Архитектура Active Directory




ЛАБОРАТОРНАЯ РАБОТА #1

Windows 2000 Server

 

ЦЕЛЬ РАБОТЫ:

Изучить процедуру присоединения компьютера к домену, а также процедуру логического входа в компьютер.

 

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ:

Популярная во всем мире серверная операционная система становится еще лучше. Семейство программных продуктов Windows 2000 Server - следующее поколение серии операционных систем Windows NT Server. Для обеспечения наилучшей платформы для организации цифрового бизнеса в Windows 2000 Server надежные, удобные для работы в Интернет службы каталога, сетевые службы и службы приложений объединены с мощным комплексным управлением.

В Windows 2000 Server включен интегрированный набор служб каталогов Active Directory, улучшающий управляемость, защищенность и совместимость сетевой операционной системы Windows. Active Directory обеспечивает единый пункт управления для учетных записей пользователей, клиентов, серверов и приложений Windows и может согласовывать свою работу с имеющимися в сети каталогами, чтобы сократить избыточность задач управления.

Active Directory - это новое средство управления пользователями и сетевыми ресурсами. Оно призвано сильно облегчить жизнь администраторам больших сетей на базе W2k и вокруг него строится вся система управления сетью и её безопасности. Для установки Active Directory необходимо иметь W2k Server. W2kPro может работать в среде Active Directory, но не может создавать её. Active Directory строится на следующих принципах:

· Единая регистрация в сети. Благодаря технологии IntelliMirror, можно подойти к любому компьютеру в офисе, ввести свой пароль и перед Вами будет ваш рабочий стол, ваши документы, и ваши настройки.

· Безопасность информации. В службу Active Directorу встроены средства идентификации пользователя. Для каждого объекта в сети можно централизировано выставлять права доступа, в зависмости от групп и конкретных пользователей. Благодаря системе безопасности Kerberos, можно осуществлять защищённую связь даже по открытым сетям, таким как Интернет. При этом данные передаваемые по сети шифруются, а пароли не передаются и не хранятся на клиентских машинах. Система безопасности Kerberos (называется по имени мифического трёхголового пса, который, согласно греческой мифологии, охранял адские врата), известна довольно давно, но в ОС от Microsoft она используется впервые. Если не вдаваться в подробности, то работает эта система так:

· Клиент посылает запрос серверу аутентификации на разрешения доступа к нужной информации.

· Сервер проверяет права клиента и отсылает ему разрешение на получение требуемой информации, зашифрованое с помощью известного клиенту ключа и заодно отсылает временый ключ шифрования. С помощью этого ключа шифруется вся передаваемая информация, причём время жизни ключа ограничено, поэтому сервер аутентификации время от времени присылает новый ключ (естественно, новый ключ зашифрован с помощью текущего ключа), который неизвестен никому, кроме сервера и клиента. Регулярная смена ключей шифрования сильно затрудняет жизнь злоумышленикам, охотящимся за Вашими данными.

· Централизованное управление. При использовании службы Active Directory у администратора отпадает необходимость вручную конфигурировать каждую машину, если, к примеру, необходимо поменять права доступа к какому-либо одному объекту или установить новый сетевой принтер. Такие изменения можно производить сразу для всей сети.

· Гибкий интерфейс. Структуры каталогов меняются быстро и легко. Например, можно создать каталог своей фирмы, выделить в отдельные подкаталоги бугалтерию, отделы маркетинга, секретариат (или что там ещё), и представить всё это в виде древовидной структуры. Или, например, создать несколько деревьев, представляющих различные офисы в разных зданиях или регионах и с легкостью задать связь и права доступа между ними. Подключить сетевой принтер к директории бугалтеров одним движением мышки. (При этом драйвера поставятся на их компьютеры автоматически). Или мышью перетащить весь бугалтерский отдел с одного сервера на другой, со всеми их правами, папками и документами

· Интеграция с DNS. Благодаря тесной интеграции с DNS, в Active Directory в локальной сети используются те же имена ресурсов, что и в Интернет, что приводит к меньшей путанице, и способствует более тесному взаимодейсвию локальной и глобальной сети.

· Масштабируемость. Несколько доменов Active Directory могут объеденены вместе под одним управлением.

· Простота поиска. В домене Active Directory различные объекты можно находить по самым различным признакам, таким как имя пользователя или компьютера, адрес электронной почты пользователя и т.д.

 

Домены являются организационными единицами безопасности в сети. Active Directory состоит из одного или нескольких доменов. Рабочая станция является доменом. Домен может охватывать несколько физических точек. В каждом домене - своя политика безопасности; отношения домена с другими также индивидуальны. Домены, объединенные общей схемой, конфигурацией и глобальным каталогом, образуют дерево доменов.

Архитектура Active Directory

Основная структурная единица Active Directory - дерево доменов, свя-
занных доверительными отношениями друг с другом. Внутри каждого
домена может располагаться иерархия организационных единиц (OU).
Иерархия OU внутри одного домена никак не связана с иерархией OU
в других доменах. Наоборот, они полностью независимы.

Такая двухъярусная иерархичная структура предоставляет высокую сте-
пень свободы в администрировании деревьев доменов. Например, всем
деревом доменов целиком может управлять центральная служба инфор-
мационных технологий (ИТ), а во всех доменах будут созданы свои
собственные организационные единицы, где учтены как работники,
ответственные за локальную поддержку на местах, так и ресурсы, обес-
печивающие эту поддержку.

В каждом отдельном домене могут быть созданы дополнительные OU
для выполнения конкретных задач. Так в домене головного офиса - OU
отдела кадров и бухгалтерии, в филиалах - OU торговых представи-
тельств. При этом административные права для каждой из этих OU
могут делегироваться центральной службой ИТ сотрудникам упомяну-
тых групп. Последние же, будучи наделены административными пол-
номочиями только в рамках своих OU, никак не смогут помешать служ-

Такая гибкость позволяет организовать каталог в точном соответствии
со структурой Вашего предприятия. Причем, возможно отразить как
централизованную, так и децентрализованную, а также некоторую сме-
шанную модель управления предприятием. Например, дерево доменов
может быть организовано по централизованной модели, а OU внутри
доменов - по децентрализованной.

Как уже упоминалось, внутри каждого домена - своя политика безо-
пасности (подробнее об этом - в главе 2). Этой политикой определя-
ются, в частности, требования к паролям, время жизни билетов Кег-
beros, блокировки учетных записей и т. д. При создании учетной запи-
си в домене для нее генерируется идентификатор безопасности (SID),
частью которого является идентификатор домена, выдавшего SID. Это
позволяет легко определять, какому домену принадлежит пользователь
или группа и каковы их права доступа к ресурсам. Таким образом, мож-
но говорить о физических границах безопасности домена, в рамках
которых и выполняется его администрирование.

Организационные единицы являются контейнерами, в которых могут
содержаться другие организационные единицы или объекты (пользо-
ватели, группы, принтеры или ресурсы распределенной файловой си-
стемы). Разрешение создавать объекты или изменять их атрибуты мо-
жет быть выдано отдельным пользователям или группам, что позволя-
ет более четко разделять административные полномочия.

 

ПРАКТИЧЕСКИЕ ЗАДАНИЯ:



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-27 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: