19295

Служба директорий Active Directory

Лекция

Информатика, кибернетика и программирование

Лекция 11 Служба директорий Active Directory Для централизованного управления большими сетями охватывающими несколько миллионов пользователей и компьютеров и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понима...

Русский

2013-07-11

3.58 MB

16 чел.

Лекция 11 

Служба директорий Active Directory

Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах  сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.

Active Directory создает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен  сети Интернет.  DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснастки Active Directory Domains and Trust (рис.11_1).

Рис.11_1. Оснастка оснастки Active Directory Domains and Trust

 

Active Directory выделяет две структуры сети: логическую и физическую.

Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис 11_2). Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут содержать в себе другие объекты.

Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.

Рис.11_2. Создание объектов в домене

Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис.11_3).

Рис.11_3. Создание нового OU внутри домена

Домен – основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов, и каждый домен хранит информацию только о тех объектах, которые содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, однако, достоверно известно только о цифре в 1 миллион.

С другой стороны, доменом называется  раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.

Доступ к объектам домена определяется списком контроля доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов  и административные разрешения действуют только внутри домена, не пересекаясь с остальными.

В домен могут входить компьютеры следующих типов.

  •  Контроллеры доменов  под управлением Windows 2003  Server хранят и поддерживают копию каталога, проводит авторизацию пользователей, обеспечивают работу Active Directory (возможные операционные системы  Windows 2000 Advanced Server, Windows 2000  Datacenter). Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них;
  •  Сервера Active Directory, которые  могут не являться контроллерами доменов
  •  Рядовые серверы под управлением Windows 2003  Server для предоставления доступа к своим ресурсам;
  •  Компьютеры-клиенты под управлением Windows XP  для доступа к ресурсам домена.

Создание  новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory  Users and Groups (рис.11_4).

Рис.11_4. Оснастка Active Directory  Users and Groups

Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется лесом.  Лес может содержать только один домен. Все домены одного леса обеспечивают доступ к глобальному каталогу и создают общее пространство имен.  По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.

Доверительные отношения

Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен A доверяет домену B и домен B доверяет C, то это означает, что  A доверяет  C. Таким образом, все три домена доверяют друг другу. При вступлении нового домена в дерево, доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. На рисунке 11_5 и рисунке 11_7 показано установление доверительных отношений в  окне Trust оснастки Active Directory Domains and Trust.

При введении нового домена указывается режим функционирования (смешанный или основной), название доменов, между которыми устанавливаются отношения доверия, имя пользователя, управляющего отношениями (см. рис.11_5).

Рис. 11_5. Установление доверительных отношений

Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:

  •  Имена RFC 822 в виде имя_пользователя@имя_домена;
  •  Имена LDAP в виде //имя_сервера.имя_OU._имя_домена;
  •  Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.

Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи.  Выделяя диапазон IP-подсетей в сайт, например, всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:

  •  При регистрации пользователя,  клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации
  •  Репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходят гораздо реже, чем внутри сайта
  •  Обратите внимание, сайты не являются частью пространства имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 11_6). Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.

Рис. 11_6.  Оснастка  Active Directory Sites and Services

Рис.11_7. Настройка опций безопасности для сайтов и серверов

Рассмотрим несколько примеров применения Active Directory. 

Задание № 1

Маленькая фирма с несколькими отделами, расположенными в одном здании в соседних комнатах, хочет применить доменную модель Windows 2003. Нужно ли создавать сайты?

Решение

В этом случае необходимость в сайте отсутствует, так как при маленьком локализованном наборе ресурсов достаточно только одного домена и в нем одного контроллера домена.

Задание № 2

Маленькая фирма с несколькими отделами, расположенными в Москве, Санкт-Петербурге и Нижнем Новгороде, хочет применить одну из доменных моделей. Офисы отделов связаны друг с другом ISDN WAN.

Основные требования

  •  каждый отдел должен иметь доступ ко всем серверам приложений и ресурсам,
  •  модель должна поддерживать централизованное управление пользовательскими бюджетами.

Дополнительные требования

  •  должен быть минимизирован поток информации, связанный с регистрацией пользователей, по линиям связи WAN

Какую логическую и физическую структуру Active Directory Windows 2003  выбрать?

