Презентация на тему: Служба каталога Active Directory

Реклама. Продолжение ниже
Служба каталога Active Directory
Служба каталога Active Directory для Windows Server 2003
Основные понятия
Служба каталога Active Directory
Служба каталога Active Directory
ОСНОВНЫЕ ФУНКЦИИ КОНТРОЛЛЕРОВ ДОМЕНА
Служба каталога Active Directory
СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА
СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА
СТРУКТУРНЫЕ ОБЪЕКТЫ БД AD
Разделы Active Directory
Раздел домена каталога
Раздел конфигурации каталога
Раздел схемы каталога
ДОМЕН
НАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН
НЕНАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН
Служба каталога Active Directory
РОДИТЕЛЬСКО-ДОЧЕРНЯЯ ИЕРАРХИЯ ДОМЕНА
ДЕРЕВЬЯ ДОМЕНОВ
Служба каталога Active Directory
Схема организации Contoso с несколькими доменными деревьями
ЛЕСА
ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ
ТИПЫ ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙ
Транзитивные доверительные отношения
Односторонние доверительные отношения
Служба каталога Active Directory
Доверительные отношения в лесу организации Contoso
Служба каталога Active Directory
Прямые доверительные отношения в лесу организации Contoso
Служба каталога Active Directory
Доверительные отношения леса
ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ
Служба каталога Active Directory
Служба каталога Active Directory
СТРУКТУРА OU
ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ
Использование OU для управления группами объектов
Служба каталога Active Directory
Служба каталога Active Directory
Служба каталога Active Directory
ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЛЕСА
Проектирование доменной структуры
ДОМЕНЫ И ПРОЕКТ ACTIVE DIRECTORY
МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ ЕДИНСТВЕННОГО ДОМЕНА
МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ НЕСКОЛЬКИХ ДОМЕНОВ
НАЗНАЧЕНИЕ ВЛАДЕЛЬЦЕВ ДОМЕНА
ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
ВАЖНЫЕ ХАРАКТЕРИСТИКИ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
ПРИЧИНЫ СОЗДАНИЯ СТРУКТУРЫ OU
СОЗДАНИЕ ПРОЕКТА ОРГАНИЗАЦИОННЫХ ЕДИНИЦ
Служба каталога Active Directory
Служба каталога Active Directory
Служба каталога Active Directory
ЗАЩИТА ОБЪЕКТОВ AD
УЧАСТНИКИ БЕЗОПАСНОСТИ
СПИСКИ УПРАВЛЕНИЯ ДОСТУПОМ
Служба каталога Active Directory
МАРКЕР ДОСТУПА (Лексема доступа)
ЗАЩИТА AD С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА KERBEROS
Служба каталога Active Directory
КОМПОНЕНТЫ ПРОТОКОЛА KERBEROS
Схема двусторонней аутентификации пользователя и сервера
Служба каталога Active Directory
Служба каталога Active Directory
ДОВЕРЕННЫЙ СЕРВЕР KERBEROS
Служба каталога Active Directory
1/68
Средняя оценка: 4.4/5 (всего оценок: 53)
Код скопирован в буфер обмена
Скачать (192 Кб)
Реклама. Продолжение ниже
1

Первый слайд презентации: Служба каталога Active Directory

СЛАЙД < 1 > Служба каталога Active Directory о беспечивает мощный сервис для управления пользователями, группами и компьютерами

Изображение слайда
1/1
2

Слайд 2: Служба каталога Active Directory для Windows Server 2003

СЛАЙД < 2 > Служба AD существует на двух уровнях: на физическом уровне AD представляет собой файл, расположенный на жестком диске сервера и на жестком диске каждого контроллера домена ; на логическом уровне AD представляет собой контейнеры, которые используются для хранения объектов службы: разделов каталога, доменов и лесов. Служба каталога Active Directory для Windows Server 2003

Изображение слайда
1/1
3

Слайд 3: Основные понятия

СЛАЙД < 3 > Основные понятия Домен – основная единица системы безопасности AD. Домен формирует область административной ответственности. БД домена содержит учетные записи пользователей, групп и компьютеров. Большая часть функций по управлению AD работает на уровне домена: И/АУ пользователей, управление службами, репликацией, политикой безопасности, доступом к ресурсам. Контроллеры домена – специальные серверы, которые хранят соответствующую данному домену часть БД AD.

Изображение слайда
1/1
4

Слайд 4: Служба каталога Active Directory

СЛАЙД < 4 > Служба каталога Active Directory Дерево – это набор доменов, которые используют единое связанное пространство имен. «Дочерний» домен наследует свое имя от «родительского» домена и автоматически устанавливает с ним двухсторонние транзитивные доверительные отношения. Доверительные отношения означают, что ресурсы одного из доменов могут быть доступны пользователям других доменов, если они имеют соответствующие разрешения.

Изображение слайда
1/1
5

Слайд 5: Служба каталога Active Directory

СЛАЙД < 5 > Служба каталога Active Directory Лес – это наиболее крупная структура в AD, объединяющая деревья, которые поддерживают единую схему (набор определений типов, или классов, объектов в БД AD). В лесу между всеми доменами установлены двухсторонние транзитивные доверительные отношения. По-умолчанию, первый домен в лесу считается его корневым доменом.

Изображение слайда
1/1
6

Слайд 6: ОСНОВНЫЕ ФУНКЦИИ КОНТРОЛЛЕРОВ ДОМЕНА

СЛАЙД < 6 > ОСНОВНЫЕ ФУНКЦИИ КОНТРОЛЛЕРОВ ДОМЕНА Хранение БД AD, а также организация доступа к информации, содержащейся в каталоге, управление этой информацией и ее модификацию. Синхронизация изменений в AD. Изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы с копиями, хранящимися на других контроллерах. Аутентификация пользователей при регистрации. Любой из контроллеров домена осуществляет проверку полномочий пользователей при регистрации.

Изображение слайда
1/1
7

Слайд 7

СЛАЙД < 7 > Рекомендуется в каждом домене устанавливать не менее двух контроллеров домена для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, для распределения нагрузки между контроллерами.

Изображение слайда
1/1
Реклама. Продолжение ниже
8

Слайд 8: СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА

СЛАЙД < 8 > СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА На сервере глобального каталога находится глобальный каталог (GC). Он является частичной, предназначенной только для чтения копией всех контекстов именования домена (NC – Naming Context ) в лесу. Данные каталога GC получают из всех разделов каталога доменов в лесу с использованием стандартного процесса репликации службы AD.

Изображение слайда
1/1
9

Слайд 9: СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА

СЛАЙД < 9 > СЕРВЕРЫ ГЛОБАЛЬНОГО КАТАЛОГА Первый контроллер домена, установленный в домене, автоматически является контроллером глобального каталога. Дополнительные контроллеры домена можно назначить как GC, выбирая опцию «Сервер глобального каталога» (Global Catalog Server) в инструменте администрирования «Сайты и службы Active Directory» (Active Directory Sites And Services). В первую очередь GC-серверы используются для поиска в Active Directory. Во-вторых, GC-серверы необходимы для обработки пользовательских входов в систему.

Изображение слайда
1/1
10

Слайд 10: СТРУКТУРНЫЕ ОБЪЕКТЫ БД AD

СЛАЙД < 10 > СТРУКТУРНЫЕ ОБЪЕКТЫ БД AD разделы; домены; деревья доменов; леса; сайты; организационные единицы.

Изображение слайда
1/1
11

Слайд 11: Разделы Active Directory

СЛАЙД < 11 > Разделы Active Directory База данных AD хранится в файле на жестком диске каждого контроллера домена. Она разделена на несколько логических разделов, каждый из которых хранит различные типы информации. Разделы AD называются контекстами именования (NC – Naming Contexts ). Просмотреть их можно с помощью инструмента « Ldp.exe » или « ADSI Edit ».

Изображение слайда
1/1
12

Слайд 12: Раздел домена каталога

СЛАЙД < 12 > Раздел домена каталога В разделе домена происходит большая часть действий. Он содержит всю информацию домена о пользователях, группах, компьютерах и контактах : все, что можно просмотреть с помощью инструмента «Пользователи и компьютеры Active Directory » ( Active Directory Users And Computers ). Раздел домена автоматически реплицируется на все контроллеры в домене. Информация, которая в нем содержится, требуется каждому контроллеру домена для подтверждения подлинности пользователей.

Изображение слайда
1/1
13

Слайд 13: Раздел конфигурации каталога

СЛАЙД < 13 > Раздел конфигурации каталога Раздел конфигурации содержит информацию о конфигурации леса, например, информацию о сайтах, связях сайта и подключениях репликации Раздел имеет свои копии повсюду в пределах леса. Каждый контроллер домена содержит перезаписываемую копию раздела конфигурации, и изменения в этот раздел каталога могут быть внесены с любого контроллера домена в организации. Это означает, что конфигурационная информация реплицируется на все контроллеры домена. Когда репликация полностью синхронизирована, каждый контроллер домена в лесу будет иметь одну и ту же конфигурационную информацию.

Изображение слайда
1/1
14

Слайд 14: Раздел схемы каталога

СЛАЙД < 14 > Раздел схемы каталога Раздел схемы содержит схему для всего леса. Схема представляет собой набор правил о том, какие типы объектов можно создавать в Active Directory, а также правила для каждого типа объектов. Раздел схемы реплицируется на все контроллеры домена в лесу. Однако только один контроллер домена, хозяин схемы, хранит перезаписываемую копию раздела схемы каталога. Все изменения к схеме осуществляются на контроллере – хозяине схемы, а затем реплицируются на другие контроллеры домена.

Изображение слайда
1/1
Реклама. Продолжение ниже
15

Слайд 15: ДОМЕН

СЛАЙД < 15 > ДОМЕН Домен является основным строительным блоком в службе AD. При установке AD на компьютер, работающий под управлением Windows Server, создается домен. Домен служит в качестве административной границы. Также он определяет границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер. Домены AD организованы в иерархическом порядке. Первый домен в организации становится корневым доменом леса, обычно он называется корневым доменом или доменом леса. Корневой домен является отправной точкой для пространства имен AD. Он может быть назначенным ( dedicated ) или неназначенным ( Non - dedicated ) корневым доменом.

Изображение слайда
1/1
16

Слайд 16: НАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН

СЛАЙД < 16 > НАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН или пустой корень, является пустым доменом-заменителем и предназначен для запуска AD. Он не содержит никаких реальных учетных записей пользователя (группы) и не используется для назначения доступа к ресурсам. Содержит только учетные записи пользователей и групп, заданных по-умолчанию, таких как учетная запись «Администратор» ( Administrator ) и глобальная группа «Администраторы домена» ( Domains Admins ).

Изображение слайда
1/1
17

Слайд 17: НЕНАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН

СЛАЙД < 17 > НЕНАЗНАЧЕННЫЙ КОРНЕВОЙ ДОМЕН это домен, который используется для создания учетных записей фактических пользователей и групп. Остальные домены в организации существуют или как равные по положению ( peers ) по отношению к корневому домену, или как дочерние домены.

Изображение слайда
1/1
18

Слайд 18

СЛАЙД < 18 > Общепринято, что домены, устанавливаемые вслед за корневым доменом, становятся дочерними доменами. Дочерние домены используют одно и то же пространство имен AD совместно с родительским доменом. Например, если первый домен в организации Contoso назван Contoso.com, то дочерний домен в этой структуре может называться NAmerica.Contoso.com и использоваться для управления всеми участниками безопасности организации Contoso, находящимися в Северной Америке. Если организация достаточно большая или сложная, то могут потребоваться дополнительные дочерние домены, например, Sales.NAmerica.Contoso.com.

Изображение слайда
1/1
19

Слайд 19: РОДИТЕЛЬСКО-ДОЧЕРНЯЯ ИЕРАРХИЯ ДОМЕНА

СЛАЙД < 19 > РОДИТЕЛЬСКО-ДОЧЕРНЯЯ ИЕРАРХИЯ ДОМЕНА

Изображение слайда
1/1
20

Слайд 20: ДЕРЕВЬЯ ДОМЕНОВ

СЛАЙД < 20 > ДЕРЕВЬЯ ДОМЕНОВ Домены, которые создаются в инфраструктуре AD после создания корневого домена, могут использовать существующее пространство имен AD совместно или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена. Создание дополнительных деревьев доменов связано с организационными проблемами и проблемами именования и не затрагивает функциональные возможности. Дерево доменов содержит, по крайней мере, один домен.

Изображение слайда
1/1
21

Слайд 21

СЛАЙД < 21 > Дерево доменов образуется в том случае, когда организация создает домен вслед за созданием корневого домена леса ( Forest Root Domain ), но не хочет использовать существующее пространство имен. В случае Contoso, если существующее дерево доменов использует пространство имен Contoso.com, может быть создан новый домен, который использует совершенно другое пространство имен, например, Fabrikam.com. Если в дальнейшем потребуется создание доменов, чтобы удовлетворить потребностям единицы Fabrikam, они могут создаваться как дочерние от дерева доменов Fabrikam.

Изображение слайда
1/1
22

Слайд 22: Схема организации Contoso с несколькими доменными деревьями

СЛАЙД < 22 > Схема организации Contoso с несколькими доменными деревьями

Изображение слайда
1/1
23

Слайд 23: ЛЕСА

СЛАЙД < 23 > ЛЕСА Лес является границей безопасности для организации. Все домены и доменные деревья существуют в пределах одного или несколько лесов AD. Лес является общим для всех контроллеров домена в лесу.

