Служба каталога Microsoft Windows Server 2003Назначение Структура Возможности

Содержание

Слайд 2

Содержание

Логическая структура Active Directory и организация каталога
Физическая структура Active Directory
Механизмы службы каталогов

Содержание Логическая структура Active Directory и организация каталога Физическая структура Active Directory
для управления правами и ресурсами

Слайд 3

Active Directory

Каталог
Глобальное распределенное хранилище информации обо всех объектах корпоративной сети
Функции службы каталогов

Active Directory Каталог Глобальное распределенное хранилище информации обо всех объектах корпоративной сети

Внедрение политики безопасности информационной системы
Организационное разделение каталога
Распределение каталога по большому количеству компьютеров в сети
Репликация каталога между распределенными участками

Слайд 4

Домен

Каталог - хранилище объектов
Домен
Основная логическая единица каталога
Объекты
Объект определяется набором атрибутов
Организационные единицы

Имя
Адрес
Телефон

Домен Каталог - хранилище объектов Домен Основная логическая единица каталога Объекты Объект

Слайд 5

Организационная единица

Группировка объектов каталога внутри домена
Логическое упорядочение объектов домена
Иерархия в виде вложенных

Организационная единица Группировка объектов каталога внутри домена Логическое упорядочение объектов домена Иерархия
ОЕ

ОЕ

Слайд 6

Дерево

Иерархическая организация доменов
Транзитивные отношения доверия
Kerberos Trust
Единое пространство имен

Дерево Иерархическая организация доменов Транзитивные отношения доверия Kerberos Trust Единое пространство имен

Слайд 7

Лес (Форест)

Несколько деревьев, корневые домены которых связаны транзитивными отношениями доверия
Разные пространства имен
Общая

Лес (Форест) Несколько деревьев, корневые домены которых связаны транзитивными отношениями доверия Разные
Cхема (Schema)
Общий Глобальный Каталог
Создание леса целесообразно при построении единого каталога для нескольких организаций

Слайд 8

Доверительные отношения

Транзитивное доверие между родительским и дочерним доменами

Транзитивное доверие между корневыми доменами

Доверительные отношения Транзитивное доверие между родительским и дочерним доменами Транзитивное доверие между
леса

Прямое нетранзитивное доверие между доменами леса

Транзитивное доверие между лесами

Слайд 9

Active Directory и DNS

Каждому домену Active Directory однозначно соответствует домен DNS
Имена доменов

Active Directory и DNS Каждому домену Active Directory однозначно соответствует домен DNS
Active Directory представлены в формате DNS (например www.univ.kiev.ua)
Клиенты используют сервер DNS для обнаружения служб Active Directory
Специальные требования к серверу DNS
Service Resource Records (SRV RR)
Динамическое обновление базы
Инкрементный перенос зоны (BIND 8.2.0 or later)
Инструменты для диагностики и отладки сервера DNS (nslookup)

Слайд 10

Пространство имен

Иерархия DNS-имен доменов отражает структуру дерева/леса
Домен можно переименовать
Утилита Rendom.exe

DNS: lvov.medikom.ua

Корневой домен

Пространство имен Иерархия DNS-имен доменов отражает структуру дерева/леса Домен можно переименовать Утилита
MEDIKOM.UA

Дочерний домен LVOV.MEDIKOM.UA

Дочерний домен DONETSK. MEDIKOM.UA

DNS: donets.medikom.ua

DNS: medikom.ua

Слайд 11

Схема

Описание классов и атрибутов объектов, определенных в каталоге
Единая для всего каталога
Необходимость в

Схема Описание классов и атрибутов объектов, определенных в каталоге Единая для всего
модификации схемы возникает крайне редко
Внесение специфического атрибута, не описанного в стандартной схеме
Установка приложений, которые вносят изменения в схему
Microsoft Exchange Server,
Microsoft ISA Server

Слайд 12

Модификация схемы

Права на модификацию схемы есть только у специальной группы
Schema Admins
Инструменты

Модификация схемы Права на модификацию схемы есть только у специальной группы Schema

Active Directory Schema (mmc snap-in)
Исполняемый сценарий (ADSI)

Слайд 13

Содержание

Логическая структура Active Directory и организация каталога
Физическая структура Active Directory
Механизмы службы каталогов

