Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Цель работы: изучить основные понятия сетей, организованных в домены, получить представления о службе каталога Active Directory и ее возможностях, научиться организовывать доменные сети.
Для выполнения лабораторной работы требуется создать домен с заданным именем на основе Active Directory.
Как известно, основным недостатком рабочей группы как способа объединения компьютеров в вычислительную сеть являются большая трудоемкость администрирования. Если компьютеры используют механизм учетных записей (с целью повысить информационную безопасность), то для того, чтобы пользователи через сетевые соединения смогли получать доступ к ресурсам других компьютеров, необходимо обеспечить идентичность их учетных записей. В одиночно стоящем компьютере, как и в случае объединения нескольких компьютеров в рабочую группу, учетные записи пользователей и групп носят характер локальных. Это означает, что база данных с учетными записями, которая позволяет идентифицировать пользователя, выполнить его аутентификацию и авторизацию, не может быть передана на другой компьютер. Следовательно, если пользователь пытается получить сетевые ресурсы на другом компьютере, то другой компьютер для идентификации пользователя должен иметь для него соответствующую учетную запись. Итак, каждый компьютер рабочей группы хранит информацию только о своих ресурсах и учетных записях. Поэтому для пользователей удобнее всего, если имена учетных записей и соответствующие им пароли совпадают на всех компьютерах сети, на которые данному пользователю разрешено обращаться. При относительно небольшом числе компьютеров и пользователей еще можно обеспечить идентичность учетных записей. Если же их много, то возникает много препятствий в обеспечении должного уровня доступа к имеющимся ресурсам и обеспечении необходимой безопасности.
Поэтому для сетей с большим количеством компьютеров используют доменную организацию. Под доменом понимают множество компьютеров с общей базой учетных
записей пользователей и единой политикой защиты. Среди компьютеров домена имеется специально сконфигурированный сервер, являющийся держателем всех учетных записей домена. Такой сервер называют контроллером домена.
Аутентификация пользователей домена осуществляется на контроллере домена. Доменные учетные записи пользователей являются глобальными. Это означает, что такая запись может быть идентифицирована на любом компьютере домена. Очевидно, что это существенно облегчает работу администратора, поскольку достаточно создать для пользователя всего одну учетную запись, которая будет находиться на контроллере домена.
Для повышения надежности доменной сети в ней создается несколько контроллеров домена. Каждый контроллер домена имеет копию базы данных с учетными записями. Идентичность баз данных обеспечивается механизмом репликаций, т.е. рассылкой на все контроллеры домена вносимых изменений в базу данных домена. В системах на базе Windows NT 4.0 server имелся главный контроллер домена (Primary Domain Controller – PDC) и резервные контроллеры домена (BackUp Domain Controller - BDC). Вносить изменения в базу с учетными записями можно было только на главном контроллере домена. Резервные контроллеры использовались для повышения надежности и снижения нагрузки с главного контроллера. В новой доменной технологии, которая представлена и новой службой – службой каталога – все контроллеры домена равноправны. Это намного удобнее, хотя и усложняет работу механизма репликаций.
Каждый пользователь домена должен иметь свою учетную запись. Учетная запись в базе данных идентифицируется не по имени, а по специальному системному идентификатору. Такой идентификатор в Windows NT/2000/XP называется идентификатором безопасности (Security IDentifier, SID). Подсистема безопасности этих операционных систем гарантирует уникальность идентификаторов безопасности. Они генерируются при создании новых учетных записей и никогда не повторяются. Имеются встроенные учетные записи, но их идентификаторы тоже уникальны.
Учетные записи могут быть объединены в группы, что позволяет упростить работу по администрированию. Действительно, если некоторое количество пользователей должны иметь одинаковые права или разрешения на доступ к некоторому объекту, то достаточно их объединить в одну группу. В этом случае необходимые права или разрешения на доступ можно назначить группе, а не каждому пользователю в отдельности.
Имеются встроенные группы, т.е. они создаются при установке операционной системы автоматически. Принадлежность учетной записи к одной из встроенных групп определяет полномочия (права, привилегии) пользователя при работе на этом компьютере. Например, члены встроенной группы администраторов имеют максимально возможные права при работе на компьютере (встроенная учетная запись администратора равносильна учетной записи суперпользователя в UNIX-системах).
Вновь создаваемые учетные записи групп (их называют группами безопасности) используются для определения разрешений на доступ к тем или иным объектам. Для этого каждый объект может иметь список управления доступом (Access Control List, ACL). Список ACL состоит из записей — ACE (Access Control Entry). Каждая запись списка состоит из двух полей. В первом поле указывается некий идентификатор безопасности. Во втором поле располагается битовая маска доступа, описывающая, какие разрешения указаны в явном виде, какие не запрещены, и какие запрещены в явном виде для этого идентификатора. При использовании файловой системы NTFS список ACL реально представлен списком DACL (Discretionary Access Control List). Заметим, что рекомендуется составлять списки управления доступом, пользуясь не учетными записями пользователей, а учетными записями групп. Во-первых, это позволяет существенно сократить список управления доступом, поскольку групп обычно намного меньше, чем пользователей. Как результат, список будет намного короче, понятнее и удобнее для последующего редактирования. Во-вторых, в последующем можно будет создать нового пользователя (и не единожды) и добавить его в соответствующие группы, что практически автоматически определит его разрешения на те или иные объекты как члена определенных групп. Наконец, в-третьих, список будет быстрее обрабатываться операционной системой.
Каждый пользователь должен быть членом, как минимум, одной встроенной группы и может быть членом нескольких групп безопасности, создаваемых в процессе эксплуатации операционной системы. При регистрации пользователь получает так называемый маркер доступа, который содержит, помимо идентификатора безопасности учетной записи пользователя, все идентификаторы групп, в которые пользователь входит. Именно этот маркер сопровождает любой запрос на получение ресурса (объекта), который передается операционной системе.
Итоговые разрешения на доступ к объектам, имеющим списки управления доступом, вычисляются как сумма разрешений, определенных для каждой из групп. И только явный запрет на разрешение перечеркивает сумму разрешений, которая получается для данного пользователя.
Идентификаторы учетных записей несут в себе информацию о типе учетной записи. Учетные записи имеют не только пользователи и группы, но и компьютеры. По умолчанию пользователи, работающие на компьютерах, которые не входят в состав домена, не имеют доступа к ресурсам этого домена.
В больших сетях пользователи при поиске сетевых ресурсов начинают испытывать определенные проблемы. Дело в том, что каждый компьютер, на котором установлена служба сервера, может выступать в этой роли. Как следствие, сетевые ресурсы действительно порой нелегко найти. А если администратор решит переместить общие каталоги с одного сервера на другой, то возникают проблемы: как донести до всех пользователей эти и многие другие изменения в сети? Гораздо удобнее было бы, если бы пользователи могли видеть некий перечень (возможно, структурированный тем или иным образом) всех сетевых ресурсов, пользуясь которым можно было бы получить доступ к этим ресурсам (если это разрешено) без поиска вручную того сервера, на котором располагаются эти ресурсы. Поэтому в больших сетях стали использовать так называемую службу каталога. Служба каталога представляет собой базу данных, хранящую сведения и о сетевых ресурсах домена, и о пользователях, и о политиках, с помощью которых определяются права пользователей, и многое другое. Можно сказать что каталог, как база данных, хранит значения атрибутов для некоторого множества объектов и позволяет получать информацию по запросу. Находить объекты можно по его атрибутам. Объектами сети являются пользователи, компьютеры, файлы, приложения, принтеры, факс-серверы, базы данных, и многое другое.
Впервые службу каталога реализовала компания Banyas. Однако в нашей стране сетевое программное обеспечение этой фирмы не получило широкого распространения. Следующей была всем известная компания Novell. Ее операционные системы, начиная с Netware 4.0, использовали службу каталога, названную NetWare Directory Services (NDS). Это позволяло строить сети корпоративного масштаба и предоставлять пользователям ресурсы, которые могли быть расположены на любом из серверов сети. Служба каталога NDS - это распределенная и дублируемая база данных по именам. Причем пользователи в такой сети могут не знать реальное месторасположение ресурсов, которые они используют.
Наконец, в канун 2000 года компания Microsoft также выпустила сетевую операционную систему, использующую идеи службы каталога. Это было семейство серверов Windows 2000. Свою службу каталога Microsoft назвала Active Directory (AD). Служба каталогов AD позволяет отобразить иерархическую организацию организации и ее вычислительной сети. AD обеспечивает наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба для именования и поиска объектов каталога использует систему доменного именования DNS. Поэтому она легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Если говорить коротко, то служба каталогов Active Directory предоставляет следующие возможности:
Единую регистрацию в сети. Пользователи могут регистрироваться в сети со своим именем и паролем и при этом получать доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе.
Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься. Кроме того, службу каталога можно связать с Интернетом для взаимодействия с деловыми партнерами и поддержки электронной коммерции.
Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена ≈ т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.). Это, в частности, можно сделать при помощи команды Пуск → Поиск (Start → Search), папку Мое сетевое окружение (My Network Places) или оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers). Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.
Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.
Active Directory использует информационную модель Х.500, а в качестве протокола доступа — стандартный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol). Опираясь на этот открытый протокол, можно создавать необходимое программное обеспечение для работы с этой базой данных.
Каталог Active Directory позволяет создавать иерархические структуры данных, упрощающие управление учетными данными и другими параметрами безопасности, а также облегчающие для пользователя процедуру поиска таких сетевых ресурсов, как файлы и принтеры. Она поддерживает ряд протоколов проверки подлинности, таких как Kerberos V5, Secure Sockets Layer (SSL) v3 и Transport Layer Security (TLS) с сертификатами X.509 v3, а также группы безопасности, объединяющие несколько доменов.
Возможности по объединению каталогов и их структурированию позволяет организовать и упростить процедуру управления данными о пользователях, компьютерах, приложениях и устройствах, а также упростить поиск нужных сведений для пользователей. Интерфейсы, основанные на протоколе LDAP, позволяют воспользоваться преимуществами поддержки синхронизации и обеспечить соблюдение определенных требований к объединению. Возможности каталога Active Directory упрощают настройку конфигурации и управление приложениями и другими внесенными в каталог сетевыми компонентами. Используется технология индексирования и усовершенствованная техника репликации, которые повышают быстродействие.
Активным этот каталог назвали скорее всего потому, что это не только база данных, к которой обращаются с тем или иным запросом для получения необходимой информации. Эта служба сама, по своей инициативе, а не по запросу может посылать на компьютеры домена некоторую информацию. Прежде всего, в качестве такой информации можно рассматривать групповые политики, которые определяют, как должны работать компьютеры и пользователи домена (или его части, называемой подразделением).
База данных Active Directory основана на иерархической модели. Это позволяет легко и достаточно эффективно отображать структуру организации и вносить относительную независимость в функционирование каждого подразделения и, вместе с тем, проводить единую политику безопасности и использования вычислительных и информационных ресурсов.
Создавая инфраструктуру Active Directory, необходимо построить модель организации и продумать структуру пространства имен. Это позволит в дальнейшем упростить пользователям и администраторам осуществлять поиск объектов каталога. Поскольку пространства имен Active Directory и DNS имеют одинаковую структуру, правильное планирование пространства имен играет важную роль при развертывании Active Directory. Пространство имен AD использует три основных структурных уровня: домены, деревья доменов и леса.
Действительно, поскольку Active Directory использует систему доменных имен, появляется возможность в некотором домене создать дочерние домены (они станут подчиненными доменами). Таким образом, при необходимости можно создать целое доменное дерево. Имеется возможность объединять доменные деревья в один лес. Для однозначного определения статуса вновь создаваемого домена администратор обязательно должен указать следующие сведения:
При установке службы каталога необходимо указать – будет ли домен содержать контроллеры домена на базе Windows NT 4.0 server, либо в нем таких контроллеров не будет. В первом случае домен будет работать в так называемом смешанном режиме (mixed mode). В этом режиме учетные записи хранятся в виде, который доступен для контроллеров домена на базе ОС Windows NT 4.0 server. Если же в домене нет и не будет контроллеров домена на базе этой или еще более ранней ОС, то лучше выбрать так называемый основной режим (native mode). При использовании основного режима работы появляются дополнительные возможности, позволяющие проще и эффективнее выполнять некоторые задачи администрирования.
Домены в AD, как и в системах на базе Windows NT 4.0 Server, допускают к ресурсам только членов домена и в этом смысле являются границей общей области безопасности. Кроме того, домен служит границей репликации: AD допускает репликацию объектов домена только на контроллеры данного домена. Между родственными доменами (принадлежат одному лесу или дереву1) автоматически устанавливаются отношения доверия. Отношения доверия (часто говорят: «доверительные отношения») позволяют доверять процедуре аутентификации, которая прошла домене, которому мы доверяем, и предоставлять разрешения доступа к тем или иным ресурсам, опираясь на полученные сведения о пользователях, группах и компьютерах.
Планирование структуры домена
Наиболее простой структурой домена для администрирования является одиночный домен. При планировании следует начинать с создания одиночного домена, а затем добавлять дополнительные домены, когда модель одиночного домена более не будет удовлетворять поставленным требованиям. Компания Microsoft рекомендует всегда, когда это только возможно, организовывать одиночный домен, и только в исключительных случаях - строить домен как часть леса.
Один домен может располагаться в нескольких сайтах и содержать миллионы объектов. Структуры сайта и домена гибкие и существуют отдельно. Одиночный домен может располагаться в нескольких географических сайтах, а одиночный сайт может содержать пользователей и компьютеры, принадлежащие нескольким доменам.
Не требуется создавать раздельные деревья доменов только для отображения структуры отделов и подразделений предприятия. В домене для этих целей можно использовать подразделения. Затем можно настроить групповую политику и включить пользователей, группы и компьютеры в подразделения.
Существует несколько причин для создания более одного домена.
Хотя использование одиночного домена для всей сети имеет несколько преимуществ, для удовлетворения дополнительных требований к масштабируемости, безопасности или репликации можно создать один или более доменов для предприятия. Ознакомление с принципами репликации данных каталога между контроллерами домена поможет спланировать количество доменов, необходимых данной организации.
Например, несколько доменов может понадобиться, если имеется децентрализованная сеть, в которой различные подразделения управляются абсолютно разными администраторами. При наличии нескольких доменов каждая группа администраторов может устанавливать собственные политики безопасности, которые не зависят от политик других доменов. Кроме того, для международных организаций может быть легче обеспечить администрирование пользователями и ресурсами на языке каждой страны.
Все домены леса имеют один и тот же глобальный каталог, и прошедшие проверку пользователи каждого домена получают доступ к ресурсам в других доменах леса.
Деревья доменов в основном используются для установки раздельных пространств имен. Все домены в дереве имеют связанное пространство DNS-имен. Если текущая сеть относится к связанному пространству DNS-имен, может понадобиться объединить все домены в одно дерево доменов.
Также можно объединить организации с уникальными именами доменов в лес. Каждое дерево в составе леса имеет собственное уникальное пространство имен.
Дочерний домен следует создавать, когда требуется создать домен, имеющий общее связанное пространство имен с одним или несколькими доменами. Это означает, что имя нового дочернего домена содержит полное имя родительского домена. Например, домен filial.firma.spb.ru будет дочерним для домена firma.spb.ru. Для иерархической организации доменов в организации следует использовать данную структуру дерева доменов.
Для создания домена, имя которого не связано с остальными доменами леса, следует создавать корень нового дерева доменов. Создавать новые деревья доменов необходимо, если требуется включить домены различных отделов организации в один лес и оставить их собственные имена доменов в Интернете неизменными.
Если в определенном домене уже имеется один контроллер домена, можно добавить дополнительные контроллеры в данный домен для увеличения доступности и надежности сетевых служб. Наличие более одного контроллера в домене позволяет функционировать домену в случае отказа одного из контроллеров домена, либо в случае необходимости отключения одного из контроллеров по какой-либо причине. Наличие нескольких контроллеров домена также может повысить производительность, облегчая клиентам Windows 2000 подключение к контроллеру домена при входе в сеть.
Если сеть разделена на сайты, рекомендуется иметь хотя бы один контроллер домена в каждом сайте. Частью процесса входа клиентов в сеть является подключение к контроллеру домена. Если клиентам требуется осуществлять доступ к контроллеру домена через медленное сетевое подключение, то процесс входа в сеть может занять неприемлемое количество времени. Размещение контроллера домена в каждом сайте позволяет выполнять процесс входа в сеть внутри сайта без использования медленных подключений между сайтами.
Основным «кирпичиком», с помощью которого можно построить сетевую инфраструктуру, является подразделение – Organization Unit (OU). Основными объектами в подразделении выступают пользователи, группы, компьютеры, общие папки и принтеры, контакты. Благодаря использованию объектно-ориентированной технологии, в которой используется механизм наследования, подразделение, как объект контейнерного типа, может содержать в качестве объектов опять же подразделения. К подразделению могут быть применены групповые политики. Более того, каждое подразделение может иметь свои собственные политики.
Имеется возможность создать иерархию подразделений в домене. Подразделения могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие подразделения.
Подразделения являются объектами-контейнерами каталога. Они отображаются как папки в окне «Пользователи и компьютеры Active Directory».
Подразделения упрощают просмотр объектов каталога в домене, а также администрирование данных объектов. Административное управление каждого подразделения может быть делегировано определенным пользователям. Это позволяет распределять задачи администрирования домена среди администраторов и таким образом управлять административными задачами в более точном соответствии с назначенными обязанностями в организации.
В общих случаях необходимо создавать подразделения, отражающие организационную или деловую структуру организации. Например, можно создать подразделения верхнего уровня, такие как отдел кадров, отдел маркетинга и т. п. Внутри подразделения отдела кадров можно создать дополнительные вложенные подразделения, такие как отдел по найму и отдел по выдаче пособий. Внутри подразделения отдела по найму можно создать еще один уровень вложенных подразделений. Подводя итог, можно сказать, что подразделения позволяют создавать осмысленную и удобную для управления модель организации, и назначать соответствующие административные права на любом уровне иерархии.
Каждый домен может реализовать свою иерархию подразделений. Если в предприятии имеется несколько доменов, в каждом домене можно создать структуры подразделений, независимые от других доменов.
Для того чтобы добавить рабочую станцию в домен, прежде всего, необходимо обеспечить, чтобы рабочая станция могла без каких-либо проблем обменивать с контроллером домена пакетами данных. Для этого нужно, чтобы она либо была сконфигурирована как DHCP-клиент, либо Вы должны вручную прописать в ее настройках все необходимые параметры стека TCP/IP. В случае использования статических IP-адресов (как это имеет место в лаборатории, где проходят занятия), необходимо открыть окно свойств стека TCP/IP и указать в качестве DNS-сервера IP-адрес контроллера домена. Проверьте с помощью команд PING и NSLOOKUP, что взаимодействие с DNS-сервером происходит нормально.
Следующим шагом является создание учетной записи рабочей станции в базе данных активного каталога. Для этого следует открыть файл консоли управления Microsoft, предназначенный для администрирования домена. Это файл DSA.MSC (Directory Services Administration). Для этого файла имеется ярлык в папке Администрирование с названием Active Directory – пользователи и компьютеры. Найдите контейнер Computers и создайте в нем учетную запись для рабочей станции. При этом будет указано, что по умолчанию добавить названный компьютер в домен может только администратор домена.
После создания учетной записи администратор рабочей станции должен открыть закладку Сетевая идентификация окна свойств компьютера и, нажав на кнопку Изменить, поменять статус рабочей станции. Для этого следует указать, что компьютер будет являться членом домена, а не рабочей группы, и в соответствующем поле укажите имя домена. Проверьте с помощью кнопки Дополнительно основной доменный суффикс, который имеет компьютер, и, при необходимости, отредактируйте его. Если компьютеры без проблем обмениваются данными, то будет предложено ввести login пользователя, имеющего право на присоединение к домену (напомним, что этим правом обладает администратор домена), и соответствующий пароль. Если Вы не ошиблись, то будет выведено сообщение «Добро пожаловать в домен ХХХ» и предложено перезагрузить компьютер. Для выполнения этого шага можно вместо нажатия на кнопку Изменить воспользоваться Мастером, который запускается по кнопке Идентификация.
После добавления рабочей станции в домен появится возможность регистрироваться как локально, так и в домене, используя соответствующие учетные записи.
Отчет по лабораторной работе должен содержать следующие разделы:
В каждом варианте требуется, чтобы при установке Active Directory и переводе сервера в статус контроллера домена учетная запись администратора имела пароль 12345. Название домена должно соответствовать
|
№ |
Родительский домен |
Имя домена |
Наличие DC |
Режим работы |
|
|
<№ группы>.local. |
нет |
mixed mode |
|
|
|
dept43.local. |
нет |
mixed mode |
|
|
|
dept43.local. |
<№ группы>. dept43.local. |
нет |
mixed mode |
|
|
<№ группы>.local. |
да |
native mode |
|
|
|
dept43.local. |
да |
mixed mode |
|
|
|
dept43.local. |
<№ группы>. dept43.local. |
да |
mixed mode |
1 Чаще всего доменный лес состоит из одного единственного дерева, которое, в свою очередь, редко когда насчитывает более одного домена.