МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

ТЕРНОПІЛЬСЬКИЙ НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ

ІМЕНІ ІВАНА ПУЛЮЯ

Кафедра комп’ютерних наук

ЛАБОРАТОРНА РОБОТА № 3

Тема роботи:

«Служба каталогівWindows 2000 Server»

Виконала: студентка групи

СНз- 61 Зозуля Наталя

Перевірив:

Шимчук Г.В.

Тернопіль 2013

Тема: служба каталогів Windows 2000 Server

Мета: навчитись налаштовувати службу ActiveDirectory

Хід роботи

1. Структурнікомпоненти Active Directory.

Два первинні компоненти ActiveDirectory – це його логічна і фізична структури, які залучають організацію та комунікацію об'єктів відповідно. Третій компонент, відомий як schema, визначає об'єкти, які складають ActiveDirectory.

Логічна cтруктура

Базові логічні компоненти ActiveDirectory – це об'єкти і пов'язані з ними властивості. Об'єктні класи – лише визначення об'єктних типів, які можуть створюватися в ActiveDirectory. Schema – механізм ActiveDirectory для зберігання об'єктних класів. Він також дозволяє доповнення об'єктних класів і пов'язаних властивостей.

Об'єкти ActiveDirectory організовані навколо ієрархічної моделі домену. Ця модель – засіброзроблення, якийдозволяєлогічновпорядковуватиоб'єкти в адміністративних, організаційних і межах безпеки. Кожен домен маєйоговласнідозволибезпекийунікальнівідносинибезпеки з іншими доменами. ActiveDirectoryвикористовуєголовнуреплікацію, щоброзповсюджуватиінформацію і змінисереддоменів.

Домени

ActiveDirectory управляє ієрархічною інфраструктурою під’єднаних до мережі комп'ютерів доменом як основою. Домен охоплює комп’ютерні системи і ресурси мережі, які поділяють логічну межу безпеки. Він може запам'ятати понад 17 terabytes в записах бази даних ActiveDirectory. Хоча домен можеперетинатифізичніділянки, всідоменипідтримуютьїхвласнуполітикубезпеки і відносинибезпеки з іншими доменами. Вони інодістворюються, щобвизначитифункціональнімежі, як,наприклад,міжадміністративнимиодиницями (маркетинг та інженерія). Вони також є видимими як групуванняресурсівабосерверів, яківикористовуютьспільнеім'я домену, відоме як namespace. Наприклад, усісервериаборесурси в EntCert.comnamespace належать єдиному домену.

Кажучи просто, кожен контролер домену маєнаступнуінформацію як частинуйогоActiveDirectory:

·        Дані на кожному об'єктійконтейнеріоб’єктіву межах специфічного домену.

·        Metadata про іншідоменивдереві (аболіс), щобзабезпечитирозташуванняслужби каталога.

·        Список усіхдоменівудеревійлісі.

·        Розташування сервера з Глобальним Каталогом.

Дерева доменів

Коли багатотипові домени поділяють (schema), взаємини довір'я безпеки, і Глобального Каталогу, дерево ділянки створено, визначеними загальними і суміжними (namespace). Деревовидна структура формується за допомогоюдодаваннядоменівдитини. Є цілий ряд причин для створеннябагаторазовихдоменівудереві,  з чоговипливає:

·        Дискретно управлінняіншимиорганізаціямиабозабезпеченняідентичностіодиниці.

·        Використаннярізних меж безпеки і політикпаролів.

·        Вимога кращого методу управління реплікацією ActiveDirectory.

·        Кращаобробкадуже великого числа об'єктів, якимиуправляють.

·        Децентралізоване адміністрування.

Єдиний домен містить повний розділ ActiveDirectory для всіх його об'єктів.

2. Логічнаструктура Active Directory.

Логічна структура ActiveDirectory залежить від потреб вашої організації. Логічні елементи ActiveDirectory це – ліси, дерева, домени і OU.

Домени

Домен уWindows 2000 дуженагадує домен уWindows NT. Для різнихнамірів і цілей домен є логічноюгрупоюкористувачів і комп'ютерів (об'єктів), якіпов'язані як одиниця для адміністрування і реплікації. Перш за все домен – цеадміністративнаодиниця. Отже, адміністраторцього домену можейогоадмініструвати і для цього не потрібенніхтоінший. Крім того, всіконтролери одного домену повинніздійснюватиреплікацію один з одним.