Изображение слайда
1/1
24

Слайд 24: ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ

СЛАЙД < 24 > ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ По-умолчанию домен является границей доступа к ресурсам в организации. Имея соответствующие разрешения, любой участник безопасности (учетная запись пользователя или группы) может обращаться к любому общедоступному ресурсу в том же самом домене. Доверительные отношения службы AD используются для получения доступа к ресурсам, которые находятся за пределами домена - представляют собой опознавательную связь между двумя доменами, с помощью которой участники безопасности могут получать полномочия на доступ к ресурсам, расположенным на другом домене.

Изображение слайда
1/1
25

Слайд 25: ТИПЫ ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙ

СЛАЙД < 25 > ТИПЫ ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙ транзитивные доверительные отношения; односторонние доверительные отношения ; доверительные отношения леса; доверительные отношения области.

Изображение слайда
1/1
26

Слайд 26: Транзитивные доверительные отношения

СЛАЙД < 26 > Транзитивные доверительные отношения Все домены дерева поддерживают транзитивные двухсторонние доверительные отношения с другими доменами в этом дереве. Все доверительные отношения между доменами леса являются транзитивными, т.е. все домены в лесу доверяют друг другу.

Изображение слайда
1/1
27

Слайд 27: Односторонние доверительные отношения

СЛАЙД < 27 > Односторонние доверительные отношения В дополнение к двухсторонним транзитивным доверительным отношениям, которые устанавливаются при создании нового дочернего домена, между доменами леса могут быть созданы односторонние доверительные отношения. Это делается для того, чтобы разрешить доступ к ресурсам между доменами, которые не состоят в прямых доверительных отношениях.

Изображение слайда
1/1
28

Слайд 28

СЛАЙД < 28 > Односторонние доверительные отношения используются для оптимизации производительности работы между доменами, которые связаны транзитивными доверительными отношениями. Эти односторонние доверительные отношения называются укороченными доверительными отношениями ( Shortcut Trusts ). Укороченные доверительные отношения нужны в том случае, когда требуется частый доступ к ресурсам между доменами, которые удаленно связаны через дерево домена или лес.

Изображение слайда
1/1
29

Слайд 29: Доверительные отношения в лесу организации Contoso

СЛАЙД < 29 > Доверительные отношения в лесу организации Contoso

Изображение слайда
1/1
30

Слайд 30

СЛАЙД < 30 > Если группа безопасности в домене Sales.Europe.Contoso.com часто обращается к общему ресурсу в домене Research.NAmerica.Contoso.com, то при наличии только транзитивных доверительных отношений между доменами пользователи в домене Sales.Europe.Contoso.com должны подтверждать подлинность в каждом домене дерева, расположенном между ними и доменом, который содержит ресурс. Такая организация работы неэффективна, если часто возникает потребность доступа к этим ресурсам. Укороченные доверительные отношения являются прямыми односторонними доверительными отношениями, которые дадут возможность пользователям в домене Sales.Europe.Contoso.com эффективно подтверждать подлинность в домене Research.NAmerica.Contoso.com без необходимости пересекать все дерево каталога

Изображение слайда
1/1
31

Слайд 31: Прямые доверительные отношения в лесу организации Contoso

СЛАЙД < 31 > Прямые доверительные отношения в лесу организации Contoso

Изображение слайда
1/1
32

Слайд 32

СЛАЙД < 32 > Если возникает потребность установить такие же доверительные отношения в другом направлении, можно создать прямые доверительные отношения между этими двумя доменами, взаимно изменив их роли. Такие двойные прямые доверительные отношения кажутся транзитивными отношениями, но эти исключительные доверительные отношения не простираются за пределы этих двух доменов.

Изображение слайда
1/1
33

Слайд 33: Доверительные отношения леса

СЛАЙД < 33 > Доверительные отношения леса Доверительные отношения леса являются новой функцией в Windows Server  2003 и представляют собой двухсторонние транзитивные доверительные отношения между двумя отдельными лесами. С помощью доверительных отношений леса участнику безопасности, принадлежащему одному лесу, можно давать доступ к ресурсам в любом домене другого леса.

Изображение слайда
1/1
34

Слайд 34: ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ

СЛАЙД < 34 > ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ (OU – Organization Units ) предназначены для того, чтобы облегчить управление службой AD. OU используются для того, чтобы сделать более эффективным управление единственным доменом, вместо того чтобы иметь дело с управлением несколькими доменами службы AD. OU служат для создания иерархической структуры в пределах домена. Домен может содержать сотни тысяч объектов. Управление таким количеством объектов без использования определенных средств организации объектов в логические группы затруднено. Организационные единицы выполняют именно эти функции.

