19295

Служба директорий Active Directory

Лекция

Информатика, кибернетика и программирование

Лекция 11 Служба директорий Active Directory Для централизованного управления большими сетями охватывающими несколько миллионов пользователей и компьютеров и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понима...

Русский

2013-07-11

3.58 MB

16 чел.

Лекция 11 

Служба директорий Active Directory

Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2003 использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах  сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.

Active Directory создает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен  сети Интернет.  DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснастки Active Directory Domains and Trust (рис.11_1).

Рис.11_1. Оснастка оснастки Active Directory Domains and Trust

 

Active Directory выделяет две структуры сети: логическую и физическую.

Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т.е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис 11_2). Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут содержать в себе другие объекты.

Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т.е. приложение имеет право добавить в схему новые атрибуты и классы объектов.

Рис.11_2. Создание объектов в домене

Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис.11_3).

Рис.11_3. Создание нового OU внутри домена

Домен – основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов, и каждый домен хранит информацию только о тех объектах, которые содержаться в нем. Утверждается, что домен может содержать до 10 миллионов объектов, однако, достоверно известно только о цифре в 1 миллион.

С другой стороны, доменом называется  раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.

Доступ к объектам домена определяется списком контроля доступа ACL (Access Control List). Все политики безопасности, списки ACL объектов  и административные разрешения действуют только внутри домена, не пересекаясь с остальными.

В домен могут входить компьютеры следующих типов.

  •  Контроллеры доменов  под управлением Windows 2003  Server хранят и поддерживают копию каталога, проводит авторизацию пользователей, обеспечивают работу Active Directory (возможные операционные системы  Windows 2000 Advanced Server, Windows 2000  Datacenter). Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них;
  •  Сервера Active Directory, которые  могут не являться контроллерами доменов
  •  Рядовые серверы под управлением Windows 2003  Server для предоставления доступа к своим ресурсам;
  •  Компьютеры-клиенты под управлением Windows XP  для доступа к ресурсам домена.

Создание  новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory  Users and Groups (рис.11_4).

Рис.11_4. Оснастка Active Directory  Users and Groups

Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется лесом.  Лес может содержать только один домен. Все домены одного леса обеспечивают доступ к глобальному каталогу и создают общее пространство имен.  По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.

Доверительные отношения

Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен A доверяет домену B и домен B доверяет C, то это означает, что  A доверяет  C. Таким образом, все три домена доверяют друг другу. При вступлении нового домена в дерево, доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. На рисунке 11_5 и рисунке 11_7 показано установление доверительных отношений в  окне Trust оснастки Active Directory Domains and Trust.

При введении нового домена указывается режим функционирования (смешанный или основной), название доменов, между которыми устанавливаются отношения доверия, имя пользователя, управляющего отношениями (см. рис.11_5).

Рис. 11_5. Установление доверительных отношений

Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:

  •  Имена RFC 822 в виде имя_пользователя@имя_домена;
  •  Имена LDAP в виде //имя_сервера.имя_OU._имя_домена;
  •  Имена UNC для доступа к папкам, принтерам и файлам \\servername.cyber.mephi.ru\new_folder\new.doc.

Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи.  Выделяя диапазон IP-подсетей в сайт, например, всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:

  •  При регистрации пользователя,  клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации
  •  Репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходят гораздо реже, чем внутри сайта
  •  Обратите внимание, сайты не являются частью пространства имен Active Directory, они содержаться в отдельной части каталога и управляются оснасткой Active Directory Sites and Services (рис. 11_6). Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.

Рис. 11_6.  Оснастка  Active Directory Sites and Services

Рис.11_7. Настройка опций безопасности для сайтов и серверов

Рассмотрим несколько примеров применения Active Directory. 

Задание № 1

Маленькая фирма с несколькими отделами, расположенными в одном здании в соседних комнатах, хочет применить доменную модель Windows 2003. Нужно ли создавать сайты?

Решение

В этом случае необходимость в сайте отсутствует, так как при маленьком локализованном наборе ресурсов достаточно только одного домена и в нем одного контроллера домена.

Задание № 2

Маленькая фирма с несколькими отделами, расположенными в Москве, Санкт-Петербурге и Нижнем Новгороде, хочет применить одну из доменных моделей. Офисы отделов связаны друг с другом ISDN WAN.

Основные требования

  •  каждый отдел должен иметь доступ ко всем серверам приложений и ресурсам,
  •  модель должна поддерживать централизованное управление пользовательскими бюджетами.

Дополнительные требования

  •  должен быть минимизирован поток информации, связанный с регистрацией пользователей, по линиям связи WAN

Какую логическую и физическую структуру Active Directory Windows 2003  выбрать?

Решение

Модель дерева из одного домена удовлетворяет основным требованиям: она ориентирована на маленькие компании и поддерживает одну схему именования, централизованное управление и доступ к ресурсам. Помимо этого, для минимизации потока информации по линиям связи, необходимо выделить три сайта: в Москве, Санкт-Петербурге и Нижнем Новгороде с одним контроллером в каждом из них. На этих контроллерах будет проводиться аутентификация пользователей по месту их расположения. Кроме того, трафик репликации на низкоскоростных линиях связи надо настроить так, чтобы репликации осуществлялись в период наименьшей нагрузки и с более длительными интервалами, например, по ночам.

