Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

www.vshu.kirov.ru.

В этой записи www – имя хоста, vshu.kirov.ru. – DNS-суффикс. Точку в конце FQDN обычно можно опускать.

Служба DNS

Пользователь работает с доменными именами, компьютеры пересылают пакеты, пользуясь IP-адресами. Для согласования двух систем адресаций необходима специальная служба, которая занимается переводом доменного имени в IP-адрес и обратно. Такая служба в TCP/IP называется Domain Name Service – служба доменных имен (аббревиатура DNS совпадает с аббревиатурой системы доменных имен). Процесс преобразования доменного имени в IP-адрес называется разрешением доменного имени.

В те времена, когда в сети ARPANET было несколько десятков компьютеров, задача преобразования символьного имени в IP-адрес решалась просто – создавался текстовый файл hosts, в котором хранились соответствия IP-адреса символьному имени. Этот файл должен был присутствовать на всех узлах сети. По мере увеличения числа узлов объем файла стал слишком большим, кроме того, администраторы не успевали отслеживать все изменения, происходящие в сети. Потребовалась автоматизация процесса разрешения имен, которую взяла на себя служба DNS.

Служба доменных имен поддерживает распределенную базу данных, которая хранится на специальных компьютерах – DNS-серверах. Термин «распределенная» означает, что вся информация не хранится в одном месте, её части распределены по отдельным DNS-серверам. Например, за домены первого уровня отвечают 13 корневых серверов, имеющих имена от A.ROOT-SERVERS.NET до M.ROOT-SERVERS.NET, расположенных по всему миру (большинство в США).

Такие части пространства имен называются зонами (zone). Пространство имен делится на зоны исходя из удобства администрирования. Одна зона может содержать несколько доменов, так же как информация о домене может быть рассредоточена по нескольким зонам. На DNS-сервере могут храниться несколько зон. В целях повышения надежности и производительности зона может быть размещена одновременно на нескольких серверах, в этом случае один из серверов является главным и хранит основную копию зоны (primary zone), остальные серверы являются дополнительными, на них содержатся вспомогательные копии зоны (secondary zone).

Для преобразования IP-адресов в доменные имена существуют зоны обратного преобразования (reverse lookup zone). На верхнем уровне пространства имен Интернета этим зонам соответствует домен in-addr.arpa. Поддомены этого домена формируются из IP-адресов, как показано на рис. 5.2.

Рис. 5.2. Формирование поддоменов домена arpa

Следуя правилам формирования DNS-имен, зона обратного преобразования, соответствующая подсети 156.98.10.0, будет называться
10.98.156.in-addr.arpa.

Процесс разрешения имен

Служба DNS построена по модели «клиент-сервер», т. е. в процессе разрешения имен участвуют DNS-клиент и DNS-серверы. Системный компонент DNS-клиента, называемый DNS-распознавателем, отправляет запросы на DNS-серверы. Запросы бывают двух видов:

– итеративные – DNS-клиент обращается к DNS-серверу с просьбой разрешить имя без обращения к другим DNS-серверам;

– рекурсивные – DNS-клиент перекладывает всю работу по разрешению имени на DNS-сервер. Если запрашиваемое имя отсутствует в базе данных и в кэше сервера, он отправляет итеративные запросы на другие DNS-серверы.

В основном DNS-клиентами используются рекурсивные запросы.

На рис. 5.3 проиллюстрирован процесс разрешения доменного имени с помощью рекурсивного запроса.

Рис. 5.3. Процесс обработки рекурсивного DNS-запроса

Сначала DNS-клиент осуществляет поиск в собственном локальном кэше DNS-имен. Это память для временного хранения ранее разрешенных запросов. В эту же память переносится содержимое файла HOSTS (каталог windows/system32/drivers/etc). Утилита IPconfig с ключом /displaydns отображает содержимое DNS-кэша.

Если кэш не содержит требуемой информации, DNS-клиент обращается с рекурсивным запросом к предпочитаемому DNS-серверу (Preferred DNS server), адрес которого указывается при настройке стека TCP/IP. DNS-сервер просматривает собственную базу данных, а также кэш-память, в которой хранятся ответы на предыдущие запросы, отсутствующие в базе данных. В том случае, если запрашиваемое доменное имя не найдено, DNS-сервер осуществляет итеративные запросы к DNS-серверам верхних уровней, начиная с корневого DNS-сервера.

Рассмотрим процесс разрешения доменного имени на примере. Пусть, требуется разрешить имя www.microsoft.com. Корневой домен содержит информацию о DNS-сервере, содержащем зону .com. Следующий запрос происходит к этому серверу, на котором хранятся данные о всех поддоменах зоны .com, в том числе о домене microsoft и его DNS-сервере. Сервер зоны microsoft.com может непосредственно разрешить имя www.microsoft.com в IP-адрес.

Иногда оказывается, что предпочитаемый DNS-сервер недоступен. Тогда происходит запрос по той же схеме к альтернативному DNS-серверу, если, конечно, при настройке стека TCP/IP был указан его адрес.

Записи о ресурсах

База данных DNS-сервера содержит записи о ресурсах (resource record), в которых содержится информация, необходимая для разрешения доменных имен и правильного функционирования службы DNS. Существует более 20 типов записей о ресурсах, приведем самые важные:

· А (Host Address – адрес хоста) – основная запись, используемая для непосредственного преобразования доменного имени в IP‑адрес;

· CNAME (Canonical Name – псевдоним) – запись определяет псевдоним хоста и позволяет обращаться по разным именам (псевдонимам) к одному и тому же IP-адресу;

· MX (Mail Exchanger – почтовый обменник) – запись для установления соответствия имени почтового сервера IP-адресу;

· NS (Name Server – сервер имен) – запись для установления соответствия имени DNS-сервера IP-адресу;

· PTR (Pointer – указатель) – запись для обратного преобразования IP-адреса в доменное имя;

· SOA (Start Of Authority – начало авторизации) – запись для определения DNS-сервера, который хранит основную копию зоны;

· SRV (Service Locator – определитель служб) – запись для определения серверов некоторых служб (например, POP3, SMTP, LDAP).

