Rozszerzone funkcje usług katalogowych

Większa funkcjonalność w zakresie Active Directory ma zapewnić większą elastyczność w tworzeniu aplikacji korzystających z różnych zasobów systemowych.

Aplikacje zaprojektowane do współpracy z klastrami i Active Directory mogą korzystać z odpowiednio zdefiniowanego obiektu w usłudze Active Directory do kojarzenia swoich informacji konfiguracyjnych. Windows .Net Server umożliwia aktualizację konta klastra w trakcie, gdy usługa klastrowania jest aktywna. Administratorzy mogą za pomocą tej funkcji zmieniać hasła na węzłach bez potrzeby ponownego uruchamiania serwera.

Udoskonalenie w interfejsie użytkownika dotyczące selektora obiektów Active Directory pozwala na szybkie odnajdowanie obiektów należących do katalogów oraz zmniejszenie wpływu usługi katalogowej na wydajność sieci. Uelastyczniono system zapytań przy wyszukiwaniu obiektów w katalogu na podstawie ich atrybutów.

System ma również możliwość wyłączenia kompresji ruchu replikacyjnego pomiędzy kontrolerami domeny, co pozwala na zmniejszenie ich obciążenia. Administrator systemu może zdecydować o zmniejszeniu obciążenia kosztem zwiększenia ruchu replikacyjnego pomiędzy kontrolerami domeny.

Z kolei funkcja zmiany nazwy domeny obsługuje zmianę nazw DNS istniejących domen zlokalizowanych w zbiorze drzew katalogowych (tzw. drzewostanie - forest), bez naruszania struktury zbioru. Tożsamość domeny o zmienionej nazwie (globalny identyfikator - GUID i identyfikator zabezpieczeń - SID) nie ulega zmianie. Również przynależność komputerów w domenie nie zmienia się w wyniku zmiany nazwy domeny.

Z funkcji tej można korzystać np. przy zmianie nazwy przedsiębiorstwa - w takim przypadku dla zachowania spójności zmianie powinna też ulec nazwa drzewostanu Active Directory tego przedsiębiorstwa. W poprzednich wydaniach jedynym sposobem było utworzenie nowego zbioru drzew i nadanie mu nowej nazwy, dokonanie migracji wszystkich użytkowników i zasobów do nowego zbioru, a następnie zlikwidowanie starego. Funkcja zmiany nazwy domeny pozwala osiągnąć ten sam efekt przez zmianę jedynie nazwy drzewostanu.

System zawiera nowy kreator relacji zaufania umożliwiający tworzenie obustronnych łączy zaufania za pomocą jednej operacji. Funkcja ta odnosi się do serwerów działających pod kontrolą systemów Windows 2000 i Windows .Net Server i jest przeznaczona do tworzenia zewnętrznych lub znajdujących się wewnątrz drzewostanu łączy zaufania. Umożliwia ona rozmieszczanie zbiorów drzew zasobów w sposób podobny do domen zasobów systemu Windows NT 4.0 oraz tworzenie drzewostanów aplikacji i ustanawianie relacji zaufania wychodzącej z takiego drzewostanu do innego, stosownego zbioru.

Mechanizm o nazwie cross-forest trust pozwala użytkownikom łączyć szereg zbiorów drzew katalogowych. Organizacje mogą używać takich drzewostanów do tworzenia "przegród bezpieczeństwa" - pomiędzy jednostkami biznesowymi czy intrasieciami i ekstranetami - pozwalających jednak użytkownikom rejestrować się w jednym drzewostanie i uzyskiwać zatwierdzenie dostępu do zasobów w innym. Sfederowanie wielu drzewostanów może także ułatwić fuzje i przejęcia, w których firmy nie chcą tworzyć całkiem nowych katalogów.

Gdy dwa lata temu Microsoft po raz pierwszy wprowadził Active Directory, zalecał użytkownikom, aby nie wdrażali struktur z wieloma drzewostanami, ponieważ były one skomplikowane w administrowaniu, a narzędzia niwelujące ich złożoność nie były dostępne. I chociaż firma jest przygotowana do zapewnienia nowych narzędzi łączących szereg implementacji Active Directory, to nadal rekomenduje niestosowanie tej praktyki, ponieważ może ona prowadzić do tworzenia złożonych administracyjnie struktur.

Z drugiej jednak strony w ubiegłym roku Microsoft oświadczył, że domeny katalogowe nie mogą być uważane za jednostki bezpieczne w ramach drzewostanu. Domeny nie stanowią bezpiecznych granic, ponieważ fizyczny dostęp do maszyny, na której pracuje Active Directory, pozwala - teoretycznie - na przejęcie kontroli nad taką maszyną, a następnie na wprowadzenie do niej odpowiedniego programu i narażenie bezpieczeństwa wszystkich domen.

Z uwagi na ten fakt część menedżerów sieci, którzy wcześniej opowiadali się za ustanowieniem granic bezpieczeństwa w ramach domen - ze względu na to, że pojedynczy drzewostan jest mniej skomplikowany do administrowania - teraz skłania się ku koncepcji wielu drzewostanów.