19295

Служба директорий Active Directory

Лекция

Информатика, кибернетика и программирование

Лекция 11 Служба директорий Active Directory Для централизованного управления большими сетями охватывающими несколько миллионов пользователей и компьютеров и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понима...

Русский

2013-07-11

3.58 MB

16 чел.

Лекция 11 

Служба директорий Active Directory

Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах  сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.

Active Directory создает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен  сети Интернет.  DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснастки Active Directory Domains and Trust (рис.11_1).

Рис.11_1. Оснастка оснастки Active Directory Domains and Trust

 

Active Directory выделяет две структуры сети: логическую и физическую.

Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис 11_2). Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут содержать в себе другие объекты.

Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.

Рис.11_2. Создание объектов в домене

Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис.11_3).

Рис.11_3. Создание нового OU внутри домена

Домен – основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов, и каждый домен хранит информацию только о тех объектах, которые содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, однако, достоверно известно только о цифре в 1 миллион.

С другой стороны, доменом называется  раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.

Доступ к объектам домена определяется списком контроля доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов  и административные разрешения действуют только внутри домена, не пересекаясь с остальными.

В домен могут входить компьютеры следующих типов.

  •  Контроллеры доменов  под управлением Windows 2003  Server хранят и поддерживают копию каталога, проводит авторизацию пользователей, обеспечивают работу Active Directory (возможные операционные системы  Windows 2000 Advanced Server, Windows 2000  Datacenter). Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них;
  •  Сервера Active Directory, которые  могут не являться контроллерами доменов
  •  Рядовые серверы под управлением Windows 2003  Server для предоставления доступа к своим ресурсам;
  •  Компьютеры-клиенты под управлением Windows XP  для доступа к ресурсам домена.

Создание  новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory  Users and Groups (рис.11_4).

Рис.11_4. Оснастка Active Directory  Users and Groups

Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется лесом.  Лес может содержать только один домен. Все домены одного леса обеспечивают доступ к глобальному каталогу и создают общее пространство имен.  По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.

Доверительные отношения

Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен A доверяет домену B и домен B доверяет C, то это означает, что  A доверяет  C. Таким образом, все три домена доверяют друг другу. При вступлении нового домена в дерево, доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. На рисунке 11_5 и рисунке 11_7 показано установление доверительных отношений в  окне Trust оснастки Active Directory Domains and Trust.

При введении нового домена указывается режим функционирования (смешанный или основной), название доменов, между которыми устанавливаются отношения доверия, имя пользователя, управляющего отношениями (см. рис.11_5).

Рис. 11_5. Установление доверительных отношений

Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:

  •  Имена RFC 822 в виде имя_пользователя@имя_домена;
  •  Имена LDAP в виде //имя_сервера.имя_OU._имя_домена;
  •  Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.

Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи.  Выделяя диапазон IP-подсетей в сайт, например, всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:

  •  При регистрации пользователя,  клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации
  •  Репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходят гораздо реже, чем внутри сайта
  •  Обратите внимание, сайты не являются частью пространства имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 11_6). Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.

Рис. 11_6.  Оснастка  Active Directory Sites and Services

Рис.11_7. Настройка опций безопасности для сайтов и серверов

Рассмотрим несколько примеров применения Active Directory. 

Задание № 1

Маленькая фирма с несколькими отделами, расположенными в одном здании в соседних комнатах, хочет применить доменную модель Windows 2003. Нужно ли создавать сайты?

Решение

В этом случае необходимость в сайте отсутствует, так как при маленьком локализованном наборе ресурсов достаточно только одного домена и в нем одного контроллера домена.

Задание № 2

Маленькая фирма с несколькими отделами, расположенными в Москве, Санкт-Петербурге и Нижнем Новгороде, хочет применить одну из доменных моделей. Офисы отделов связаны друг с другом ISDN WAN.

Основные требования

  •  каждый отдел должен иметь доступ ко всем серверам приложений и ресурсам,
  •  модель должна поддерживать централизованное управление пользовательскими бюджетами.

