्जेक्ट को विशिष रूप से उनके नाम से पहचाना जाता है और इसमें ऐट्रिब्यूटों का एक सेट होता है — जो ऐसी विशेषताएं और सूचना हैं जिन्हें ऑब्जेक्ट समाहित कर सकता है — जो एक स्कीमा द्वारा परिभाषित होते हैं जो ऑब्जेक्ट के प्रकार का भी निर्धारण करता है जिन्हें सक्रिय निर्देशिका में संग्रहित किया जा सकता है।
प्रत्येक ऐट्रिब्यूट ऑब्जेक्ट को कई विभिन्न स्कीमा वर्ग ऑब्जेक्ट में प्रयोग किया जा सकता है। स्कीमा ऑब्जेक्ट, स्कीमा को आवश्यकतानुसार विस्तारित होने या संशोधित होने की अनुमति प्रदान करने के लिए होता है। हालांकि, चूंकि प्रत्येक स्कीमा ऑब्जेक्ट, सक्रिय निर्देशिका ऑब्जेक्ट की परिभाषा का अभिन्न अंग है, इसलिए इन ऑब्जेक्टों को निष्क्रिय करना या इनमें परिवर्तन करना गंभीर परिणाम दे सकता है क्योंकि यह मूल रूप से ही सक्रिय निर्देशिका की संरचना में परिवर्तन कर देगा. बदल दिए जाने पर स्कीमा ऑब्जेक्ट अपने आप सक्रिय निर्देशिका के माध्यम से प्रसारित होगा और एक बार जब यह निर्मित हो जाता है तो इसे केवल निष्क्रिय किया जा सकता है — लेकिन इसे हटाया नहीं जा सकता है। स्कीमा को परिवर्तित करने के लिए आम तौर पर एक अच्छी-खासी योजना की आवश्यकता होती है।[2]
साइटें
सक्रिय निर्देशिका में एक साइट ऑब्जेक्ट एक भौतिक भौगोलिक स्थिति का प्रतिनिधित्व करता है जो नेटवर्कों की होस्टिंग करता है। साइटों में उप-नेट नामक ऑब्जेक्ट होते हैं।[3] साइटों को समूह नीति ऑब्जेक्टों को काम सौंपने, संसाधनों की खोज की सुविधा प्रदान करने, सक्रिय निर्देशिका की प्रतिकृति का प्रबंधन करने और नेटवर्क कड़ी यातायात (नेटवर्क लिंक ट्रैफिक) का प्रबंधन करने के लिए प्रयोग किया जा सकता है। साइटों को अन्य साइटों से जोड़ा जा सकता है। साइट से जुड़े ऑब्जेक्टों को एक लागत मूल्य सौंपा जा सकता है जो गति, विश्वसनीयता, उपलब्धता, या भौतिक संसाधन की अन्य वास्तविक संपत्ति को प्रदर्शित करता है। साइट की कड़ियों (साइट लिंक्स) को भी एक कार्यक्रम सौंपा जा सकता है।
वन (फ़ॉरेस्ट), वृक्ष (ट्री) और डोमेन
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
वृक्षों (ट्री) और डोमेन के भीतर हित क्षेत्रों के भौगोलिक संगठन के निर्माण का उदाहरण. |
सक्रिय निर्देशिका रूपरेखा जिसमें ऑब्जेक्ट होते हैं, उन्हें कई स्तरों में देखा जा सकता है। संरचना के शीर्ष पर वन (फ़ॉरेस्ट) होता है। वन प्रत्येक ऑब्जेक्ट, इसके ऐट्रिब्यूटों और सक्रिय निर्देशिका के नियमों (ऐट्रिब्यूट सिन्टैक्स) का एक संग्रह है। वन (फ़ॉरेस्ट), वृक्ष (ट्री) और डोमेन एक सक्रिय निर्देशिका नेटवर्क के तार्किक हिस्से हैं।
सक्रिय निर्देशिका वन (फ़ॉरेस्ट) में एक या एक से अधिक संक्रामक, न्यास से जुड़े वृक्ष (ट्री) होते हैं। एक वृक्ष एक या एक से अधिक डोमेन और डोमेन वृक्ष का संग्रह है जो पुनः एक संक्रामक न्यास पदानुक्रम से जुड़े होते हैं। डोमेनों को उनके डीएनएस (DNS) नाम संरचना, नेमस्पेस (नाम-स्थान) से पहचाना जाता है।
फ़्लैट-फाइल, बनावटी पदानुक्रम