Изображение слайда
1/1
35

Слайд 35

СЛАЙД < 35 > Организационные единицы используются для группировки объектов в административных целях. Они могут делегировать административные права и управлять группой объектов как отдельным подразделением. О U имеют гибкую структуру назначения прав на доступ к объектам внутри OU. Во многих диалоговых окнах Windows и во вкладках «Свойства» ( Properties ) они называются разрешениями. Сама организационная единица OU имеет «Список управления доступом» ( ACL – Access Control List ), в котором можно назначать права на доступ к этой OU. Каждый объект в OU и каждый атрибут объекта имеет ACL -список. Это означает, что возможно очень точно контролировать административные права, данные кому-либо в этом подразделении.

Изображение слайда
1/1
36

Слайд 36

СЛАЙД < 36 > Например, можно дать группе «Справочная» право изменять пароли пользователей в OU, не изменяя любые другие свойства учетных записей пользователя. Или «Отдел кадров» может получить право изменять личную информацию, касающуюся любой учетной записи пользователя в любом OU, но при этом не иметь никаких прав на другие объекты.

Изображение слайда
1/1
37

Слайд 37: СТРУКТУРА OU

СЛАЙД < 37 > СТРУКТУРА OU

Изображение слайда
1/1
38

Слайд 38: ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ

СЛАЙД < 38 > ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ OU являются контейнерами объектов, содержащими несколько типов объектов службы каталога: компьютеры; группы; inetOrgPerson; принтеры; пользователи; общедоступные папки; организационные единицы.

Изображение слайда
1/1
39

Слайд 39: Использование OU для управления группами объектов

СЛАЙД < 39 > Использование OU для управления группами объектов Одной из функций OU является объединение объектов в группы так, чтобы этими объектами можно было одинаково управлять: нужно одинаково управлять всеми компьютерами в отделе (используя ограничения на то, какие пользователи имеют право входа в ОС). Тогда, сгруппировав компьютеры в OU и установив разрешение «Локальный вход в систему» на уровне OU это разрешение будет установлено для всех компьютеров в данной OU ситуация, когда совокупность пользователей нуждается в одинаковой стандартной конфигурации рабочего стола компьютера и одинаковом наборе приложений. В этом случае нужно объединить пользователей в одну OU, и использовать «Групповая политика» для конфигурирования рабочего стола и управления инсталляцией приложений.

Изображение слайда
1/1
40

Слайд 40

СЛАЙД < 40 > Во многих случаях объекты в OU будут управляться через групповую политику. «Редактор объектов групповой политики» ( Group Policy Object Editor ) представляет собой инструмент, который может использоваться для управления рабочей средой каждого пользователя. Групповые политики чаще назначаются на уровне OU. Это облегчает задачу управления пользователями, т.к. можно назначить один объект групповой политики (GPO – Group Policy Object ), например, политику инсталляции программного обеспечения организационной единице, которая затем распространится на всех пользователей или компьютеры в OU.

Изображение слайда
1/1
41

Слайд 41

СЛАЙД < 41 > Проектирование и реализация службы AD

Изображение слайда
1/1
42

Слайд 42

СЛАЙД < 42 > Самое главное решение, которое нужно принять на раннем этапе разработки, – сколько лесов потребуется. В конечном счете, количество развертываемых лесов зависит от того, что является наиболее важным для организации: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управление частями структуры каталога.

Изображение слайда
1/1
43

Слайд 43: ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЛЕСА

СЛАЙД < 43 > ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЛЕСА Почти все организации развертывают один лес. Ситуации, в которых несколько лесов являются лучшим выбором для организации: У организации нет высоких требований к сотрудничеству внутри нее. Организация требует полного разделения сетевой информации. Организации требуются несовместимые конфигурации схемы. Организации нужно ограничить область доверительных отношений. Некоторые организации не могут договориться о централизованной политике администрирования, политиках для леса или об управлении изменениями схемы.

Изображение слайда
1/1
44

Слайд 44: Проектирование доменной структуры

СЛАЙД < 44 > Проектирование доменной структуры Первая задача состоит в том, чтобы исследовать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется количество доменов и их иерархия.

Изображение слайда
1/1
45

Слайд 45: ДОМЕНЫ И ПРОЕКТ ACTIVE DIRECTORY

СЛАЙД < 45 > ДОМЕНЫ И ПРОЕКТ ACTIVE DIRECTORY Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Такие характеристики домена важны при проектировании AD : Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена. Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По-умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене. Границы политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена.

Изображение слайда
1/1
46

Слайд 46: МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ ЕДИНСТВЕННОГО ДОМЕНА

СЛАЙД < 46 > МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ ЕДИНСТВЕННОГО ДОМЕНА Ограничения на размер БД в значительной степени были сняты в AD, теперь она может содержать несколько сотен тысяч объектов. Если организация часто реорганизуется, и пользователи передвигаются между подразделениями, то перемещать их между OU в домене достаточно легко. Труднее перемещать их между доменами. Управлять одним доменом легче, т.к. нужно заботиться только об одном наборе администраторов и политик доменного уровня. Кроме того, управлять нужно только одним набором контроллеров домена. Простой сценарий для управления групповыми политиками – это среда отдельного домена. Если имеется только один домен, групповая политика автоматически копируется на все контроллеры домена. Единственный домен является самой легкой средой для планирования аутентификации и разграничения доступа к ресурсам.

Изображение слайда
1/1
47

Слайд 47: МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ НЕСКОЛЬКИХ ДОМЕНОВ

СЛАЙД < 47 > МОТИВАЦИЯ РАЗВЕРТЫВАНИЯ НЕСКОЛЬКИХ ДОМЕНОВ Трафик репликации должен быть ограничен. Между подразделениями организации существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов. Если необходимо ограничивать доступ к ресурсам и иметь административные разрешения, нужно развернуть дополнительные домены.

Изображение слайда
1/1
48

Слайд 48: НАЗНАЧЕНИЕ ВЛАДЕЛЬЦЕВ ДОМЕНА

СЛАЙД < 48 > НАЗНАЧЕНИЕ ВЛАДЕЛЬЦЕВ ДОМЕНА Для каждого из доменов, включенных в проект AD, требуется назначить владельца домена. В большинстве случаев владельцы домена являются администраторами деловых подразделений или географического региона, в котором был определен домен. Роль владельца домена - в управлении индивидуальным доменом : Создание политик безопасности уровня домена. Проектирование конфигурации групповой политики уровня домена. Создание в домене OU-структуры высокого уровня. После создания OU-структуры высокого уровня задача создания подчиненных OU может быть передана администраторам уровня OU. Делегирование административных прав в пределах домена. Владелец домена должен установить административную политику уровня домена, включая политики схем именования, проекта групп и т.д., а затем делегировать права администраторам уровня OU.

Изображение слайда
1/1
49

Слайд 49: ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ

СЛАЙД < 49 > ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ Как только проектирование на уровне доменов закончено, следующий шаг состоит в создании модели организационной единицы (OU) для каждого домена. OU используются для создания иерархической структуры в пределах домена. Эта иерархия может использоваться для делегирования административных задач или применения групповых политик к совокупности объектов.

Изображение слайда
1/1
50

Слайд 50: ВАЖНЫЕ ХАРАКТЕРИСТИКИ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ

СЛАЙД < 50 > ВАЖНЫЕ ХАРАКТЕРИСТИКИ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ OU получают имена каталога в пределах пространства имен DNS. OU=ManagersOU, OU=AdministrationOU, DC=Contoso, DC=Com. OU могут быть созданы внутри других единиц. По-умолчанию административные права и параметры настройки модуля «Групповая политика» ( Group Policy ), установленные на верхнем уровне единиц OU, наследуются дочерними OU. OU прозрачны для конечных пользователей. Пользователю не требуется знать структуру OU, чтобы осуществить вход в систему или найти объекты в AD. По сравнению с другими компонентами AD (домены и леса), структуру OU легче изменить после развертывания.

Изображение слайда
1/1
51

Слайд 51: ПРИЧИНЫ СОЗДАНИЯ СТРУКТУРЫ OU

СЛАЙД < 51 > ПРИЧИНЫ СОЗДАНИЯ СТРУКТУРЫ OU возможность делегировании администрирования ; управление назначением групповых политик.

Изображение слайда
1/1
52

Слайд 52: СОЗДАНИЕ ПРОЕКТА ОРГАНИЗАЦИОННЫХ ЕДИНИЦ

СЛАЙД < 52 > СОЗДАНИЕ ПРОЕКТА ОРГАНИЗАЦИОННЫХ ЕДИНИЦ начинается с организационных единиц высшего уровня. OU высшего уровня должны основываться на чем-то неизменном: географический регион - проект OU, основанный на географии организации, вероятно, будет наиболее устойчив к изменениям. Некоторые организации часто реорганизуются, но редко изменяют географическую конфигурацию. Основной недостаток проявляется тогда, когда возникает несколько деловых подразделений в каждом географическом месте. Например, если каждый отдел представлен в каждом офисе организации, более эффективно на высшем уровне использовать структуру OU, основанную на деловых подразделениях.

Изображение слайда
1/1
53

Слайд 53

СЛАЙД < 53 > 2. деловое подразделение - в такой модели OU высшего уровня создается для каждого делового подразделения в пределах организации. Этот тип конфигурации является наиболее подходящим, если организация находится в одном месте или если многие административные задачи делегируются на уровень делового подразделения. Проблема, которая может возникнуть, заключается в том, что OU высшего уровня изменятся в случае реорганизации.

Изображение слайда
1/1
54

Слайд 54

СЛАЙД < 54 > Большинство крупных организаций на практике используют комбинацию единиц, основанных на географии и на деловых подразделениях. Обычная конфигурация – это OU высшего уровня, основанные на географических регионах, со следующим уровнем OU в пределах каждого региона, основанных на деловых подразделениях. Некоторые организации также могут выбрать OU высшего уровня, основанные на деловых подразделениях, а затем создавать под высшим уровнем структуру OU, основанную на географии.

Изображение слайда
1/1
55

Слайд 55

СЛАЙД < 55 > Безопасное администрирование службы AD

Изображение слайда
1/1
56

Слайд 56: ЗАЩИТА ОБЪЕКТОВ AD

СЛАЙД < 56 > ЗАЩИТА ОБЪЕКТОВ AD Одна из основных причин развертывания службы каталога AD состоит в обеспечении безопасности КИС. Защита AD строится на двух типах объектов и на взаимодействии между ними. Первый объект – это участник безопасности, который представляет пользователя, группу, службу или компьютер, который нуждается в доступе к некоторому ресурсу в сети. Второй объект – это сам информационный ресурс, к которому нужно получить доступ участнику безопасности. Чтобы обеспечить надлежащий уровень защиты, служба AD должна идентифицировать участников безопасности, а затем предоставлять правильный уровень доступа к информационным ресурсам.

Изображение слайда
1/1
57

Слайд 57: УЧАСТНИКИ БЕЗОПАСНОСТИ

СЛАЙД < 57 > УЧАСТНИКИ БЕЗОПАСНОСТИ Каждому участнику безопасности при создании объекта назначается идентификатор защиты ( SID ), состоит из: идентификатор домена, все участники безопасности в домене имеют один и тот же идентификатор домена ; относительный идентификатор ( RID ), является уникальным для каждого участника безопасности в домене AD. При выдаче разрешения на доступ к ресурсу используется отображаемое имя участника безопасности, но Windows Server  2003 фактически использует SID для управления доступом к ресурсу.

Изображение слайда
1/1
58

Слайд 58: СПИСКИ УПРАВЛЕНИЯ ДОСТУПОМ

СЛАЙД < 58 > СПИСКИ УПРАВЛЕНИЯ ДОСТУПОМ Разрешения на доступ к объектам, расположены в списке управления доступом ( ACL – Access Control List, или дескриптор защиты ( Security Descriptor ) – хранит разрешения, которые предоставляются объектам. Дескриптор защиты включает идентификатор SID участника безопасности, который владеет объектом, а также SID для основной группы объекта. Кроме того, каждый объект имеет два отдельных списка ACL : список управления разграничительным доступом ( DACL – Discretionary Access Control List ) ; список управления системным доступом ( SACL – System Access Control List ).

Изображение слайда
1/1
59

Слайд 59

СЛАЙД < 59 > Список DACL перечисляет участников безопасности, которым были назначены разрешения на доступ к объекту, а также уровень разрешений, которые были назначены каждому участнику безопасности. Список DACL состоит из записей управления доступом ( ACE – Access Control Entries ). Каждая запись ACE содержит идентификатор SID и определяет уровень доступа к объекту, который разрешен данному SID. Список ACE включает записи для всех типов участников безопасности. Список SACL перечисляет участников безопасности, чей доступ к ресурсу должен подвергаться аудиту. Список записей ACE в SACL указывает, чей доступ должен подвергаться аудиту, а также необходимый уровень аудита.

Изображение слайда
1/1
60

Слайд 60: МАРКЕР ДОСТУПА (Лексема доступа)

СЛАЙД < 60 > МАРКЕР ДОСТУПА (Лексема доступа) связывает SID участника безопасности и ACL ; назначается, когда пользователь аутентифицируется через AD; используется при обращении к ресурсу. ВКЛЮЧАЕТ: основной SID пользователя ; идентификаторы SID всех групп, которым принадлежит пользователь ; права и привилегии пользователя. используется подсистемой защиты всякий раз, когда пользователь пытается обратиться к ресурсу

Изображение слайда
1/1
61

Слайд 61: ЗАЩИТА AD С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА KERBEROS

СЛАЙД < 61 > ЗАЩИТА AD С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА KERBEROS Основной механизм аутентификации в Active Directory. Преимущества по сравнению с NTLM: Взаимная аутентификация ; При использовании протокола NTLM АУ происходит только в одном направлении, т.е. сервер подтверждает подлинность клиента. При использовании Kerberos клиент может также подтверждать подлинность сервера. Более эффективный доступ к ресурсам ; Когда пользователь обращается к сетевому ресурсу в сети, использующей протокол NTLM, то сервер, на котором расположен ресурс, должен всегда контактировать с контроллером домена для проверки разрешения на доступ данного пользователя. В сети, использующей Kerberos, клиент соединяется с контроллером домена и получает билет на сетевое соединение, чтобы получить доступ к серверу ресурса. Т.е. сервер ресурса не должен больше соединяться с контроллером домена.