В Windows 2000 домениіменуютьсявідповіднодо угоди про іменування DNS, а не іменуванняNetBIOS. Прикладом імені домену в ActiveDirectoryможе бути 2000trainers.com. УWindows NT малиобмеженняза величиною, до якої вони могли збільшуватися і цейрозміробмежувавсядопустимимрозміромбазиданих SAM (40 Мб або близько того). Тому доводилосястворюватибезлічдоменівукомпанії, в якійдіялитисячікористувачів і комп'ютерів. Тепер же безлічдоменів не є необхідністю в подібномусценаріїпідWindows 2000, оскількиActiveDirectoryможевміщуватибагатомільйонівоб'єктів. Облікові записи користувачівуWindows 2000 існують так само як уWindows NT. ActiveDirectoryтакождозволяєматибезлічдоменів, формуючиструктури, якіназиваються деревами і лісами.

УWindows 2000 кількадоменівможуть все ж таки знадобитися, особливо у великих організаціях, якіпродовжуютьвимагатинадійного контролю над їхсередовищем, індивідуальністю (як у разірізнихорганізаційниходиниць для веденнябізнесу) і особливого адміністративного контролю. В ActiveDirectoryнабірдоменівможестворюватися в порядку, щонагадує структуру дерева. В цьомувипадку «дочірній» домен успадковуєсвоєім'явід «батьківського» домену:

Рисунок  3.2 – Домени

 Кожен домен удереві є окремою і явно виразноюадміністративноюодиницею, так само як і межею для цілейреплікації. Тобто, якщови створили обліковийзапискористувача в домені filial1.firma.uа, то цейобліковийзапис, існуючий на контролері домену, буде реплікований на всіконтролери домену filial2.firma.uа.

Кожен новий «дочірній» домен має transitive (транзитивні) двонаправлені довірчі відносини з «батьківським» доменом. Цедосягається автоматично в ActiveDirectory і дозволяєкористувачам з одного домену дерева мати доступ до ресурсіввіншому. Навіть не маючипрямихдовірчихвідносин, користувачі в filial1 можутьмати доступ до ресурсів (для цього у них повинні бути відповіднідозволи) в filial2 і навпаки, до того ж довірчівідносинитранзитивні (filial1 довіряєсвоєму «батьківському» домену firma, який у свою чергу «довіряє» filial2 – таким чином filial1 довіряєfilial2 і навпаки).

Дерево, у загальних рисах, можна визначити як набір доменів, які пов'язаних відносинами «дочірній»/«батьківський» і підтримуючих пов'язаний простір імен.

Ліс

Ліс – термін, вживаний для описування сукупності ActiveDirectory дерев. Кожне дерево в лісі має власний окремий простір імен. Наприклад, наша фірма володіє ще однією дрібнішою фірмою – ПП Сідоров. ЩобПП Сідоров мало свійвласнийокремийпростірімен, можнадосягтицього,об'єднавши дерева і сформуватиліс, як показано нижче:

Рисунок 3.3 – Ліс

 Домен Sidoroff.uа є частиною лісу, так само як і firma.uа, але як і раніше залишається доменом і може мати власне дерево. Слід відзначити, що тут існують транзитивні довірчі відносини між «кореневими» доменами кожного дерева в лісі – це дозволяє користувачам домену acmeplunbing.com мати доступ до ресурсів у дереві firma.uа і навпаки, в той же час відбувається підтримка на перевірку автентичності у власному домені.

Перший домен, створений в лісі, розглядається як «корінь» лісу. Одна з найважливішихособливостейлісу – це те, щокожнийокремий домен підтримуєзагальну схему  визначення для різнихоб'єктів і пов'язаних з ними атрибутів, створенях улісі. Важливоусвідомити, щолісможе бути створений з одного дерева, яке міститьусього один домен. Це буде маленький ліс, але формально це буде ліс.

Організаційні одиниці

Організаційні одиниці (звично звані OU) – контейнери усередині ActiveDirectory, які створюються для об'єднання об'єктів з метою делегування адміністративних прав і використання групових політик у домені. OU можуть бути створені для організації об'єктів кількома шляхами відповідно до їх функцій, місцезнаходжень, ресурсами і так далі. Прикладом об'єктів, які можуть бути об'єднані в OU, можуть служити облікові записи користувачів, комп'ютерів, груп і т.д.

OU можемістититількиоб'єкти з того домену, в якому вони розташовані. Такожзверніть увагу, що структура OU може широко варіюватисявідкомпанії до компанії. Вона розробляється з метою полегшанняадмініструванняресурсів і використаннягруповихполітик. Тоді, як повнийадміністративний контроль може бути даний (делегований) користувачу через OU, для великих організацій  можливістьматитільки один домен, в якомукожна структура буде мативласний контроль тільки над своєю OU.