Рефераты. Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими

разъемами (портами) для подключения принтеров. Однако в данном случае

использование сервера печати является непрактичным.

В нашем случае в связи с нерентабельностью установки специального

сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым

подходящим способом подключения сетевого принтера является подключение к

рабочей станции. На это решение повлиял ещё и тот факт, что принтеры

расположены около тех рабочих станций, потребность которых в принтере

наибольшая. [10]

5. Организация сети на основе Windows 2000.

5.1. Служба каталогов Windows 2000

Безусловно, наиболее значимое изменение, по сравнению с Windows NT

4, это включение в Windows 2000 важной новой службы – Active Directory.

Active Directory – это «родная» служба каталогов для Windows 2000. В NT 4

домен был очень похож на удаленный остров, с которым мы могли соединиться

только используя механизм доверительных отношений. Active Directory –

полнофункциональная служба каталогов.

Каталог может хранить различную информацию, относящуюся к

пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее

– все это называется объектами.

Каталог хранит также информацию о самом объекте, или его свойства –

атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе,

может быть имя его руководителя, номер телефона, адрес, имя для входа в

систему, пароль, группы, в которые он входит и многое другое. [4]

5.1.1. Наименование объектов

Active Directory использует Lightweight Directory Access Protocol

(LDAP) – простой протокол доступа к каталогам, как главный протокол

доступа. LDAP действует поверх TCP/IP и определяет способы обращения и

доступа к объектам между клиентом и сервером Active Directory. В LDAP

каждый объект имеет свое особенное Distinguished Name (отличительное имя),

и это имя отличает его от других объектов Active Directory, а также

подсказывает нам, где данный объект расположен. Два главных составных части

отличительного имени – это CN (common name) – общее имя и DC (domain

component) – доменная составляющая. Общее имя определяет объект или

контейнер, в котором этот объект находится, в то время как доменный

компонент определяет домен, в котором объект находится. Например,

отличительное имя может быть следующим:

CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru

В этом примере у нас есть пользователь Peter Ivanoff, который

находится внутри контейнера, называемого Users, в домене firma, который

является поддоменом .ru. Отличительное имя объекта должно быть уникальным

внутри леса Active Directory.

В то время как отличительное имя дает нам полную информацию о

расположении объекта, relative distinguished name (относительное

отличительное имя) определяет объект внутри его родительского контейнера.

Например, если я осуществляю поиск внутри контейнера Users, относительное

отличительное имя объекта, который я ищу, может быть Peter Ivanoff.

Когда пользователь входит в домен, расположенный в Active Directory, у

него может быть два типа имени. Первое из них – традиционное NetBIOS -имя.

В Windows 2000 на него ссылаются как на downlevel logon name (имя

регистрации в ранних версиях Windows). Этот тип имени существует для

совместимости с ранними версиями Windows, процесс входа в которые был

основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так

далее). Когда вы используете downlevel logon name (на вкладке свойств –«имя

входа пользователя пред-Windows 2000») для входа, пользователь должен

ввести имя пользователя, пароль и выбрать соответствующий домен, в который

он собирается входить. Второе имя – и это новинка в Windows 2000 – это

возможность входа в систему с использованием того, что называется User

Principal Name (основное имя пользователя) или UPN. Основное имя

пользователя имеет следующий формат – user@domain.com (на вкладке свойств

пользователя это называется – User logon name (имя входа пользователя)).

Если это соглашение действует, то пользователю не нужно определять домен, в

который он хочет войти. Фактически, когда для входа в Windows

2000используется UPN, доменная часть окна имени для входа в систему

закрашена серым. Пример этих двух типов имен показан на вкладке свойств

учетной записи пользователя Active Directory:

|[pic] |

Рис. 5.1. Active Directory

5.1.2. Логическая структура Active Directory

Логическая структура Active Directory зависит от нужд вашей

организации. Логические элементы Active Directory это леса, деревья, домены

и OU.

