Настройка службы каталогов Active Directory

Практическая работа №8

Тема: Настройка службы каталогов Active Directory

Цель:

- закрепление знаний о принципах работы серверной ОС

- формирование практических навыков установки и настройки серверных служб Windows Server;

Вид работы: индивидуальный

Время выполнения: 2 часа.

Теоретические сведения

Active Directory (AD) - служба каталогов, поставляемая с Microsoft Windows, начиная с Windows 2000 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации.

С помощью Active Directory осуществляется централизованное управление пользователями, группами, общими папками и сетевыми ресурсами, администрирование среды пользователя и программного обеспечения средствами групповой политики.

По мере роста числа объектов в сети служба каталогов начинает играть все более важную роль. Можно сказать, что служба каталогов - это та основа, на которой строится вся работа крупной распределенной компьютерной системы. В сложной сети служба каталогов должна обеспечивать эффективный способ управления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, принтерам, общим папкам и т. д.

В разрезе перечисленных функций можно указать и основные задачи, на выполнение которых нацелена служба Active Directory.

¾                 Хранить информацию об объектах сети и предоставлять эту информацию пользователям и системным администраторам.

¾                 Позволять пользователям сети обращаться к общим ресурсам, единожды введя имя и пароль.

¾                 Представлять сеть в интуитивно понятном иерархическом виде и позволять централизованно управлять всеми объектами сети.

¾                 Повышать степень информационной безопасности за счет разграничения административных полномочий обслуживающего персонала и внедрения современных методов защиты информации.

¾                 Позволять спроектировать единую структуру каталога так, как это необходимо в организации, чтобы обеспечить прозрачное использование информационных ресурсов в рамках компании.

Active Directory хранит информацию о сетевых ресурсах. Эти ресурсы (например, данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности) называются объектами.

Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты объекта являются его характеристиками в каталоге (см. рис. 1).

Рис. 1 - Схема объектов Active Directory и их атрибуты

В каталоге хранятся объекты, которые представляют собой самые различные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которые могут храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты обязательно должен иметь представитель данного класса, какие дополнительные атрибуты он может иметь и какой класс объектов может являться родительским по отношению к данному классу. Схема Active Directory содержит формальное описание содержания и структуры Active Directory, в том числе все атрибуты, классы и свойства классов.

В Active Directory ресурсы организованы в логическую структуру, отражающую структуру организации, что позволяет находить ресурс по его имени, а не по физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей.

Логическая структура Active Directory является моделью службы каталога, которая определяет каждого участника безопасности на предприятии, а также организацию этих участников.

На рис. 2 показаны взаимоотношения компонентов Active Directory.

Рис. 2 - Ресурсы, организованные в логическую структуру

Логические компоненты Active Directory

¾                 Объекты - ресурсы хранятся в виде объектов.

¾      Классы объектов.

¾      Схема Active Directory.

¾                 Домены - базовая организационная структура.

¾                 Деревья - несколько доменов объединяются в иерархическую структуру.

¾                 Леса - группа из нескольких деревьев домена.

¾                 Организационные единицы - позволяют делить домен на зоны и делегировать права на них.

Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.

При планировании логической структуры Active Directory необходимо определить иерархию доменов и организационных подразделений, а также разработать соглашения о пространстве имен (DNS/WINS), групповые политики и схемы делегирования полномочий.

Групповая политика службы Active Directory позволяет осуществлять детальное и гибкое централизованное управление группами пользователей, компьютеров, приложений и сетевых ресурсов, вместо того чтобы управлять этими объектами на индивидуальной основе. Служба Active Directory позволяет делегировать определенный набор административных полномочий с целью распределения задач управления и повышения качества администрирования. Делегирование полномочий также помогает компаниям сократить число доменов, необходимых для поддержки крупной организации с офисами в разных географических точках.

Примеры предоставления доступа к сетевым ресурсам

¾                 Пример "Единственный домен в центральном офисе". Предположим, что в компании имеется единственный домен в центральном офисе. Менеджерам компании для выполнения своих задач требуется доступ к инвентаризационной БД. Для предоставления доступа необходимо объединить всех менеджеров в глобальную группу, создать локальную доменную группу, обладающую полномочиями доступа к инвентарной базе, и добавить глобальную группу менеджеров в эту локальную доменную группу.

¾                 Пример "Среда с несколькими доменами в регионах". Предположим, что в компании используется среда с тремя доменами. Корневой домен находится в центральном офисе, а другие домены - в регионах. Менеджерам из всех трех доменов для выполнения задач требуется доступ к расположенной в центральном офисе инвентаризационной БД. Для предоставления доступа необходимо:

¾                  в каждом домене создать глобальную группу и добавить учетные записи менеджеров в этом домене в эту глобальную группу;

¾                  создать локальную доменную группу для доступа к инвентарной базе данных в домене центрального офиса;

¾                  добавить глобальную группу для доступа к базе данных инвентаря в домен центрального офиса;

¾                  добавить глобальные группы менеджеров из каждого домена в локальную доменную группу базы данных;

¾                  предоставить права доступа к инвентарной БД локальной доменной группе.

Практические задания:

Задание 1. Используя материал учебного фильма законспектируйте порядок настройки службы Active Directory.

Задание 2. Настройте службу Active Directory по рассмотренному алгоритму.

Контрольные вопросы:

1                   Какие задачи выполняет служба Active Directory? Как ее настроить?

2                   Какую структуру имеет служба Active Directory?

3                   Какие типовые решения существуют для создания структуры Active Directory?

Скачано с www.znanio.ru