Ганненко В.В.,
Пархоменко І.І.
Національний
університет біоресурсів та природокористування України
Адміністративний доступ в локальній мережі
Локальна мережа - найпростіша форма мережі, що сполучає в одну групу комп'ютери або
зв'язує їх з потужнішим ПК (наприклад, з мережевим сервером).
Які можливості дає локальна мережа?
·
абсолютно усі співробітники компанії або
фірми можуть спілкуватися і взаємодіяти один з одним
·
спільно користуватися загальними ресурсам
(у тому числі і периферійними)
·
загальна робота з документами
·
можливість без нарад і зборів переглядати
і коментувати документи не покидаючи робоче місце
·
зберігання приватної інформації на
мережевому сервері (без використання свого жорсткого диска)
·
доступ до інформації, що зберігається на
ПК у видалених конторах
Для реалізації цих можливостей у мережі із виділеним
сервером використають службу Active Directory.
Особи, які мають максимум адміністративних прав доступу, обслуговують мережу і
звуться системними адміністраторами.
Служба Active
Directory
Служба Active Directory - серце Microsoft Windows Server 2003 . З нею так чи інакше пов'язані практично всі
адміністративні завдання . Технологія Active Directory заснована на стандартних
Інтернет- протокола і допомагає чітко визначати структуру мережі .
У Active Directory використовується доменна
система імен ( Domain Name System , DNS) - стандартна служба Інтернету , яка
організовує групи комп'ютерів в домени . На відміну від однорівневої структури
доменів Windows NT 4.0 , домени DNS мають ієрархічну структуру , яка становить
основу Інтернету. Різні рівні цієї ієрархії ідентифікують комп'ютери , домени
організацій та домени верхнього рівня. DNS також служить для перетворення імен вузлів
, наприклад zeta.webatwork.com , в чисельні IP- адреси , наприклад 192.168.19.2
. Засобами DNS- ієрархію доменів Active Directory можна вписати в середовищі
Інтернету або залишити самостійною і ізольованою від зовнішнього доступу.
Active Directory об'єднує логічну і фізичну структуру для компонентів
мережі. До логічного структурі відносяться такі елементи:
• організаційне підрозділ (organizational unit)
- підгрупа комп'ютерів, як правило, відбиває структуру компанії;
• домен (domain) - група комп'ютерів, які разом
використовують загальну БД каталогу;
• дерево доменів (domain tree) - один або
декілька доменів, які разом використовують безперервний простір імен;
• ліс доменів
(domain forest) - Одне або декілька дерев, які разом використовують інформацію
каталогу.
До фізичних структур
відносяться такі елементи:
• підмережа (subnet) - мережева група із заданою областю IP-адрес і
мережевий міський;
• сайт (site) - одна або кілька підмереж. Сайт використовується для
налаштування доступу до каталогу і для реплікації.
Логічні структури Active Directory допомагають організовувати об'єкти
каталогу і управляти мережевими обліковими записами і загальними ресурсами. До
логічних структур відносяться ліси доменів, дерева доменів, самі домени і ОП.
Сайти та підмережі, з іншого боку, є фізичними елементами, які допомагають
планувати реальну структуру мережі. На підставі фізичних структур формуються
мережеві зв'язку та фізичні кордони мережевих ресурсів.
Домен Active Directory - це просто група
комп'ютерів , які разом використовують загальну БД. Імена доменів Active
Directory мають бути унікальними. Наприклад , у вас не може бути двох доменів
microsoft.com , але може бути батьківський домен microsoft.com з дочірніми доменами
seattle.microsoft.com і ny.microsoft.com . Якщо домен є частиною закритої
мережі , ім'я, присвоєне новому домену, не повинно конфліктувати ні з одним з
існуючих імен доменів у цій мережі. Якщо домен - частина глобальної мережі
Інтернет , то його ім'я не повинно конфліктувати ні з одним з існуючих імен
доменів в Інтернеті. Щоб гарантувати унікальність імен в Інтернеті , ім'я
батьківського домену необхідно зареєструвати через будь-яку повноважну
реєстраційну організацію .
Кожен домен Active Directory володіє DNS-ім'ям
типу microsoft.com. Домени, спільно використовують дані каталогу, утворюють ліс
(forest). Імена доменів лісу в ієрархії імен DNS бувають несуміжними
(discontiguous) або суміжними (contiguous).