Содержание Логическая структура Active Directory и организация каталога Физическая структура Active Directory
для управления правами и ресурсами

Слайд 14

Структура каталога

Распределенная база данных
База данных объектов домена
Собственная для каждого домена
Хранится в одинаковых

Структура каталога Распределенная база данных База данных объектов домена Собственная для каждого
копиях на всех контроллерах одного домена
Глобальная информация дерева
Конфигурация каталога
Схема
Глобальный каталог
Частичная информация обо всех объектах дерева
В каждом домене присутствует хотя бы один сервер Глобального каталога

Слайд 15

Глобальный каталог

Ссылка на базу данных собственного домена

Все объекты других доменов с ограниченным

Глобальный каталог Ссылка на базу данных собственного домена Все объекты других доменов с ограниченным набором атрибутов
набором атрибутов

Слайд 16

Компоненты каталога

Конфигурация

Схема

Корень

Корневой домен

Корень дерева

Глобальный каталог

Компоненты каталога Конфигурация Схема Корень Корневой домен Корень дерева Глобальный каталог

Слайд 17

Контроллер домена

Windows Server 2003 с установленной службой Active Directory
Хранит копию базы данных

Контроллер домена Windows Server 2003 с установленной службой Active Directory Хранит копию
объектов домена и участвует в репликации с другими контроллерами домена
Выполняет аутентификацию и авторизацию пользователей и компьютеров
Обеспечивают отказоустойчивую работу предприятия

Слайд 18

Сайт

Сайт
Группа компьютеров, связанных между собой “быстрыми” линиями
Структура сайтов отражает топологию сетевых

Сайт Сайт Группа компьютеров, связанных между собой “быстрыми” линиями Структура сайтов отражает топологию сетевых коммуникаций
коммуникаций

Слайд 19

Репликация каталога

Принцип «Multi-master»
Все контроллеры равноправны
Все реплики разделов каталога доступны для записи
Синхронизация реплик

Репликация каталога Принцип «Multi-master» Все контроллеры равноправны Все реплики разделов каталога доступны
каталога, хранящихся на разных контроллерах
Update Sequence Number (USN)
Разрешение конфликтов
Детализация до уровня отдельного атрибута
Реплицируются только отдельные атрибуты

Слайд 20

Топология репликации

Узловой сервер

Узловой сервер

ISTG

ISTG

Knowledge Consistency Checker (KCC)
Организует репликацию внутри сайтов
Inter-Site Topology Generator

Топология репликации Узловой сервер Узловой сервер ISTG ISTG Knowledge Consistency Checker (KCC)
(ISTG)
Автоматически формирует топологию репликации и между сайтами
Узловой сервер сайта
Выполняет репликацию через соединение с узловым сервером сайта-партнера

Слайд 21

Серверы FSMO

Flexible Single-Master Operations
Операции, которые нельзя одновременно выполнять на нескольких машинах
Пять ролей

Серверы FSMO Flexible Single-Master Operations Операции, которые нельзя одновременно выполнять на нескольких
FSMO
Единственный сервер на лес
Schema Master
Domain Naming Master
Один сервер в каждом домене
Relative Identifier (RID) Master
Primary Domain Controller (PDC) Emulator
Infrastructure Master

Слайд 22

Содержание

Компоненты Active Directory и организация каталога
Физическая структура Active Directory
Механизмы службы каталога для

Содержание Компоненты Active Directory и организация каталога Физическая структура Active Directory Механизмы
управления правами и ресурсами

Слайд 23

Основные операции

Управление объектами каталога
Публикация ресурсов и служб
Организация поиска в каталоге
Интеграция с системой

Основные операции Управление объектами каталога Публикация ресурсов и служб Организация поиска в
безопасности Windows 2003
Аутентификация
Службы сертификатов
Контроль доступа к объектам (ACL)
Управление конфигурациями рабочих станций пользователей

Слайд 24

Делегирование

Административные полномочия, которые можно делегировать пользователям или группам
Изменение свойств контейнера
Создание, модификация и

Делегирование Административные полномочия, которые можно делегировать пользователям или группам Изменение свойств контейнера
удаление дочерних объектов
Изменение указанных атрибутов у объектов определенного класса
Создание новых пользователей и групп
Управление пользователями и группами в рамках контейнера
Управление групповыми политиками

