Лекции по "Администрированию сетей"

Основные термины  и понятия. Планирование пространства  имен AD. Установка контроллеров доменов.

Модели управления безопасностью: модель «Рабочая группа» и централизованная доменная модель.

Основное назначение служб  каталогов — управление сетевой  безопасностью. Основа сетевой безопасности — база данных учетных записей (accounts) пользователей, групп пользователей  и компьютеров, с помощью которой  осуществляется управление доступом к  сетевым ресурсам. Прежде чем говорить о службе каталогов Active Directory, сравним  две модели построения базы данных служб каталогов и управления доступом к ресурсам.

Рабочая группа

Данная модель управления безопасностью корпоративной сети — самая примитивная. Она предназначена  для использования в небольших  одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер  в сети с операционными системами Windows NT/2000/XP/2003 имеет свою собственную  локальную базу данных учетных записей  и с помощью этой локальной  БД осуществляется управление доступом к ресурсам данного компьютера. Локальная  БД учетных записей называется база данных SAM ( Security Account Manager ) и хранится в реестре операционной системы. Базы данных отдельных компьютеров полностью изолированы друг от друга и никак не связаны между собой.

В данном примере изображены два сервера (SRV-1 и SRV-2) и две рабочие  станции (WS-1 и WS-2). Их базы данных SAM обозначены соответственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке  базы SAM изображены в виде овала). В  каждой БД есть учетные записи пользователей User1 и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть как "SRV-1\User1", а полное имя пользователя User1 на рабочей станции WS-1 будет выглядеть  как "WS-1\User1". Представим, что на сервере SRV-1 создана папка Folder, к  которой предоставлен доступ по сети пользователям User1 — на чтение (R), User2 — чтение и запись (RW). Главный  момент в этой модели заключается  в том, что компьютер SRV-1 ничего "не знает" об учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех остальных  компьютеров сети. Если пользователь с именем User1локально зарегистрируется в системе на компьютере, например, WS-2 (или, как еще говорят, "войдет в систему с локальным именем User1 на компьютере WS-2"), то при попытке  получить доступ с этого компьютера по сети к папке Folder на сервере SRV-1 сервер запросит пользователя ввести имя и  пароль (исключение составляет тот  случай, если у пользователей с  одинаковыми именами одинаковые пароли).

Модель "Рабочая группа" более проста для изучения, здесь  нет необходимости изучать сложные  понятия Active Directory. Но при использовании  в сети с большим количеством  компьютеров и сетевых ресурсов становится очень сложным управлять  именами пользователей и их паролями — приходится на каждом компьютере (который предоставляет свои ресурсы  для совместного использования  в сети) вручную создавать одни и те же учетные записи с одинаковыми  паролями, что очень трудоемко, либо делать одну учетную запись на всех пользователей с одним на всех паролем (или вообще без пароля), что сильно снижает уровень защиты информации. Поэтому модель "Рабочая  группа" рекомендуется только для  сетей с числом компьютеров от 3 до 10 (а еще лучше — не более 5), при условии что среди всех компьютеров нет ни одного с системой Windows Server.

Доменная модель.

В доменной модели существует единая база данных служб каталогов, доступная всем компьютерам сети. Для этого в сети устанавливаются  специализированные серверы, называемые контроллерами домена, которые хранят на своих жестких дисках эту базу.

Серверы DC-1 и DC-2 — контроллеры  домена, они хранят доменную базу данных учетных записей (каждый контроллер хранит у себя свою собственную копию  БД, но все изменения, производимые в БД на одном из серверов, реплицируются  на остальные контроллеры). В такой модели, если, например, на сервере SRV-1, являющемся членом домена, предоставлен общий доступ к папке Folder, то права доступа к данному ресурсу можно назначать не только для учетных записей локальной базы SAM данного сервера, но, самое главное, учетным записям, хранящимся в доменной БД. На рисунке для доступа к папке Folder даны права доступа одной локальной учетной записи компьютера SRV-1 и нескольким учетным записям домена (пользователя и группам пользователей). В доменной модели управления безопасностью пользователь регистрируется на компьютере ("входит в систему") со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам. И нет необходимости на каждом компьютере создавать большое количество локальных учетных записей, все записи созданы однократно в доменной БД. И с помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.

Назначение службы каталогов Active Directory.

Каталог (справочник) может  хранить различную информацию, относящуюся  к пользователям, группам, компьютерам, сетевым принтерам, общим файловым ресурсам и так далее — будем  называть все это объектами. Каталог  хранит также информацию о самом  объекте, или его свойства, называемые атрибутами. Например, атрибутами, хранимыми  в каталоге о пользователе, может  быть имя его руководителя, номер  телефона, адрес, имя для входа  в систему, пароль, группы, в которые  он входит, и многое другое. Для того чтобы сделать хранилище каталога полезным для пользователей, должны существовать службы, которые будут  взаимодействовать с каталогом. Например, можно использовать каталог  как хранилище информации, по которой  можно аутентифицировать пользователя, или как место, куда можно послать  запрос для того, чтобы найти информацию об объекте.