Утилита NSLOOKUP

Утилита nslookup используется для проверки способности DNS‑серверов выполнять разрешение имен. Утилита может работать в двух режимах:

· режим командной строки – обычный режим запуска утилит командной строки. Утилита nslookup выполняется в этом режиме, если указан какой-либо ключ;

· интерактивный режим – в этом режиме возможен ввод команд и ключей утилиты без повторения ввода имени утилиты.

Команды утилиты nslookup:

· helpили? – вывод справки о командах и параметрах утилиты;

· set– установка параметров работы утилиты;

· server <имя> – установка сервера по умолчанию (Default Server), используемого утилитой, с помощью текущего сервера по умолчанию;

· lserver <имя> – установка сервера по умолчанию утилиты с помощью первоначального;

· root – установка сервера по умолчанию утилиты на корневой сервер;

· ls <домен>– вывод информации о соответствии доменных имен IP-адресам для заданного домена;

· exit – выход из интерактивного режима.

Имена NetBIOS и служба WINS

Протокол NetBIOS (Network Basic Input Output System – сетевая базовая система ввода-вывода) был разработан в 1984 году для корпорации IBM как сетевое дополнение стандартной BIOS на компьютерах IBM PC. В операционных системах Microsoft Windows NT, а также в Windows 98, протокол и имена NetBIOS являлись основными сетевыми компонентами. Начиная с Windows 2000, операционные системы Microsoft ориентируются на глобальную сеть Интернет, в связи с чем фундаментом сетевых решений стали протоколы TCP/IP и доменные имена.

Однако поддержка имен NetBIOS осталась и в операционной системе Windows Server 2003. Обусловлено это тем, что функционирование в сети таких операционных систем, как Windows NT и Windows 98, невозможно без NetBIOS.

Система имен NetBIOS представляет собой простое неиерархическое пространство, т. е. в имени NetBIOS отсутствует структура, деление на уровни, как в DNS-именах. Длина имени не более 15 символов (плюс один служебный).

Для преобразования NetBIOS-имен в IP-адреса в операционной системе Windows Server 2003 используется служба WINS – Windows Internet Naming Service (служба имен в Интернете для Windows). Служба WINS работает, как и служба DNS, по модели «клиент-сервер». WINS-клиенты используют WINS-сервер для регистрации своего NetBIOS-имени и преобразования неизвестного NetBIOS-имени в IP-адрес. Функции сервера NetBIOS-имен описаны в RFC 1001 и 1002.

Резюме

Символьные доменные имена введены в стек протоколов TCP/IP для удобства работы пользователей в сети. Доменные имена упорядочены иерархическую систему DNS, представляющую собой дерево доменов. Имеется единственный корневой домен, домены первого уровня делятся на три группы: по организационному признаку, по географическому признаку и специальный домен arpa, служащий для обратного преобразования IP‑адресов.

Для преобразования доменных имен в IP-адреса в сетях TCP/IP функционирует служба DNS. Разрешение имен осуществляется при помощи локальных баз данных и запросов к DNS-серверам. Запросы бывают двух видов ­– итеративные и рекурсивные. Итеративный запрос к DNS-серверу предполагает, что сервер будет осуществлять поиск только в своей базе данных. Рекурсивный запрос требует, чтобы DNS-сервер кроме поиска в локальной базе данных отправлял запросы на другие серверы.

Для диагностики работы службы DNS предназначена утилита nslookup.

Помимо доменных имен в сетях Microsoft используются имена NetBIOS. Для работы с ними устанавливается служба WINS.

Контрольные вопросы

1. Для чего необходимы доменные имена?

2. Для чего нужна служба DNS?

3. Что такое корневой домен?

4. Каково было предназначение файла hosts? Используется ли он сегодня?

5. Чем отличается служба DNS от системы DNS?

6. Объясните принцип действия итеративного запроса.

7. Объясните принцип действия рекурсивного запроса.

8. В чем отличие доменных имен от имен NetBIOS?

Лекция 6. Протокол DHCP

План лекции

· Проблема автоматизации распределения IP-адресов.

· Реализация DHCP в Windows.

· Параметры DHCP.

· Адреса для динамической конфигурации.

· DHCP-сообщения.

· Принцип работы DHCP.

· Авторизация DHCP-сервера.

· Резюме.

· Контрольные вопросы.

Проблема автоматизации распределения IP-адресов

Одной из основных задач системного администратора является настройка стека протоколов TCP/IP на всех компьютерах сети. Есть несколько необходимых параметров, которые следует настроить на каждом компьютере, – это IP-адрес, маска подсети, шлюз по умолчанию, IP-адреса DNS-серверов. Назначенные IP-адреса должны быть уникальны. В случае каких-либо изменений (например, изменился IP-адрес DNS сервера или шлюза по умолчанию) их нужно отразить на всех компьютерах. Если какие-либо параметры не указаны или не верны, сеть не будет работать стабильно.

Если в сети менее десяти компьютеров, администратор может успешно справляться с задачей настройки стека TCP/IP вручную, т. е. на каждом компьютере отдельно вводить параметры. IP-адрес, назначенный таким образом, называется статическим. При числе узлов сети более десяти (а многие сети включают десятки и сотни хостов) задача распределения параметров вручную становится трудной или вовсе не выполнимой.

