Вычислительные системы, сети и телекоммуникации Лекция 11. Служба каталогов Active

реклама
Вычислительные системы, сети и
телекоммуникации
Лекция 11. Служба
каталогов Active
Directory Win 2003
Проф., д.т.н. Гусева А.И. ,
ассистент Киреев В.С.,
аспирант Цыплаков А.C.
2008 г.
Назначение Active Directry
Для централизованного управления большими сетями и
быстрого доступа к ресурсам Windows 2003 использует
службу каталогов Active Directory
Каталог - хранилище наборов сведений об объектах сети,
а служба каталогов не только однозначно идентифицирует
и организует пользователей и ресурсы, но и обеспечивает
доступ к ним
Active Directory создает иерархическое представление
объектов:
• расширяема
• масштабируема
• обладает распределенной системой безопасности
Правила именования
Active Directory применяет в качестве службы поиска
доменную систему имен сети Интернет древовидную
структуру
Active Directory поддерживает несколько форматов
имен:
•·имена RFC 822 в виде
имя_пользователя@имя_домена
•·имена LDAP в виде
//имя_сервера.имя_OU.имя_домена
•· имена UNC для доступа к папкам, принтерам и
файлам \\servername.mephi.ru\new_folder\new.doc
Структура Active Directory
Active Directory выделяет две структуры сети: Логическая
структура определяет способ организации ресурсов вне
зависимости от их физического расположения. Каждому
сетевому ресурсу соответствует объект, т.е.
отличительный набор именованных атрибутов в
каталоге. Однотипные объекты логически группируются
в классы
Физическая структура Active Directory определяет
тиражирование каталога между контроллерами доменов.
Эффективность тиражирования определяется
организацией сайтов, т. е. наборов IP-подсетей,
соединенных высокоскоростными линиями связи
Домены Active Directory
Домен – основная структурная единица Active Directory.
Все сетевые объекты существуют внутри доменов и
каждый домен хранит информацию только о тех
объектах, которые содержаться в нем(10 миллионов
объектов)
Домен - раздел Active Directory и совокупность доменов в
пределах леса образуют службу Active Directory
Доступ к объектам домена определяется списком
контроля доступа ACL (Access Control List)
Все политики безопасности, списки ACL объектов и
административные разрешения действуют только внутри
домена, не пересекаясь с остальными
Классы и объекты
Однотипные объекты логически
группируются в классы:
•домены
•организационные подразделения
• пользователи
• группы
•контакты
•принтеры
•разделяемые папки
•компьютеры
Совокупность объектов, допустимых для
хранения в каталоге, называется схемой
Роли компьютеров в домене
•контроллеры доменов под управлением Windows
2003 Server хранят и поддерживают копию каталога,
проводит авторизацию пользователей обеспечивают
работу Active Directory, все контроллеры в домене
равны между собой и реплицируют изменения,
произошедшие на одном из них
•сервера каталогов Active Directory, которые могут не
являться контроллерами доменов
•рядовые серверы под управлением Windows 2003
Server для предоставления доступа к своим ресурсам
•компьютеры-клиенты под управлением Windows XP
для доступа к ресурсам домена
Оснастка «Пользователи и
компьютеры Win 2003 Server»
Оснастка используется для управления доменом (встроенными
локальными группами безопасности, рабочими станциями и
серверами приложений, контроллерами домена, пользователями
домена)
Встроенные локальные
группы
Для каждой группы
можно задать:
•членов, входящих в
данную группу
•возможность вхождения
в другие группы
•cубъекта, которому
делегируются
полномочия на
управления данной
группой
Управление рабочими станциями
и серверами приложений
Управление контроллерами
домена
Управление глобальными группами
и пользователями в домене
Скачать