Изображение слайда
1/1
62

Слайд 62

СЛАЙД < 62 > 3. Улучшенное управление доверительными отношениями ; Доверительные отношения NTLM всегда односторонние, не транзитивные, они конфигурируются вручную. Доверительные отношения Kerberos конфигурируются автоматически, поддерживаются между всеми доменами леса и являются транзитивными двусторонними. 4. Делегированная аутентификация. Когда клиент подключается к серверу, используя аутентификацию NTLM, сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным только на локальном сервере. С аутентификацией Kerberos сервер может использовать сертификат клиента для доступа к ресурсам другого сервера.

Изображение слайда
1/1
63

Слайд 63: КОМПОНЕНТЫ ПРОТОКОЛА KERBEROS

СЛАЙД < 63 > КОМПОНЕНТЫ ПРОТОКОЛА KERBEROS Клиент (должен получить доступ к сетевым ресурсам ) ; Сервер (управляет сетевыми ресурсами и гарантирует, что только проверенные и уполномоченные пользователи получат доступ к ресурсу ) ; Центр распределения ключей (служит центральным местом хранения пользовательской информации и включающий главную службу подтверждения подлинности пользователей, выдает сессионный ключ).

Изображение слайда
1/1
64

Слайд 64: Схема двусторонней аутентификации пользователя и сервера

СЛАЙД < 64 > Схема двусторонней аутентификации пользователя и сервера Пользователь хочет получить доступ к ресурсам на сервере ресурсов. Чтобы предоставить к ним доступ, сервер должен первоначально аутентифицировать клиента. Для этого используются общие данные о клиенте и о сервере ресурсов, которые есть у доверенного сервера, и выполняются : Доверенный сервер генерирует некий сессионный ключ. Доверенный сервер шифрует сессионный ключ ключом клиента и отправляет его клиенту. Доверенный сервер шифрует сессионный ключ ключом сервера ресурсов и отправляет его серверу ресурсов.

Изображение слайда
1/1
65

Слайд 65

СЛАЙД < 65 > Теперь клиент и сервер ресурсов обладают единым сессионным ключом, который позволяет им доверять друг другу, т.к. оба они доверяют серверу, предоставившему сессионный ключ. Этот ключ позволяет построить защищенное соединение для обмена данными

Изображение слайда
1/1
66

Слайд 66

СЛАЙД < 66 > В принятой в Kerberos терминологии билетом ( Ticket ), или мандатом, называется сессионный ключ с сопутствующими данными (наименование пользователя или сервера, временной штамп и т.п.), зашифрованными ключом пользователя либо сервера. Проблема владения общим секретом заключается в том, что в организации могут быть тысячи пользователей и сотни серверов. Управление различными общими секретами всех этих пользователей было бы непрактичным. Для решения проблемы общих секретов протокол Kerberos как раз использует доверенный сервер – центр распределения ключей ( KDC – Key Distribution Center ).

Изображение слайда
1/1
67

Слайд 67: ДОВЕРЕННЫЙ СЕРВЕР KERBEROS

СЛАЙД < 67 > ДОВЕРЕННЫЙ СЕРВЕР KERBEROS Служба KDC выполняется как служба сервера в сети и управляет общими секретами всех пользователей в сети. KDC имеет одну центральную БД для всех учетных записей пользователей и хранит общий секрет каждого пользователя (в форме хэша пароля пользователя). Когда пользователю требуется получить доступ к сети и сетевым ресурсам, служба KDC подтверждает, что пользователь знает общий секрет, а затем подтверждает подлинность пользователя, используя вышеприведенную схему.

Изображение слайда
1/1
68

Последний слайд презентации: Служба каталога Active Directory

СЛАЙД < 68 > KDC состоит из: служба аутентификации (AS – Authentication Service ) - отвечает за начальный вход клиента в систему и выдает билет TGT (TGT – Ticket - Granting Ticket ) клиенту ; служба предоставления билетов ( TGS – Ticket - Granting Service ) - отвечает за все билеты сеанса, которые используются для доступа к ресурсам в сети Windows Server  2003.

Изображение слайда
1/1
Реклама. Продолжение ниже