19295

Служба директорий Active Directory

Лекция

Информатика, кибернетика и программирование

Лекция 11 Служба директорий Active Directory Для централизованного управления большими сетями охватывающими несколько миллионов пользователей и компьютеров и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понима...

Русский

2013-07-11

3.58 MB

16 чел.

Лекция 11 

Служба директорий Active Directory

Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах  сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.

Active Directory создает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен  сети Интернет.  DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснастки Active Directory Domains and Trust (рис.11_1).

Рис.11_1. Оснастка оснастки Active Directory Domains and Trust

 

Active Directory выделяет две структуры сети: логическую и физическую.

Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис 11_2). Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут содержать в себе другие объекты.

Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.

Рис.11_2. Создание объектов в домене

Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис.11_3).

Рис.11_3. Создание нового OU внутри домена

Домен – основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов, и каждый домен хранит информацию только о тех объектах, которые содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, однако, достоверно известно только о цифре в 1 миллион.

С другой стороны, доменом называется  раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.

Доступ к объектам домена определяется списком контроля доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов  и административные разрешения действуют только внутри домена, не пересекаясь с остальными.

В домен могут входить компьютеры следующих типов.

  •  Контроллеры доменов  под управлением Windows 2003  Server хранят и поддерживают копию каталога, проводит авторизацию пользователей, обеспечивают работу Active Directory (возможные операционные системы  Windows 2000 Advanced Server, Windows 2000  Datacenter). Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них;
  •  Сервера Active Directory, которые  могут не являться контроллерами доменов
  •  Рядовые серверы под управлением Windows 2003  Server для предоставления доступа к своим ресурсам;
  •  Компьютеры-клиенты под управлением Windows XP  для доступа к ресурсам домена.

Создание  новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory  Users and Groups (рис.11_4).

Рис.11_4. Оснастка Active Directory  Users and Groups

Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется лесом.  Лес может содержать только один домен. Все домены одного леса обеспечивают доступ к глобальному каталогу и создают общее пространство имен.  По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.

Доверительные отношения

Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен A доверяет домену B и домен B доверяет C, то это означает, что  A доверяет  C. Таким образом, все три домена доверяют друг другу. При вступлении нового домена в дерево, доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. На рисунке 11_5 и рисунке 11_7 показано установление доверительных отношений в  окне Trust оснастки Active Directory Domains and Trust.

При введении нового домена указывается режим функционирования (смешанный или основной), название доменов, между которыми устанавливаются отношения доверия, имя пользователя, управляющего отношениями (см. рис.11_5).

Рис. 11_5. Установление доверительных отношений

Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:

  •  Имена RFC 822 в виде имя_пользователя@имя_домена;
  •  Имена LDAP в виде //имя_сервера.имя_OU._имя_домена;
  •  Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.

Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи.  Выделяя диапазон IP-подсетей в сайт, например, всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:

  •  При регистрации пользователя,  клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации
  •  Репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходят гораздо реже, чем внутри сайта
  •  Обратите внимание, сайты не являются частью пространства имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 11_6). Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.

Рис. 11_6.  Оснастка  Active Directory Sites and Services

Рис.11_7. Настройка опций безопасности для сайтов и серверов

Рассмотрим несколько примеров применения Active Directory. 

Задание № 1

Маленькая фирма с несколькими отделами, расположенными в одном здании в соседних комнатах, хочет применить доменную модель Windows 2003. Нужно ли создавать сайты?

Решение

В этом случае необходимость в сайте отсутствует, так как при маленьком локализованном наборе ресурсов достаточно только одного домена и в нем одного контроллера домена.

Задание № 2

Маленькая фирма с несколькими отделами, расположенными в Москве, Санкт-Петербурге и Нижнем Новгороде, хочет применить одну из доменных моделей. Офисы отделов связаны друг с другом ISDN WAN.

Основные требования

  •  каждый отдел должен иметь доступ ко всем серверам приложений и ресурсам,
  •  модель должна поддерживать централизованное управление пользовательскими бюджетами.

Дополнительные требования

  •  должен быть минимизирован поток информации, связанный с регистрацией пользователей, по линиям связи WAN

Какую логическую и физическую структуру Active Directory Windows 2003  выбрать?

Решение

Модель дерева из одного домена удовлетворяет основным требованиям: она ориентирована на маленькие компании и поддерживает одну схему именования, централизованное управление и доступ к ресурсам. Помимо этого, для минимизации потока информации по линиям связи, необходимо выделить три сайта: в Москве, Санкт-Петербурге и Нижнем Новгороде с одним контроллером в каждом из них. На этих контроллерах будет проводиться аутентификация пользователей по месту их расположения. Кроме того, трафик репликации на низкоскоростных линиях связи надо настроить так, чтобы репликации осуществлялись в период наименьшей нагрузки и с более длительными интервалами, например, по ночам.

Задание № 3

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить  Active Directory Windows 2003. При этом каждый отдел должен иметь доступ только к  своим серверам приложений и принтерам, а вы хотите  поддерживать централизованное управление пользовательскими бюджетами? Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с одним доменом и несколькими организационными подразделениями наилучшим образом подходит для такой организации: она дает возможность ограничить доступ пользователей к ресурсам только своего организационного подразделения и поддерживает централизованное управление пользовательскими бюджетами.

Задание № 4

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь возможность управления доступом ко всем серверами приложений и принтерам и поддерживать управление своими  пользовательскими бюджетами.  Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с несколькими доменами наилучшим образом подходит для такой организации: она дает возможность организации доступа ко всем своим ресурсам каждому офису,  а административные полномочия распространяются только в пределах одного домена (офиса).

