Dove creare un punto di Connessione servizio
Quando viene installata un'istanza di Dominio di Active Directory Services, il programma di installazione del servizio crea oggetti punto di connessione del servizio in Dominio di Active Directory Services. L'obiettivo principale deve essere ridurre al minimo il traffico di replica e consentire un'amministrazione efficiente e la manutenzione degli oggetti.
Tenere presente che le applicazioni client trovano i provider di servizi di configurazione eseguendo una ricerca nella directory per trovare parole chiave in SCP. L'attributo keywords di un SCP è incluso nel Catalogo globale. I client possono cercare nel Catalogo globale la ricerca di scP nella foresta. Per questo motivo, il client non influisce sulla posizione in cui pubblicare i provider di servizi di configurazione.
Ridurre al minimo il traffico di replica
Per ridurre al minimo il traffico di replica, creare scP nella partizione di dominio del dominio del computer host del servizio. Ad esempio, è possibile creare scP come oggetti figlio dell'oggetto computer in cui è installato il servizio. Una partizione di dominio di Dominio di Active Directory Services, talvolta denominata contesto di denominazione di dominio, contiene oggetti specifici del dominio, ad esempio gli oggetti per gli utenti e i computer del dominio. Una replica completa di tutti gli oggetti nella partizione di dominio viene replicata in ogni controller di dominio (DC) per il dominio, ma non viene replicata in controller di dominio di altri domini.
Non creare provider di servizi di configurazione nella partizione di configurazione, noto anche come contesto di denominazione della configurazione, perché le modifiche apportate alla partizione di configurazione vengono replicate in ogni controller di dominio nella foresta. Come indicato in precedenza, i client in tutta la foresta possono eseguire query sul Catalogo globale per trovare scP ovunque nella foresta, quindi la creazione di scP nella partizione di configurazione non li rende più visibili ai client; genera solo più traffico di replica.
Facilità di Amministrazione istration
Considerare le linee guida seguenti per l'amministrazione degli oggetti:
- Posizionare oggetti specifici del servizio in cui gli amministratori possono controllare l'accesso usando i criteri e le autorizzazioni di accesso ereditate.
- Posizionare facilmente gli oggetti in cui un amministratore può trovarli facilmente.
Una posizione predefinita valida che soddisfa entrambi gli obiettivi consiste nel creare SCP e altri oggetti specifici del servizio nell'oggetto computer del computer host di ogni istanza del servizio. Per altre informazioni, vedere Pubblicazione in un oggetto computer.
Un'alternativa valida per i servizi non associati a un singolo host consiste nel creare un contenitore per gli oggetti servizio nel contenitore System in una partizione di dominio. Per altre informazioni, vedere Pubblicazione in un contenitore di sistema di dominio.
Il diagramma seguente mostra parte della gerarchia di contenitori predefinita per una partizione di dominio.
Il diagramma mostra la gerarchia di dominio predefinita inclusa in Dominio di Active Directory Services. Tuttavia, molte aziende creano una gerarchia di contenitori di unità organizzative per raggruppare classi di oggetti, ad esempio utenti e computer, insieme ai fini dell'amministrazione. Amministrazione istrator può quindi applicare i criteri e le voci di controllo di accesso ereditabili a un'unità organizzativa per delegare l'autorità amministrativa per gli oggetti nell'unità organizzativa. Ciò consente agli amministratori di gestire in modo efficiente un'azienda, ma ha alcune conseguenze per i programmatori di servizi:
- L'oggetto computer per un host del servizio potrebbe non trovarsi nel contenitore Computers, come illustrato nel diagramma. Per altre informazioni su come trovare l'oggetto computer per il computer locale, vedere Pubblicazione in un oggetto computer.
- Amministrazione istrator possono spostare gli oggetti man mano che cambiano le esigenze dell'organizzazione. Ciò significa che non puoi dipendere dai tuoi oggetti rimanenti in una posizione fissa; ovvero, il servizio non può dipendere da un nome distinto di un oggetto che rimane invariato. Usare invece l'attributo objectGUID di un oggetto, che non cambia se l'oggetto viene spostato o rinominato. Per altre informazioni e un esempio di codice che crea un SCP, archivia il relativo objectGUID e successivamente recupera l'objectGUID da associare a SCP, vedere Creazione e gestione di un servizio Connessione ion Point.
- Tutte le classi oggetto correlate al servizio standard, nonché tutte le sottoclassi di queste classi, sono elementi figlio validi delle classi computer e organizationalUnit . Se si estende lo schema per definire una classe specifica del servizio, assicurarsi che le classi computer e organizationalUnit siano incluse nei possibili superiori.
- Il programma di installazione del servizio determina il percorso predefinito per la creazione di provider di servizi. È possibile consentire all'amministratore di installare il servizio per specificare un percorso di installazione alternativo.
Gli oggetti specifici del servizio non devono essere creati nelle aree seguenti:
- I servizi non devono pubblicare oggetti direttamente nei contenitori Utenti o Computer di una partizione di dominio, né devono creare nuovi contenitori in questi contenitori. Tuttavia, i servizi possono pubblicare oggetti come oggetti figlio di un oggetto computer, indipendentemente dal fatto che l'oggetto computer sia archiviato nel contenitore Computers.
- Servizi che usano la registrazione e la risoluzione (RnR) di Windows Sockets o le API rpc name service (RPCNs) per pubblicizzare se stessi, creare gli oggetti appropriati nei contenitori WinsockServices e RpcServices nel contenitore di sistema di una partizione di dominio. Non creare in modo esplicito oggetti in questi contenitori. Questa operazione non causa danni diretti, ma può generare confusione per gli amministratori.