एक डोमेन के अंतर्गत स्थापित ऑब्जेक्टों को कंटेनरों या संग्राहकों में वर्गीकृत कर सकते हैं जिन्हें संगठनात्मक इकाइयां (ओयूएस (OUs)) कहते हैं। ओयूएस (OUs), एक डोमेन को एक पदानुक्रम प्रदान करते हैं, इसके क्रियान्वयन को आसान बना देते हैं और संगठनात्मक या भौगोलिक दृष्टि से संगठन की संरचना की एक सादृश्यता प्रदान कर सकते हैं। ओयूएस (OUs) में ओयूएस (OUs) हो सकते हैं – वास्तव में, इस अर्थ में डोमेन, कंटेनर हैं – और कई एकाधिक समूहीकृत ओयूएस (OUs) रख सकते हैं। माइक्रोसॉफ्ट (Microsoft), नीतियों और क्रियान्वयन की संरचना का निर्माण करने और उनके कार्यान्वयन में सुधार लाने के लिए सक्रिय निर्देशिका में जितना संभव हो उतने ही कुछ डोमेन और ओयूएस (OUs) पर एक निर्भरता की सलाह देते हैं। ओयू (OU) वह सामान्य स्तर है जिस पर समूह नीतियों को लागू किया जाता है जो स्वयं सक्रिय निर्देशिका के ऑब्जेक्ट होते हैं जिन्हें समूह नीति ऑब्जेक्ट्स (जीपीओएस (GPOs)) कहते हैं, यद्यपि नीतियों को डोमेनों और साइटों में भी लागू किया जा सकता है (नीचे देखें). ओयू (OU) वह स्तर है जिस पर आम तौर पर व्यवस्थापनात्मक शक्तियों को सौंपा जाता है लेकिन इसके साथ ही साथ व्यक्तिगत ऑब्जेक्टों या ऐट्रिब्यूटों पर छोटे-छोटे समर्पण का प्रदर्शन भी किया जा सकता है।
हालांकि, संगठनात्मक इकाइयां व्यवस्थापक या प्रशासक के लिए सिर्फ एक पृथक्करण हैं और सटीक कंटेनर के रूप में काम नहीं करते हैं; इसलिए अन्तर्निहित डोमेन इस तरह से संचालन करता है मानो सभी ऑब्जेक्टों को किसी ओयू (OU) के बिना ही एक सरल फ़्लैट-फाइल संरचना में निर्मित किया गया था। उदाहरण के तौर पर, दो अलग ओयूएस (OUs) में एक समान पहचान वाले प्रयोक्ता के दो प्रयोक्ता खातों जैसे "fred.staff-ou.domain" और "fred.student-ou.domain" का निर्माण करना संभव नहीं है।
इसके विपरीत, एलडीएपी (LDAP) और नोवेल ई-डायरेक्टरी सटीक पदानुक्रमित निर्देशिकाएं हैं जो अलग-अलग ओयूएस (OUs) में ऑब्जेक्ट के नाम की आवृत्ति करने की अनुमति प्रदान करती हैं। प्रत्येक प्रयोक्ता अपने सन्दर्भ: "fred.staff-ou" या "fred.student-ou" को निर्दिष्ट करके लॉग इन करता है। जो अपने खाते के सन्दर्भ को याद नहीं रख सकते हैं, ऐसे प्रयोक्ताओं के लिए नोवेल ग्राहक लॉग-इन कार्यक्षमता प्रदान करता है जिसे सन्दर्भ-रहित लॉग-इन[4] के रूप में जाना जाता है जो प्रयोक्ताओं को सभी संभव मिलान या एक-समान प्रयोक्ता-नामों को निर्देशिका संरचना में ढूंढने की अनुमति प्रदान करता है। प्रयोक्ता सन्दर्भ की अवधारणा सक्रिय निर्देशिका में लागू नहीं होती है क्योंकि डोमेन के भीतर प्रयोक्ता-नाम की आवृत्ति प्रथम स्थान में नहीं हो सकती है।
चूंकि एक सक्रिय निर्देशिका डोमेन के अलग-अलग ओयूएस (OUs) के भीतर नकली प्रयोक्ता-नाम उपस्थित नहीं रह सकते हैं, इसलिए अद्वितीय खाता नाम की उत्पत्ति हज़ारों-लाखों प्रयोक्ताओं वाले संगठनों के लिए एक महत्वपूर्ण चुनौती खड़ी कर देती है जिन्हें अलग-अलग डोमेनों में सरलतापूर्वक उप-वर्गीकृत नहीं किया जा सकता है, जैसे - एक पब्लिक स्कूल सिस्टम या विश्वविद्यालय के छात्र, जिन्हें पूरे जिला भवनों या परिसर नेटवर्क में किसी भी कम्प्यूटर में लॉग-इन करने में सक्षम होना चाहिए.
