Службы организации корпоративных сетей. Общий и доступ к ресурсам. Active Directory.

Содержание

Слайд 2

Основная задача мультисервисных сетей - обеспечение единой транспортной среды, в которой для

Основная задача мультисервисных сетей - обеспечение единой транспортной среды, в которой для
передачи обычного трафика (данных) и трафика реального времени (голоса и видео) используется единая инфраструктура.
Преимущества мультисервисной сети:
Сокращение расходов на каналы связи и сетевую инфраструктуру;
Возможность внедрения качественно новых сервисов и приложений.

Слайд 3

Пакет –блок данных, передаваемый между абонентскими системами и приложениями.

Трафик – поток

Пакет –блок данных, передаваемый между абонентскими системами и приложениями. Трафик – поток
информации (пакетов), передаваемой по сети за определенный период времени.

Слайд 4

Коммутация пакетов

Коммутация пакетов

Слайд 6

Мультисервисная сеть

Мультисервисная сеть

Слайд 9

Одноранговая сеть

Сеть с выделенным сервером

Одноранговая сеть Сеть с выделенным сервером

Слайд 11

ДОСТУП К РЕСУРСАМ СЕРВЕРА

ДОСТУП К РЕСУРСАМ СЕРВЕРА

Слайд 12

Сетевые клиенты

Сетевые клиенты

Слайд 13

Обращение к хосту

Обращение к файлу

NetBIOS – имя PC1
DNS – имя pc1.grsu.by
IP-адрес 10.31.17.203

UNC \\Server\disk_d\folder\file.txt

Обращение к хосту Обращение к файлу NetBIOS – имя PC1 DNS –
\\PC1\disk_d\folder\file.txt \\pc1.grsu.by\disk_d\folder\file.txt \\10.31.17.203\disk_d\folder\file.txt
URI smb://10.31.17.203/disk_d/folder/file.txt
ftp://10.31.17.203/disk_d/folder/file.txt
http://10.31.17.203/disk_d/folder/file.txt
UNCW \\serverNW\disk_d:folder\file.txt

Слайд 14

Доступ к файлам и данным.
Права доступа.
1. Приложения.
2. Сетевая подсистема.
3. Файловая система.

Сетевое

Доступ к файлам и данным. Права доступа. 1. Приложения. 2. Сетевая подсистема.
приложение

ААА
Аутентификация
Авторизация
Аудит

Слайд 16

Установка прав доступа к файлам

Установка прав сетевого доступа

Установка прав доступа к файлам Установка прав сетевого доступа

Слайд 17

Наследование прав

Результирующие права

Наследование прав Результирующие права

Слайд 18

Учетные записи

Учетные записи

Слайд 19

Учетные записи

Учетные записи

Слайд 20

УПРАВЛЕНИЕ
РЕСУРСАМИ
СЕТИ

УПРАВЛЕНИЕ РЕСУРСАМИ СЕТИ

Слайд 21

Большая компьютерная сеть нуждается в централизованном хранении как можно более полной справочной

Большая компьютерная сеть нуждается в централизованном хранении как можно более полной справочной
(технической) информации:
о пользователях сети (именах для входа в систему, паролях, правах доступа к ресурсам и т.д.);
о компонентах сети (серверах, клиентских компьютерах, маршрутизаторах, шлюзах и т.д.);
о ресурсах сети (томах файловых систем, принтерах и др.)