В стеке TCP/IP существует протокол, позволяющий автоматизировать процесс назначения IP-адресов и других сетевых параметров, который называется DHCP – Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста). Использование этого протокола значительно облегчает труд системного администратора по настройке сетей средних и больших размеров. Описание протокола DHCP приводится в документе RFC 2131.

Реализация DHCP в Windows

Протокол DHCP реализуется по модели «клиент-сервер», т. е. в сети должны присутствовать DHCP-сервер (роль которого может исполнять компьютер с операционной системой Windows Server 2003) и DHCP-клиент. На компьютере-сервере хранится база данных с сетевыми параметрами и работает служба DHCP сервера. Компьютер-клиент (точнее, служба клиента DHCP) осуществляет запросы на автоматическую конфигурацию, и DHCP‑сервер при наличии свободных IP-адресов выдает требуемые параметры.

Набор IP-адресов, выделяемых для компьютеров одной физической подсети, называется областью действия (scope). На одном сервере можно создать несколько областей действия. Важно только отслеживать, чтобы области действия не пересекались.

При запросе клиента DHCP-сервер выделяет ему произвольный свободный IP-адрес из области действия совместно с набором дополнительных сетевых параметров. При необходимости некоторые адреса из области действия можно зарезервировать (reserve) за определенным МАС-адресом. В этом случае только компьютеру с этим МАС-адресом (например, DNS-серверу, адрес которого не должен меняться) будет выделяться зарезервированный IP-адрес.

Адреса выделяются клиентам на определенное время, поэтому предоставление адреса называется арендой (lease). Время аренды в Windows Server 2003 может быть от 1 минуты до 999 дней (или неограниченно) и устанавливается администратором.

Параметры DHCP

Основная функция протокола DHCP – предоставление в аренду IP‑адреса. Однако для правильной работы в сети TCP/IP хосту необходим ещё ряд параметров, которые также можно распространять посредством DHCP. Набор параметров указан в RFC 2132.

Перечислим только основные параметры:

· Subnet mask – маска подсети;

· Router – список IP-адресов маршрутизаторов;

· Domain Name Servers – список адресов DNS-серверов;

· DNS Domain Name – DNS-суффикс клиента;

· WINS Server Names – список адресов WINS-серверов;

· Lease Time – срок аренды (в секундах);

· Renewal Time (T1) – период времени, через который клиент начинает продлевать аренду;

· Rebinding Time (T2) – период времени, через который клиент начинает осуществлять широковещательные запросы на продление аренды.

Параметры могут применяться на следующих уровнях:

· уровень сервера;

· уровень области действия;

· уровень класса;

· уровень клиента (для зарезервированных адресов).

Параметры, определенные на нижележащем уровне, перекрывают параметры вышележащего уровня, например параметры клиента имеют больший приоритет, чем параметры сервера. Самый высокий приоритет имеют параметры, настроенные вручную на клиентском компьютере.

Уровень класса используется для объединения клиентов в группы и применения для этой группы отдельных параметров. Отнести клиента к определенному классу можно, применив утилиту IPconfig с ключом /setclassid.

Адреса для динамической конфигурации

При настройке областей действия перед администратором встает вопрос, какой диапазон адресов выбрать для сети своей организации? Ответ зависит от того, подключена ли сеть к Интернету.

Если сеть имеет доступ в Интернет, диапазон адресов назначается провайдером (ISP – Internet Service Provider, поставщик интернет-услуг) таким образом, чтобы обеспечить уникальность адресов в Интернете. Чаще всего бывает так, что провайдер выделяет один или несколько адресов для прямого доступа в Интернет и они присваиваются прокси-серверам, почтовым серверам и другим хостам, которые являются буферными узлами между сетью организации и Интернетом. Большинство остальных хостов получают доступ к интернет-трафику через эти буферные узлы. В этом случае диапазон внутренних адресов организации должен выбираться из множества частных адресов.

Частные адреса (Private addresses), описанные в RFC 1918, специально выделены для применения во внутренних сетях и не могут быть присвоены хостам в Интернете. Существует три диапазона частных адресов:

· ID подсети – 10.0.0.0, маска подсети: 255.0.0.0;

· ID подсети – 172.16.0.0, маска подсети: 255.240.0.0;

· ID подсети – 192.168.0.0, маска подсети: 255.255.0.0.

Внутри этих диапазонов адресов можно организовывать любые возможные подсети.

Если сеть не имеет доступа в Интернет, то теоретически можно выбрать любой диапазон IP-адресов, не учитывая наличия хостов с такими же адресами в Интернете. Однако на практике все равно лучше выбирать адреса из диапазона частных адресов, так как для сети, не имеющей выхода в Интернет, в ближайшем будущем подключение к глобальной сети может оказаться необходимым, и тогда возникнет проблема изменения схемы адресации.

Также следует отметить, что помимо описанных частных адресов существует диапазон автоматических частных адресов APIPA (Automatic Private IP Address): ID подсети – 169.254.0.0, маска подсети: 255.255.0.0. Адрес из этого диапазона выбирается хостом TCP/IP случайно, если отсутствует статический IP-адрес, DHCP-сервер не отвечает, и не указан альтернативный статический адрес. После выбора IP-адреса, хост продолжает посылать запросы DHCP-серверу каждые пять минут.

DHCP-сообщения

Процесс функционирования служб DHCP заключается в обмене сообщениями между сервером и клиентом. Типы DHCP-сообщений приведены в таблице.