जब एक डोमेन में प्रयोक्ताओं की संख्या बढ़ती है तो सरल प्रयोक्ता-नाम के निर्माण की विधियां जैसे "प्रथम आद्याक्षर, मध्य आद्याक्षर, अंतिम नाम" बेकार हो जाएगा क्योंकि उसमें बहुत सारे एक जैसे नाम आ जाते हैं जैसे सामूहिक जन में स्मिथ या जॉन्सन जिसके परिणामस्वरूप आवृत्तियां या नकली नाम आ जाते हैं जैसे दो जे. ए. स्मिथ जिसके लिए इन दो लोगों में से एक की पहचान को अलग करने के लिए इसके अंत में एक संख्या (जे. ए. स्मिथ1) जोड़ना पड़ जाता है। बढ़ रहे कई प्रयोक्ताओं और नाम की आवृत्तियों के किसी विधि़ पर, नेटवर्क आईटी (IT) कर्मचारी निजी तौर पर स्मरणयोग्य प्रयोक्ता-नामों को बनाने का प्रयास बंद कर सकते हैं और प्रयोक्ता-नाम सरलतापूर्वक 5 से 10 अंक लम्बी एक अनुक्रमिक संख्या बन जाता है जो एक ही डोमेन के भीतर पर्याप्त नामकरण विशिष्टता प्रदान करता है।
प्रदर्शन को बेहतर बनाने के लिए संरचनात्मक विभाजन
सक्रिय निर्देशिका साइटों के निर्माण का भी समर्थन करती है, जो तार्किक होने के बजाय भौतिक समूह होते हैं जो एक या एक से अधिक आईपी (IP) सब-नेटों द्वारा परिभाषित होते हैं। साइट, निम्न-गति (जैसे वैन (WAN), वीपीएन (VPN)) और उच्च-गति (जैसे लैन (LAN)) कनेक्शनों से जुड़े स्थानों के मध्य अंतर स्थापित करते हैं। साइट, डोमेन और ओयू (OU) संरचना से अलग होते हैं और सम्पूर्ण वन (फ़ॉरेस्ट) में एक जैसे होते हैं। साइटों को प्रतिकृति द्वारा उत्पन्न नेटवर्क यातायात को नियंत्रित करने के लिए और निकटतम डोमेन नियंत्रकों के ग्राहकों को संदर्भित करने के लिए भी प्रयोग किया जाता है। एक्सचेंज 2007 भी मेल अनुमार्गन के लिए साइट सांस्थिति का प्रयोग करता है। नीतियों को भी साइट के स्तर पर लागू किया जा सकता है।
एक या एक से अधिक डोमेन और शीर्ष-स्तरीय ओयूएस (OUs) के एक पदानुक्रम में संगठन के सूचना अवसंरचना का वास्तविक विभाजन एक महत्वपूर्ण निर्णय है। सामान्य मॉडल व्यावसायिक इकाई द्वारा, भौगोलिक स्थान द्वारा, IT सेवा द्वारा, या ऑब्जेक्ट प्रकार द्वारा होते हैं। इन मॉडलों को अक्सर संयोजन में भी प्रयोग किया जाता है। ओयूएस (OUs) को पहले क्रियान्वयनिक समर्पण को सुविधाजनक बनाने के लिए और उसके बाद समूह नीति के अनुप्रयोग को सुविधाजनक बनाने के लिए संरचित किया जाना चाहिए. यद्यपि ओयूएस (OUs) एक क्रियान्वयनिक सीमा का निर्माण करता है, लेकिन एकमात्र सटीक सुरक्षा सीमा स्वयं वन है और वन में किसी भी डोमेन के एक व्यवस्थापक को वन में सम्पूर्ण सभी डोमेनों में न्यास किया जाना चाहिए.
भौतिक दृष्टि से सक्रिय निर्देशिका सूचना, एनटी (NT) पीडीसी (PDC)/बीडीसी (BDC) मॉडल की जगह एक या एक से अधिक समान सहकर्मी डोमेन नियंत्रकों (डीसीएस (DCs)) पर स्थित होती है। प्रत्येक डीसी (DC) में सक्रिय निर्देशिका की एक प्रति होती है; जो बहु-विशारद प्रतिकृति द्वारा सभी डीसी (DC) कम्प्यूटरों के मध्य संकालित (अभिसरित) होकर एक कम्प्यूटर पर परिवर्तित हो जाती है। जो सर्वर सक्रिय निर्देशिका में शामिल होते हैं जो डोमेन नियंत्रक नहीं हैं, उन सर्वरों को सदस्य सर्वर कहते हैं।
सक्रिय निर्देशिका का डाटाबेस विभिन्न भंडार-गृहों या विभाजनों में विभक्त होता है। माइक्रोसॉफ्ट (Microsoft) अक्सर इन विभाजनों को "नामकरण वाले सन्दर्भों" के रूप में सदर्भित करता हैं। 'स्कीमा' विभाजनों में वन के भीतर के ऑब्जेक्ट वर्गों और ऐट्रिब्यूटों की परिभाषा होती है। 'विन्यास' विभाजन में वन की भौतिक संरचना और विन्यास की सूचना होती है (जैसे साइट सांस्थिति). 'डोमेन' विभाजन में उस डोमेन में निर्मित सभी ऑब्जेक्ट स्थित होते हैं। प्रथम दो विभाजन वन (फ़ॉरेस्ट) में सभी डोमेन नियंत्रकों की आवृत्ति करते हैं। डोमेन विभाजन केवल डोमेन नियंत्रकों को इसके डोमेनों में आवृत्ति करता है। डोमेन विभाजन में ऑब्जेक्टों के एक सब-सेट की भी डोमेन नियंत्रकों में आवृत्ति की जाती है जो वैश्विक सूची के रूप में विन्यस्त होते हैं।
विन्डोज़ (Windows) के उन संस्करणों से अलग जो संवाद करने के लिए नेटबायोस (NetBIOS) का इस्तेमाल करते थे, सक्रिय निर्देशिका पूरी तरह से डीएनएस (DNS) और टीसीपी (TCP)/आईपी (IP) के साथ एकीकृत होती है — वास्तव में डीएनएस (DNS) आवश्यक है। पूरी तरह से क्रियाशील होने के लिए डीएनएस (DNS) सर्वर एसआरवी (SRV) संसाधन रिकॉर्ड या सेवा रिकॉर्ड का अवश्य समर्थन करना चाहिए.