Слайд 25

Делегирование прав

Управление объектами
Административные или специальные права на домен или организационную единицу
Выполнение

Делегирование прав Управление объектами Административные или специальные права на домен или организационную
задач
Права на выполнение конкретной операции с указанными объектами
Редактирование свойств
Права на изменение конкретных указанных параметров объекта

Слайд 26

Средства выполнения делегированных задач

Средства выполнения делегированных задач

Слайд 27

Групповая политика

Централизированное управления свойствами компьютеров и рабочей среды пользователей Windows 2000/XP
Параметры безопасности
Свойства

Групповая политика Централизированное управления свойствами компьютеров и рабочей среды пользователей Windows 2000/XP
рабочего стола пользователя
Сценарии входа/выхода пользователей, загрузки/выключения компьютеров
Управление членством в группах
Параметры работы операционной системы клиентов (службы, программы)
Автоматическая установка, обновление и удаление ПО

Слайд 28

Параметры групповых политик

Большинство параметров имеют три значения
2 ветви конфигураций
Настройки компьютера переписывают настройки пользователя
Для

Параметры групповых политик Большинство параметров имеют три значения 2 ветви конфигураций Настройки
получения GPO учетная запись (компьютера или пользователя) :
Должна находиться в ОЕ, которой назначена политика
Должна иметь разрешение “Read and Apply Group Policy”

Слайд 29

Уровни применения ГП

Сайт
Все домены внутри сайта
Домен
Все пользователи и компьютеры домена
ГП не наследуется

Уровни применения ГП Сайт Все домены внутри сайта Домен Все пользователи и
дочерними доменами
Организационная единица
Все пользователи и компьютеры ОЕ
ГП применяется ко всем вложенным ОЕ

Слайд 30

Политика домена

Порядок применения

Политики родительских ОЕ

Политика своего ОЕ

Политика сайта

Политика домена Порядок применения Политики родительских ОЕ Политика своего ОЕ Политика сайта

Слайд 31

Наследование ГП

Блокировка наследования

GP1

GP2

GP3

Фильтр

Наследование ГП Блокировка наследования GP1 GP2 GP3 Фильтр

Слайд 32

Фильтры WMI

Новый механизм, позволяющий фильтровать объекты, к которым применяется групповая политика
Новый тип

Фильтры WMI Новый механизм, позволяющий фильтровать объекты, к которым применяется групповая политика
объекта в Active Directory
Работает только для машин Windows XP Professional и Windows 2003
Объекту групповой политики может соответствовать один фильтр WMI
Фильтр WMI может быть назначен нескольким объектам GPO

Слайд 33

Group Policy Management Console

Объединенная консоль для управления групповыми политиками
Консолидирует все операции

Group Policy Management Console Объединенная консоль для управления групповыми политиками Консолидирует все
управления GPO из разных инструментов
Организует данные групповых политик
Визульно показывает связи объектов GPO и контейнеров

Слайд 34

Интерфейс GPMC

Интерфейс GPMC

Слайд 35

Анализ результатов применения

Раздел “Results” в консоли GPMC
Работает на машинах Windows XP и

Анализ результатов применения Раздел “Results” в консоли GPMC Работает на машинах Windows
Windows 2003
Необходимо подключение к анализируемому компьютеру
Необходима регистрация пользователя

Слайд 36

Симуляция процесса применения групповых политик
Раздел “Modeling” в консоли GPMC
Позволяет рассматривать множество гипотетических

Симуляция процесса применения групповых политик Раздел “Modeling” в консоли GPMC Позволяет рассматривать
вариантов
Членство в группах, местоположение объектов, фильтры WMI и др.

Моделирование результатов

Слайд 37

Курсы Microsoft Official Curriculum (MOC)

2274 Managing a Windows Server 2003 Environment
2279 Planning,

Курсы Microsoft Official Curriculum (MOC) 2274 Managing a Windows Server 2003 Environment
Implementing and Maintaining a Windows Server 2003 Active Directory Infrastructure
Имя файла: Служба-каталога-Microsoft-Windows-Server-2003Назначение-Структура-Возможности.pptx
Количество просмотров: 144
Количество скачиваний: 0