Корпоративные сети

Лекция # 8

Active Directory

Управление сетевыми ресурсамиУправление пользователямиУправление приложениямиОбеспечение функционирования сети

Основные понятия

Каталог – иерархическая структура, используемая для логического упорядочения объектов, ассоциированных с ресурсами сетиСхема - структура, содержащая определения всех типов объектов, которые допустимо размещать в каталоге, а также совокупность правил, позволяющих управлять структурой каталога и его содержимым.

Именование объектов

LDAP-имя: – DC=ru, DC=ifmo, OU=cde, CN=ivanov

UPN-имя:– ivanov@cde.ifmo.ru

UID-имя – S-1-5-9-35-456-23

Домены

Домен - совокупность компьютеров, характеризующаяся общей базы учетных записей пользователей и единой политикой безопасности. Контроллер домена - сервер, являющийся носителем глобальной копии каталога.

Доменная модель

Дерево доменов - способ организации доменов, при котором они образуют непрерывное пространство имен Лес доменов - способ организации доменов, при котором они не образуют непрерывное пространство имен

Пример

intel.comintel.ru

press.intel.ru main.intel.compress.intel.com

Режим

Windows 2000 (смешанный)Windows Server 2003

Роли контроллеров доменаВладелец доменных именВладелец схемыВладелец идентификаторовЭмулятор основного контроллера доменаВладелец инфраструктуры каталога

Иерархия объектов каталогаОрганизационная единица - объект каталога, позволяющий группировать другие объекты, относящиеся к одной административной областиСайт - совокупность подсетей, соединенных между собой высокоскоростными линиями связи

Делегирование полномочийНа уровне узла На уровне домена На уровне организационной единицы

Группы пользователей

Доменная область действия Глобальная область действия Универсальная область действия

Контейнеры

УзелДоменОрганизационная единица

Система именования

computer1.class1.myschooluserXXXLDAP://class1.myschool/CN=Vasya, OU=Users, DC=class1, DC=myschoolclass1.myschool/Users/Vasya

FQDN = fully qualified domain nameSAM имя учётной записи

LDAP URL (Uniform Resource Locator)Каноническое имя

Домены противОрганизационного подразделения

- децентрализованное администрирование- контроль репликации- разные требования к паролям- различные доменные имена Интернета

Домен предоставляет ряд преимуществ:•Упорядочение объектов•Публикация ресурсов и сведений об объектах домена•Применение объекта групповой политики к домену объединяет управление ресурсами и безопасностью•Делегирование полномочий устраняет необходимость большого числа администраторов с широкими административными полномочиями•Политики и параметры безопасности (такие как политики прав и пароля пользователя) не переходят от одного домена к другому•Каждый домен хранит только сведения об объектах, расположенных в данном домене

Доверительные отношения

- транзитивные- нетранзитивные

Физическая структура

Контроллер домена

- равноправные DC, за исключением FSMO- репликация с несколькими хозяевами- отказоустойчивость

FSMO – роли контроллеровдомена

Лес:•хозяин схемы•хозяин именования доменовДомен:• хозяин относительных идентификаторов (RID)•эмулятор PDC•хозяин инфраструктуры

Сайты

IP-подсети и физическая связностьВнутрисайтовая репликацияМежсайтовая репликация