Дополнительные требования

  •  должен быть минимизирован поток информации, связанный с регистрацией пользователей, по линиям связи WAN

Какую логическую и физическую структуру Active Directory Windows 2003  выбрать?

Решение

Модель дерева из одного домена удовлетворяет основным требованиям: она ориентирована на маленькие компании и поддерживает одну схему именования, централизованное управление и доступ к ресурсам. Помимо этого, для минимизации потока информации по линиям связи, необходимо выделить три сайта: в Москве, Санкт-Петербурге и Нижнем Новгороде с одним контроллером в каждом из них. На этих контроллерах будет проводиться аутентификация пользователей по месту их расположения. Кроме того, трафик репликации на низкоскоростных линиях связи надо настроить так, чтобы репликации осуществлялись в период наименьшей нагрузки и с более длительными интервалами, например, по ночам.

Задание № 3

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить  Active Directory Windows 2003. При этом каждый отдел должен иметь доступ только к  своим серверам приложений и принтерам, а вы хотите  поддерживать централизованное управление пользовательскими бюджетами? Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с одним доменом и несколькими организационными подразделениями наилучшим образом подходит для такой организации: она дает возможность ограничить доступ пользователей к ресурсам только своего организационного подразделения и поддерживает централизованное управление пользовательскими бюджетами.

Задание № 4

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь возможность управления доступом ко всем серверами приложений и принтерам и поддерживать управление своими  пользовательскими бюджетами.  Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с несколькими доменами наилучшим образом подходит для такой организации: она дает возможность организации доступа ко всем своим ресурсам каждому офису,  а административные полномочия распространяются только в пределах одного домена (офиса).

Задание № 5

В маленьком издательстве всего шесть компьютеров и он вполне справляется с работой. В ближайшее время не планируется никаких расширений. Какую  модель необходимо выбрать: доменную Active Directory или рабочую группу?

Решение

Для маленьких сетей, в которых всего несколько компьютеров, целесообразно выбрать модель рабочей группы в виду дешевизны и простоты обслуживания.

PAGE   \* MERGEFORMAT 1


EMBED PBrush  

EMBED PBrush  

EMBED PBrush  

EMBED PBrush  


 

А также другие работы, которые могут Вас заинтересовать

61337. Ознайомлення з календарем. Прямокутник 21.19 KB
  Це не просто багаття а вогонь доброти. Якщо ми будемо робити добрі справи вогонь не згаснеа розгориться. Підкладаємо полінце і вогонь розгорається. Вогонь розгорається.
61338. Застосування загального правила додавання двоцифрових чисел і обчислень виду 54 + 30, 54 + 3. Вимірювання довжини відрізків 139.58 KB
  Обладнання: картки з частинками вислову таблиця для зорового диктанту зразок для каліграфічної хвилинки картки для диференційованої роботи короткий запис задачі план розвязування задачі індивідуальні краплинки меду підручник Математика.
61340. Додавання і віднімання числа чотири 17.78 KB
  Мета: Розкрити принципи укладання таблиць додавання і віднімання числа чотири формувати вміння додавати число частинами порівнювати значення виразів з даними числами повторити знання про вивчені раніше типи задач розвивати...
61341. Закріплення вивченого матеріалу: додавання і віднімання двоцифрових чисел без переходу через десяток, знаходження периметра квадрата 18.52 KB
  Обладнання: Карта подорожі малюнок Зоопарк поїзд з вагонами короткий запис задачі будиночки з прикладами картки для індивідуального завдання. Якщо правильно виконаєте завдання то дізнаєтесь яким Видом транспорту вирушимо у дорогу.
61342. Закрепление изученных способов сложения и вычитания чисел в пределах 100 без перехода через десяток 17.53 KB
  Цели: 1. Совершенствовать вычислительные навыки сложения и вычитания чисел в пределах 100 без перехода через десятки. Закрепить умения решать задачи, уравнения. 2. Развивать познавательную активность, гибкость мышления, внимание, смекалку, сообразительность, наблюдательность.