5.1.2.1. Домены

Домен в Windows 2000 очень напоминает домен в Windows NT. Для

различных намерений и целей, домен является логической группой

пользователей и компьютеров (объектов), которые связаны как единица для

администрирования и репликации. Прежде всего домен – это административная

единица. Следовательно, администратор этого домена может его

администрировать и для этого не нужен никто другой. Кроме того, все

контроллеры одного домена должны осуществлять репликацию друг с другом.

В Windows 2000 домены именуются в соответствии с соглашением об

именовании DNS, а не именовании NetBIOS. Примером имени домена в Active

Directory может быть 2000trainers.com. В Windows NT имели ограничения по

величине, до которой они могли увеличиваться и этот размер ограничивался

допустимым размером базы данных SAM (40 Мб или около того). Поэтому

приходилось создавать множества доменов в компании, в которой действовали

тысячи пользователей и компьютеров. Теперь же множество доменов не являются

необходимостью в подобном сценарии под Windows 2000, так как Active

Directory может вместить в себя многие миллионы объектов. Учетные записи

пользователей в Windows 2000 существуют так же как и в Windows NT. Active

Directory также позволяет иметь множество доменов, формируя структуры,

которые называются деревьями и лесами. [4]

5.1.2.2 Дерево

В Windows 2000, несколько доменов может все же потребоваться, особенно

в больших организациях, которые продолжают требовать надежного контроля над

их средой, их индивидуальностью (как в случае различных организационных

единиц для ведения бизнеса) и особого административного контроля. В Active

Directory набор доменов может создаваться в порядке, напоминающем структуру

дерева. В этом случае «дочерний» домен наследует свое имя от

«родительского» домена:

|[pic] |

Рис. 5.2. Домены

Каждый домен в дереве является отдельной и явно выраженной

административной единицей, так же как и границей для целей репликации. То

есть, если вы создали учетную запись пользователя в домене

filial1.firma.ru, то эта учетная запись, существующая на контроллере

домена, будет реплицирована на все контроллеры домена filial2.firma.ru.

Каждый новый «дочерний» домен имеет transitive (транзитивные)

двунаправленные доверительные отношения с «родительским» доменом. Это

достигается автоматически в Active Directory и позволяет пользователям из

одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых

доверительных отношений, пользователи в filial1 могут получать доступ к

ресурсам (для чего у них должны быть соответствующие разрешения) в filial2

и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет

своему «родительскому» домену firma , который в свою очередь «доверяет»

filial2 – таким образом filial1 доверяет filial2 и наоборот).

Дерево, в общих чертах, можно определить как набор доменов, которые

связаны отношениями «дочерний»/«родительский» и поддерживают связанное

пространство имен. [4]

5.1.2.3 Лес

Лес – это термин, применяемый для описания совокупности Active

Directory деревьев. Каждое дерево в лесе имеет собственное отдельное

пространство имен. Например, давайте предположим, что наша фирма владеет

еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое

собственное отдельное пространство имен, я могу достичь этого объединив

деревья и сформировать лес, как показано ниже:

|[pic] |

Рис. 5.3. Лес

Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-

прежнему остается доменом и может иметь собственное дерево. Заметьте, что

здесь существуют транзитивные доверительные отношения между «корневыми»

доменами каждого дерева в лесу – это позволит пользователям домена

acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в

то же время поддерживает проверку подлинности в собственном домене.

Первый домен, созданный в лесу, рассматривается как «корень» леса.

Одна из самых важных особенностей леса – это то, что каждый отдельный домен

поддерживает общую схему – определения для различных объектов и связанных с

ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть

создан из одного дерева, которое содержит всего один домен. Это будет

маленький лес, но формально это будет лес. [4]

5.1.2.4 Организационные единицы

Организационные единицы (обычно называемые OU) – это контейнеры внутри

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16



2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.