सक्रिय निर्देशिका की प्रतिकृति 'पुश' की अपेक्षा 'पुल' है। ज्ञान स्थिरता परीक्षक (केसीसी (KCC)) यातायात का प्रबंधन करने के लिए परिभाषित साइटों का उपयोग करके साइट कड़ियों की एक प्रतिकृति सांस्थिति का निर्माण करता है। इंट्रासाइट प्रतिकृति, परिवर्तन अधिसूचना के परिणामस्वरूप नियमित और स्वचालित होती है जो सहकर्मियों को एक पुल प्रतिकृति चक्र शुरू करने के लिए उकसाती है। इंटरसाइट प्रतिकृति अंतराल, अपेक्षाकृत कम नियमित होते हैं और डिफ़ॉल्ट रूप में परिवर्तन अधिसूचना का प्रयोग नहीं करते हैं, यद्यपि यह विन्यास योग्य है और इसे इंट्रासाइट प्रतिकृति के समान बना सकते हैं। प्रत्येक कड़ी (जैसे - डीएस3 (DS3), टी1 (T1), आइएसडीएन (ISDN) इत्यादि) को एक अलग 'लागत' दे सकते हैं और साइट कड़ी की सांस्थिति को केसीसी (KCC) द्वारा तदनुसार बदला जा सकता है। यदि लागत कम हो तो एक समान प्रोटोकॉल वाले साइट कड़ी पुलों पर कई साइट कड़ियों के माध्यम से संक्रामक रूप से डोमेन नियंत्रकों के मध्य प्रतिकृति हो सकती है, यद्यपि केसीसी (KCC) अपने आप ही संक्रामक कनेक्शनों से कम प्रत्यक्ष साइट-दर-साइट कड़ी की लागत निर्धारित कर सकता है। प्रत्येक साइट में एक ब्रिजहेड सर्वर के मध्य स्थापित करने के लिए साइट-दर-साइट प्रतिकृति को विन्यस्त किया जा सकता है, जो उसके बाद साइट के भीतर अन्य डीसीएस (DCs) में परिवर्तन की आवृत्ति करती है।
बहु-डोमेन वन (फ़ॉरेस्ट) में सक्रिय निर्देशिका डाटाबेस विभाजित हो जाती है। अर्थात्, प्रत्येक डोमेन केवल उन्हीं ऑब्जेक्टों की सूची का अनुरक्षण करता है जो उस डोमेन से सम्बन्ध रखते हो. इसलिए, उदाहरण के तौर पर, डोमेन ए में निर्मित एक प्रयोक्ता को केवल डोमेन ए के डोमेन नियंत्रकों में ही सूचीबद्ध किया जाएगा. वैश्विक सूची (जीसी (GC)) सर्वरों को वन (फ़ॉरेस्ट) में सभी ऑब्जेक्टों की एक वैश्विक सूची प्रदान करने के लिए प्रयोग किया जाता है। वैश्विक सूची, वैश्विक सूची सर्वरों के रूप में विन्यस्त डोमेन नियंत्रकों में स्थापित होते हैं। वैश्विक सूची सर्वर, सभी डोमेनों के सभी ऑब्जेक्टों को स्वयं प्रतिकृत करते हैं और इस तरह वन के ऑब्जेक्टों की एक वैश्विक सूची प्रदान करते हैं। हालांकि, प्रतिकृति यातायात को कम करने और जीसी (GC) के डाटाबेस को छोटा रखने के उद्देश्य से प्रत्येक ऑब्जेक्ट के केवल चयनित ऐट्रिब्यूटों को प्रतिकृत किया जाता है। इसे आंशिक ऐट्रिब्यूट सेट (पीएएस (PAS)) कहते हैं। पीएएस (PAS) को स्कीमा को संशोधित करके और जीसी (GC) की प्रतिकृति के ऐट्रिब्यूटों को अंकित करके संशोधित कर सकते हैं।
सक्रिय निर्देशिका की प्रतिकृति दूरस्थ प्रक्रिया कॉल (IP (आईपी) पर आरपीसी (RPC) [आरपीसी (RPC)/IP (आईपी)]) का उपयोग करती है। साइटों के बीच आप प्रतिकृति के लिए एसएमटीपी (SMTP) को प्रयुक्त करने का, लेकिन केवल स्कीमा या विन्यास में परिवर्तन के लिए, चयन भी कर सकते हैं। डोमेन विभाजन को प्रतिकृत करने के लिए एसएमटीपी (SMTP) का प्रयोग नहीं किया जा सकता है। दूसरे शब्दों में, यदि एक डोमेन एक वैन (WAN) कनेक्शन के दोनों ओर मौजूद है, तो आपको पुनरावृत्ति के लिए आरपीसी (RPC) का ही प्रयोग करना चाहिए.
