Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
все лекции.doc
Скачиваний:
16
Добавлен:
01.03.2025
Размер:
82.43 Кб
Скачать

Раздел конфигурации

Используется для размещения сведений о структуре системы. В эти сведения входит: список всех доменов и деревьев леса, а также перечень существующих контроллеров домена и серверов глобального каталога.

Доменный раздел

Используется для размещения объектов, являющихся непосредственной частью домена. Здесь хранятся объекты, ассоциированные с пользователями, компьютерами, общими ресурсами.

Раздел приложений

Данные разделы могут быть созданы для различных сетевых приложений, при этом они могут быть созданы как вручную администратором, так и самими приложениями. Создание разделов приложений позволяет обращаться к приложениям используя общий подход доменных имен.

В структуре службы каталога можно использовать специальные объекты контейнерного типа , которые позволяют группировать объекты. Такими объектами контейнерного типа являются единицы. Они позволяют объединять объекты в логическую структуру. Используются в основном для упрощения управления входящими в них объектами. Иерархия организационных единиц образуется только в пределах домена, т. о. единицы принадлежащие разным доменам, не связаны друг с другом

Методы обеспечения безопасности

В основном применяют три метода:

  1. Аутентификация – проверка пользователя, входящего в сеть, с помощью какой-либо системы аутентификации.

  2. Организация доступа к объектам (списки контроля доступа)

  3. Использование групповых политик

Аутентификация

Схема KERBEROS - Данная схема предназначена для решения задач аутентификации субъектов в распределенной системе, использующей открытую сеть с помощью третьей доверенной стороны. Система KERBEROS , владеющая секретными ключами обслуживаемых субъектов обеспечивает попарную проверку подлинности. Для получения доступа к серверу клиент отправляет на сервер KERBEROS запрос, который содержит сведения о клиенте и о запрашиваемой услуге. В ответ сервер KERBEROS возвращает билет, зашифрованный секретным ключом сервера и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент расшифровывает вторую порцию билета и пересылает ее вместе с билетом серверу. Сервер, расшифровав билет, сравнивает его с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные, а это подтверждает подлинность клиента.

Списки контроля доступа.

Списки средств защиты могут применяться как для всего объекта, так и для набора его свойств или для отдельного свойства. Существует два типа списков управления доступа:

  1. Избирательные списки, которые являются частью дескриптора безопасности объекта, которая предоставляет и запрещает доступ к объекту для конкретных пользователей или групп. Изменять разрешения в данных списках может только владелец объекта

  2. Системные списки контроля доступа. Данные списки являются частью дескриптора безопасности объекта, который объединяет перечень проверяемых событий для пользователя или группы. Пример таких событий: доступ к файлам, вход в систему, выход из системы и т.д.

Группы безопасности и управления пользователями.

Для управления пользователями используется понятие учетной записи.

Учетная запись - это объект, который позволяет хранить все сведения, определяющие пользователя домена. К таким сведениям относятся имя пользователя, пароль, членство в группах. Учетные записи могут храниться либо в глобальном каталоге, либо на локальном компьютере.

Учетные записи пользователей и компьютеров, а также группы называют участниками безопасности. Эти участники безопасности являются объектами каталогов, которые автоматически назначают коды безопасности для доступа к ресурсам домена. Кодом безопасности называется структура данных переменной длины, которая определяет учетные записи пользователей, групп и компьютеров. Код безопасности присваивается автоматически при создании учетной записи. Внутренние процессы в операционной системе обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп.

Учетная запись пользователя или компьютера используется для следующих целей:

  1. Проверка подлинности пользователя или компьютера – учетная запись дает право войти в компьютер или в домен с подлинностью проверяемых доменов

  2. Разрешение и запрещение доступа к ресурсам домена

  3. Администрирование других участников безопасности

  4. Аудит действий, выполняемых с помощью учетных записей пользователя или компьютера

Группы безопасности

  1. Локальная группа – это группа, в которой права членства и доступа не распространяются на другие домены.

  2. Глобальная группа – определяет область действия как все деревья в лесе доменов. Глобальная группа привязывается к конкретному домену и в неё могут входить только объекты и другие группы, принадлежащие данному домену.

  3. Универсальная группа – определяет область действия как все домены в рамках того леса, в котором они определены. Универсальная группа может включать объекты, ассоциированные с учетными записями пользователей, компьютеров, групп, принадлежащих любому домену леса