- •4 Реестр. Средства для внесения изменений в реестр.
- •5 Структура inf-файла.
- •6.Возможности inf-файлов для установки программ.
- •7 Виртуальная память. Подкачка страниц.
- •8. Секции, проекции и проецируемые файлы.
- •9.Виртуальная память. Защита памяти в Windows nt.
- •10.Виртуальная память. Алгоритм преобразования виртуального адреса в физический
- •11.Возможные варианты установки Windows 2000 и их особенности.
- •12.Файловая система ntfs. Внутреннее устройство, преимущества, недостатки.
- •13.Процесс загрузки Windows 2000. Конфигурационный файл загрузчика.
- •14.Процесс в Windows nt. Структура объекта.
- •15.Задания в Windows 2000.
- •16.Active Directory. Характеристика технологии.
- •17.Леса в Active Directory.
- •18.Домены в Active Directory.
- •19.Типы пользователей в Active Directory.
- •21 Доверительные отношения между доменами.
- •22 Механизм групповых политик в ActiveDirectory
- •23 Механизмы работы пользовательских программ с объектами исполнительной системы.
- •24 Защита объектов. Маркеры доступа.
- •25 Защита объектов. Списки контроля доступа.
17.Леса в Active Directory.
Лес является наиболее крупной структурой в Active Directory и объединяет деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). В лесу все деревья объединены двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ. По умолчанию первый домен, создаваемый в лесу, считается его корневым доменом. Кроме того, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего леса Active Directory. В отличие от доменов и доверительных отношений, лес не представлен ни как контейнер, ни как любой другой вид объекта Active Directory.
Как уже говорилось, домены именуются с использованием пространств имен DNS. Считается, что домены, которые используют одно пространство имен, входят в одно доменное дерево. Например, домены comp_1.sources.com, comp_2.sources.com и sources.com – части доменного дерева sources.com. Дерево, состоящее из одного домена, является наиболее распространенным решением, однако в больших корпорациях, состоящих из множества компаний, используется в основном мультидоменное дерево. Каждая компания хочет поддерживать собственную информацию, а, следовательно, и свое пространство имен. Описание сценария построения Active Directory для корпорации – самый лучший способ показать отношения между лесами, доменами и деревьями. Допустим, каждая компания, входящая в состав корпорации, хочет, чтобы доменное имя их Активного Каталога соответствовало названию этой компании. Есть два способа это сделать:
Для каждой компании спроектировать доменное дерево в одном лесу;
Для каждой компании спроектировать отдельный лес.
Одним из главных отличий между этими двумя вариантами будет наличие доверительных отношений между доменами, находящимися в пределах одного леса, в то время как в отдельных лесах они полностью отсутствуют. Без доверительных отношений пользователь одного леса не сможет получить доступ к ресурсам домена, входящего в состав другого леса. Если же мы хотим, чтобы пользователь имел доступ к ресурсам любого домена, то система с множеством деревьев в одном лесу будет лучше, чем система с множеством отдельных лесов. Транзитивные доверительные отношения устанавливаются между корневыми доменами каждого доменного дерева, в результате чего каждый домен в лесу считается «доверенным».
18.Домены в Active Directory.
Доменом называют логическую группу пользователей и компьютеров, которые поддерживают централизованное администрирование и безопасность. Домен также является единицей для репликации – все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом. Домены принято именовать, используя пространство имен DNS(DomainNameService), напримерsources.com.
19.Типы пользователей в Active Directory.
Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.
В ActiveDirectoryсуществуют два типа групп: группы распространения и группы безопасности. Группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов.
Группы распространения
Группы распространения используются только приложениями электронной почты (например, Exchange) для отправки сообщений электронной почты группам пользователей. Группы распространения не используют систему безопасности, иначе говоря, они не могут быть включены в избирательные таблицы управления доступом (DACL). Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть группой безопасности.
Группы безопасности
При осторожном использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия.
Назначать права пользователя группе безопасности в ActiveDirectory.
Права пользователя, заданные для групп безопасности, определяют, что может делать член данной группы в области действий домена (или леса). Права пользователя автоматически задаются для групп безопасности во время установки ActiveDirectoryдля помощи администраторам в определении роли административных пользователей в домене. Например, пользователь, добавленный в группу «Операторы архива» вActiveDirectory, получает возможность создавать архивы и восстанавливать файлы и каталоги на любом контроллере домена в домене.
Это происходит потому, что по умолчанию права пользователя Архивирование файлов и каталогов и Восстановление файлов и каталогов автоматически задаются для группы «Операторы архива». Члены этой группы наследуют права пользователя, заданные для всей группы. Дополнительные сведения о правах пользователей см. в разделе Права пользователей. Дополнительные сведения о правах пользователей, заданных для групп безопасности, см. в разделе Группы по умолчанию.