विन्डोज़ 2000 (Windows 2000) सर्वर में, सक्रिय निर्देशिका डाटाबेस, डायरेक्टरी स्टोर जेट (JET) ब्लू-आधारित एक्स्टेंसिबल स्टोरेज इंजन (ईएसई98 (ESE98)) का प्रयोग करता है जो डोमेन नियंत्रक के प्रत्येक डाटाबेस में 16 टेराबाइट और 1 बिलियन ऑब्जेक्ट तक सीमित होता है। माइक्रोसॉफ्ट (Microsoft) ने 2 बिलियन से भी अधिक ऑब्जेक्ट युक्त एनटीडीएस (एनटीडीएस (NTDS)) डाटाबेसों का निर्माण किया है।[] एनटी4 (NT4) का सुरक्षा खाता प्रबंधक 40,000 से अधिक ऑब्जेक्टों का समर्थन नहीं कर सकता). जिसे एनटीडीएस.डीआईटी (NTDS.DIT) कहते हैं उनमें दो तालिकाएं: डाटा तालिका और कड़ी तालिका हैं। सुरक्षा विवरणक एकल दृष्टान्त के लिए विन्डोज़ सर्वर 2003 (Windows Server 2003) में एक तीसरी मुख्य तालिका को जोड़ा गया।[5]
एक्सचेंज जैसे एक संगठन में कई विन्डोज़ (Windows) सेवाओं के लिए सक्रिय निर्देशिका एक आवश्यक घटक है।
एफएसएमओ (FSMO) की भूमिकाएं
नम्य एकल विशारद संचालन (एफएसएमओ (FSMO), कभी-कभी "फ़िज़-मो" के रूप में उच्चारित) की भूमिकाओं को संचालन विशारद भूमिकाओं के रूप में भी जाना जाता है। यद्यपि एडी (AD) डोमेन नियंत्रक एक बहु-विशारद मॉडल में संचालन करते हैं, अर्थात् अद्यतन बहु स्थानों में तुरंत हो सकता है, ऐसे कई भूमिकाएं हैं जो आवश्यक रूप से एकल दृष्टान्त हैं:
भूमिका का नाम | क्षेत्र | वर्णन |
---|---|---|
स्कीमा विशारद | 1 प्रति वन | सक्रिय निर्देशिका स्कीमा में अद्यतनों/संशोधनों को नियंत्रित और संभालने का कार्य करता है। |
डोमेन नामकरण विशारद | 1 प्रति वन | यदि मूल डोमेन में उपस्थित हो तो वन से डोमेन के योग और वियोग को नियंत्रित करता है। |
पीडीसी (PDC) इम्युलेटर | 1 प्रति डोमेन | पीडीसी (PDC) कार्यों (जैसे पासवर्ड परिवर्तन) के लिए एनटी4 (NT4) ग्राहकों के लिए पश्चवर्ती संगतता प्रदान करता है। पीडीसी (PDC), डोमेन विशिष्ट प्रक्रिया जैसे सुरक्षा विवरणक प्रचारक (एसडीपीआरओपी (SDPROP)) को भी चलाने का कार्य करता है और यह डोमेन के भीतर विशारद टाइम सर्वर है। |
आरआईडी (RID) विशारद | 1 प्रति डोमेन | ऑब्जेक्टों के निर्माण के समय प्रयोग के लिए डोमेन नियंत्रकों को अद्वितीय पहचानकर्ता के पूल का आवंटन करता है। |
अवसंरचना विशारद | 1 प्रति डोमेन/विभाजन | क्रॉस-डोमेन समूह सदस्यता परिवर्तनों का संकालन करता है। अवसंरचना विशारद, एक वैश्विक सूची सर्वर (जीसीएस (GCS)) पर चालू नहीं हो सकता है (जब तक सभी डीसीएस (DCs) जीसीएस (GCs) न भी हों.) |
न्यास
एक डोमेन के प्रयोक्ताओं को दूसरे डोमेन के संसाधनों में अभिगमन की अनुमति प्रदान करने के लिए सक्रिय निर्देशिका न्यासों का प्रयोग करती है। एक वन (फ़ॉरेस्ट) के भीतर न्यासों का निर्माण अपने आप हो जाता है जब डोमेन का निर्माण होता है। वन, न्यास की, न कि डोमेन की, डिफ़ॉल्ट सीमाओं का निर्धारण करता है और अस्पष्ट, संक्रामक न्यास एक वन के भीटर सभी डोमेनों के लिए अपने आप हो जाता है। दो-तरफ़ा संक्रामक ट्रस्ट के साथ-साथ, एडी (AD) न्यास लघु-पथ (अलग-अलग वृक्ष, संक्रामक, एक- या दो-तरफ़ा में दो डोमेनों को जोड़ता है), वन (संक्रामक, एक- या दो-तरफ़ा), रियल्म (संक्रामक या गैर-संक्रामक, एक- या दो-तरफ़ा), या अन्य वनों या गैर-एडी (AD) डोमेनों से कनेक्ट करने के लिए एक्सटर्नल (गैर-संक्रामक, एक- या दो-तरफ़ा) हो सकते हैं।
विन्डोज़ 2000 (Windows 2000) में न्यास (मूल विधि)
