Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 10
ЗАГАЛЬНІ ВІДОМОСТІ ПРО СЛУЖБУ ACTIVE DIRECTORY
LIGHTWEIGHT DIRECTORY SERVICES .
1.Введення в Active Directory Lightweight Directory Services.
2.Порядок розгортання Active Directory Lightweight Directory Services.
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. ВВЕДЕННЯ В ACTIVE DIRECTORY LIGHTWEIGHT DIRECTORY SERVICES
Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це LDAP-служба каталогів операційної системи Windows Server® 2008R2, що надає підтримку додаткам, що працюють з каталогами.
На відміну від доменних служб Active Directory (AD DS):
служби AD LDS не мають залежностей і доменних обмежень!!!
служби AD LDS можна запускати на рядових або окремих серверах
На одному сервері також можна запустити кілька екземплярів AD LDS з незалежно керованою схемою для кожного екземпляра AD LDS.
Служби AD LDS раніше називалися Active Directory Application Mode (ADAM). З цим ім'ям вони входили до складу Windows Server 2003 R2.
Створення нового екземпляра AD LDS
Екземпляр служб Active Directory полегшеного доступу до каталогів (AD LDS) - це окрема запущена копія AD LDS.
На одному комп'ютері можуть бути одночасно запущені
кілька копій AD LDS (це не відноситься до доменних служб
Active Directory (AD DS)). Це підвищує доступність і покращує розподіл навантаження при реплікації екземплярів між декількома серверами.
Кожен екземпляр служби каталогів AD LDS має окремий каталог, унікальне ім'я служби і унікальне опис служби, яка призначається при створенні екземпляра.
Для створення екземплярів служби полегшеного доступу до каталогів (AD LDS) використовується Майстер налаштування служб Active
Directory полегшеного доступу до каталогів.
В процесі установки AD LDS користувач може самостійно створити розділ каталогу додатків, якщо LDAPдодаток не створює його автоматично.
Мінімальною вимогою для виконання цієї процедури є членство в групі Адміністратори або наявність еквівалентних прав.
Щоб створити екземпляр AD LDS за допомогою майстра установки служби полегшеного доступу до каталогів (AD LDS)
1.Натисніть кнопку Пуск, виберіть пункт Адміністрування, а потім клацніть Майстер установки служб Active Directory полегшеного доступу до каталогів (AD LDS).
2.На сторінці Майстер установки служб полегшеного доступу до каталогів Active Directory (AD LDS) натисніть кнопку Далі.
3.На сторінці Параметри установки клацніть Унікальний екземпляр, а потім натисніть кнопку Далі.
4.Завершіть створення екземпляра, виконуючи вказівки майстра.
AD LDS управляє сховищем даних каталогу та обробляє запити від клієнтів каталогу та інших служб каталогів.
Служба каталогів AD LDS виконується в контексті безпеки облікового запису, зазначеного як обліковий запис служби AD LDS.
Служба каталогів AD LDS надає наступні функції:
Перевірка справжності користувачів каталогу
Обробка запитів даних
Синхронізація даних між серверами каталогу (за допомогою реплікації з декількома господарями)
Управління даними
Поради з безпеки реплікації AD LDS
Використовуйте найвищий рівень безпеки реплікації, підтримуваний середовищем.
У середовищі AD DS запускайте AD LDS на рядових серверах, а не на контролерах домену, якщо це можливо.
Якщо AD LDS працює на контролері домену в середовищі AD DS, не використовуйте обліковий запис мережної служби в 
якості облікового запису служби AD LDS. Замість цього використовуйте обліковий запис користувача домену, що не
має прав адміністратора.
При роботі в робочій групі і Windows NT 4.0 не 
використовуйте обліковий запис з правами адміністратора в
якості облікового запису служби AD LDS.
Використовуйте роздільні набори конфігурації для додатків з жорсткими вимогами ізоляції.
РОБОТА З ПЕРЕВІРКОЮ АВТЕНТИЧНОСТІ І УПРАВЛІННЯ ДОСТУПОМ
Контроль доступом в службах Active Directory полегшеного доступу до каталогів (AD LDS) складається з двох етапів.
1 |
LDS виконує перевірку автентичності посвідчень |
|
|
користувачів, які звертаються до каталогу. |
|
Доступ до каталогу надається тільки користувачам, які успішно пройшли перевірку автентичності
2
AD LDS використовує дескриптори безпеки, так звані «таблиці контролю доступу» (ACL), на об'єктах каталогу, щоб визначити, до яких об'єктів є доступ у користувача, який пройшов перевірку автентичності.
2. ПОРЯДОК РОЗГОРТАНЯ ACTIVE DIRECTORY LIGHTWEIGHT DIRECTORY
SERVICES.
ВСТАНОВЛЕННЯ ACTIVE DIRECTORY LIGHTWEIGHT
DIRECTORY SERVICES
П А Р А М Е Т Р И У С Т А Н О В К И
унікальний екземпляр
При виборі установки унікального екземпляра AD LDS встановлений екземпляр AD LDS не входитиме до складу будь-якого існуючого набору конфігурації і не буде мати будь-яких партнерів реплікації. Майстер установки AD LDS створить для нового екземпляра AD LDS стандартні копії розділів каталогу схеми і конфігурації. Будь-які розширення схеми, що додаються до будь-якого іншого екземпляру AD LDS, в цьому новому екземплярі AD LDS стануть недоступними.
Репліка існуючого примірника
При виборі установки репліки існуючого екземпляру AD LDS встановлений екземпляр AD LDS буде містити копії реплікованих розділів каталогу схеми і конфігурації (включаючи всі розширення схеми) з екземпляра, обраного для реплікації. Крім того, за допомогою майстра установки AD LDS можна вибірково репликувати будь-які розділи каталогів додатки, які існують у вихідному наборі конфігурації. Як джерело реплікації необхідно вказати запущений екземпляр AD LDS. Щоб прискорити процес реплікації нового екземпляра, в якості джерела даних можна використовувати відновлену копію архівованого екземпляра AD LDS.