Решение

Модель дерева из одного домена удовлетворяет основным требованиям: она ориентирована на маленькие компании и поддерживает одну схему именования, централизованное управление и доступ к ресурсам. Помимо этого, для минимизации потока информации по линиям связи, необходимо выделить три сайта: в Москве, Санкт-Петербурге и Нижнем Новгороде с одним контроллером в каждом из них. На этих контроллерах будет проводиться аутентификация пользователей по месту их расположения. Кроме того, трафик репликации на низкоскоростных линиях связи надо настроить так, чтобы репликации осуществлялись в период наименьшей нагрузки и с более длительными интервалами, например, по ночам.

Задание № 3

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить  Active Directory Windows 2003. При этом каждый отдел должен иметь доступ только к  своим серверам приложений и принтерам, а вы хотите  поддерживать централизованное управление пользовательскими бюджетами? Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с одним доменом и несколькими организационными подразделениями наилучшим образом подходит для такой организации: она дает возможность ограничить доступ пользователей к ресурсам только своего организационного подразделения и поддерживает централизованное управление пользовательскими бюджетами.

Задание № 4

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь возможность управления доступом ко всем серверами приложений и принтерам и поддерживать управление своими  пользовательскими бюджетами.  Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с несколькими доменами наилучшим образом подходит для такой организации: она дает возможность организации доступа ко всем своим ресурсам каждому офису,  а административные полномочия распространяются только в пределах одного домена (офиса).

Задание № 5

В маленьком издательстве всего шесть компьютеров и он вполне справляется с работой. В ближайшее время не планируется никаких расширений. Какую  модель необходимо выбрать: доменную Active Directory или рабочую группу?

Решение

Для маленьких сетей, в которых всего несколько компьютеров, целесообразно выбрать модель рабочей группы в виду дешевизны и простоты обслуживания.

PAGE   \* MERGEFORMAT 1


EMBED PBrush  

EMBED PBrush  

EMBED PBrush  

EMBED PBrush  


 

А также другие работы, которые могут Вас заинтересовать

67764. Начало работы в Access 3.55 MB
  Если вы работаете с одним из программных продуктов Microsoft Office, эту тему можно пропустить, поскольку интерфейс всех входящих в него программ одинаков.
67765. Господарське право, конспект лекцій 640 KB
  Поняття «господарська діяльність» має ключове значення для всього господарського права. Більше того, воно використається й в інших галузях права (наприклад, у податковому й кримінальному). До останнього часу в законодавстві втримувалося кілька визначень поняття «господарської діяльності»
67766. Применение программ пакета Microsoft Office 8.81 MB
  Если стандарт специальности не предусматривает обязательного изучения языков программирования высокого уровня то лабораторные работы второго семестра могут быть выполнены самостоятельно Подготовлены к публикации кафедрой Прикладных информационных технологий в экономике и менеджменте по рекомендации...
67767. Исследование объемного расходомера 499 KB
  Данный расходомер, измеряющий объемный расход жидкости, относится к расходомерам тахометрического типа. Бесконтактный метод измерения скорости вращения ротора позволяет полностью пользоваться его положительными качествами.
67768. Исследование цифровых измерительных преобразователей углов 1.85 MB
  Использование в системах бортовых цифровых вычислительных машин приводит к необходимости создания измерительных преобразователей углов с цифровым входным сигналом. Известно много типов таких преобразователей, работа которых основана на различных принципах.
67769. Исследование преобразователей “ток-частота” цифровых измерительных приборов летательных аппаратов 531.94 KB
  В таких устройствах используются датчики первичной информации в которых воспринимаемая величина вначале представляется в виде напряжения или тока затем преобразуемые в частоту или период следования импульсов. В данной работе рассматривается преобразователь выходного тока который может быть получен...
67770. ИЗУЧЕНИЕ ЗАКОНА БОЙЛЯ-МАРИОТТА 4.17 MB
  Термодинамической системой называется тело или сочетание нескольких тел, находящихся в тепловом контакте, свойства и поведение которых изучаются средствами термодинамики. Свойства любой системы и ее состояние описывается рядом физических величин, которые называются термодинамическими параметрами.
67771. ИЗУЧЕНИЕ ЗАВИСИМОСТИ КОЭФФИЦИЕНТА ПОВЕРХНОСТНОГО НАТЯЖЕНИЯ РАСТВОРА ОТ ЕГО КОНЦЕНТРАЦИИ И ТЕМПЕРАТУРЫ 295 KB
  Наличие у жидкости свободной поверхности приводит к существованию особой категории явлений называемых поверхностными или капиллярными. Если сфера находится в жидкости то в ней этих молекул разумеется на несколько порядков больше чем в газе над поверхностью. Если молекулы находятся в приграничном...