Скачать презентацию Курс Администрирование информационных систем Основы Active Directory Domain Скачать презентацию Курс Администрирование информационных систем Основы Active Directory Domain

03.Основы Active Directory Domain Services.pptx

  • Количество слайдов: 28

Курс: Администрирование информационных систем Основы Active Directory Domain Services Тверской государственный технический университет Прохныч Курс: Администрирование информационных систем Основы Active Directory Domain Services Тверской государственный технический университет Прохныч А. Н.

Понятие каталога Ø служба каталога существует очень давно ü поиска объекта сети (файла, принтер) Понятие каталога Ø служба каталога существует очень давно ü поиска объекта сети (файла, принтер) ü аутентификации (учетные записи) ü управление доступом к ресурсам Ø начало 90 -х ü Novell Directory Services (NDS) ü домен NT 4. 0 • линейная структура

Основные компоненты AD DS Физические компоненты Хранилище данных Контроллеры домена Глобальный каталог Read-only контроллеры Основные компоненты AD DS Физические компоненты Хранилище данных Контроллеры домена Глобальный каталог Read-only контроллеры домена (RODC) Логические компоненты Разделы Схема Домены Деревья Леса Сайты Организационные единицы (OU)

Хранилище данных AD DS Ø содержит файлы базы данных Ø процессы для хранения и Хранилище данных AD DS Ø содержит файлы базы данных Ø процессы для хранения и управления информацией для пользователей, сервисов и приложений Ø файл NTDS. dit Ø %System. Root%NTDS на всех контроллерах

Разделы AD DS Ø необходимость хранения больших «кусков» определенной информации Ø логическое понятие, объединение Разделы AD DS Ø необходимость хранения больших «кусков» определенной информации Ø логическое понятие, объединение связанной информации Ø основные разделы: ü схема ü конфигурация ü домен

Разделы AD DS Domain Partition Configuration Partition DC AD DS Database Schema Partition Application Разделы AD DS Domain Partition Configuration Partition DC AD DS Database Schema Partition Application Partitions (optional)

Домен Ø логический компонент каталога Ø используется для группирования и управления объектами AD ü Домен Ø логический компонент каталога Ø используется для группирования и управления объектами AD ü пользователи, группы, все созданные объекты ü уникальные учетные записи для объектов Ø административная граница применения групповых политик Ø репликационная граница для репликации данных между контроллерами Ø аутентификационная и авторизационная граница ü ограничение доступа к ресурсам

Аутентификация Ø проверка «личности» пользователя, компьютера во время входа на компьютер или сетевой ресурс Аутентификация Ø проверка «личности» пользователя, компьютера во время входа на компьютер или сетевой ресурс Ø процедура проверки подлинности данных ü проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных ü проверка цифровой подписи письма по ключу шифрования ü проверка контрольной суммы файла на соответствие заявленной автором этого файла

Авторизация Ø предоставление определённому лицу или группе лиц прав на выполнение определённых действий Ø Авторизация Ø предоставление определённому лицу или группе лиц прав на выполнение определённых действий Ø процесс проверки (подтверждения) данных прав при попытке выполнения этих действий

Авторизация Ø участники безопасности (security principal) получают уникальный идентификатор безопасности (SID) при создании учетной Авторизация Ø участники безопасности (security principal) получают уникальный идентификатор безопасности (SID) при создании учетной записи Ø при аутентификации выдаются маркеры доступа (security token) включающий SID пользователя и SID все групп, членом которых он является Ø ресурсы имеют список контроля доступа (ACL), которые определяют права на этом ресурсе Ø сравнивается маркер безопасности со списком контроля доступа

Контроллер домена (DC) Ø сервер с установленной ролью AD DS ü располагается копия хранилища Контроллер домена (DC) Ø сервер с установленной ролью AD DS ü располагается копия хранилища AD DS ü обеспечивается репликация на другие контроллеры домена и леса ü реализуются функции аутентификации и авторизации

Read-only контроллер домена (RODC) Ø дополнительные контроллер домена Ø содержит копию хранилища AD, доступную Read-only контроллер домена (RODC) Ø дополнительные контроллер домена Ø содержит копию хранилища AD, доступную только на чтение Ø однонаправленная репликация ü только на себя ü репликация с точностью до атрибута • выключаем копирование хешей паролей для критических учетных записей или сертификатов Ø реализация контроллера домена в филиале

Прародитель AD DS Ø домен Windows NT 4. 0 ü единая центральная база безопасности Прародитель AD DS Ø домен Windows NT 4. 0 ü единая центральная база безопасности ü сетевой SAM (Security Account Manager) ü добавили учетные записи для компьютеров (кто наши, а кто нет )

Проблемы домена NT 4. 0 Ø схема взаимодействия контроллеров домена ü главные контроллер – Проблемы домена NT 4. 0 Ø схема взаимодействия контроллеров домена ü главные контроллер – PDC • • • запись и чтение запись изменений в одну точку он один – единственный и неповторимый ü дополнительные – BDC • • только чтение репликация из одной точки ü аналогично классическим DNS серверам

WINS сервера Ø сервер имен WINS ü NETBIOS имена ü линейный список имен, а WINS сервера Ø сервер имен WINS ü NETBIOS имена ü линейный список имен, а не отдельно по зонам, как DNS ü список реплицировался • • • обмен измененными данными timestamp для каждого объекта двусторонний обмен в обе стороны Ø модель взаимодействия –> Active Directory Ø Windows Server 2000 (NT 5. 0) ü контроллеры равноправны ü мультимастерная репликация

Замена WINS Ø WINS использует короткие имена ü 15 символов Ø расширение функционала DNS Замена WINS Ø WINS использует короткие имена ü 15 символов Ø расширение функционала DNS ü srv-записи (определение местоположения) ü реализация механизма поиска ближайшего контроллера домена

Связь DNS и AD DS Ø AD DS требует структуру DNS Ø доменное имя Связь DNS и AD DS Ø AD DS требует структуру DNS Ø доменное имя AD DS должно быть DNS доменным именем Ø записи контроллеров домена должны быть зарегистрированы в DNS Ø DNS зоны можно интегрировать в базу Active Directory

Сайты AD DS Ø проблема поиска ближайшего контроллера домена и обеспечение быстрой репликации Ø Сайты AD DS Ø проблема поиска ближайшего контроллера домена и обеспечение быстрой репликации Ø домен NT – broadcast запрос Ø сайт – представление сегмента сети ü «географическое» подмножество ü внутри быстрая и надежная связь Ø по сути это LAN сеть – привязка к IP-подсетям Ø используются для управления трафиком репликации Ø назначение групповых политик всем компьютерам и пользователям определенного расположения

Хранение произвольных объектов Ø домен NT 4. 0 ü фиксированный набор объектов и атрибутов Хранение произвольных объектов Ø домен NT 4. 0 ü фиксированный набор объектов и атрибутов ü добавить новый нельзя Ø схема AD DS

Схема AD DS Ø это служебный раздел Ø определяет каждый тип объекта в AD Схема AD DS Ø это служебный раздел Ø определяет каждый тип объекта в AD DS Ø определяет набор атрибутов и их характеристик Ø обеспечивает выполнение правил создания и конфигурации объекта

Схема AD DS Тип объекта Класс Атрибут Функции Пример Определяет, какие новые Класс объекты Схема AD DS Тип объекта Класс Атрибут Функции Пример Определяет, какие новые Класс объекты могут быт пользователя созданы в каталоге Класс компьютера Определяет какая Display Name информация может быть сохранена для каждого класса объектов

Схема AD DS Ø схема меняется редко ü «тяжелый» софт (Exchange Server) ü обновление Схема AD DS Ø схема меняется редко ü «тяжелый» софт (Exchange Server) ü обновление с Windows Server 2003 или Windows Server 2008 AD до Windows Server 2012 AD DS Ø идентичность схемы – залог возможности обмена

Лес Ø причины создания нескольких доменов ü разделение базы безопасности ü территориальное разделение филиалов Лес Ø причины создания нескольких доменов ü разделение базы безопасности ü территориальное разделение филиалов ü разделение репликации Ø домен NT 4. 0 ü трудно строить сложные структуры для больших организаций ü доменной структуры не хватает Ø термин лес

Лес Ø экземпляр Active Directory ü внутри несколько доменов ü общая схема ü общая Лес Ø экземпляр Active Directory ü внутри несколько доменов ü общая схема ü общая база «лесных» настроек ü конфигурация – служебный раздел с общими сведениями AD ü лес = организация (холдинг) Ø доверительные отношения между доменами Ø общий глобальный каталог ü для облегчения поиска

Деревья Ø дерево – иерархия доменов в AD DS Ø все домены в дереве: Деревья Ø дерево – иерархия доменов в AD DS Ø все домены в дереве: ü содержат смежные пространства имен с родительским доменом ü могут иметь дочерние домены ü имеют двусторонние доверительные отношения с другими доменами в дереве

Деревья Ø создание нового домена в лесу с т. з. DNS ü новый домен Деревья Ø создание нового домена в лесу с т. з. DNS ü новый домен находится в пространстве имен родителя • прописываем у родителя DNS делегирование – сведения о потомке ü новый домен имеет отличное от «папиного» пространство имен • Tree Root Domain

Tree Root Domain Forest Root Domain Tree Root Domain adatum. com fabrikam. com atl. Tree Root Domain Forest Root Domain Tree Root Domain adatum. com fabrikam. com atl. adatum. com

Организационные единицы (OUs) Ø OU – более функциональный контейнер Ø может содержать пользователей, группы, Организационные единицы (OUs) Ø OU – более функциональный контейнер Ø может содержать пользователей, группы, компьютеры и другие OU Ø используются для: ü структуризации – иерархического и логического представления объектов AD ü управления коллекцией объектов ü делегирование прав на администрирование группами объектов ü применения политик