Принцип работы DHCP

Диаграмма переходов, иллюстрирующая принципы работы протокола DHCP, приведена на рис. 6.1. На схеме овалами обозначены состояния, в которых может находиться DHCP-клиент. Из одного состояния в другое клиент может переходить только по дугам. Каждая дуга помечена дробью, числитель которой обозначает событие (чаще всего это сообщение от DHCP‑сервера), после которого клиент переходит в соответствующее состояние, а знаменатель описывает действия DHCP-клиента при переходе. Черточка в числителе означает безусловный переход.

Начальное состояние, в котором оказывается служба DHCP-клиента при запуске, – это «Инициализация». Из этого состояния происходит безусловный переход в состояние «Выбор» с рассылкой широковещательного сообщения DHCPDISCOVER. DHCP-серверы (в одной сети их может быть несколько), принимая сообщение, анализируют свою базу данных на предмет наличия свободных IP-адресов. В случае успеха, серверы отправляют сообщение DHCPOFFER, которое помимо IP-адреса содержит дополнительные параметры, призванные помочь клиенту выбрать лучшее предложение.

Рис. 6.1. Принцип работы протокола DHCP

Сделав выбор, клиент посылает широковещательное сообщение DHCPREQUEST, запрашивая предложенный IP-адрес и требуемые параметры (например, маска подсети, шлюз по умолчанию, IP-адреса DNS‑серверов и др.) и переходит в состояние «Запрос». Данное сообщение требуется посылать широковещательно (т. е. оно должно доставляться всем компьютерам подсети), так как DHCP-серверы, предложения которых клиент отклонил, должны знать об отказе.

В состоянии «Запрос» клиент ожидает подтверждение сервера о возможности использования предложенных сетевых параметров. В случае прихода такого подтверждения (сообщение DHCPACK) клиент переходит в состояние «Аренда», одновременно начиная отсчет интервалов времени Т1 и Т2. Если сервер по каким-либо причинам не готов предоставить клиенту предложенный IP-адрес, он посылает сообщение DHCPNAK. Клиент реагирует на это сообщение переходом в исходное состояние «Инициализация», чтобы снова начать процесс получения IP-адреса.

Состояние «Аренда» является основным рабочим состоянием – у клиента присутствуют все необходимые сетевые параметры, и сеть может успешно функционировать.

Через временной интервал Т1 от момента получения аренды (обычно Т1 равно половине общего времени аренды)[7] DHCP-клиент переходит в состояние «Обновление» и начинает процесс обновления аренды IP-адреса. Сначала клиент посылает DHCP-серверу сообщение DHCPREQUEST, включающее арендованный IP-адрес. Если DHCP-сервер готов продлить аренду этого адреса, то он отвечает сообщением DHCPACK и клиент возвращается в состояние «Аренда» и заново начинает отсчитывать интервалы Т1 и Т2.

В случае, если в состоянии «Обновление» по истечении интервала времени Т2 (который обычно устанавливается равным 87,5% от общего времени аренды) все ещё не получено подтверждение DHCPACK, клиент переходит в состояние «Широковещательное обновление» с рассылкой широковещательного сообщения DHCPREQUEST. Такая рассылка делается в предположении, что DHCP-сервер поменял свой IP-адрес (или перешел в другую подсеть) и передал свою область действия другому серверу. В этом состоянии получение DHCPACK возвращает клиента в состояние «Аренда» и аренда данного IP-адреса продлевается. Если клиент получает от сервера сообщение DHCPNAK или общее время аренды истекает, то происходит переход в состояние «Инициализация» и клиент снова пытается получить IP‑адрес.

В процессе работы может оказаться, что время аренды не истекло, а служба DHCP-клиента прекратила работу (например, в случае перезагрузки). В этом случае DHCP-клиент начинает работу в состоянии «Инициализация после перезагрузки», рассылает широковещательное сообщение DHCPREQUEST и переходит в состояние «Перезагрузка». В случае подтверждения продления аренды (сообщение DHCPACK от DHCP-сервера) клиент переходит в состояние «Аренда». Иначе (сообщение DHCPNAK) клиент оказывается в состоянии «Инициализация».

Авторизация DHCP-сервера

Неправильное функционирование DHCP-сервера в любой сети может привести к нарушению работы всей сети. Ошибки в настройке могут быть вызваны неправильным планированием, когда в одной подсети оказываются несколько DHCP-серверов, или действиями некомпетентного лица (а возможно, и злоумышленника). Для предотвращения последствий таких действий в Windows Server 2003 предусмотрен механизм авторизации DHCP-серверов. Неавторизованный DHCP-сервер (unauthorized DHCP server) не будет работать в этой операционной системе.

Процедуру авторизации может выполнить только администратор. При этом адрес авторизованного DHCP-сервера регистрируется в каталоге Active Directory (см. лекцию 7). Затем при запуске служба DHCP-сервера проверяет наличие IP-адреса своего компьютера в списке авторизованных DHCP‑серверов Active Directory и только после этого может продолжать свою работу.

Резюме

Существенной проблемой в компьютерных сетях является настройка сетевых параметров на всех узлах сети в условиях большого числа узлов и возможных изменений параметров. В сетях TCP/IP для решения указанной проблемы служит протокол DHCP, обеспечивающий автоматическую настройку сетевых параметров.

Протокол DHCP реализует соответствующая служба, работающая по модели «клиент-сервер». Служба DHCP по запросу клиентов выдает им IP‑адреса из заданного диапазона и другие сетевые параметры в аренду на определенное время. По истечении времени аренды клиенты должны обновлять её.

Наиболее часто в локальных сетях применяются адреса из частных диапазонов, которые не используются в Интернете. В случае, если клиенту не назначен IP-адрес и он не смог получить его самостоятельно у DHCP‑сервера, выбирается случайный автоматический частный адрес из подсети 169.254.0.0/16.