Слайд 22

PC1

PC2

PC3

PC4

SAM PC1:
USER_1
USER_2

USER_N

SAM PC2:
USER_1
USER_2

USER_N

SAM PC3:
USER_1
USER_2

USER_N

SAM PC4:
USER_1
USER_2

USER_N

Локальные учетные записи

ACL PC1:
D:\ USER_1 R
C:\ USER_2 RW

ACL

PC1 PC2 PC3 PC4 SAM PC1: USER_1 USER_2 … USER_N SAM PC2:
PC2:
D:\ USER_1 R
C:\ USER_2 RW

ACL PC3:
D:\ USER_1 R
C:\ USER_2 RW

ACL PC4:
D:\ USER_1 R
C:\ USER_2 RW

Списки
прав доступа

Слайд 23

Server

PC1

PC2

PC3

SAM SERVER:
USER_1
USER_2

USER_N

SAM PC1:
Administrator

Локальные учетные записи

ACL PC1:
D:\ SERVER/USER_1 R
C:\ SERVER/USER_2 RW

Списки
прав доступа

SAM

Server PC1 PC2 PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1:
PC1:
Administrator

SAM PC1:
Administrator

ACL PC3:
D:\ SERVER/USER_1 R
C:\ SERVER/USER_2 RW

ACL PC2:
D:\ SERVER/USER_1 R
C:\ SERVER/USER_2 RW

Слайд 24

В сетевых операционных системах для хранения упорядоченной справочной информации используется централизованная база

В сетевых операционных системах для хранения упорядоченной справочной информации используется централизованная база
справочной информации –
служба каталогов (Directory Services).
Стандарты служб каталогов:
OSI X.500, DAP (Directory Access Protocol), LDAP


Служба каталогов обычно строится на основе модели клиент-сервер:
серверы хранят базу справочной информации.
клиенты используют эту информацию.

Слайд 25

Наибольшее распространение получили каталоги:
служба Active Directory для Windows;
служба NDS компании Novell.

Наибольшее распространение получили каталоги: служба Active Directory для Windows; служба NDS компании Novell.

Слайд 26

Домен Windows - группа компьютеров, пользователей и ресурсов, образующих общую область

Домен Windows - группа компьютеров, пользователей и ресурсов, образующих общую область администрирования
администрирования и управляемых как одно целое

Слайд 28

Active Directory (AD)
Active Directory содержит информацию о таких объектах, как сетевые

Active Directory (AD) Active Directory содержит информацию о таких объектах, как сетевые
учетные записи, группы, серверы и принтеры, а также другую информацию о домене.
Active Directory поддерживается в Windows Server 2003, Windows Server 2003.
AD - база данных LDAP

Слайд 30

функции контроллеров доменов:
Каждый контроллер домена хранит полную копию всей информации Active Directory,

функции контроллеров доменов: Каждый контроллер домена хранит полную копию всей информации Active
относящейся к его домену.
Все контроллеры в домене автоматически реплицируют между собой все объекты в домене.
***
Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения.
***
Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость.

Слайд 31

База данных Active Directory содержит следующие структурные объекты:
Домены. Домен служит в качестве

База данных Active Directory содержит следующие структурные объекты: Домены. Домен служит в
административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.
Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена.
Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory.
Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой.
Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

Слайд 32

Рисунок 1. Типичная структура домена AD.

Рисунок 2. Дерево доменов AD.

Рисунок

Рисунок 1. Типичная структура домена AD. Рисунок 2. Дерево доменов AD. Рисунок
3. Лес доменов AD.

Active Directory

Слайд 33

Доменный компонент (DC - Domain Component). Используется для определения компонента DNS-имени объекта

Доменный компонент (DC - Domain Component). Используется для определения компонента DNS-имени объекта
Active Directory.
Организационная единица (OU). Организационная единица.
Общее имя (CN - Common Name). Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.