Задание № 3

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить  Active Directory Windows 2003. При этом каждый отдел должен иметь доступ только к  своим серверам приложений и принтерам, а вы хотите  поддерживать централизованное управление пользовательскими бюджетами? Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с одним доменом и несколькими организационными подразделениями наилучшим образом подходит для такой организации: она дает возможность ограничить доступ пользователей к ресурсам только своего организационного подразделения и поддерживает централизованное управление пользовательскими бюджетами.

Задание № 4

Большая организация (50 тысяч человек) с многочисленными отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь возможность управления доступом ко всем серверами приложений и принтерам и поддерживать управление своими  пользовательскими бюджетами.  Какую логическую структуру Active Directory нужно выбрать?

Решение

Структура дерева с несколькими доменами наилучшим образом подходит для такой организации: она дает возможность организации доступа ко всем своим ресурсам каждому офису,  а административные полномочия распространяются только в пределах одного домена (офиса).

Задание № 5

В маленьком издательстве всего шесть компьютеров и он вполне справляется с работой. В ближайшее время не планируется никаких расширений. Какую  модель необходимо выбрать: доменную Active Directory или рабочую группу?

Решение

Для маленьких сетей, в которых всего несколько компьютеров, целесообразно выбрать модель рабочей группы в виду дешевизны и простоты обслуживания.

PAGE   \* MERGEFORMAT 1


EMBED PBrush  

EMBED PBrush  

EMBED PBrush  

EMBED PBrush  


 

А также другие работы, которые могут Вас заинтересовать

45920. Правила (принципы) базирования. Определенность и неопределенность базирования 11.85 KB
  В практике достигнутое правильное положение детали может измениться если возникнут силы или моменты сил нарушающие контакт поверхности детали с опорными точками приспособлений. Поэтому для сохранения полученного при базировании правильного положения детали необходимо обеспечить непрерывность контакта баз. ОПРЕДЕЛЕННОСТЬ БАЗИРОВАНИЯ детали неизменность ее положения относительно поверхностей другой детали или деталей с которыми она соединена и которые определяют ее положение в процессе изготовления. НЕОПРЕДЕЛЕННОСТЬ...
45921. Индивидуальное проектирование тех. процессов 10.84 KB
  Подготовительный этап А анализ конструкторской информации Б определение типа прва В выбор метода получения заготовок 2. Синтетический этап А синтез вариантов маршрута обки отдельных повей Б синтез вариантов схем базиия В синтез маршрута обки заготовок Г синтез структуры операции 3.Аналитический этап а размерный анализ тех. Заключительный этап: Оформление документации.
45922. Структура временных связей в операциях технологического процесса. Техническое нормирование 27.58 KB
  Структура оперативного времени в операциях могут отличаться в зависимости от способов выполнения основных переходов степени совмещения выполнения основных и вспомогательных переходов; числа потоков дублирующих выполнение одинаковых переходов при изготовлении одноименных изделий. Время затраченное на две группы основных переходов составит сумма времени выполнения наиболее длительных переходов в каждой из групп основных переходов: где – число групп основных переходов. Поэтому основное технологическое время равно наибольшему времени...
45923. Пути сокращения затрат времени на выполнение операции 25.95 KB
  Пути сокращения затрат времени на выполнение операции Анализ формул по определению штучнокалькуляционного времени : показывает что его можно уменьшить либо путем сокращения подготовительнозаключительного и штучного времени либо увеличением объема партии изготовляемых изделий . Пути сокращения подготовительно заключительного времени Затраты времени на подготовку к работе складываются из времени получения и ознакомления рабочего с заданием получения и установки на станке инструментов и приспособлений а по окончании работы их...
45924. Технологичность конструкции 14.3 KB
  Конструкция изделия в первую очередь определяется его служебным назначением. Однако конструктивное исполнение изделия может быть разным при этом будут разными и затраты ресурсов. Эта разница и является результатом разного уровня технологичности изделия. Технологичность это совокупность свойств изделия определяющих приспособленность его конструкции к достижению оптимальных затрат ресурсов при его производстве ремонте и утилизации.
45925. Выявление маршрута обработки отдельных поверхностей детали 18.51 KB
  Выявление маршрута обработки отдельных поверхностей детали. 2 Аналогичные действия выполняются при планировании обработки всех других поверхностей. 3 Расчленяют операции и переходы на черновые получистовые и чистовые а затем формируют примерный маршрут обработки. 4 Внедряют передовые методы механической обработки ППД РСО ЭЭО и т.
45926. Основные функциональные элементы приспособлений. Назначение и краткая характеристика 13.69 KB
  Конструкции всех станочных приспособлений основываются на использовании типовых элементов которые можно разделить на следующие группы: аустановочные опорные элементы определяющие положение детали в приспособлении; бзажимные элементы устройства и механизмы для крепления деталей или подвижных частей приспособлений; в настроичные элементы г элементы обеспечивающие точное расположение приспособления на месте эксплуатации. д делительные устройства екорпуса крепежные элементы и вспомогательные устройства. Зажимные...
45927. Способы базирования заготовок с базами в виде плоских поверхностей 329.69 KB
  Базирование главной базы имеет 3 точки осуществляется на: 3 штыря опоры 2 пластины опорные штыри в сочетании с плавающими и сблокированными опорами на плоскость опорного элемента. При этом погрешность базирования близко равно 0. Для необработанных баз следует учитывать дополнительно погрешность связанную с отклонением плоскостности базы.
45928. Способы базирования заготовок с базами в виде отверстий 74.04 KB
  Базирование в отверстие или на палец рекомендуется использовать для заготовок с базами обработанными не грубее 9 квалитета. Этот способ применяется для заготовок с базами обработанными не грубее 7 квалитета.