Лекции по "Администрированию сетей"

Автор работы: Пользователь скрыл имя, 20 Января 2013 в 14:54, курс лекций

Описание работы

Тема 1. Определение и основные функции операционных систем. Классификация. История развития.
Тема 2. Аппаратное обеспечение ЭВМ
Тема 3. Файловые системы.
....
Тема 6. Администрирование сетей на платформе MS Windows Server.
Тема 6.6. Мониторинг

Скачать архив (1.11 Мб) Сколько стоит заказать работу?
Файлы: 1 файл

Администрирование сетей.docx

— 1.15 Мб (Скачать файл)

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью  административных консолей:

·  роль Хозяина Схемы — с помощью консоли " Active Directory Schema " (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: regsvr32 schmmgmt.dll, а затем запустить саму консоль тоже в командной строке — schmmgmt.msc );

·  роль Хозяина именования доменов — с помощью консоли " Active Directory – домены и доверие ";

·  роли эмулятора PDC, хозяина RID и хозяина инфраструктуры — с помощью консоли " Active Directory – пользователи и компьютеры "

Сервер глобального  каталога.

Глобальный  каталог ( global catalog ) — это перечень всех объектов леса Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и  не обо всех атрибутах этих объектов), находящемся в данном лесу.

Сервер  глобального каталога выполняет  две очень важные функции:

  • поиск объектов в масштабах всего леса (клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов по определенным значениям атрибутов; использование сервера глобального каталога — единственный способ осуществлять поиск объектов по всему лесу);
  • аутентификация пользователей (сервер глобального каталога предоставляет информацию о членстве пользователя в универсальных группах, universal groups ; поскольку универсальные группы со списками входящих в них пользователей хранятся только на серверах глобального каталога, аутентификация пользователей, входящих в такие группы, возможна только при участии сервера глобального каталога).

 

Тема 6.1. Служба каталогов Active Directory

Управление пользователями и группами. Управление организационными подразделениями. Делегирование полномочий. Групповые политики.

Управление пользователями и группами

Учетные записи (accounts) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных  записей:

  1. Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM ( Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups ( Локальные пользователи и группы ) консоли Computer Management ( Управление компьютером ). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
  2. Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли " Active Directory Users and Computers " (" Active Directory – пользователи и компьютеры ").
  3. Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator ( Администратор ) и Guest ( Гость ). По умолчанию учетная запись Гость отключена.

Существуют различные  форматы, в которых могут быть представлены имена для входа  пользователей в систему, потому что они могут отличаться для  целей совместимости с клиентами, работающими под управлением  более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа  — это с использованием суффикса User Principal Name ( основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.

Основное имя пользователя ( UPN, User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок " @ " и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).

Также можно создавать  дополнительные доменные суффиксы (та часть имени, которая стоит после  знака @), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли "Active Directory – домены и доверие" ("Active Directory Domain and Trusts ").

Существует только одно обязательное условие при этом — все UPN в  лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды  помнить и указывать доменное имя. Другое преимущество данной системы  именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает  количество информации о пользователе, которую необходимо запоминать.

Локальные учетные записи

Каждый компьютер с  операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой  данных SAM. Эти БД обсуждались при  описании модели безопасности "Рабочая  группа". Локальные пользователи и особенно группы используются при  назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Управление доменными  учетными записями.

Доменные учетные записи пользователей (а также компьютеров  и групп) хранятся в специальных  контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers..

Правила выбора символов для  создания пароля.

  1. длина пароля — не менее 7 символов;
  2. пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
  3. пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
  4. пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
  5. пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

И еще одно правило безопасности — регулярная смена пароля (частота  смены зависит от требований безопасности в каждой конкретной компании или  организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей

Обзор свойств учетных  записей пользователя.

Свойства учетной записи пользователя содержат большой набор  различных параметров, размещенных  на нескольких закладках при просмотре  в консоли " Active Directory – пользователи и компьютеры ", причем при установке  различных программных продуктов  набор свойств может расширяться.

Закладка "Общие".

На данной закладке содержатся в основном справочные данные, которые  могут быть очень полезны при  поиске пользователей в лесу AD. Наиболее интересные из них:

  1. Имя;
  2. Фамилия;
  3. Выводимое имя;
  4. Описание;
  5. Номер телефона;
  6. Электронная почта;
  7. Номер телефона.

Закладки «Адрес», «Телефон», «Организация» - для поиска пользователей  в лесу.

Закладка «Учетная запись»:

  1. кнопка " Время входа " — дни и часы, когда пользователь может войти в домен;
  2. кнопка " Вход на… " — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
  3. Поле типа чек-бокс " Заблокировать учетную запись " — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
  4. " Параметры учетной записи " (первые три параметра обсуждались выше):
  5. " Требовать смену пароля при следующем входе в систему "
  6. " Запретить смену пароля пользователем "
  7. " Срок действия пароля не ограничен "
  8. " Отключить учетную запись " — принудительное отключение учетной записи (пользователь не сможет войти в домен);
  9. " Для интерактивного входа в сеть нужна смарт-карта " — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
  10. "Срок действия учетной записи" — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)

Закладка «Профиль»

Профиль (profile) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

  1. Локальные. Хранятся в папке "Documents and Settings" или “Users” на том разделе диска, где установлена операционная система;
  2. Перемещаемые (сетевые, или roaming) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);.
  3. Обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

Параметр "Сценарий входа" определяет исполняемый файл, который  при входе пользователя в систему  загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл ( .bat, .cmd ), исполняемая программа (.exe, .com), файл сценария (.vbs, js).

Управление группами.

Учетные записи групп, как  и учетные записи пользователей, могут быть созданы либо в локальной  базе SAM компьютера (сервера или рабочей  станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена  домена или рабочей станции могут  включать в себя и локальные учетные  записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также  доменные локальные группы "своего" домена и глобальные и универсальные  группы всего леса.

В Active Directory группы различаются  по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп.

  1. Группы безопасности. Каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
  2. Группы распространения. Группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп.

  1. Локальные в домене. Могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена.
  2. Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
  3. Универсальные. Могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для  использования. В основном режиме или  режиме Windows 2003 можно создавать и  использовать универсальные группы. Кроме того, в основном режиме и  режиме Windows 2003 глобальные группы могут  включаться в другие глобальные группы, а доменные локальные группы могут  включаться в другие доменные локальные.

Специфика универсальных  групп заключается в том, что  эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему  обязательно должен быть доступен контроллер домена, являющийся сервером глобального  каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому  любое изменение в составе  универсальной группы требует больше времени для репликации, чем при  изменении состава групп с  другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и  использования групп.

При создании и использовании  групп следует придерживаться следующих  правил:

  1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
  2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.
  3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.

Информация о работе Лекции по "Администрированию сетей"