- एक-तरफ़ा न्यास – एक डोमेन प्रयोक्ताओं को दूसरे डोमेन में अभिगमन की अनुमति प्रदान करता है, लेकिन अन्य डोमेन प्रयोक्ताओं को पहले डोमेन में अभिगमन की अनुमति प्रदान नहीं करता है।
- दो-तरफ़ा न्यास – दो डोमेन प्रयोक्ताओं को दोनों डोमेनों में अभिगमन की अनुमति प्रदान करते हैं।
- न्यासी डोमेन – वह डोमेन जो एक न्यासी डोमेन से प्रयोक्ताओं को अभिगमन की अनुमति प्रदान करता है।
- न्यासीय डोमेन – वह डोमेन जो न्यासीय होता है; जिसके प्रयोक्ताओं को न्यासी डोमेन में अभिगमन का अधिकार होता है।
- संक्रामक न्यास – एक न्यास जो दो डोमेनों के बाहर वृक्ष में अन्य न्यासीय डोमेनों में फ़ैल सकता है।
- अकर्मक न्यास – एक तरफ़ा न्यास जो दो डोमेनों के बाहर नहीं फ़ैल सकते हैं।
- स्पष्ट न्यास – एक न्यास जिसे एक व्यवस्थापक निर्मित करता है। यह संक्रामक नहीं बल्कि केवल एक तरफ़ा होता है।
- क्रॉस-कड़ी न्यास – अलग-अलग वृक्ष या एक ही वृक्ष के डोमेनों के मध्य एक स्पष्ट न्यास जब दो डोमेनों के मध्य एक वंशज/पूर्वज (संतान/जनक) सम्बन्ध कायम नहीं रहता है।
विन्डोज़ सर्वर 2010 (Windows Server 2010) – निम्नलिखित प्रकार के न्यासों का समर्थन करता है:
- दो-तरफ़ा संक्रामक न्यास.
- एक-तरफ़ा अकर्मक न्यास.
अतिरिक्त न्यासों को व्यवस्थापकों द्वारा निर्मित किया जा सकता है। ये न्यास हो सकते हैं:
- लघु-पथ:
विन्डोज़ सर्वर 2003 (Windows Server 2003), एक नए प्रकार के न्यास – वन मूल न्यास प्रस्तुत करता है। इस प्रकार के न्यास को विन्डोज़ सर्वर 2003 (Windows Server 2003) के वनों से संयोजन स्थापित करने के लिए प्रयोग किया जा सकता है यदि उन्हें 2003 वन कार्यात्मक स्तर पर संचालित किया जा रहा हो. इस प्रकार के सम्पूर्ण न्यास में प्रमाणीकरण (एनटीएलएम (NTLM) के विपरीत) केरबेरोस आधारित होता है। वन न्यास, वन के सभी डोमेनों के लिए संक्रामक भी होते हैं जो न्यासीय होते हैं।
एडीएएम (ADAM)/एडी एलडीएस (AD LDS)
सक्रिय निर्देशिका अनुप्रयोग विधि (एडीएएम (ADAM)), सक्रिय निर्देशिका का एक हल्का-फुल्का कार्यान्वयन है। एडीएएम (ADAM), माइक्रोसॉफ्ट (Microsoft) विन्डोज़ सर्वर 2003 (Windows Server 2003) या विन्डोज़ XP प्रोफ़ेशनल (Windows XP Professional) को चलाकर कम्प्यूटरों पर एक सेवा के रूप में चालू रहने में सक्षम है। एडीएएम (ADAM), सक्रिय निर्देशिका के साथ कोड बेस को शेयर करता है और एक समान लगने वाले एपीआई (API) सहित, सक्रिय निर्देशिका के रूप में एक ही कार्यात्मकता प्रदान करता है लेकिन डोमेनों या डोमेन नियंत्रकों के सृजन की आवश्यकता नहीं पड़ती है।
सक्रिय निर्देशिका की तरह, एडीएएम (ADAM) एक डाटा स्टोर प्रदान करता है, जो निर्देशिका डाटा, एक एलडीएपी (LDAP) निर्देशिका सेवा अंतराफलक युक्त एक निर्देशिका सेवा के भंडारण के लिए एक पदानुक्रमित डाटास्टोर है। सक्रिय निर्देशिका के विपरीत, तथापि, एडीएएम (ADAM) के एकाधिक दृष्टान्त एक ही सर्वर पर चालू रह सकते हैं जिसके प्रत्येक दृष्टान्त अनुप्रयोगों के आधार पर अपना स्वयं का और आवश्यक एडीएएम (ADAM) निर्देशिका सेवा प्रयोग करता है।
विन्डोज़ सर्वर 2008 (Windows Server 2008) में, एडीएएम (ADAM) को फिर से एडी एलडीएस (AD LDS) (हल्की-फुल्की निर्देशिका सेवा) नाम दिया गया है।[6]
सक्रिय निर्देशिका में यूनिक्स का एकीकरण
