Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5171 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Житомирский государственный технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
лк5_пр.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
1.53 Mб
Скачать
►Содержание►

Лекція 5 Адміністрування домену Active| Directory ос Windows| Server| 2003

План

5.1 Основні терміни і поняття. Планування|планування| простору|простір-час| імен AD|.

5.1.1 Моделі управління безпекою: модель "Робоча група" і централізована доменна модель

5.1.2 Основні терміни і поняття

5.2 Установка контролерів доменів

5.3. Логічна і фізична структури, управління реплікацією AD|. Сервери Глобального каталога і Господарі|хазяї| операцій

В даний час|нині| більшість служб каталогів різних фірм|фірма-виготовлювачів| базуються на стандарті X.500. Для доступу до інформації, що зберігається в службах каталогів, зазвичай|звично| використовується протокол Lightweight| Directory| Access| Protocol| ( LDAP| ). У зв'язку із стрімким розвитком мереж TCP/IP, протокол LDAP| стає стандартом для служб каталогів і додатків, орієнтованих на використання служби каталога.

Служба каталогів Active| Directory| є основою логічної структури корпоративних мереж, що базуються на системі Windows|.

Служба каталогів Active| Directory| містить|утримує| в першу чергу об'єкти, на яких базується система безпеки мереж Windows|, – облікові записи користувачів, груп і комп'ютерів. Облікові записи організовані в логічні структури: домен, дерево, ліс, організаційні підрозділи.

5.1 Основні терміни і поняття. Планування|планування| простору|простір-час| імен ad|.

5.1.1 Моделі управління безпекою: модель "Робоча група" і централізована доменна модель

Основа мережевої|мережної| безпеки – база даних облікових записів (accounts|) користувачів, груп користувачів і комп'ютерів, за допомогою якої здійснюється управління доступом до мережевих|мережних| ресурсів.

Модель "Робоча група"

Дана модель управління безпекою корпоративної мережі – найпримітивніша. Вона призначена для використання в невеликих однорангових мережах (3–10 комп'ютерів) і заснована на тому, що кожен комп'ютер в мережі з|із| операційними системами Windows| NT/2000/XP/2003 має свою власну локальну базу даних облікових записів і за допомогою цієї локальної БД здійснюється управління доступом до ресурсів даного комп'ютера.

Локальна БД облікових записів називається база даних SAM| ( Security| Account| Manager|) і зберігається в реєстрі операційної системи. Бази даних окремих комп'ютерів повністю|цілком| ізольовані один від одного і ніяк не зв'язані між собою.

Приклад управління доступом при використанні такої моделі змальований на рис. 5.1.

Рис. 5.1.

Доменна модель

У доменній моделі існує єдина база даних служб каталогів, доступна всім комп'ютерам мережі. Для цього в мережі встановлюються спеціалізовані сервери – контролери домена, які зберігають на своїх жорстких дисках цю базу. На рис. 5.2. представлена схема доменної моделі. Сервери DC-1 і DC-2 – контролери домена, вони зберігають доменну базу даних облікових записів (кожен контролер зберігає у себе свою власну копію БД, але всі зміни, що відбуваються в БД на одному з серверів, реплікуються на останні контролери).

Рис. 5.2

Призначення служби каталогів Active| Directory|

Active| Directory| відповідає не лише|не те що| за створення|створіння| і організацію невеликих об'єктів (ім’я каталогу, атрибути), але також і за великі об'єкти, такі як домени, OU| (організаційні підрозділи) і сайти.

Служба каталогів Active| Directory| (скорочено – AD|) забезпечує ефективну роботу складного корпоративного середовища|середи|, надаючи наступні|слідуючі| можливості|спроможності|:

  • Єдина реєстрація в мережі. Користувачі можуть реєструватися в мережі з|із| одним ім'ям і паролем і діставати при цьому доступ до всіх мережевих|мережних| ресурсів і служб (служби мережевої|мережної| інфраструктури, служби файлів і друку|печатки|, сервери застосувань і баз даних і т. д.);

  • Безпека інформації. Засоби аутентифікації і управління доступом до ресурсів, вбудовані в службу Active| Directory|, забезпечують централізований захист мережі;

  • Централізоване управління. Адміністратори можуть централізований управляти всіма корпоративними ресурсами;

  • Адміністрування з використанням групових політик. При завантаженні|загрузці| комп'ютера або реєстрації користувача в системі виконуються вимоги групових політик; їх налаштування зберігаються в об'єктах групових політик (GPO|) і застосовуються до всіх облікових записів користувачів і комп'ютерів, розташованих|схильних| на сайтах, доменах або організаційних підрозділах;

  • Інтеграція з|із| DNS|. Функціонування служб каталогів повністю|цілком| залежить від роботи служби DNS|. У свою чергу|в свою чергу| сервери DNS| можуть зберігати інформацію про зони в базі даних Active| Directory|;

  • Розширюваність каталога. Адміністратори можуть додавати|добавляти| в схему каталога нові класи об'єктів або додавати|добавляти| нові атрибути до існуючих класів;

  • Масштабованість. Служба Active| Directory| може охоплювати як один домен, так і безліч доменів, об'єднаних|з'єднаних| в дерево доменів, а з|із| декількох дерев доменів може бути побудований|спорудити| «ліс»;

  • Реплікація інформації. У службі Active| Directory| використовується реплікація службової інформації в схемі з|із| багатьма ведучими (multi-master|), що дозволяє модифікувати БД Active| Directory| на будь-якому контролері домена. Наявність в домені декількох контролерів забезпечує відмовостійкість і можливість|спроможність| розподілу мережевого|мережного| навантаження;

  • Гнучкість запитів до каталога. БД Active| Directory| може використовуватися для швидкого пошуку будь-якого об'єкту AD|, використовуючи його властивості (наприклад, ім'я користувача або адреса його електронної пошти, тип принтера або його місце розташування і т. п.);

  • Стандартні інтерфейси програмування. Для розробників програмного|програмового| забезпечення служба каталогів надає доступ до всіх можливостей|спроможностей| (засобам) каталога і підтримує прийняті стандарти і інтерфейси програмування (API|).

У Active| Directory| може бути створений широке коло|коло| різних об'єктів. Об'єкт є унікальною сутністю |суттю|всередині|всередині| Каталога і зазвичай|звично| володіє багатьма атрибутами, які допомагають описувати і розпізнавати його. Обліковий запис користувача є прикладом|зразком| об'єкту. Цей тип об'єкту може мати безліч атрибутів, таких як ім'я, прізвище, пароль, номер телефону, адреса і багато інших. Так само|таким же чином| загальний|спільний| принтер теж|також| може бути об'єктом в Active| Directory| і його атрибутом є|з'являються| його ім'я, місце розташування і так далі

Протокол LDAP| чітко визначає коло|коло| операцій над каталогами, які може виконувати клієнтське застосування. Ці операції розпадаються на п'ять груп:

  • встановлення зв'язку з|із| каталогом;

  • пошук в нім інформації;

  • модифікація його вмісту;

  • додавання|добавляти| об'єкту;

  • видалення|віддалення| об'єкту.

Окрім|крім| протоколу LDAP| служба каталогів Active| Directory| використовує також протокол аутентифікації Kerberos| і службу DNS| для пошуку в мережі компонент| служб каталогів (контролери доменів, сервери глобального каталога, службу Kerberos| і ін.).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности