Показать сообщение отдельно
Старый 27.02.2012, 16:00      #1 (ссылка на пост)
levinkv
Активный пользователь
 
Аватар для levinkv
 
Регистрация: 23.01.2012
Сообщений: 54
levinkv скоро придёт к известности
Информация

По умолчанию Введение в Active Directory

Всем привет!

Некоторое время назад меня попросили установить и настроить Active Directory Domain Services (AD DS). И я решил написать несколько статей по этой теме. В этой и последующих статьях я покажу вам, как устанавливать доменные службы Active Directory на Windows Server 2008. Покажу, как создавать объекты домена, такие как:
  • подразделения
  • группы
  • пользователи
  • компьютеры и т.д.

Так же считаю важным рассказать о безопасности Active Directory, так как есть много параметров со значениями “по умолчанию”, которые, по моему мнению, представляют угрозу безопасности домена.

Не бывает ничего лучше хорошей теории, поэтому в этой статье речь пойдет о теории и об основных понятиях.


Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Другими словами службы Active Directory Domain Services (AD DS) обеспечивают идентификацию и доступ Identity and Access (IDA) для корпоративных сетей.

Решение IDA необходимо для поддержки безопасности корпоративных ресурсов, в том числе файлов, электронной почты, приложений и баз данных. Инфраструктура IDA должна выполнять следующие задачи:

Хранение информации о пользователях, группах, компьютерах и других объектах идентификации
  • Проверка подлинности объекта идентификации
  • Управление доступом
  • Обеспечение данных аудита

Структура Active Directory

Структура Active Directory включает пять технологий. Эти технологии полностью реализуют идентификацию и доступ IDA:

Доменные службы Active Directory (Active Directory Domain Services) – Идентификация

Проверяются подлинность и авторизация в сети, а так же поддерживается управление объектами с помощью групповой политики

Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services) – Приложения

Поддерживает множество хранилищ данных в одной системе, чтобы каждое приложение можно было развернуть с собственным каталогом, схемой, назначенным облегченным протоколом доступа к каталогам LDAP (Lightweight Directory Access Protocol), портами SSL и журналом событий приложений

Службы сертификации Active Directory (Active Directory Certificate Services) – Доверие

Организации могут использовать службы сертификации AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure), чтобы создать центр сертификации для выдачи цифровых сертификатов, которые привязывают объект идентификации пользователя, устройства либо службы к соответствующему частному лицу

Службы управления правами Active Directory (Active Directory Rights Management Services) – Целостность

Предоставляют технологию защиты информации, с помощью которой можно реализовать шаблоны устойчивых политик использования, задающих разрешенное и неавторизованное применение в сети, вне ее, а так же внутри и вне периметра брандмауэра

Службы федерации Active Directory (Active Directory Federation Services) – Партнерские отношения

С помощью служб AD FS организация может расширить инфраструктуру IDA на множестве платформ, включая среды Windows и другие, а также обеспечить для доверенных партнеров защиту прав идентификации и доступа вне периметра безопасности

Компоненты инфраструктуры Active Directory

Хранилище данных Active Directory

Структура AD DS хранит свои объекты идентификации в каталоге (хранилище данных) на контроллерах домена. Каталог состоит из одного файла Ntds.dit, который по умолчанию находится в папке %SystemRoot%\Ntds.dit на контроллере домена. База данных состоит из нескольких разделов: схемы, конфигурации, глобального каталога.

Контроллеры домена

Так называют серверы, играющие роль AD DS – в частности, запускающие службу Центр распространения ключей Kerberos, KDC (Kerberos Key Distribution Center).

Домен

Домен представляет собой административную единицу, внутри которой совместно используются определенные возможности и характеристики.

Лес

Это набор из одного либо нескольких доменов Active Directory. Первый установленный в лесу домен называется корневым. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, т.е. данные не реплицируются за его приделы. Поэтому лес задает параметр безопасности.

Дерево

DNS в лесу содержит деревья леса. Если домен является дочерним для другого домена, то эти два домена интерпретируются как дерево.

Функциональный уровень

Возможности домена Active Directory зависят от его функционального уровня. Этот параметр дает возможность ввести дополнительные компоненты AD DS уровня домена, либо леса. Существует три функциональных уровня домена:
  • Windows 2000
  • Windows 2003
  • Windows 2008

А так же два функциональных уровня леса:
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2008

При повышении функционального уровня домена либо леса, ставятся доступными компоненты, предоставляемые соответствующей версией системы Windows.

Подразделения (организационные единицы)

База данных Active Directory является иерархической. Объекты в хранилище данных можно собирать в контейнеры. Одним из типов контейнеров является класс объектов container.

Сайты

Сайт (или узел) Active Directory – это объект, представляющий часть предприятия с хорошей сетевой коммуникацией. Сайт создает периметр репликации и использования служб. Контроллеры домена внутри сайта реплицируют изменения в течении нескольких секунд.

На сегодня все. Надеюсь, что вы получили представление о том, что такое Active Directory. Но как всегда, если будут вопросы, обращайтесь. И не забывайте подписываться, чтобы следить за выходом нового материала…дальше будет интереснее.

Использованная литература:
  • Дэн Холме “Учебный курс Microsoft. Настройка Active Directory Windows Server 2008″

Источник: www.levinkv.ru
levinkv вне форума   Ответить с цитированием
 
Время генерации страницы 0.08458 секунды с 15 запросами