Active Directory отвечает не только  за создание и организацию  этих небольших объектов, но также  и за большие объекты, такие  как домены, OU (организационные подразделения)  и сайты.

Об основных терминах, используемых в контексте службы каталогов Active Directory, читайте ниже.

Служба каталогов Active Directory (сокращенно — AD) обеспечивает эффективную  работу сложной корпоративной среды, предоставляя следующие возможности:

1. Единая регистрация в сети. Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);
2. Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети;
3. Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами;
4. Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;
5. Интеграция с DNS. Функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных Active Directory;
6. Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;
7. Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;
8. Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими ( multi-master ), что позволяет модифицировать БД Active Directory на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;
9. Гибкость запросов к каталогу. БД Active Directory может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);
10. Стандартные интерфейсы программирования. Для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).

Терминология

Служба каталогов системы Windows Server построена на общепринятых технологических стандартах. Изначально для служб каталогов был разработан стандарт X.500, который предназначался для построения иерархических древовидных масштабируемых справочников с возможностью расширения как классов объектов, так и наборов атрибутов (свойств) каждого отдельного класса. Однако практическая реализация этого стандарта оказалась неэффективной с точки зрения производительности. Тогда на базе стандарта X.500 была разработана упрощенная (облегченная) версия стандарта построения каталогов, получившая название LDAP ( Lightweight Directory Access Protocol ). Протокол LDAP сохраняет все основные свойства X.500 (иерархическая система построения справочника, масштабируемость, расширяемость), но при этом позволяет достаточно эффективно реализовать данный стандарт на практике. Термин " lightweight " (" облегченный ") в названии LDAP отражает основную цель разработки протокола: создать инструментарий для построения службы каталогов, которая обладает достаточной функциональной мощью для решения базовых задач, но не перегружена сложными технологиями, делающими реализацию служб каталогов неэффективной. В настоящее время LDAP является стандартным методом доступа к информации сетевых каталогов и играет роль фундамента во множестве продуктов, таких как системы аутентификации, почтовые программы и приложения электронной коммерции. Сегодня на рынке присутствует более 60 коммерческих серверов LDAP, причем около 90% из них представляют собой самостоятельные серверы каталогов LDAP, а остальные предлагаются в качестве компонентов других приложений.

Протокол LDAP четко определяет круг операций над каталогами, которые  может выполнять клиентское приложение. Эти операции распадаются на пять групп:

1. Установление связи с каталогом;
2. Поиск в нем информации;
3. Модификация его содержимого;
4. Добавление объекта;
5. Удаление объекта.

Кроме протокола LDAP служба каталогов Active Directory использует также протокол аутентификации Kerberos и службу DNS для поиска в сети компонент служб каталогов (контроллеры доменов, серверы глобального каталога, службу Kerberos и др.).

Домен

Основной единицей системы  безопасности Active Directory является домен. Домен формирует область административной ответственности. База данных домена содержит учетные записи пользователей, групп и компьютеров. Большая часть функций по управлению службой каталогов работает на уровне домена (аутентификация пользователей, управление доступом к ресурсам, управление службами, управление репликацией, политики безопасности).

Имена доменов Active Directory формируются  по той же схеме, что и имена  в пространстве имен DNS. И это не случайно. Служба DNS является средством  поиска компонент домена — в первую очередь контроллеров домена.

Контроллеры домена — специальные серверы, которые хранят соответствующую данному домену часть базы данных Active Directory. Основные функции контроллеров домена:

1. Хранение базы данных (организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию);
2. Синхронизация изменений (изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы c копиями, хранящимися на других контроллерах);
3. Аутентификация пользователей (любой из контроллеров домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах).

Настоятельно рекомендуется  в каждом домене устанавливать не менее двух контроллеров домена —  во-первых, для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, во-вторых, для распределения  нагрузки между контроллерами.

Дерево

Дерево является набором  доменов, которые используют единое связанное пространство имен. В этом случае "дочерний" домен наследует  свое имя от "родительского" домена. Дочерний домен автоматически устанавливает  двухсторонние транзитивные доверительные  отношения с родительским доменом. Доверительные отношения означают, что ресурсы одного из доменов  могут быть доступны пользователям  других доменов.

 Корпорация Microsoft рекомендует  строить Active Directory в виде одного  домена. Построение дерева, состоящего  из многих доменов необходимо  в следующих случаях:

1. Для децентрализации администрирования служб каталогов (например, в случае, когда компания имеет филиалы, географически удаленные друг от друга, и централизованное управление затруднено по техническим причинам);
2. Для повышения производительности (для компаний с большим количеством пользователей и серверов актуален вопрос повышения производительности работы контроллеров домена);
3. Для более эффективного управления репликацией (если контроллеры доменов удалены друг от друга, то репликация в одном может потребовать больше времени и создавать проблемы с использованием несинхронизированных данных);
4. Для применения различных политик безопасности для различных подразделений компании;
5. При большом количестве объектов в БД Active Directory.