Для предотвращения несанкционированного использования DHCP‑серверов в сетях Active Directory применяется механизм авторизации.

Контрольные вопросы

1. Для решения какой проблемы предназначен протокол DНCP?

2. Что такое область действия?

3. Почему адреса предоставляются в аренду на время, а не навсегда?

4. Перечислите основные параметры DHCP.

5. Назовите диапазоны частных адресов. Для чего они нужны?

6. Поясните значение сообщений DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK.

7. По диаграмме переходов на рис. 6.1 объясните принципы работы DHCP-клиента.

Лекция 7. Служба каталога Active Directory

План лекции

· Понятие Active Directory.

· Структура каталога Active Directory.

· Объекты каталога и их именование.

· Иерархия доменов.

· Доверительные отношения.

· Организационные подразделения.

· Резюме.

· Контрольные вопросы.

Понятие Active Directory

В лекции 6 отмечалось, что в средних и крупных сетях задача настройки параметров протокола TCP/IP является очень сложной для администратора и вручную практически не выполнима. Для решения этой проблемы был разработан протокол DHCP, реализованный посредством службы DHCP.

Однако настройка сетевых параметров – лишь одна из множества задач, встающих перед системным администратором. В частности, в любой сети важнейшей является задача управления её ресурсами (файлами и устройствами, предоставленными в общий доступ), а также компьютерами и пользователями.

Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами.

Группа компьютеров, имеющая общий каталог и единую политику безопасности[8], называется доменом (domain). Каждый домен имеет один или несколько серверов, именуемых контроллерами домена (domain controller), на которых хранятся копии каталога.

Перечислим основные преимущества, предоставляемые службой каталога Active Directory:

· централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;

· простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;

· обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;

· масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.

Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.

Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.

Логическая структура каталога Active Directory представлена на рис. 7.1. Цель такой структуризации – облегчение процесса администрирования.

Рис. 7.1. Логическая структура Active Directory

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов. Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2).

Рис. 7.2. Физическая структура Active Directory

Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.

Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).

Рис. 7.3. Связь логической и физической структур

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

· раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);

· раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;

· раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;

· раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;

· раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

– раздел домена реплицируется между контроллерами одного домена;

– разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

– репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.

Объекты каталога и их именование

Объект каталога Active Directory – это элемент, содержащийся в базе данных Active Directory и имеющий набор атрибутов (характеристик). Например, объектом является пользователь, а его атрибутами – имя, фамилия и адрес электронной почты.

Некоторые объекты являются контейнерами. Это означает, что данные объекты могут содержать в своем составе другие объекты. Например, объект домен является контейнером и может включать пользователей, компьютеры, другие домены и т. д.

Каталог Active Directory содержит следующие основные типы объектов, не являющихся контейнерами:

· пользователь (user);

· группы пользователей (group);

· контакты (contact);

· компьютеры (computer);

· принтеры (printer);

· общедоступные папки (shared folder).

В Active Directory для именования объектов используется несколько способов.

Различающееся имя (Distinguished Name, DN) – состоит из нескольких частей, например для пользователя Петрова, принадлежащего к организационному подразделению Teachers домена faculty.ru, различающееся имя выглядит так:

DC = ru, DC = faculty, OU = teachers, CN = users, CN = petrov.

При этом используются следующие сокращения:

· DC (Domain Component) – домен;

· OU (Organizational Unit) – организационное подразделение;

· CN (Common Name) – общее имя.

Различающиеся имена являются уникальными в пределах всего каталога Active Directory. В целях упрощения именования может использоваться относительное различающееся имя (Relative Distinguished Name, RDN). Для приведенного примера это имя CN = petrov. Имя RDN должно быть уникально в рамках объекта-контейнера, т. е. в пределах контейнера CN = users пользователь petrov должен быть единственным.

Основное имя пользователя (User Principal Name, UPN) – используется для входа пользователя в систему и состоит из двух частей: имени учетной записи пользователя и имени домена, к которому принадлежит пользователь. Например: petrov@faculty.ru.

Глобальный уникальный идентификатор (Global Unique Identifier, GUID) – это 128-битовое шестнадцатеричное число, которое ассоциируется с объектом в момент его создания и никогда не меняется. В случае перемещения или переименования объекта его GUID остается прежним.

Иерархия доменов

Домен является основным элементом в логической структуре Active Directory. В рамках домена действуют единые административные полномочия и политика безопасности, применяется общее пространство доменных имен.

Каждый домен имеет по крайней мере один контроллер домена, на котором хранится каталог Active Directory с информацией о домене.

Для организаций со сложной структурой может создаваться иерархия доменов. Первый образованный домен называется корневым (root domain). У него могут быть дочерние домены, имеющие общее пространство доменных имен. В свою очередь, у дочерних доменов могут быть свои домены-потомки. Таким образом, создается иерархия доменов, называемая доменным деревом (domain tree).

Если требуется в рамках одной организации организовать ещё одно пространство имен, то создается отдельное дерево доменов. При этом несколько деревьев, входящих в состав одного каталога Active Directory, образуют лес доменов (forest).

Для именования доменов используются правила, принятые в системе доменных имен DNS. Вследствие этого доменная структура организации может при необходимости (и соблюдении требования уникальности имен) встраиваться в доменную структуру Интернета. Кроме того, для разрешения доменных имен становится возможным использование службы DNS.

На рис. 7.4 приведен фрагмент доменной структуры университета. В данном примере лес состоит из двух деревьев – дерева головной организации (домен univ) и дерева филиала-института (домен institute). Корневой домен головной организации имеет три дочерних домена – rector (ректорат), math (факультет математики), physics (факультет физики). Корневой домен института является родителем для двух доменов – director (руководство института) и chemistry (факультет химии).

Рис. 7.4. Фрагмент возможной доменной структуры вуза

Следуя правилам DNS, полное имя (FQDN) домена rector будет иметь следующий вид: rector.univ, а полное имя домена chemistry: chemistry.institute.

Вопросы планирования доменной структуры рассмотрены в следующей лекции.

Доверительные отношения

Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.

При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).

Существует два вида доверительных отношений: односторонние (one-way trust relationship) и двусторонние (two-way trust relationship). Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно (рис. 7.5).

Рис. 7.5. Односторонние доверительные отношения

Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.

Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации (рис. 7.6).

Рис. 7.6. Двусторонние доверительные отношения

При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.

Перечислим автоматически устанавливаемые двусторонние доверительные отношения:

- внутри дерева доменов;

- между корневыми доменами деревьев одного леса;

- между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).

В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).

Организационные подразделения

Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).

Организационные подразделения можно использовать в качестве контейнера для следующих объектов:

- пользователей;

- групп пользователей;

- контактов;

- компьютеров;

- принтеров;

- общих папок;

- других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей[9]:

1) управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);

2) делегирование прав администрирования, ­– например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики (см. рис. 7.7).

Рис. 7.7. Домен факультета математики

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).

Резюме

В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.

Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности. Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.

Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.

Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.

Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.

Контрольные вопросы

1. Какая информация хранится в каталоге Active Directory? Где находится сам каталог?

2. Что такое домен?

3. Чем отличается контроллер домена от других узлов сети?

4. Какова цель логической структуризации каталог Active Directory?

5. По какому принципу следует осуществлять деление на сайты?

6. Для чего нужна репликация?

7. Сколько всего может быть создано глобальных идентификаторов GUID?

8. Чем аутентификация отличается от авторизации?

9. Объясните понятия «доверенный» и «доверяющий» домен. В каком случае один домен может быть доверенным и доверяющим одновременно?

10. Для чего используют организационные подразделения?

Лекция 8. Планирование и управление Active Directory

План лекции

· Планирование Active Directory.

· Планирование логической структуры.

· Планирование физической структуры.

· Учетные записи.

· Группы пользователей.

· Групповые политики.

· Резюме.

· Контрольные вопросы.

Планирование Active Directory

Рассмотренная в предыдущей лекции служба каталога Active Directory играет центральную роль при выполнении задач сетевого администрирования. Успешная работа пользователей сетевых ресурсов, а также служб, реализующих протоколы TCP/IP, зависит от правильного функционирования Active Directory. Поэтому крайне важной становится задача планирования структуры каталога Active Directory. Удачно спроектированный каталог позволит сделать работу сети более эффективной и стабильной, а также намного облегчит труд администратора.

В процессе планирования Active Directory можно выделить два основных этапа (рис. 8.1):

1) планирование логической структуры, включающее проектирование доменов и организационных подразделений, а также проблему именования;

2) планирование физической структуры, состоящее из разделения сети на сайты и размещения контроллеров домена.

Рис. 8.1. Планирование Active Directory

Планирование логической структуры

При планировании доменной структуры нужно определить количество и способ организации доменов. Возможны три варианта: единственный домен, дерево доменов или лес. Критерии выбора следующие.

1. Размер организации – один домен может содержать несколько миллионов пользователей, рекомендуется не превышать 1–2 миллиона, однако организаций с таким количеством пользователей немного, поэтому данный критерий применяется нечасто.

2. Географическое расположение – имеются ли у организации филиалы или отделы, находящиеся на большом расстоянии и связанные с центральным офисом низкоскоростными каналами связи. Наличие таких филиалов при единственном в организации домене, скорее всего, вызовет перегрузку линий связи из-за трафика репликации.

3. Стабильность предприятия – насколько высока подвижность кадрового состава, не планируется ли в ближайшее время разделение предприятия или присоединения новых структур.

4. Потребности в разных доменных именах – в некоторых случаях в рамках одной организации требуются разные доменные имена. Например, в случае создания единой компьютерной сети двух университетов каждый из них, вероятно, захочет иметь свое собственное доменное имя.

5. Способ управления сетью – может быть централизованным и децентрализованным. Централизованный способ предполагает сосредоточение всей административной власти у единого коллектива администраторов и наличие однодоменной модели. При децентрализованном способе полномочия делегируются нескольким слабосвязанным удаленным группам администраторов, управляющих доменами дерева или леса.

6. Единство политики безопасности. Чаще всего политика безопасности в одной организации едина для всех отделов и сотрудников, однако бывают исключения, например, для отдельных цехов завода, работающих на нужды армии.

Исходя из перечисленных критериев, можно выделить те признаки, по которым выбирается вариант с одним доменом:

1) в организации менее миллиона пользователей;

2) отсутствие удаленных филиалов;

3) относительная стабильность структуры организации;

4) отсутствие потребности в разных доменных именах;

5) централизованный способ администрирования;

6) единая политика безопасности.

Отсутствие первых четырех признаков существенно склоняет выбор в пользу многодоменной модели. Последние два признака в меньшей степени должны влиять на выбор, так как задачи делегирования администрирования и разделения политик безопасности можно решить средствами организационных подразделений в рамках одного домена.

При выборе модели с несколькими доменами в большинстве ситуаций нужно использовать дерево доменов. Лес доменов приемлем в том случае, когда две независимые организации хотят иметь общие сетевые ресурсы.

