Теоретические основы инфраструктуры Active Directory: логическая структура, объекты и домены. Физическая структура сети и контроллеры домена. Внутрисайтовая репликация, проектирование структуры организационных единиц. Параметры программ и Windows.
При низкой оригинальности работы "Создание проекта инфраструктуры Active Directory крупной компании", Вы можете повысить уникальность этой работы до 80-100%
Мы пользуемся каталогом, отыскивая номер в телефонной книге. Традиционный способ обращения с колоссальным объемом информации о сетевых ресурсах хранение ее в отдельных каталогах, которые обычно управляются приложением или компонентом операционной системы, использующим эту информацию. Например, всего несколько лет назад в версиях Windows, предшествующих Windows 2000. вы могли бы обнаружить несколько каталогов с информацией, разбросанной по серверам этой сети. Списки пользователей и управления доступом хранились в каталоге, который назывался базой данных Security Accounts Manager (SAM). Почтовые ящики Exchange Server и их сопоставления с пользователями размещались в каталоге Exchange.Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Поскольку Active Directory отделяет логическую структуру сетевых ресурсов от физической структуры самой сети, рассмотрение Active Directory целесообразно построить по тому же принципу.Ресурсы хранятся в Active Directory как объекты. Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и под контейнеров, упрощающей поиск, доступ и управление. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта. Классы помогают классифицировать объекты по сходным характеристикам.Компьютеры, пользователи и другие объекты внутри домена делят общую базу данных защиты (security database). Домены позволяют администраторам разделять сеть на зоны безопасности (security boundaries). Таким образом, модель защиты одного домена может быть изолирована от моделей защиты других доменов.Несколько доменов организуется в иерархическую структуру, называемую деревом (tree). На самом деле, даже если в организации лишь один домен, у вас все равно имеется дерево. Первый домен, созданный в дереве, является корневым. Пример дерева показан на рис.1.1 Здесь microsoft.com первый домен, созданный в Active Directory, поэтому он считается корневым доменом Первый домен в лесу, называемый корневым доменом леса (forest root domain), играет особую роль, так как на нем хранится схема, и он управляет именованием доменов для целого леса.Организационные единицы (organizational units, OU) позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена. В основном это дает возможность делегировать административные задачи в домене. До появления Active Directory домен был наименьшим контейнером, которому вы могли бы назначить административные разрешения. То есть, передать группе администраторов контроль над конкретным ресурсом было затруднительно или вообще невозможно, не предоставив им широких полномочий во всем домене.Поскольку домены разграничивают зоны безопасности, специальный механизм, называемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)]. Windows Server 2003 поддерживает шесть типов доверительных отношений: в доверие к родительскому и дочернему доменам (parent and child trusts), а доверие к корневому домену дерева (tree-root trusts), доверие к внешнему домену (external trusts); Эти отношения двусторонние, т.е. запросы на доступ к ресурсам могут поступать от одного из данных доменов к другому и наоборот. Иначе говоря, оба домена доверяют друг другу. Поскольку домен А доверяет домену В, а домен В - домену С, то домен А автоматически доверяет домену С.Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие.Доверие к сокращению это способ создания прямых доверительных отношений между двумя доменами, которые уже могут быть связаны цепочкой транзитивных доверий, но которым нужно оперативнее реагировать на запросы друг от друга. В этом сложном дереве все домены связаны транзитивными доверительными отношениями. Но допустим, пользователь в домене В хочет получить доступ к ресурсу в домене К.Доверие к сфере новшество Windows Server служит для подключения домена Windows Server к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5.Доверие к лесу тоже новшество Windows Server упрощает управление несколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними.По мере роста леса растет и каталог. Одна из проблем, которые пришлось решать при разработке каталога, как сделать так, чтобы база данных каталога могла увеличиваться по мере расширения организации без ограничений по производительности сервера или по местонахождению в сети.
План
Содержание
Введение
Глава 1. Теоретические основы инфраструктуры Active Directory