Домени, що володіють суміжній структурою імен,
називають деревом доменів (рис. 1). На малюнку у кореневого домену msnbc.com є
два дочірніх - seattle.msnbc.com і ny.msnbc.com. У них в свою чергу теж є
піддомени. Всі вони є частиною одного дерева, так як у них один і той же
кореневий домен.
Якщо у доменів лісу несуміжні DNS-імена, вони
утворюють окремі дерева доменів в лісі. У ліс можна включити одне чи кілька
дерев (рис. 2). На малюнку домени msnbc.com і microsoft.com утворюють корені
окремих дерев доменів в одному лісі.
Для
доступу до доменних структурам призначена консоль Active Directory - домени і
довіру (Active Directory Domains and Trusts), показана на рис. 3. Для кожного
кореневого домену відображаються окремі записи.
Організаційні підрозділи ( ОП ) - це підгрупи в
доменах , які часто відображають функціональну структуру організації . ОП
являють собою свого роду логічні контейнери , в яких розміщуються облікові
записи , загальні ресурси та інші ОП . Наприклад , ви вправі створити в домені
microsoft.com підрозділи HumanResourses , IT , Marketing . Потім цю схему можна
розширити , щоб вона містила дочірні підрозділи .
У ВП дозволяється поміщати об'єкти тільки з
батьківського домену . Наприклад , ОП з домену seattle.microsoft.com містять
об'єкти тільки цього домену. Додавати
туди об'єкти з ny.microsoft.com не можна. ОП дуже зручні при формуванні
функціональної або бізнес - структури організації . Але це не єдина причина їх
застосування.
• ОП дозволяють визначати групову політику
для невеликого набору ресурсів в домені , не застосовуючи її до всього домену.
• За допомогою ОП створюються компактні і
більш керовані представлення об'єктів каталогу в домені , що допомагає
ефективніше управляти ресурсами .
• ОП дозволяють делегувати повноваження і
контролювати адміністративний доступ до ресурсів домена , що допомагає задавати
межі повноважень адміністраторів в домені. Ви можете передати користувачеві А
адміністративні повноваження тільки для одного ОП і в той же час » передати
користувачеві В адміністративні повноваження для всіх ОП в домені.
ОП представлені у вигляді папок в консолі Active
Directory - користувачі і комп'ютери ( Active Directory Users and Computers ) ,
показаної на рис.4.
Сайт - це група комп'ютерів в одній або декількох
IP- підмережах , використовувана для планування фізичної структури мережі .
Планування сайту відбувається незалежно від логічної структури домена. Active
Directory дозволяє створити безліч сайтів в одному домені або один сайт , що
охоплює безліч доменів. Також немає зв'язку між діапазоном IP- адрес сайту і
простором імен домену .
Комп'ютери приписуються до сайтів в залежності
від місця розташування в підмережі або в наборі підмереж. Якщо комп'ютери в підмережах
здатні взаємодіяти на досить високих швидкостях , їх
називають добре пов'язаними ( well connected ) . Гарний зв'язок дає сайтам
деякі переваги .
•
Коли клієнт входить в домен , в процесі аутентифікації спочатку виробляється
пошук локального контролера домену в сайті клієнта , тобто по можливості
першими опитуються локальні контролери , що обмежує мережевий трафік і
прискорює аутентифікацію .
•
Інформація каталогу реплицируется частіше всередині сайтів , ніж між сайтами.
Це знижує міжмережевий трафік , викликаний реплікацією , і гарантує , що
локальні контролери доменів швидко отримають оновлену інформацію. Ви можете
налаштувати порядок реплікації даних каталогу , використовуючи зв'язки сайтів (
site links ) . Наприклад , визначити сервер - плацдарм ( bridgehead ) для
реплікації між сайтами.
Сайти та підмережі настроюються в консолі Active
Directory - сайти і служби (Active Directory Sites
and Services .
Література:
1.
Кенин А. Практическое руководство системного администратора. 2-е изд.
2.
Чекмарев А. Windows Server 2008. Настольная книга администратора
3.
Коробко И. Справочник системного администратора
4. Чекмарев А. Windows 2000 и Windows Server 2003. Администрирование
серверов и доменов