После выбора доменной структуры следует продумать имена для создаваемых доменов. Особенно важно имя корневого домена. Хотя Windows Server 2003 позволяет переименовывать домены (при условии, что в домене нет контроллеров с Windows Server 2000 и Windows NT), делать это нежелательно: выбранное доменное имя уже может быть прочно ассоциировано с организацией.

Правил для выбора доменного имени немного: во-первых, оно должно отражать специфику организации, во-вторых, быть понятным всем пользователям ресурсов домена, а не только администратору и, в-третьих, не должно быть слишком сложным. Например, для обозначения домена университета необязательно называть его vyatka_state_humanitarian_university (хотя это имя отражает специфику организации и является понятным для пользователей, оно слишком сложное). Для имени такого домена достаточно обозначения vshu.

Планирование структуры организационных подразделений в каждом домене является важным шагом. От этой структуры зависит эффективность решения ежедневных административных задач, оптимальность управления объектами сети.

Как отмечалось в предыдущей лекции, ОП применяются в том случае, если для задач управления группой объектов или делегирования административных прав образование новых доменов нецелесообразно.

В связи с тем, что организационные подразделения можно использовать в качестве контейнеров, допускается строить иерархию ОП с несколькими уровнями вложений.

Иерархию можно строить с помощью двух основных подходов: либо следуя организационной структуре предприятия (организационный подход); либо исходя из задач управления сетевыми объектами (административный подход). Оба способа используются на практике, и задача администратора состоит в том, чтобы выяснить, какой из подходов (или их комбинация) применим в данной ситуации.

Иллюстрацией обоих подходов может служить следующий пример. На предприятии имеются три отдела – безопасности, маркетинга и планирования. Требуется спроектировать для данных отделов структуру организационных подразделений (рис. 8.2).

Рис. 8.2. Организационный и административный подходы

к планированию структуры ОП

Применяя организационный подход, следует в структуре ОП отразить структуру предприятия. Таким образом, отделы представляются как организационные подразделения Security, Marketing и Planning. Административный подход во главу угла ставит задачи управления. Допустим, сотрудники отдела безопасности регулярно устанавливают на компьютеры новые приложения, а отделам маркетинга и планирования установка программ должна быть запрещена. Из этих соображений можно отдел безопасности поместить в ОП Install с правом установки программ, а отделы маркетинга и планирования объединить в ОП NotInstall.

Планирование физической структуры

Основная цель планирования физической структуры – оптимизация трафика репликации. Цель достигается путем продуманного расположения сайтов и контроллеров домена.

В принципе та же задача может быть решена с помощью изменения доменной структуры, так как основной объем данных репликации остается в рамках одного домена, междоменный трафик репликации существенно ниже внутридоменного. Однако рекомендуется при планировании иерархии доменов применять критерии, описанные выше, а для оптимизации процесса репликации использовать механизм сайтов.

На начальном этапе следует проанализировать существующую сеть – её структуру, количество пользователей и компьютеров, пропускную способность, колебания трафика. Все эти данные нужно учитывать при планировании. Чем больше пользователей и компьютеров в сети, тем больше объем передаваемой информации при репликации. Линии с большой пропускной способностью могут быть сильно загружены, и большой трафик репликации внесет существенные проблемы, в то время как низкоскоростные каналы, возможно, практически свободны и выдержат дополнительный объем данных репликации.

Во время анализа следует учитывать возможность расширения сети и увеличения числа пользователей. Считается достаточным принимать коэффициент расширения в пределах 30–50 %.

Основной критерий при выделении сайтов – пропускная способность линий связи. Части домена, связанные высокоскоростными линиями, помещаются в один сайт. Если между частями домена имеются каналы с низкой скоростью передачи данных, их следует разместить в разных сайтах. При этом трафик межсайтовой репликации сжимается и его передача происходит во время наименьшей загрузки низкоскоростных линий.

Вопрос о необходимом количестве и размещении контроллеров домена решается тогда, когда известна доменная структура и расположение сайтов. Общее правило таково, что для каждого домена необходимо не менее двух контроллеров (при этом в случае отказа одного из контроллеров второй обеспечит работу сети). Количество контроллеров зависит от числа пользователей (а следовательно, числа обращений на контроллеры домена), принадлежащих данному домену или сайту. Например, если домен включает два сайта, связанных модемной линией, и к одному из сайтов принадлежит всего несколько пользователей, то совсем не обязательно в этом сайте располагать отдельный контроллер домена (при условии, что загрузка модемной линии невысока).

Учетные записи

После реализации спроектированной структуры Active Directory администратор должен добавить в каталог учетные записи всех пользователей системы и назначить каждой из них определенные права. Учетная запись пользователя – это набор атрибутов, сопоставленных с определенным пользователем. Самые важные атрибуты следующие:

– имя учетной записи, с помощью которого пользователь осуществляет вход в систему (в пределах домена должно быть уникально);

– полное имя пользователя;

– пароль;

– группы, в которые входит пользователь;

– права пользователя.

Создав все необходимые учетные записи, администратору следует продумать, какими правами должен обладать тот или иной пользователь. Права пользователя – это список действий, которые может выполнять пользователь. Права бывают следующих видов:

· привилегия (privilege) – право выполнения операций по изменению состояния или параметров системы (например, выключение компьютера или изменение системного времени);

· право на вход в систему (logon right);

· разрешение доступа (access permission) – право осуществления действий с файлами, папками, принтерами, объектами Active Directory, реестром (при условии, что используется файловая система NTFS).

Более подробно виды прав пользователя описаны в Приложении III.

При условии, что пользователей порядка десяти человек, определить необходимые права можно достаточно просто. Однако гораздо чаще на практике встречаются сети с сотнями и тысячами учетных записей. В таких масштабах задача распределения прав отдельным пользователям становится невыполнимой. В этом случае на помощь администратору приходит механизм групп пользователей.

