Разделы презентаций
- Разное
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Геометрия
- Детские презентации
- Информатика
- История
- Литература
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Служба каталога Active Directory
Содержание
- 1. Служба каталога Active Directory
- 2. СЛАЙД Служба AD существует на двух
- 3. СЛАЙД Основные понятияДомен – основная единица
- 4. СЛАЙД Служба каталога Active Directory
- 5. СЛАЙД Служба каталога Active Directory
- 6. СЛАЙД ОСНОВНЫЕ ФУНКЦИИ КОНТРОЛЛЕРОВ ДОМЕНАХранение БД
- 7. СЛАЙД Рекомендуется в каждом
- 8. СЛАЙД СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГАНа сервере глобального
- 9. СЛАЙД СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГАПервый контроллер домена,
- 10. СЛАЙД СТРУКТУРНЫЕ ОБЪЕКТЫ БД ADразделы; домены;деревья доменов; леса; сайты; организационные единицы.
- 11. СЛАЙД Разделы Active Directory База данных AD
- 12. СЛАЙД Раздел домена каталогаВ разделе домена
- 13. СЛАЙД Раздел конфигурации каталогаРаздел конфигурации содержит
- 14. СЛАЙД Раздел схемы каталогаРаздел схемы содержит
- 15. СЛАЙД ДОМЕНДомен является основным строительным блоком
- 16. СЛАЙД НАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН или пустой
- 17. СЛАЙД НЕНАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕНэто домен, который
- 18. СЛАЙД Общепринято, что домены, устанавливаемые вслед
- 19. СЛАЙД РОДИТЕЛЬСКО-ДОЧЕРНЯЯ ИЕРАРХИЯ ДОМЕНА
- 20. СЛАЙД ДЕРЕВЬЯ ДОМЕНОВДомены, которые создаются в
- 21. СЛАЙД Дерево доменов образуется в том
- 22. СЛАЙД Схема организации Contoso с несколькими доменными деревьями
- 23. СЛАЙД ЛЕСАЛес является границей безопасности для
- 24. СЛАЙД ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯПо-умолчанию домен является границей
- 25. СЛАЙД ТИПЫ ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙтранзитивные доверительные отношения; односторонние доверительные отношения;доверительные отношения леса;доверительные отношения области.
- 26. СЛАЙД Транзитивные доверительные отношенияВсе домены дерева
- 27. СЛАЙД Односторонние доверительные отношенияВ дополнение к
- 28. СЛАЙД Односторонние доверительные отношения используются для
- 29. СЛАЙД Доверительные отношения в лесу организации Contoso
- 30. СЛАЙД Если группа безопасности в домене
- 31. СЛАЙД Прямые доверительные отношения в лесу организации Contoso
- 32. СЛАЙД Если возникает потребность установить такие
- 33. СЛАЙД Доверительные отношения лесаДоверительные отношения леса
- 34. СЛАЙД ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ(OU – Organization Units)
- 35. СЛАЙД Организационные единицы используются для группировки
- 36. СЛАЙД Например, можно дать группе «Справочная»
- 37. СЛАЙД СТРУКТУРА OU
- 38. СЛАЙД ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫOU являются контейнерами объектов,
- 39. СЛАЙД Использование OU для управления группами
- 40. СЛАЙД Во многих случаях объекты в
- 41. СЛАЙД Проектирование и реализация службы AD
- 42. СЛАЙД Самое главное решение, которое нужно
- 43. СЛАЙД ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЛЕСА
- 44. СЛАЙД Проектирование доменной структуры Первая задача
- 45. СЛАЙД ДОМЕНЫ И ПРОЕКТ ACTIVE DIRECTORYДомены
- 46. СЛАЙД МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ ЕДИНСТВЕННОГО ДОМЕНАОграничения
- 47. СЛАЙД МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ НЕСКОЛЬКИХ ДОМЕНОВТрафик
- 48. СЛАЙД НАЗНАЧЕНИЕ ВЛАДЕЛЬЦЕВ ДОМЕНАДля каждого из
- 49. СЛАЙД ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ОРГАНИЗАЦИОННЫХ ЕДИНИЦКак только
- 50. СЛАЙД ВАЖНЫЕ ХАРАКТЕРИСТИКИ ОРГАНИЗАЦИОННЫХ ЕДИНИЦOU
- 51. СЛАЙД ПРИЧИНЫ СОЗДАНИЯ СТРУКТУРЫ OU возможность делегировании администрирования;управление назначением групповых политик.
- 52. СЛАЙД СОЗДАНИЕ ПРОЕКТА ОРГАНИЗАЦИОННЫХ ЕДИНИЦначинается с
- 53. СЛАЙД 2. деловое подразделение - в
- 54. СЛАЙД Большинство крупных организаций на практике
- 55. СЛАЙД Безопасное администрирование службы AD
- 56. СЛАЙД ЗАЩИТА ОБЪЕКТОВ ADОдна из основных
- 57. СЛАЙД УЧАСТНИКИ БЕЗОПАСНОСТИКаждому участнику безопасности при
- 58. СЛАЙД СПИСКИ УПРАВЛЕНИЯ ДОСТУПОМРазрешения на доступ
- 59. СЛАЙД Список DACL перечисляет участников безопасности,
- 60. СЛАЙД МАРКЕР ДОСТУПА (Лексема доступа)связывает SID
- 61. СЛАЙД ЗАЩИТА AD С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА
- 62. СЛАЙД 3. Улучшенное управление доверительными отношениями;
- 63. СЛАЙД КОМПОНЕНТЫ ПРОТОКОЛА KERBEROSКлиент (должен получить
- 64. СЛАЙД Схема двусторонней аутентификации пользователя и
- 65. СЛАЙД Теперь клиент и сервер ресурсов
- 66. СЛАЙД В принятой в Kerberos терминологии
- 67. СЛАЙД ДОВЕРЕННЫЙ СЕРВЕР KERBEROS Служба
- 68. СЛАЙД KDC состоит из:служба аутентификации (AS
- 69. Скачать презентанцию
СЛАЙД Служба AD существует на двух уровнях: на физическом уровне AD представляет собой файл, расположенный на жестком диске сервера и на жестком диске каждого контроллера домена;на логическом уровне AD представляет
Слайды и текст этой презентации
Слайд 1 СЛАЙД
Служба каталога Active Directory
обеспечивает мощный сервис для управления
пользователями, группами и компьютерами
Слайд 2 СЛАЙД
Служба AD существует на двух уровнях:
на физическом
уровне AD представляет собой файл, расположенный на жестком диске сервера
и на жестком диске каждого контроллера домена;на логическом уровне AD представляет собой контейнеры, которые используются для хранения объектов службы: разделов каталога, доменов и лесов.
Служба каталога Active Directory
для Windows Server 2003
Слайд 3 СЛАЙД
Основные понятия
Домен – основная единица системы безопасности AD.
Домен формирует область административной ответственности. БД домена содержит учетные записи
пользователей, групп и компьютеров.Большая часть функций по управлению AD работает на уровне домена: И/АУ пользователей, управление службами, репликацией, политикой безопасности, доступом к ресурсам.
Контроллеры домена – специальные серверы, которые хранят соответствующую данному домену часть БД AD.
Слайд 4 СЛАЙД
Служба каталога Active Directory
Дерево – это набор
доменов, которые используют единое связанное пространство имен. «Дочерний» домен наследует
свое имя от «родительского» домена и автоматически устанавливает с ним двухсторонние транзитивные доверительные отношения.Доверительные отношения означают, что ресурсы одного из доменов могут быть доступны пользователям других доменов, если они имеют соответствующие разрешения.
Слайд 5 СЛАЙД
Служба каталога Active Directory
Лес – это наиболее
крупная структура в AD, объединяющая деревья, которые поддерживают единую схему
(набор определений типов, или классов, объектов в БД AD).В лесу между всеми доменами установлены двухсторонние транзитивные доверительные отношения. По-умолчанию, первый домен в лесу считается его корневым доменом.
Слайд 6 СЛАЙД
ОСНОВНЫЕ ФУНКЦИИ КОНТРОЛЛЕРОВ ДОМЕНА
Хранение БД AD, а также
организация доступа к информации, содержащейся в каталоге, управление этой информацией
и ее модификацию.Синхронизация изменений в AD. Изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы с копиями, хранящимися на других контроллерах.
Аутентификация пользователей при регистрации. Любой из контроллеров домена осуществляет проверку полномочий пользователей при регистрации.
Слайд 7 СЛАЙД
Рекомендуется в каждом домене устанавливать не
менее двух контроллеров домена
для защиты от потери БД Active
Directory в случае выхода из строя какого-либо контроллера, для распределения нагрузки между контроллерами.
Слайд 8 СЛАЙД
СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА
На сервере глобального каталога находится глобальный
каталог (GC). Он является частичной, предназначенной только для чтения копией
всех контекстов именования домена (NC – Naming Context) в лесу.Данные каталога GC получают из всех разделов каталога доменов в лесу с использованием стандартного процесса репликации службы AD.
Слайд 9 СЛАЙД
СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА
Первый контроллер домена, установленный в домене,
автоматически является контроллером глобального каталога.
Дополнительные контроллеры домена можно назначить
как GC, выбирая опцию «Сервер глобального каталога» (Global Catalog Server) в инструменте администрирования «Сайты и службы Active Directory» (Active Directory Sites And Services). В первую очередь GC-серверы используются для поиска в Active Directory.
Во-вторых, GC-серверы необходимы для обработки пользовательских входов в систему.
Слайд 10 СЛАЙД
СТРУКТУРНЫЕ ОБЪЕКТЫ БД AD
разделы;
домены;
деревья доменов;
леса;
сайты;
организационные единицы.
Слайд 11 СЛАЙД
Разделы Active Directory
База данных AD хранится в файле
на жестком диске каждого контроллера домена. Она разделена на несколько
логических разделов, каждый из которых хранит различные типы информации.Разделы AD называются контекстами именования (NC – Naming Contexts). Просмотреть их можно с помощью инструмента «Ldp.exe» или «ADSI Edit».
Слайд 12 СЛАЙД
Раздел домена каталога
В разделе домена происходит большая часть
действий. Он содержит всю информацию домена о пользователях, группах, компьютерах
и контактах: все, что можно просмотреть с помощью инструмента «Пользователи и компьютеры Active Directory» (Active Directory Users And Computers).Раздел домена автоматически реплицируется на все контроллеры в домене. Информация, которая в нем содержится, требуется каждому контроллеру домена для подтверждения подлинности пользователей.
Слайд 13 СЛАЙД
Раздел конфигурации каталога
Раздел конфигурации содержит информацию о конфигурации
леса, например, информацию о сайтах, связях сайта и подключениях репликации
Раздел имеет свои копии повсюду в пределах леса. Каждый контроллер домена содержит перезаписываемую копию раздела конфигурации, и изменения в этот раздел каталога могут быть внесены с любого контроллера домена в организации.
Это означает, что конфигурационная информация реплицируется на все контроллеры домена. Когда репликация полностью синхронизирована, каждый контроллер домена в лесу будет иметь одну и ту же конфигурационную информацию.
Слайд 14 СЛАЙД
Раздел схемы каталога
Раздел схемы содержит схему для всего
леса. Схема представляет собой набор правил о том, какие типы
объектов можно создавать в Active Directory, а также правила для каждого типа объектов.Раздел схемы реплицируется на все контроллеры домена в лесу. Однако только один контроллер домена, хозяин схемы, хранит перезаписываемую копию раздела схемы каталога. Все изменения к схеме осуществляются на контроллере – хозяине схемы, а затем реплицируются на другие контроллеры домена.
Слайд 15 СЛАЙД
ДОМЕН
Домен является основным строительным блоком в службе AD.
При установке AD на компьютер, работающий под управлением Windows Server,
создается домен.Домен служит в качестве административной границы. Также он определяет границу политик безопасности.
Каждый домен имеет, по крайней мере, один контроллер.
Домены AD организованы в иерархическом порядке. Первый домен в организации становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.
Корневой домен является отправной точкой для пространства имен AD. Он может быть назначенным (dedicated) или неназначенным (Non-dedicated) корневым доменом.
Слайд 16 СЛАЙД
НАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН
или пустой корень, является пустым
доменом-заменителем и предназначен для запуска AD.
Он не содержит никаких
реальных учетных записей пользователя (группы) и не используется для назначения доступа к ресурсам. Содержит только учетные записи пользователей и групп, заданных по-умолчанию, таких как учетная запись «Администратор» (Administrator) и глобальная группа «Администраторы домена» (Domains Admins).
Слайд 17 СЛАЙД
НЕНАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН
это домен, который используется для создания
учетных записей фактических пользователей и групп.
Остальные домены в организации
существуют или как равные по положению (peers) по отношению к корневому домену, или как дочерние домены. 
Слайд 18 СЛАЙД
Общепринято, что домены, устанавливаемые вслед за корневым доменом,
становятся дочерними доменами.
Дочерние домены используют одно и то же
пространство имен AD совместно с родительским доменом. Например, если первый домен в организации Contoso назван Contoso.com, то дочерний домен в этой структуре может называться NAmerica.Contoso.com и использоваться для управления всеми участниками безопасности организации Contoso, находящимися в Северной Америке. Если организация достаточно большая или сложная, то могут потребоваться дополнительные дочерние домены, например, Sales.NAmerica.Contoso.com.
Слайд 20 СЛАЙД
ДЕРЕВЬЯ ДОМЕНОВ
Домены, которые создаются в инфраструктуре AD после
создания корневого домена, могут использовать существующее пространство имен AD совместно
или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена.Создание дополнительных деревьев доменов связано с организационными проблемами и проблемами именования и не затрагивает функциональные возможности. Дерево доменов содержит, по крайней мере, один домен.
Слайд 21 СЛАЙД
Дерево доменов образуется в том случае, когда организация
создает домен вслед за созданием корневого домена леса (Forest Root
Domain), но не хочет использовать существующее пространство имен.В случае Contoso, если существующее дерево доменов использует пространство имен Contoso.com, может быть создан новый домен, который использует совершенно другое пространство имен, например, Fabrikam.com. Если в дальнейшем потребуется создание доменов, чтобы удовлетворить потребностям единицы Fabrikam, они могут создаваться как дочерние от дерева доменов Fabrikam.
Слайд 23 СЛАЙД
ЛЕСА
Лес является границей безопасности для организации. Все домены
и доменные деревья существуют в пределах одного или несколько лесов
AD. Лес является общим для всех контроллеров домена в лесу.
Слайд 24 СЛАЙД
ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ
По-умолчанию домен является границей доступа к ресурсам
в организации.
Имея соответствующие разрешения, любой участник безопасности (учетная запись
пользователя или группы) может обращаться к любому общедоступному ресурсу в том же самом домене. Доверительные отношения службы AD используются для получения доступа к ресурсам, которые находятся за пределами домена - представляют собой опознавательную связь между двумя доменами, с помощью которой участники безопасности могут получать полномочия на доступ к ресурсам, расположенным на другом домене.
Слайд 25 СЛАЙД
ТИПЫ ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙ
транзитивные доверительные отношения;
односторонние доверительные отношения;
доверительные
отношения леса;
доверительные отношения области.
Слайд 26 СЛАЙД
Транзитивные доверительные отношения
Все домены дерева поддерживают транзитивные двухсторонние
доверительные отношения с другими доменами в этом дереве.
Все доверительные
отношения между доменами леса являются транзитивными, т.е. все домены в лесу доверяют друг другу. 
Слайд 27 СЛАЙД
Односторонние доверительные отношения
В дополнение к двухсторонним транзитивным доверительным
отношениям, которые устанавливаются при создании нового дочернего домена, между доменами
леса могут быть созданы односторонние доверительные отношения.Это делается для того, чтобы разрешить доступ к ресурсам между доменами, которые не состоят в прямых доверительных отношениях.
Слайд 28 СЛАЙД
Односторонние доверительные отношения используются для оптимизации производительности работы
между доменами, которые связаны транзитивными доверительными отношениями.
Эти односторонние доверительные
отношения называются укороченными доверительными отношениями (Shortcut Trusts). Укороченные доверительные отношения нужны в том случае, когда требуется частый доступ к ресурсам между доменами, которые удаленно связаны через дерево домена или лес.
Слайд 30 СЛАЙД
Если группа безопасности в домене Sales.Europe.Contoso.com часто обращается
к общему ресурсу в домене Research.NAmerica.Contoso.com, то при наличии только
транзитивных доверительных отношений между доменами пользователи в домене Sales.Europe.Contoso.com должны подтверждать подлинность в каждом домене дерева, расположенном между ними и доменом, который содержит ресурс.Такая организация работы неэффективна, если часто возникает потребность доступа к этим ресурсам.
Укороченные доверительные отношения являются прямыми односторонними доверительными отношениями, которые дадут возможность пользователям в домене Sales.Europe.Contoso.com эффективно подтверждать подлинность в домене Research.NAmerica.Contoso.com без необходимости пересекать все дерево каталога
Слайд 32 СЛАЙД
Если возникает потребность установить такие же доверительные отношения
в другом направлении, можно создать прямые доверительные отношения между этими
двумя доменами, взаимно изменив их роли.Такие двойные прямые доверительные отношения кажутся транзитивными отношениями, но эти исключительные доверительные отношения не простираются за пределы этих двух доменов.
Слайд 33 СЛАЙД
Доверительные отношения леса
Доверительные отношения леса являются новой функцией
в Windows Server 2003 и представляют собой двухсторонние транзитивные доверительные отношения
между двумя отдельными лесами.С помощью доверительных отношений леса участнику безопасности, принадлежащему одному лесу, можно давать доступ к ресурсам в любом домене другого леса.
Слайд 34 СЛАЙД
ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ
(OU – Organization Units) предназначены для того,
чтобы облегчить управление службой AD. OU используются для того, чтобы
сделать более эффективным управление единственным доменом, вместо того чтобы иметь дело с управлением несколькими доменами службы AD.OU служат для создания иерархической структуры в пределах домена. Домен может содержать сотни тысяч объектов. Управление таким количеством объектов без использования определенных средств организации объектов в логические группы затруднено. Организационные единицы выполняют именно эти функции.
Слайд 35 СЛАЙД
Организационные единицы используются для группировки объектов в административных
целях. Они могут делегировать административные права и управлять группой объектов
как отдельным подразделением.ОU имеют гибкую структуру назначения прав на доступ к объектам внутри OU. Во многих диалоговых окнах Windows и во вкладках «Свойства» (Properties) они называются разрешениями.
Сама организационная единица OU имеет «Список управления доступом» (ACL – Access Control List), в котором можно назначать права на доступ к этой OU. Каждый объект в OU и каждый атрибут объекта имеет ACL-список. Это означает, что возможно очень точно контролировать административные права, данные кому-либо в этом подразделении.
Слайд 36 СЛАЙД
Например, можно дать группе «Справочная» право изменять пароли
пользователей в OU, не изменяя любые другие свойства учетных записей
пользователя.Или «Отдел кадров» может получить право изменять личную информацию, касающуюся любой учетной записи пользователя в любом OU, но при этом не иметь никаких прав на другие объекты.
Слайд 38 СЛАЙД
ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ
OU являются контейнерами объектов, содержащими несколько типов
объектов службы каталога:
компьютеры;
группы;
inetOrgPerson;
принтеры;
пользователи;
общедоступные папки;
организационные
единицы.
Слайд 39 СЛАЙД
Использование OU для управления группами объектов
Одной
из функций OU является объединение объектов в группы так, чтобы
этими объектами можно было одинаково управлять:нужно одинаково управлять всеми компьютерами в отделе (используя ограничения на то, какие пользователи имеют право входа в ОС). Тогда, сгруппировав компьютеры в OU и установив разрешение «Локальный вход в систему» на уровне OU это разрешение будет установлено для всех компьютеров в данной OU
ситуация, когда совокупность пользователей нуждается в одинаковой стандартной конфигурации рабочего стола компьютера и одинаковом наборе приложений. В этом случае нужно объединить пользователей в одну OU, и использовать «Групповая политика» для конфигурирования рабочего стола и управления инсталляцией приложений.
Слайд 40 СЛАЙД
Во многих случаях объекты в OU будут управляться
через групповую политику. «Редактор объектов групповой политики» (Group Policy Object
Editor) представляет собой инструмент, который может использоваться для управления рабочей средой каждого пользователя.Групповые политики чаще назначаются на уровне OU. Это облегчает задачу управления пользователями, т.к. можно назначить один объект групповой политики (GPO – Group Policy Object), например, политику инсталляции программного обеспечения организационной единице, которая затем распространится на всех пользователей или компьютеры в OU.
Слайд 42 СЛАЙД
Самое главное решение, которое нужно принять на раннем
этапе разработки, – сколько лесов потребуется.
В конечном счете, количество
развертываемых лесов зависит от того, что является наиболее важным для организации: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управление частями структуры каталога. 
Слайд 43 СЛАЙД
ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЛЕСА
Почти все организации
развертывают один лес. Ситуации, в которых несколько лесов являются лучшим
выбором для организации:У организации нет высоких требований к сотрудничеству внутри нее.
Организация требует полного разделения сетевой информации.
Организации требуются несовместимые конфигурации схемы.
Организации нужно ограничить область доверительных отношений.
Некоторые организации не могут договориться о централизованной политике администрирования, политиках для леса или об управлении изменениями схемы.
Слайд 44 СЛАЙД
Проектирование доменной структуры
Первая задача состоит в том,
чтобы исследовать конфигурацию текущих служб каталога и определить, какая часть
текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена.Затем определяется количество доменов и их иерархия.
Слайд 45 СЛАЙД
ДОМЕНЫ И ПРОЕКТ ACTIVE DIRECTORY
Домены используются для разделения
большого леса на более мелкие компоненты для целей репликации или
администрирования.Такие характеристики домена важны при проектировании AD:
Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена.
Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По-умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене.
Границы политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена.
Слайд 46 СЛАЙД
МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ
ЕДИНСТВЕННОГО ДОМЕНА
Ограничения на размер БД в
значительной степени были сняты в AD, теперь она может содержать
несколько сотен тысяч объектов.Если организация часто реорганизуется, и пользователи передвигаются между подразделениями, то перемещать их между OU в домене достаточно легко. Труднее перемещать их между доменами.
Управлять одним доменом легче, т.к. нужно заботиться только об одном наборе администраторов и политик доменного уровня. Кроме того, управлять нужно только одним набором контроллеров домена.
Простой сценарий для управления групповыми политиками – это среда отдельного домена. Если имеется только один домен, групповая политика автоматически копируется на все контроллеры домена.
Единственный домен является самой легкой средой для планирования аутентификации и разграничения доступа к ресурсам.
Слайд 47 СЛАЙД
МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ
НЕСКОЛЬКИХ ДОМЕНОВ
Трафик репликации должен быть ограничен.
Между подразделениями организации существуют медленные сетевые подключения или в офисах
имеется много пользователей.Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
Если необходимо ограничивать доступ к ресурсам и иметь административные разрешения, нужно развернуть дополнительные домены.
Слайд 48 СЛАЙД
НАЗНАЧЕНИЕ ВЛАДЕЛЬЦЕВ ДОМЕНА
Для каждого из доменов, включенных в
проект AD, требуется назначить владельца домена. В большинстве случаев владельцы
домена являются администраторами деловых подразделений или географического региона, в котором был определен домен.Роль владельца домена - в управлении индивидуальным доменом:
Создание политик безопасности уровня домена.
Проектирование конфигурации групповой политики уровня домена.
Создание в домене OU-структуры высокого уровня. После создания OU-структуры высокого уровня задача создания подчиненных OU может быть передана администраторам уровня OU.
Делегирование административных прав в пределах домена. Владелец домена должен установить административную политику уровня домена, включая политики схем именования, проекта групп и т.д., а затем делегировать права администраторам уровня OU.
Слайд 49 СЛАЙД
ПРОЕКТИРОВАНИЕ СТРУКТУРЫ
ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
Как только проектирование на уровне доменов
закончено, следующий шаг состоит в создании модели организационной единицы (OU)
для каждого домена.OU используются для создания иерархической структуры в пределах домена.
Эта иерархия может использоваться для делегирования административных задач или применения групповых политик к совокупности объектов.
Слайд 50 СЛАЙД
ВАЖНЫЕ ХАРАКТЕРИСТИКИ
ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
OU получают имена каталога в
пределах пространства имен DNS. OU=ManagersOU, OU=AdministrationOU, DC=Contoso, DC=Com.
OU могут
быть созданы внутри других единиц. По-умолчанию административные права и параметры настройки модуля «Групповая политика» (Group Policy), установленные на верхнем уровне единиц OU, наследуются дочерними OU.OU прозрачны для конечных пользователей. Пользователю не требуется знать структуру OU, чтобы осуществить вход в систему или найти объекты в AD.
По сравнению с другими компонентами AD (домены и леса), структуру OU легче изменить после развертывания.
Слайд 51 СЛАЙД
ПРИЧИНЫ СОЗДАНИЯ СТРУКТУРЫ OU
возможность делегировании администрирования;
управление назначением
групповых политик.
Слайд 52 СЛАЙД
СОЗДАНИЕ ПРОЕКТА ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
начинается с организационных единиц высшего
уровня. OU высшего уровня должны основываться на чем-то неизменном:
географический регион
- проект OU, основанный на географии организации, вероятно, будет наиболее устойчив к изменениям. Некоторые организации часто реорганизуются, но редко изменяют географическую конфигурацию. Основной недостаток проявляется тогда, когда возникает несколько деловых подразделений в каждом географическом месте. Например, если каждый отдел представлен в каждом офисе организации, более эффективно на высшем уровне использовать структуру OU, основанную на деловых подразделениях.
Слайд 53 СЛАЙД
2. деловое подразделение - в такой модели OU
высшего уровня создается для каждого делового подразделения в пределах организации.
Этот тип конфигурации является наиболее подходящим, если организация находится в одном месте или если многие административные задачи делегируются на уровень делового подразделения.
Проблема, которая может возникнуть, заключается в том, что OU высшего уровня изменятся в случае реорганизации.
Слайд 54 СЛАЙД
Большинство крупных организаций на практике используют комбинацию единиц,
основанных на географии и на деловых подразделениях.
Обычная конфигурация –
это OU высшего уровня, основанные на географических регионах, со следующим уровнем OU в пределах каждого региона, основанных на деловых подразделениях. Некоторые организации также могут выбрать OU высшего уровня, основанные на деловых подразделениях, а затем создавать под высшим уровнем структуру OU, основанную на географии.
Слайд 56 СЛАЙД
ЗАЩИТА ОБЪЕКТОВ AD
Одна из основных причин развертывания службы
каталога AD состоит в обеспечении безопасности КИС.
Защита AD строится
на двух типах объектов и на взаимодействии между ними. Первый объект – это участник безопасности, который представляет пользователя, группу, службу или компьютер, который нуждается в доступе к некоторому ресурсу в сети.
Второй объект – это сам информационный ресурс, к которому нужно получить доступ участнику безопасности.
Чтобы обеспечить надлежащий уровень защиты, служба AD должна идентифицировать участников безопасности, а затем предоставлять правильный уровень доступа к информационным ресурсам.
Слайд 57 СЛАЙД
УЧАСТНИКИ БЕЗОПАСНОСТИ
Каждому участнику безопасности при создании объекта назначается
идентификатор защиты (SID), состоит из:
идентификатор домена, все участники безопасности в
домене имеют один и тот же идентификатор домена;относительный идентификатор (RID), является уникальным для каждого участника безопасности в домене AD.
При выдаче разрешения на доступ к ресурсу используется отображаемое имя участника безопасности, но Windows Server 2003 фактически использует SID для управления доступом к ресурсу.
Слайд 58 СЛАЙД
СПИСКИ УПРАВЛЕНИЯ ДОСТУПОМ
Разрешения на доступ к объектам, расположены
в списке управления доступом (ACL – Access Control List, или
дескриптор защиты (Security Descriptor) – хранит разрешения, которые предоставляются объектам.Дескриптор защиты включает идентификатор SID участника безопасности, который владеет объектом, а также SID для основной группы объекта. Кроме того, каждый объект имеет два отдельных списка ACL:
список управления разграничительным доступом (DACL – Discretionary Access Control List);
список управления системным доступом (SACL – System Access Control List).
Слайд 59 СЛАЙД
Список DACL перечисляет участников безопасности, которым были назначены
разрешения на доступ к объекту, а также уровень разрешений, которые
были назначены каждому участнику безопасности.Список DACL состоит из записей управления доступом (ACE – Access Control Entries). Каждая запись ACE содержит идентификатор SID и определяет уровень доступа к объекту, который разрешен данному SID. Список ACE включает записи для всех типов участников безопасности.
Список SACL перечисляет участников безопасности, чей доступ к ресурсу должен подвергаться аудиту. Список записей ACE в SACL указывает, чей доступ должен подвергаться аудиту, а также необходимый уровень аудита.
Слайд 60 СЛАЙД
МАРКЕР ДОСТУПА (Лексема доступа)
связывает SID участника безопасности и
ACL;
назначается, когда пользователь аутентифицируется через AD;
используется при обращении к
ресурсу.ВКЛЮЧАЕТ:
основной SID пользователя;
идентификаторы SID всех групп, которым принадлежит пользователь;
права и привилегии пользователя.
используется подсистемой защиты всякий раз, когда пользователь пытается обратиться к ресурсу
Слайд 61 СЛАЙД
ЗАЩИТА AD С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА KERBEROS
Основной механизм аутентификации
в Active Directory.
Преимущества по сравнению с NTLM:
Взаимная аутентификация; При использовании
протокола NTLM АУ происходит только в одном направлении, т.е. сервер подтверждает подлинность клиента. При использовании Kerberos клиент может также подтверждать подлинность сервера. Более эффективный доступ к ресурсам; Когда пользователь обращается к сетевому ресурсу в сети, использующей протокол NTLM, то сервер, на котором расположен ресурс, должен всегда контактировать с контроллером домена для проверки разрешения на доступ данного пользователя. В сети, использующей Kerberos, клиент соединяется с контроллером домена и получает билет на сетевое соединение, чтобы получить доступ к серверу ресурса. Т.е. сервер ресурса не должен больше соединяться с контроллером домена.
Слайд 62 СЛАЙД
3. Улучшенное управление доверительными отношениями; Доверительные отношения NTLM
всегда односторонние, не транзитивные, они конфигурируются вручную. Доверительные отношения Kerberos
конфигурируются автоматически, поддерживаются между всеми доменами леса и являются транзитивными двусторонними.4. Делегированная аутентификация. Когда клиент подключается к серверу, используя аутентификацию NTLM, сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным только на локальном сервере. С аутентификацией Kerberos сервер может использовать сертификат клиента для доступа к ресурсам другого сервера.
Слайд 63 СЛАЙД
КОМПОНЕНТЫ ПРОТОКОЛА KERBEROS
Клиент (должен получить доступ к сетевым
ресурсам );
Сервер (управляет сетевыми ресурсами и гарантирует, что только проверенные
и уполномоченные пользователи получат доступ к ресурсу );Центр распределения ключей (служит центральным местом хранения пользовательской информации и включающий главную службу подтверждения подлинности пользователей, выдает сессионный ключ).
Слайд 64 СЛАЙД
Схема двусторонней аутентификации пользователя и сервера
Пользователь хочет
получить доступ к ресурсам на сервере ресурсов. Чтобы предоставить к
ним доступ, сервер должен первоначально аутентифицировать клиента. Для этого используются общие данные о клиенте и о сервере ресурсов, которые есть у доверенного сервера, и выполняются :Доверенный сервер генерирует некий сессионный ключ.
Доверенный сервер шифрует сессионный ключ ключом клиента и отправляет его клиенту.
Доверенный сервер шифрует сессионный ключ ключом сервера ресурсов и отправляет его серверу ресурсов.
Слайд 65 СЛАЙД
Теперь клиент и сервер ресурсов обладают единым сессионным
ключом, который позволяет им доверять друг другу, т.к. оба они
доверяют серверу, предоставившему сессионный ключ.Этот ключ позволяет построить защищенное соединение для обмена данными
Слайд 66 СЛАЙД
В принятой в Kerberos терминологии билетом (Ticket), или
мандатом, называется сессионный ключ с сопутствующими данными (наименование пользователя или
сервера, временной штамп и т.п.), зашифрованными ключом пользователя либо сервера.Проблема владения общим секретом заключается в том, что в организации могут быть тысячи пользователей и сотни серверов. Управление различными общими секретами всех этих пользователей было бы непрактичным.
Для решения проблемы общих секретов протокол Kerberos как раз использует доверенный сервер – центр распределения ключей (KDC – Key Distribution Center).
Слайд 67 СЛАЙД
ДОВЕРЕННЫЙ СЕРВЕР KERBEROS
Служба KDC выполняется как
служба сервера в сети и управляет общими секретами всех пользователей
в сети.KDC имеет одну центральную БД для всех учетных записей пользователей и хранит общий секрет каждого пользователя (в форме хэша пароля пользователя).
Когда пользователю требуется получить доступ к сети и сетевым ресурсам, служба KDC подтверждает, что пользователь знает общий секрет, а затем подтверждает подлинность пользователя, используя вышеприведенную схему.
Слайд 68 СЛАЙД
KDC состоит из:
служба аутентификации (AS – Authentication Service)
- отвечает за начальный вход клиента в систему и выдает
билет TGT (TGT – Ticket-Granting Ticket) клиенту;служба предоставления билетов (TGS – Ticket-Granting Service) - отвечает за все билеты сеанса, которые используются для доступа к ресурсам в сети Windows Server 2003.
