Windows 2000 w istotny sposób zmieni kształt obecnie stosowanych struktur domenowych.

Struktura domenowa, na której opiera działanie system operacyjny Windows NT 4.0, ma wiele ograniczeń, sięgających jeszcze systemu LAN Manager, będącego w znacznym stopniu prekursorem Windows NT. Ograniczenia w zarządzaniu, określaniu praw dostępu dla użytkowników i grup mają być zmniejszone przez nowe usługi katalogowe Active Directory, które są integralną częścią systemu Windows 2000. Chociaż migracja obecnie wykorzystywanych domen do struktury Active Directory nie będzie zadaniem łatwym, to będą musiały ją wykonać wszystkie korporacje liczące na zwiększoną skalowalność, łatwiejsze i tańsze zarządzanie związane z zastosowaniem Windows 2000.

Wstrząśnięta, nie mieszana

Windows 2000 może pracować w dwóch rodzajach domen określanych jako Mixed oraz Native. Pierwszy tryb zapewnia pełną zgodność z kontrolerami domen Windows NT 4.0. którego zaletą jest to, że migrację na nowy system można przeprowadzać stopniowo, nie patrząc na poprawną replikację informacji o bezpieczeństwie w ramach całej domeny. Istotną wadą domeny typu Mixed jest jednak to, że nie przynosi ona żadnych korzyści w odniesieniu do domen Windows NT 4.0 - jest z nimi całkowicie zgodna. Korzyści z migracji są widoczne dopiero po przekształceniu domeny typu Mixed w domenę typu Native. Może to jednak nastąpić dopiero wtedy, gdy wszystkie kontrolery domeny NT 4.0 (zarówno PDC, jak i BDC) zostaną zaktualizowane do Windows 2000. Zamianę typu domeny z Mixed na Native należy przeprowadzić, mając pewność, że poprawnie wykonano wszystkie przygotowania. Krok ten jest bowiem nieodwracalny.

Bez podstawowego kontrolera

Domena pracująca w trybie Native oferuje wiele nowych funkcji wykorzystujących potencjał usług katalogowych Active Directory. Zmienia się przede wszystkim sposób replikowania informacji między kontrolerami domeny. Windows 2000 w takim przypadku nie wykorzystuje już replikacji typu Netlogon, co powoduje, że niemożliwe jest dodanie do takiej domeny kolejnych BDC, pracujących pod kontrolą Windows NT Server 4.0.

Replikacja przeprowadzana jest w trybie multi-master, co oznacza, że wszystkie kontrolery w domenie mają równorzędne funkcje. Zanika więc również potrzeba wyróżniania, który z kontrolerów jest najważniejszy (dotychczas taką rolę pełnił PDC - Primary Domain Controller), które zaś kontrolery przechowują jedynie replikę informacji zawartych na PDC (taką rolę pełniły BDC - Backup Domain Controller). Niemniej w sieci istnieje zawsze jeden kontroler, który nawet w domenie typu Native jest traktowany preferencyjnie. Pełni on funkcję emulatora PDC, dzięki czemu wszelkie zmiany haseł użytkowników dokonywane na innych kontrolerach domeny są replikowane do niego w pierwszej kolejności - dalej replikacja przebiega już standardowo. Funkcjonalność taką osiągnięto poprzez implementację w systemie technologii Flexible Single-Master Operations (FSMO).

Windows 2000 Server po migracji domeny do Native oferuje nie dwa (jak w Windows NT 4.0), ale cztery rodzaje grup bezpieczeństwa. Poza tradycyjnie dostępnymi grupami lokalnymi (Local) i globalnymi (Global) administrator ma także do dyspozycji grupy lokalne domenowe (Domain Local) oraz uniwersalne (Universal). Ich zastosowanie jest ściśle związane ze strukturą usług katalogowych Active Directory.

Active Directory umożliwia bowiem budowanie hierarchicznego modelu domen, w którym poszczególne domeny mogą być zgrupowane w drzewa domenowe (domain tree), a poszczególne drzewa domenowe - w lasy (forest). Nowe grupy Domain Local i Universal umożliwiają łatwiejsze określanie praw dostępu w strukturze hierarchicznej, która dotychczas nie była dostępna w Windows NT 4.0.

Grupy o większych prawach

Nie zmienione pozostaje funkcjonowanie grup lokalnych (ich zasięg ogranicza się do jednego urządzenia) i globalnych (grupy te mogą mieć przydzielane prawa dostępu we wszystkich domenach "ufających", np. podrzędnych). Grupy lokalne domenowe ograniczają się zasięgiem do domeny, w której zostały utworzone (nie mogą mieć żadnych praw w innych domenach). Mogą natomiast zawierać użytkowników z innych lasów Active Directory, a także domen podrzędnych, z którymi ustanowiono relację zaufania.

Grupa uniwersalna może zawierać członków tylko z tego samego lasu, w którym znajduje się domena zawierająca taką grupę. Podobnie jak w przypadku grup globalnych grupa uniwersalna może mieć pełne prawa w innych domenach, jeśli pochodzi ona z "zaufanej" domeny.

Ze względu na dwukrotnie większą liczbę typów grup Windows 2000 udostępnia także bardziej rozbudowane możliwości wzajemnych ich relacji. W domenach NT 4.0 grupy lokalne mogły zawierać grupy globalne. W Windows 2000 liczba tych kombinacji jest znacznie większa.

Za tydzień: jak przygotować się i przeprowadzić migrację domeny Windows NT 4.0 do Windows 2000.