Группы пользователей

Группа пользователей (группа безопасности, Security Group) – это объединение учетных записей пользователей, которому можно назначать права[10]. С использованием групп распределение прав осуществляется следующим образом. Сначала выбираются такие пользователи, список прав которых должен быть одинаковым. Затем создается группа, членами которой являются выбранные пользователи. Требуемые права назначаются уже не отдельным пользователям, а группе, и эти права автоматически распространяются на всех пользователей группы.

Следует отметить, что группы пользователей и организационные подразделения представляют собой разные механизмы, предназначенные для разных целей. Создание групп безопасности преследует цель распределения прав доступа к ресурсам пользователям сети, в то время как основное назначение организационных подразделений – управление пользователями (а также компьютерами) (см. рис. 8.3).

Рис. 8.3. Использование ОП и групп безопасности

Группы пользователей различаются по области действия. Выделяют три области действия:

– доменную локальную (domain local scope);

– глобальную (global scope);

– универсальную (universal scope).

Доменные локальные группы действуют в рамках только своего домена. За его пределами указывать локальную доменную группу нельзя. Такие группы обычно применяются для управления доступом к файлам, общим папкам и принтерам.

Глобальные группы могут использоваться в рамках всего леса доменов. Однако глобальная группа принадлежит определенному домену, и в её состав могут входить только объекты этого домена. Применяются глобальные группы в том случае, если пользователям одного домена нужно получить доступ к ресурсам другого домена.

Универсальные группы привязаны к корневому домену леса, но в их состав могут входить пользователи любого домена. Чаще всего универсальные группы используются для объединения глобальных групп.

Групповые политики

В заключение лекции рассмотрим один из наиболее эффективных и удобных инструментов администрирования – групповые политики.

Групповые политики [11] (group policy) – это способ автоматизации работы по настройке рабочих столов пользователей и параметров компьютеров. Групповые политики представляют собой наборы правил конфигурирования, применяемых к компьютеру или пользователю. Каждый такой набор правил называется объектом групповой политики (Group Policy Object, GPO).

Один или несколько объектов групповой политики могут применяться к трем видам объединений:

– сайтам;

– доменам;

– организационным подразделениям.

Кроме того, для каждого компьютера может быть определен объект локальной групповой политики (Local Group Policy Object, LGPO).

Объекты групповых политик являются наследуемыми. Это означает, например, что GPO, применяемый к домену, наследуется всеми его организационными подразделениями. В том случае, если правила одного объекта групповой политики конфликтуют с правилами другого, наибольший приоритет имеет GPO организационного подразделения, ниже по уровню GPO домена, затем следует GPO сайта, наименьший приоритет у LGPO.

Приведем краткий обзор возможностей, предоставляемых групповыми политиками (рис. 8.4).

Рис. 8.4. Пример объекта групповой политики

Объект групповой политики содержит две основные части:

– Конфигурация компьютера (Computer Configuration);

– Конфигурация пользователя (User Configuration).

Каждая из частей включает три раздела:

– Настройки приложений (Software Settings);

– Настройки Windows (Windows Settings);

– Административные шаблоны (Administrative Templates).

В разделе Настройки приложений находится подраздел Установка приложений (Software Installation), позволяющий автоматически устанавливать выбранные программы на компьютеры пользователей.

Правила, создаваемые в разделе Настройки Windows, позволяют:

– выполнять задаваемые сценарии (Scripts) при включении-выключении компьютера, при входе пользователя в систему и выходе из неё;

– настраивать параметры безопасности (Security Settings) компьютера и пользователя (требования к паролям, доступ к реестру, политику аудита событий);

– конфигурировать Internet Explorer (Internet Explorer Maintenance);

– изменять места расположения папок пользователей (Folder Redirection).

Раздел Административные шаблоны предназначен для настройки рабочего стола пользователя, ограничения доступа к системным компонентам и компонентам приложений.

Таким образом, Windows Server 2003 предоставляет мощный набор инструментов администрирования, способствующий эффективному управлению сети любой организации.

Резюме

При развертывании службы каталога Active Directory на первый план выходит задача планирования его структуры, от успешности решения которой зависит эффективность и стабильность работы сети. В процессе проектирования выделяют два этапа – планирование логической структуры и планирование физической структуры.

В ходе планирования логической структуры следует определиться с количеством доменов и способом их организации – одиночный домен, доменное дерево или лес. Затем нужно выбрать имена для созданных доменов и построить иерархию организационных подразделений.

Основной целью планирования физической структуры является оптимизации трафика репликации. На этом этапе в сети выделяют сайты и определяют количество и размещение контроллеров домена.

После проектирования и реализации структуры каталога должны быть созданы учетные записи пользователей и определены их привилегии. Задача управления пользователями решается при помощи групп безопасности организационных подразделений и групповых политик. Группы безопасности служат для объединения тех пользователей, которые имеют одинаковые разрешения доступа к ресурсам сети. Организационные подразделения создаются для удобства управления пользователями. Управление осуществляется с использованием групповых политик, включающих множество настроек, облегчающих процесс администрирования.

Контрольные вопросы

1. В чем цель планирования логической структуры каталога?

2. В чем цель планирования физической структуры каталога?

3. Назовите признаки, по которым следует осуществлять выбор многодоменной модели?

4. Какой подход предпочтительнее при проектировании структуры организационных подразделений: организационный или административный?

5. Каким образом деление на сайты влияет на процесс репликации?

6. Как выбираются число и расположение контроллеров домена?

7. Чем отличаются организационные подразделения и группы безопасности?