Слайд 34

Имена объектов каталогов:
DN (Distinguished Name, уникальное имя):
=
DC (компонент домена)
+
OU (организационный модуль)
+
CN (общее

Имена объектов каталогов: DN (Distinguished Name, уникальное имя): = DC (компонент домена)
имя)

Примеры:
DC=grsu OU=main CN=users CN=Sidorov
LDAP://cn=Sidorov, cn=users, ou=main, dc=grsu

Слайд 36

Протоколы аутентификации в AD
NT LAN Manager (NTLM)
Kerberos v.5

Протоколы аутентификации в AD NT LAN Manager (NTLM) Kerberos v.5

Слайд 37

%systemroot%\NTDS\NTDS.DIT

%systemroot%\NTDS\NTDS.DIT

Слайд 38

Локальные политики (secpol.msc)
Групповые политики (gpedit.msc)

Локальные политики (secpol.msc) Групповые политики (gpedit.msc)

Слайд 39

Управление на основе групповых политик (GPO)

Управление на основе групповых политик (GPO)

Слайд 41

Enabled (Включен), Disabled (Отключен) и Not Configured (He определено)

Enabled (Включен), Disabled (Отключен) и Not Configured (He определено)

Слайд 42

gpedit.msc

gpedit.msc

Слайд 43

Default Domain Policy (Заданная по умолчанию политика домена)
Default Domain Controllers Policy

Default Domain Policy (Заданная по умолчанию политика домена) Default Domain Controllers Policy
(Заданная по умолчанию политика контроллеров домена)
Виды групповых политик и порядок их применения
1. Local group policy (Локальная групповая политика).
2. Site-level group policies (Групповые политики уровня сайта). Групповые политики, связанные с объектом сайта в Active Directory.
3. Domain-level group policies (Групповые политики уровня домена). Групповые политики, связанные с объектом домена в Active Directory.
4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня.

GPResult.msc

Слайд 44

GPEdit.msc
GPUpdate.msc
GPResult.msc

Инструменты управления групповой политикой

GPEdit.msc GPUpdate.msc GPResult.msc Инструменты управления групповой политикой

Слайд 45

User Data Management (управление данными пользователя). Обеспечивает пользователям доступ к рабочим файлам

User Data Management (управление данными пользователя). Обеспечивает пользователям доступ к рабочим файлам
с любого компьютера сети, или даже после отключения от нее, с помощью Windows Synchronization Manager, который позволяет дублировать каталоги на локальном диске.
Software Installation and Maintenance (установка и поддержка программного обеспечения). Устанавливает приложения и программы на любую рабочую станцию, на которых имеется соответствующая потребность.
User Settings Management (управление пользовательскими установками). Предоставляет пользователям их собственные настройки конфигурации рабочего стола, прикладных программ и другие персональные предпочтения при работе с любого компьютера сети.

IntelliMirror

Сетевое управление программным обеспечением рабочих станций

Слайд 46

Сетевое управление программным обеспечением рабочих станций

Групповые политики
Microsoft Systems Management Server (SMS)
Software Update

Сетевое управление программным обеспечением рабочих станций Групповые политики Microsoft Systems Management Server
Service (SUS)
LANDesk Intel и др.

wake-on-LAN

Слайд 47

Программирование Active Directory
VB/VBScript, JScript, C/C++
интерфейсы службы Active Directory (ADSI);
интерфейсы MAPI;
интерфейс программирования LDAP

Программирование Active Directory VB/VBScript, JScript, C/C++ интерфейсы службы Active Directory (ADSI); интерфейсы
API.

класс DirectoryEntry

Слайд 48

Adsiedit.msc
Ldp.exe
Domain.msc
Dsa.msc
Active Directory Web Services (ADWS)

Инструменты управления каталогом

Adsiedit.msc Ldp.exe Domain.msc Dsa.msc Active Directory Web Services (ADWS) Инструменты управления каталогом

Слайд 49

Восстановление контроллера домена:
Репликация с действующим контроллером;
Использование резервной копии сервера;
Использование резервной копии базы

Восстановление контроллера домена: Репликация с действующим контроллером; Использование резервной копии сервера; Использование
данных домена.

Automated System Recovery - ASR

Backup

Ntdsutil.exe

Имя файла: Службы-организации-корпоративных-сетей.-Общий-и-доступ-к-ресурсам.-Active-Directory..pptx
Количество просмотров: 169
Количество скачиваний: 1