Можно задать права пользователей группе безопасности, используя групповую политику, для делегирования конкретных задач. При задании делегированных задач необходимо соблюдать осторожность. Неопытный пользователь, наделенный слишком большими правами в группе безопасности, потенциально может нанести серьезный урон сети. Дополнительные сведения см. в разделе Делегирование администрирования. Дополнительные сведения о задании прав пользователей в группах см. в разделе Назначение прав пользователя группе в службе каталогов ActiveDirectory.
Назначать разрешения на использование ресурсов для групп безопасности.
Не следует путать разрешения с правами пользователей. Разрешения задаются для групп безопасности, использующих общие ресурсы. Разрешения определяют, кто может получить доступ к данному ресурсу и уровень доступа, например полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически задаются для различных уровней доступа группам по умолчанию, таким как «Операторы учета» или «Операторы домена». Дополнительные сведения о разрешениях см. в разделе Управление доступом в ActiveDirectory.
Группы безопасности перечислены в избирательных таблицах управления доступом, которые определяют разрешения на ресурсы и объекты. Администраторам следует назначать разрешения для ресурсов (общих файлов, принтеров, и т. д.) группам безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, вместо назначения прав каждому отдельному пользователю. Каждая учетная запись при добавлении к группе получает права, заданные данной группе в ActiveDirectory, и разрешения, определенные для данной группы на ресурсе.
Группы безопасности могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, отправленное группе, отправляется всем членам группы.
(по конспекту):
локальная группа -- пользователи текущего домена глобальная группа -- видимые для других доменов и могут содержать пользователей которым необходим доступ из других доменов
Роли сервера в домене.
Доменная модель сети, используемая компанией Microsoft, позволяет централизованно выполнять все административные работы, поэтому она рекомендуется как основная модель при создании сети. Модель рабочей группы (Workgroup) не позволяет централизовать работу администратора, так как требует выполнения основных действий по управлению правами доступа пользователей с консоли каждого компьютера сети. Ввиду этого все административные действия будут далее рассматриваться для доменной модели.
При инсталляции как Windows NT Workstation так и Windows NT Server при установке сетевых компонент программа Setup попросит ответить на вопрос, будет ли данный компьютер членом домена или рабочей группы.
Ответ на этот вопрос не так уж важен при установке Windows NT Workstation, так как после установки ОС компьютер может менять свою принадлежность к любой рабочей группе или любому домену без повторной инсталляции – для этого нужно только изменить установку в секции Network программы Control Panel и перезагрузить компьютер.
При инсталляции сервера Windows NT Server ответ на вопрос о его роли в домене очень важен, так как изменить эту роль можно только путем полной переустановки системы на компьютере.
Windows NT Server может выполнять в домене три роли:
первичный контроллер домена – Primary Domain Controller (PDC);
вторичный контроллер домена – BackupPrimary Domain Controller (BDC);
сервер домена – компьютер, не выполняющий роль PDC или BDC, а работающий как файл-сервер, принт-сервер и т.п.
Если вы инсталлируете первый сервер домена, то его необходимо делать первичным контроллером домена. При этом необходимо задать имя домена и указать пароль для встроенного пользователя Administrator. Этот пароль нельзя терять, по крайней мере до тех пор, пока вы не добавите к группе администраторов новых пользователей. При потере пароля единственного администратора придется заново устанавливать сервер. Первичный контроллер в домене может быть только один.
Вторичный контроллер домена можно инсталлировать только после того, как в сети уже имеется первичный контроллер, так как вторичный контроллер будет его искать и не найдя не пожелает продолжать установку.
Обычный сервер также можно инсталлировать только при наличии работающего первичного контроллера домена, иначе он не сможет присоединиться к домену и создать в нем учетную запись. При присоединении сервера к домену нужно обладать правами администратора домена, иначе в PDC нельзя создать новую учетную запись.
Если сервер Windows NT Server был при инсталляции присоединен к какому-либо домену, то его нельзя как Windows NT Workstation, перенести в другой домен без переинсталляции – по-этому принадлежность сервера домену нужно определить до начала инсталляции.
Так же невозможно сделать PDC или BDC обычным сервером домена без переинсталляции операционной системы.
Роли же PDC и BDC можно изменять между компьютерами, на которых Windows NT Server инсталлирован в этих режимах, можно менять оперативно. За счет этого можно поменять компьютер, на котором работает PDC, без необходимости заново создавать базу учетной информации пользователей.