सक्रिय निर्देशिका के साथ अंतरसंचालनीयता के परिवर्तनीय स्तर को सर्वाधिक यूनिक्स-तुल्य ऑपरेटिंग सिस्टम पर मानक अनुपालक एलडीएपी (LDAP) ग्राहकों के माध्यम से प्राप्त किया जा सकता है, लेकिन इन सिस्टमों में आम तौर पर विन्डोज़ (Windows) घटकों, जैसे समूह नीति और एक-तरफ़ा न्यासों से जुड़े कई ऐट्रिब्यूटों के स्वचालित व्याख्या का अभाव होता है।
कुछ ऐसे भी तृतीय पक्ष विक्रेता होते हैं जो यूनिक्स प्लेटफार्मों (यूनिक्स (UNIX), लिनक्स (Linux), मैक ओएस एक्स (Mac OS X) और कई जावा (Java)- और यूनिक्स (UNIX)-आधारित अनुप्रयोगों सहित) के लिए सक्रिय निर्देशिका एकीकरण प्रस्तुत करते हैं। इनमें से कुछ विक्रेताओं में सेंट्रिफाई (डायरेक्ट कंट्रोल), कम्प्यूटर एसोसिएट्स (यूएनएबी (UNAB)), लाइकवाइज़ सॉफ्टवेयर (ओपन या एंटरप्राइज़), क्वेस्ट सॉफ्टवेयर (प्रमाणीकरण सेवा) और थर्सबी सॉफ्टवेयर सिस्टम्स (एडीमिटमैक (ADmitMac)) शामिल हैं। मुक्त स्रोत साम्बा सॉफ्टवेयर, सक्रिय निर्देशिका के साथ अंतराफलक के लिए और प्रमाणीकरण एवं प्राधिकरण प्रदान करने के लिए एडी (AD) डोमेन को जोड़ने के लिए एक मार्ग प्रदान करता है: संस्करण 4 (अल्फा अक्टूबर 2009 के अनुसार [update] में) एक सहकर्मी सक्रिय निर्देशिका डोमेन नियंत्रक के रूप में कार्य कर सकता है।[7]. माइक्रोसॉफ्ट (Microsoft) भी अपने मुफ्त यूनिक्स (UNIX) उत्पाद माइक्रोसॉफ्ट विन्डोज़ सेवा (Microsoft Windows Services) के साथ इस बाज़ार में मौजूद है।
विन्डोज़ सर्वर 2003 आर2 (Windows Server 2003 R2) के साथ नौवहन किए गए स्कीमा परिग्रहीतियों में वे ऐट्रिब्यूट शामिल हैं जो काफी बारीकी से आरएफसी 2307 (RFC 2307) को आम तौर पर प्रयोजनीय बनाने के लिए नक्शा तैयार करते हैं। PADL.com द्वारा प्रदत्त आरएफसी 2307 (RFC 2307), nss_ldap और pam_ldap के सन्दर्भ कार्यान्वयन में इन ऐट्रिब्यूटों को प्रत्यक्ष रूप से प्रयोग करने के लिए समर्थन शामिल होते हैं, बशर्ते उनकी संख्या ज्ञात हो. समूह सदस्यता का डिफ़ॉल्ट सक्रिय निर्देशिका स्कीमा प्रस्तावित एक्सटेंशन, आरएफसी 2307 (RFC 2307)bis का अनुपालन करता है। विन्डोज़ सर्वर 2003 आर2 (Windows Server 2003 R2) में एक माइक्रोसॉफ्ट (Microsoft) प्रबंधन कंसोल स्नैप-इन शामिल होता है जो ऐट्रिब्यूटों का निर्माण और संपादन करता है।
एक वैकल्पिक विकल्प के रूप में एक दूसरी निर्देशिका सेवा जैसे 389 डायरेक्टरी सर्वर (पहले फेडोरा डायरेक्टरी सर्वर) या सन माइक्रोसिस्टम्स (Sun Microsystems) के सन जावा सिस्टम डायरेक्टरी सर्वर (Sun Java System Directory Server) का प्रयोग किया जा सकता है जो सक्रिय निर्देशिका के साथ एक दो-तरफ़ा तुल्यकालन का प्रयोग कर सकते हैं और इस तरह सक्रिय निर्देशिका के साथ एक "विक्षेपित" एकीकरण प्रदान करते हैं क्योंकि यूनिक्स और लिनक्स (Linux) विक्रेता एफडीएस (FDS) को प्रमाणित करेंगे और विन्डोज़ (Windows) ग्राहक सक्रिय निर्देशिका को प्रमाणित करेंगे. एक दूसरे विकल्प के रूप में ओपन एलडीएपी (LDAP) को उनके पारभासी उपरिशायी के साथ प्रयोग में ला सकते हैं जो एक स्थानीय डाटाबेस में संग्रहीत अतिरिक्त ऐट्रिब्यूट युक्त किसी भी दूरस्थ एलडीएपी (LDAP) सर्वर में प्रविष्टियों का विस्तार कर सकते हैं। स्थानीय डाटाबेस में अंकित ग्राहक दूरस्थ और स्थानीय दोनों ऐट्रिब्यूट युक्त प्रविष्टियों को देखेंगे जबकि दूरस्थ डाटाबेस पूरी तरह अछूता रहता है।
अन्य निर्देशिकाओं के साथ प्रतिस्थापन
ग्राहक विन्डोज़ (Windows) कम्प्यूटरों पर रोमिंग प्रयोक्ता प्रोफ़ाइल को कार्यान्वित करने के लिए सक्रिय निर्देशिका और विन्डोज़ (Windows)-आधारित फ़ाइल सर्वर की आवश्यकता नहीं है। उदाहरण के लिए, निर्देशिका को पूरी तरह से प्रतिस्पर्धी उत्पादों जैसे नोवेल ई-डायरेक्टरी द्वारा प्रतिस्थापित किया जा सकता है। अपने ज़ेनवर्क्स (ZENworks) डेस्कटॉप मैनेजमेंट सॉफ्टवेयर पैकेज युक्त विन्डोज़ 2000 (Windows 2000) और विन्डोज़ XP (Windows XP) के साथ शुरू होने के बाद से नोवेल (Novell) ने रोमिंग प्रोफ़ाइलों का समर्थन किया है जो दूरस्थ अवलोकन/नियंत्रण, दूरस्थ अनुप्रयोग अधिष्ठापन और अधिष्ठापित हार्डवेयर एवं सॉफ्टवेयर की वस्तु-सूची का निर्माण कार्य स्थल प्रबंधन विशेषताओं को प्रदान करने के अलावा समूह नीति ऑब्जेक्टों का समर्थन भी करता है। नोवेल ग्राहक (Novell client) के अधिष्ठापित होने के साथ रोमिंग प्रोफ़ाइल डाटा को भी नेटवेयर कोर प्रोटोकॉल का उपयोग करके एक नेटवेयर फ़ाइल सर्वर में संग्रहीत किया जा सकता है, यद्यपि नोवेल सर्वर विन्डोज़ (Windows) शेयरों के निर्माण की अनुमति भी प्रदान करता है।
गैर-माइक्रोसॉफ्ट (Microsoft) निर्देशिकाओं का प्रयोग करने के समय संचालन में कुछ भिन्नताएं होती हैं:
- नोवेल विभिन्न संगठनात्मक इकाइयों के भीतर नकली प्रयोक्ता-नामों की अनुमति प्रदान करता है जिसे सक्रिय निर्देशिका समर्थन नहीं करती है।
- जिस प्रकार माइक्रोसॉफ्ट XP (Microsoft XP) और विस्टा (Vista) प्रोफ़ाइलों के लिए अलग भंडारण का उपयोग करता है, ठीक उसी प्रकार नोवेल भी विन्डोज़ 2000 (Windows 2000) और विन्डोज़ XP (Windows XP) प्रयोक्ता प्रोफ़ाइलों को अलग-अलग प्रोफाइलों में संग्रहीत करता है।
- ऑफ़लाइन फोल्डरों के लिए एनसीपी (NCP) का प्रयोग करना संभव नहीं है।
- एक विन्डोज़ (Windows) ग्राहक सामान्य रूप से लॉग-इन के दौरान प्रोफ़ाइल स्वामित्व के लिए रोमिंग प्रयोक्ता के एसआईडी (SID) की जांच करता है लेकिन इसे अन्य निर्देशिकाओं के साथ कार्य करने के लिए निष्क्रिय किया जा सकता है।
इन्हें भी देखें
- फ्रीआईपीए (FreeIPA)
- सक्रिय निर्देशिका एक्सप्लोरर
- निर्देशिका सेवा पुनःस्थापन विधि
- नम्य एकल विशारद संचालन
- एलडीएपी (LDAP) सॉफ्टवेयर की सूची
- एजीडीएलपी (AGDLP) (नेस्टेड समूहों का उपयोग करके भूमिका आधारित अभिगम नियंत्रण का कार्यान्वयन)
- माईलॉगऑन (Mylogon) - छोटे साइटों के लिए एक सक्रिय निर्देशिका का एक कम जटिल विकल्प.
टिप्पणी
- ↑ "एडीएएम (ADAM) बनाम एलडीएपी (LDAP)" (PDF). मूल (PDF) से 29 अक्तूबर 2008 को पुरालेखित. अभिगमन तिथि 11 जून 2010.
- ↑ Windows Server 2003: Active Directory Infrastructure. Microsoft Press. 2003. पपृ॰ 1–8 – 1–9. आई॰ऍस॰बी॰ऍन॰ 0-7356-1438-5.
- ↑ ""Managing Sites"". "Microsoft TechNet". मूल से 27 जुलाई 2010 को पुरालेखित. अभिगमन तिथि 11 जून 2010.
- ↑ नोवेल: संदर्भ से वस्तुओं का निष्कासन: एलडीएपी (LDAP) अपने नेटवर्क में संदर्भरहित लॉग-इन का प्रयोग, 01 सितम्बर 2003 [1] Archived 2010-06-07 at the वेबैक मशीन
- ↑ वृहद् AD डाटाबेस? Archived 2009-08-17 at the वेबैक मशीनशायद इतना बृहद नहीं... Archived 2009-08-17 at the वेबैक मशीन
- ↑ "AD LDS". Microsoft. मूल से 3 जून 2010 को पुरालेखित. अभिगमन तिथि 2009-04-28.
- ↑ ""The great DRS success!"". SambaPeople. SAMBA Project. 2009-10-05. मूल से 13 अक्तूबर 2009 को पुरालेखित. अभिगमन तिथि 2009-11-02.