Задание № 5

В маленьком издательстве всего шесть компьютеров и он вполне справляется с работой. В ближайшее время не планируется никаких расширений. Какую  модель необходимо выбрать: доменную Active Directory или рабочую группу?

Решение

Для маленьких сетей, в которых всего несколько компьютеров, целесообразно выбрать модель рабочей группы в виду дешевизны и простоты обслуживания.

PAGE   \* MERGEFORMAT 1


EMBED PBrush  

EMBED PBrush  

EMBED PBrush  

EMBED PBrush  


 

А также другие работы, которые могут Вас заинтересовать

81511. Инозиновая кислота как предшественник адениловой и гуаниловой кислот 253.09 KB
  Первая специфическая реакция образования пуриновых нуклеотидов - перенос амидной группы Глн на ФРДФ с образованием 5-фосфорибозил-1 -амина Эту реакцию катализирует фермент амидофосфорибозилтрансфераза. При этом формируется β-N-гликозидная связь. Затем к аминогруппе 5-фосфорибозил-1-амина присоединяются остаток глицина
81512. Представление о распаде и биосинтезе пиримидиновых нуклеотидов 190 KB
  Образование дигидрооротата. Карбамоилфосфат использующийся на образование пирймидиновых нуклеотидов является продуктом полифункционального фермента который наряду с активностью КФС II содержит каталитические центры аспартаттранскарбамоилазы и дигидрооротазы. Объединение первых трёх ферментов метаболического пути в единый полифункциональный комплекс позволяет использовать почти весь синтезированный в первой реакции карбамоилфосфат на взаимодействие с аспартатом и образование карбамоиласпартата от которого отщепляется вода и образуется...
81513. Нарушения обмена нуклеотидов. Подагра; применение аллопуринола для лечения подагры. Ксантинурия. Оротацидурия 120.73 KB
  Когда в плазме крови концентрация мочевой кислоты превышает норму то возникает гиперурикемия. Вследствие гиперурикемии может развиться подагра заболевание при котором кристаллы мочевой кислоты и уратов откладываются в суставных хрящах синовиальной оболочке подкожной клетчатке с образованием подагрических узлов или тофусов. Поскольку лейкоциты фагоцитируют кристаллы уратов то причиной воспаления является разрушение лизосомальных мембран лейкоцитов кристаллами мочевой кислоты. Это вызывает ингибирование запасных путей спасения усиление...
81514. Биосинтез дезоксирибонуклеотидов. Применение ингибиторов синтеза дезоксирибонуклеотидов для лечения злокачественных опухолей 178.43 KB
  Синтез дезоксирибонуклеотидов идёт с заметной скоростью только в тех клетках, которые вступают в S-фазу клеточного цикла и готовятся к синтезу ДНК и делению. В покоящихся клетках дезоксинуклеотиды практически отсутствуют. Все дезоксинуклеотиды, кроме тимидиловых, образуются из рибонуклеотидов путём прямого восстановления ОН-группы у второго углеродного атома рибозы в составе рибонуклеозиддифосфатов до дезоксирибозы
81515. Биосинтез ДНК, субстраты, источники энергии, матрица, ферменты. Понятие о репликативном комплексе. Этапы репликации 154.76 KB
  Этапы биосинтеза ДНК. Предложен ряд моделей механизма биосинтеза ДНК с участием указанных ранее ферментов и белковых факторов однако детали некоторых этапов этого синтеза еще не выяснены. Основываясь главным образом на данных полученных в опытах in vitro предполагают что условно механизм синтеза ДНК у Е.
81516. Синтез ДНК и фазы клеточного деления. Роль циклинов и циклинзависимых протеиназ в продвижении клетки по клеточному циклу 163.63 KB
  Роль циклинов и циклинзависимых протеиназ в продвижении клетки по клеточному циклу. Все фазы клеточного цикла G1 S G2 M могут различаться по длительности но в особенности это касается фазы G1 длительность которой может быть равна практически нулю или быть столь продолжительной что может казаться будто клетки вообще прекратили деление. В этом случае говорят что клетки находятся в состоянии покоя фаза G0. Клетки эпителия кишечника делятся на протяжении всей жизни человека но даже у этих быстропролиферирующих клеток подготовка к...
81517. Повреждение и репарация ДНК. Ферменты ДНК-репарирующего комплекса 137.99 KB
  Ферменты ДНКрепарирующего комплекса. Процесс позволяющий живым организмам восстанавливать повреждения возникающие в ДНК называют репарацией. Все репарационные механизмы основаны на том что ДНК двухцепочечная молекула т.
81518. Биосинтез РНК. РНК полимеразы. Понятие о мозаичной структуре генов, первичном транскрипте, посттранскрипционном процессинге 108.48 KB
  РНК полимеразы. В ходе процесса образуются молекулы мРНК служащие матрицей для синтеза белков а также транспортные рибосомальные и другие виды молекул РНК выполняющие структурные адапторные и каталитические функции Транскрипция у эукариотов происходит в ядре.принцип комплементарного спаривания оснований в молекуле РНК G ≡ C =U и Т=А.
81519. Биологический код, понятия, свойства кода, коллинеарность, сигналы терминации 105.17 KB
  Генетический код и его свойства Необходимость кодирования структуры белков в линейной последовательности нуклеотидов мРНК и ДНК продиктована тем что в ходе трансляции: нет соответствия между числом мономеров в матрице мРНК и продукте синтезируемом белке; отсутствует структурное сходство между мономерами РНК и белка. Отсюда становится ясным что должен существовать словарь позволяющий выяснить какая последовательность нуклеотидов мРНК обеспечивает включение в белок аминокислот в заданной последовательности. Он позволяет шифровать...