Page 131 - 4860
P. 131
- контролер схеми визначає контролер, на якому
дозволено вносити зміни у схему БД AD.
Незважаючи на великі потенційні можливості, AD як
служба каталогів за зручністю у користуванні значно відстає
від інших СК. Порівняємо AD з NDS, яка сьогодні є
найрозвиненішою СК.
В AD контейнери не можуть бути принципалами безпеки.
NDS дає змогу призначати права доступу на рівні
контейнерів. Наприклад, контейнер відділ розробки може
отримати права доступу до певного принтера. В цьому
випадку всі користувачі цього відділу зможуть користуватися
ним.
В AD всі назви об’єктів повинні бути унікальними
незалежно від місця їхнього розташування у дереві. В NDS
ім’я об’єкта повинно бути унікальним лише в межах свого
безпосереднього контейнера.
У NDS успадкування прав динамічне: якщо користувачу
призначене право доступу до контейнера, то оновлюється
лише ACL для цього контейнера. Водночас у разі перевіряння
прав доступу враховують права у всіх контейнерах. В AD
успадкування прав статичне: якщо змінюються права доступу
до контейнера, то змінюються ACL для всіх вкладених
об’єктів контейнера, що для великого та складного дерева
може потребувати багато ресурсів.
Контролер AD може бути контролером лише одного
домену, тоді як сервер NDS може зберігати репліки декількох
розділів. Отже, потенційно за однакової кількості серверів
NDS є стійкішою та надійнішою.
Значним недоліком AD є також її орієнтація на структуру
доменів DNS, що обмежує користувачів. NDS не має таких
обмежень, і дерево каталогів можна, наприклад, створювати
згідно з організаційною структурою підприємства, філії якого
розташовані в різних зонах DNS.
130
