4. Подключение к выделенному серверу печати.

Альтернативой третьему варианту является использование специализированных серверов печати. Такой сервер представляет собой сетевой интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими разъемами (портами) для подключения принтеров. Однако в данном случае использование сервера печати является непрактичным.

В нашем случае в связи с нерентабельностью установки специального сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым подходящим способом подключения сетевого принтера является подключение к рабочей станции. На это решение повлиял ещё и тот факт, что принтеры расположены около тех рабочих станций, потребность которых в принтере наибольшая. [10]

5. Организация сети на основе Windows 2000.

5.1. Служба каталогов Windows 2000

Безусловно, наиболее значимое изменение, по сравнению с Windows NT
4, это включение в Windows 2000 важной новой службы – Active Directory.
Active Directory – это «родная» служба каталогов для Windows 2000. В NT 4 домен был очень похож на удаленный остров, с которым мы могли соединиться только используя механизм доверительных отношений. Active Directory – полнофункциональная служба каталогов.

Каталог может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее
– все это называется объектами.

Каталог хранит также информацию о самом объекте, или его свойства – атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит и многое другое. [4]

5.1.1. Наименование объектов

Active Directory использует Lightweight Directory Access Protocol
(LDAP) – простой протокол доступа к каталогам, как главный протокол доступа. LDAP действует поверх TCP/IP и определяет способы обращения и доступа к объектам между клиентом и сервером Active Directory. В LDAP каждый объект имеет свое особенное Distinguished Name (отличительное имя), и это имя отличает его от других объектов Active Directory, а также подсказывает нам, где данный объект расположен. Два главных составных части отличительного имени – это CN (common name) – общее имя и DC (domain component) – доменная составляющая. Общее имя определяет объект или контейнер, в котором этот объект находится, в то время как доменный компонент определяет домен, в котором объект находится. Например, отличительное имя может быть следующим:

CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru

В этом примере у нас есть пользователь Peter Ivanoff, который находится внутри контейнера, называемого Users, в домене firma, который является поддоменом .ru. Отличительное имя объекта должно быть уникальным внутри леса Active Directory.

В то время как отличительное имя дает нам полную информацию о расположении объекта, relative distinguished name (относительное отличительное имя) определяет объект внутри его родительского контейнера.
Например, если я осуществляю поиск внутри контейнера Users, относительное отличительное имя объекта, который я ищу, может быть Peter Ivanoff.

Когда пользователь входит в домен, расположенный в Active Directory, у него может быть два типа имени. Первое из них – традиционное NetBIOS -имя.
В Windows 2000 на него ссылаются как на downlevel logon name (имя регистрации в ранних версиях Windows). Этот тип имени существует для совместимости с ранними версиями Windows, процесс входа в которые был основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так далее). Когда вы используете downlevel logon name (на вкладке свойств –«имя входа пользователя пред-Windows 2000») для входа, пользователь должен ввести имя пользователя, пароль и выбрать соответствующий домен, в который он собирается входить. Второе имя – и это новинка в Windows 2000 – это возможность входа в систему с использованием того, что называется User
Principal Name (основное имя пользователя) или UPN. Основное имя пользователя имеет следующий формат – user@domain.com (на вкладке свойств пользователя это называется – User logon name (имя входа пользователя)).
Если это соглашение действует, то пользователю не нужно определять домен, в который он хочет войти. Фактически, когда для входа в Windows
2000используется UPN, доменная часть окна имени для входа в систему закрашена серым. Пример этих двух типов имен показан на вкладке свойств учетной записи пользователя Active Directory:
|[pic] |

Рис. 5.1. Active Directory

5.1.2. Логическая структура Active Directory

Логическая структура Active Directory зависит от нужд вашей организации. Логические элементы Active Directory это леса, деревья, домены и OU.

5.1.2.1. Домены

Домен в Windows 2000 очень напоминает домен в Windows NT. Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен – это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом.

В Windows 2000 домены именуются в соответствии с соглашением об именовании DNS, а не именовании NetBIOS. Примером имени домена в Active
Directory может быть 2000trainers.com. В Windows NT имели ограничения по величине, до которой они могли увеличиваться и этот размер ограничивался допустимым размером базы данных SAM (40 Мб или около того). Поэтому приходилось создавать множества доменов в компании, в которой действовали тысячи пользователей и компьютеров. Теперь же множество доменов не являются необходимостью в подобном сценарии под Windows 2000, так как Active
Directory может вместить в себя многие миллионы объектов. Учетные записи пользователей в Windows 2000 существуют так же как и в Windows NT. Active
Directory также позволяет иметь множество доменов, формируя структуры, которые называются деревьями и лесами. [4]

5.1.2.2 Дерево

В Windows 2000, несколько доменов может все же потребоваться, особенно в больших организациях, которые продолжают требовать надежного контроля над их средой, их индивидуальностью (как в случае различных организационных единиц для ведения бизнеса) и особого административного контроля. В Active
Directory набор доменов может создаваться в порядке, напоминающем структуру дерева. В этом случае «дочерний» домен наследует свое имя от
«родительского» домена:
|[pic] |

Рис. 5.2. Домены

Каждый домен в дереве является отдельной и явно выраженной административной единицей, так же как и границей для целей репликации. То есть, если вы создали учетную запись пользователя в домене filial1.firma.ru, то эта учетная запись, существующая на контроллере домена, будет реплицирована на все контроллеры домена filial2.firma.ru.

Каждый новый «дочерний» домен имеет transitive (транзитивные) двунаправленные доверительные отношения с «родительским» доменом. Это достигается автоматически в Active Directory и позволяет пользователям из одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых доверительных отношений, пользователи в filial1 могут получать доступ к ресурсам (для чего у них должны быть соответствующие разрешения) в filial2 и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет своему «родительскому» домену firma , который в свою очередь «доверяет» filial2 – таким образом filial1 доверяет filial2 и наоборот).

Дерево, в общих чертах, можно определить как набор доменов, которые связаны отношениями «дочерний»/«родительский» и поддерживают связанное пространство имен. [4]

5.1.2.3 Лес

Лес – это термин, применяемый для описания совокупности Active
Directory деревьев. Каждое дерево в лесе имеет собственное отдельное пространство имен. Например, давайте предположим, что наша фирма владеет еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое собственное отдельное пространство имен, я могу достичь этого объединив деревья и сформировать лес, как показано ниже:
|[pic] |

Рис. 5.3. Лес

Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по- прежнему остается доменом и может иметь собственное дерево. Заметьте, что здесь существуют транзитивные доверительные отношения между «корневыми» доменами каждого дерева в лесу – это позволит пользователям домена acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в то же время поддерживает проверку подлинности в собственном домене.

Первый домен, созданный в лесу, рассматривается как «корень» леса.
Одна из самых важных особенностей леса – это то, что каждый отдельный домен поддерживает общую схему – определения для различных объектов и связанных с ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть создан из одного дерева, которое содержит всего один домен. Это будет маленький лес, но формально это будет лес. [4]

5.1.2.4 Организационные единицы

Организационные единицы (обычно называемые OU) – это контейнеры внутри
Active Directory которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. OU могут быть созданы для организации объектов несколькими путями, в соответствии с их функциями, местоположением, ресурсами и так далее.
Примером объектов, которые могут быть объединены в OU могут служить учетные записи пользователей, компьютеров, групп и т.д. Рисунок 5.1.3 показывает пример OU, основанной на местоположении пользователей и ресурсов:
| |
|[pic] |

Рис. 5.4. Организационные единицы.

OU может содержать только объекты из того домена, в котором они расположены. Также заметьте, что структура OU может широко варьироваться от компании к компании. Она разрабатывается с целью облегчить администрирование ресурсов и применения групповых политик. В то время как полный административный контроль может быть дан (делегирован) пользователю через OU, для больших организаций становиться возможным иметь только один домен, в котором каждая структура будет имеет собственный контроль только над своей OU. [1]

5.1.3. Физическая структура

Физическая структура Active Directory связана с двумя главными типами объектов – сайтами и контроллерами доменов.

5.1.3.1 Сайты

В отличии от NT 4, в Windows 2000 Active Directory предусматривает концепцию физического местоположения внутри структуры. В Active Directory сайт – это совокупность подсетей TCP/IP, между которыми существует высокоскоростное соединение. Хотя «высокоскоростное» - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN – соединениям. Вы определяете сайт в Active Directory для контроля репликации, аутентификации и местоположения служб. Как только сайт будет создан, компьютеры клиентов будут пытаться аутентифицироваться на контроллере домена, который находится на данном сайте, вместо того, чтобы посылать запросы по WAN (глобальной сети).

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13