Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5135 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Хакасский государственный университет им. Н.Ф.Катанова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
1_планирование_Active Directory.doc
Скачиваний:
3
Добавлен:
01.04.2025
Размер:
736.26 Кб
Скачать
►Содержание►

Обеспечение требований безопасности

Windows Server 2003 является наиболее защищенной из всех существующих сетевых опе­рационных систем. При соответствующей настройке сквозь ее систему защиты не просочится и гелий. Защищенность, тем не менее, понятие относительное, так как ни одна из систем не избавлена от недостатков и требует постоянного внимания со стороны администратора.

При необходимости определения очень строгих ограничений системы безопасности для какой-то части пространства имен у вас не остается другого выбора, нежели создание нового домена или целого леса.

Домен является областью безопасности для целого набора объектов. Область безопасно­сти не может быть расширена на другие домены без настройки соответствующих довери­тельных отношений. Для доступа к объектам домена требуется проверка подлинности как пользователей, так и компьютеров. Пользователи и компьютеры, которым необходимо прой­ти проверку подлинности при доступе к объектам домена, называются участниками безопас­ности (security principals). Другими словами, пользователей одного домена (например, доме­на департамента полиции) можно заставить применять смарт-карты, содержащие длинные зашифрованные пароли, а пользователей другого домена — копоткие паооли. пепепаваемые в открытом виде. Таким образом, домены позволяют реализовать несколько уровней безопас­ности в сети предприятия (см. приведенный ниже список).

  • Политика паролей определяет правила использования паролей в отдельных доменах.

  • Политика блокировки учетных записей определяет способы обнаружения наруше­ний и блокировки учетных записей.

Политика билетов Kerberos для доменов определяет "время жизни" и частоту обнов­ления билетов.

Более подробно билеты Kerberos рассматриваются в главе 3, "Безопасность Windows Server 2003", а политики— в главе 14, "Контроль изменений, групповая политика и управление рабочим пространством".

Необходимость сокрытия информации и публикации только определенного набора ресурсов (различные представления каталога)

Разделение каталога на отдельные домены предоставляет возможность избирательной публикации и сокрытия ресурсов. Пользователи будут видеть и иметь доступ только к тем ре­сурсам, которые им можно видеть и к которым можно иметь доступ. Active Directory позво­ляет публиковать ресурсы и обеспечивать пользователей различными представлениями служ­бы каталога. Публикация и сокрытие сведений достигается во многом именно благодаря ис­пользованию отдельных доменов. Способ представления объектов домена определяется сначала на уровне домгна, а уже затем — на уровне подразделений.

Конструктивное разделение каталога

Прелесть каталога Active Directory заключается в том, что он по своей сути является рас­пределенным. В частности, это означает возможность масштабирования, а значит, поддержа­ния миллиардов объектов (учетных записей, подразделений и пользовательских объектов). Если вы имеет дело с предприятием, насчитывающим десятки тысяч пользователей, вам не обойтись без построения глубокой структуры доменов. И чем больше объектов необходимо создать, тем более глубокой должна быть эта структура.

Разделение домена

Разделение домена сулит как преимущества, так и недостатки. Ниже приведены положи­тельные моменты создания одного или нескольких дополнительных доменов:

  • разграничение рубежей безопасности;

  • снижение трафика службы репликации файлов;

  • снижение сетевого трафика домена вследствие уменьшения объема реплицируемых данных.

К сожалению, создание дополнительных доменов имеет также негативные аспекты. При­нимая решение о необходимости разделения домена, учтите следующие факты:

  • групповые политики, параметры безопасности и делегирования необходимо определять для каждого домена;

  • администрирование нескольких доменов требует дополнительных затрат;

  • количество репликаций глобального каталога увеличивается с увеличением количе­ства доменов;

  • перемещение пользователей из одного в домена в другой сложнее, чем перемещение пользователей между подразделениями;

  • размер глобального каталога увеличивается с ростом числа доменов.

Домены Windows Server 2003 организуются на двух уровнях — на уровне подразделений (organizational units, OUs) и на уровне групп (groups). Подразделения и группы являются контейнерами, однако группа является участником безопасности (security principal), а подразделение — нет. Груп­пы содержат учетные записи пользователей и компьютеров и должны пройти проверку под­линности для предоставления их содержимому прав доступа к ресурсам домена. Подразделе­ния не проходят проверку подлинности со стороны подсистемы безопасности и служат преж­де всего для структуризации домена и применения групповых политик.

Многие пользовали считают, что подразделения должны иметь атрибуты безопасности, a Microsoft должна сделать их участниками безопасности. В конце концов, подразделения Novell Directory Services (NDS) являются участниками безопасности, хотя эта служба катало­га не поддержииает группы. Однако подразделения Active Directory не являются ни подразде­лениями NDS, ни подразделениями Х.500.

Группы Active Directory наследуются от групп Windows NT 4.0 и не следуют строгим специфи­кациям, таким как Х.500. Некоторые консервативные администраторы Windows NT критикуют Microsoft за "перенос" групп NT 4.0 в Active Directory. Однако группы, как бы хорошо или плохо о них ни отзывались, встроены в операционную систему и существовали еще до появления службы каталога. Если бы Microsoft убрала группы из системы безопасности NT, последствия этого сказа­лись бы самым негативным образом на всей операционной системе.

В настоящей главе мы советуем сосредоточиться на стратегическом анализе предприятия, который поможет вам создать каталог Active Directory и структуру доменов. Наши предложе­ния базируются на многолетнем опыте анализа предприятий для многих компаний — начиная от сети китайских ресторанов быстрого питания и заканчивая авиакомпанией KLM Airlines и даже зарубежными представительствами Microsoft. Мы пришли к выводу, что ключевые эле­менты управления (КМЕ), которые были рассмотрены в начале этой главы в разделе "Определение ключевых элементов управления", замечательно сочетаются с группами и под­разделениями, а также позволяют провести четкую границу между ними.

Цель работы:

На примере любого предприятия разработать план развертывания Active directory с учетом доменов, учетных записей, систем архивирования и восстановления, средств администрирования

Задание:

  1. Произведите планирование логической структуры домена. Обоснуйте.

  2. Произведите планирование управления доменом. Обоснуйте

  3. Произведите исследование и анализ предприятия на базе которого проводится работа

  4. Определите имя и функции домена

  5. Произведите разделение домена (если считаете необходимым). Обоснуйте.

По итогам проделанной работы сделайте выводы и ответьте на контрольные вопросы.

Контрольные вопросы:

  1. перечислите основные этапы проектирования Active Directory.

  2. приведите наиболее весомые доводы в пользу создания дополнительных уровней доменов

  3. Перечислите функции корневого домена.

  4. Дайте определение понятия контрольный домен

  5. дайте понятие Active Directory

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности