'

Службы организации корпоративных сетей. Общий и доступ к ресурсам. Active Directory.

Понравилась презентация – покажи это...





Слайд 0

Службы организации корпоративных сетей. Общий и доступ к ресурсам. Active Directory.


Слайд 1

Базовые сетевые модели Модель сетевого взаимодействия «клиент-сервер» (ВОС, TCP/IP ) Компьютер 1 Компьютер 2 MAC, IP, TCP-port DNS, URI Программная модель «клиент - сервер» Приложение - клиент Приложение – сервер (URI, языки запросов, семантика) Сетевые модели


Слайд 2

Обработка данных (модель клиент - сервер) Коммуникации; Адресация ресурсов; Протоколы и языки запросов; Авторизация пользователей; Промежуточное программное обеспечение (middleware); Аппаратные средства Распределенные компьютерные системы Сетевые модели


Слайд 3

Клиенты и серверы сети


Слайд 4

Клиенты и серверы сети


Слайд 5

Клиенты и серверы сети


Слайд 6

Одноранговая сеть Сеть с выделенным сервером Специальная ОС; Производительное ПО; Скоростные коммуникации; Общие дорогостоящие ресурсы; Повышенная безопасность; Резервирование, backup; Единое администрирование; Удобство обслуживания …. Клиенты и серверы сети


Слайд 7

Реальная сеть Клиенты и серверы сети


Слайд 8

Серверы и сервисы


Слайд 9

Чтение (R). Разрешается просматривать вложенные папки и файлы, а также их свойства, такие как имя владельца, разрешения и атрибуты чтения, такие как Только чтение, Скрытый, Архивный и Системный. Запись (W). Разрешается создавать и размещать внутри папки новые файлы и подпапки, а также изменять параметры папки и просматривать ее свойства, в частности имя владельца и разрешения доступа. Список содержимого папки (L). Разрешается просматривать имена содержащихся в папке файлов и вложенных папок. Чтение и выполнение (X). Разрешается получение доступа к файлам во вложенных папках, даже если нет доступа к самой папке. Кроме того, разрешены те же действия, которые предусмотрены для разрешений Чтение и Список содержимого папки. Изменение (M). Разрешены все действия, предусмотренные для разрешений Чтение и Чтение и выполнение, а также разрешено удаление папки. Полный доступ (A). Разрешается полный доступ к папке. Другими словами, допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно разрешено стать владельцем папки и изменять ее разрешения. Виды прав доступа к ресурсам Права устанавливаются для ресурса или для пользователя Права доступа


Слайд 10

Права доступа


Слайд 11

Списки прав ACL ACL (Access Control List) – список управления правами доступа. Список мер по обеспечению безопасности, применяемый к объекту. (Объектом может быть файл, процесс, событие или какой-либо другой объект). Определяет, кто имеет право доступа к ресурсу и какие именно права (R, W, E, X, …): Файлы: ресурс пользователь права, C:\ USER_2 RW [user]$ ls -l /bin/ls -rwxr-xr-x 1 root root 49940 Sep 12 1999 /bin/ls Трафик: permit udp host 192.168.1.1 any eq tftp deny tcp host 172.16.99.1 host 192.168.2.1 gt 100


Слайд 12

Сетевое приложение Доступ к файлам и данным. Права доступа. 1. Приложения (доступ к данным) 2. Сетевая подсистема (доступ к приложениям) 3. Файловая система (доступ к файлам) Права доступа


Слайд 13

Установка прав файлового доступа Установка прав сетевого доступа Права доступа


Слайд 14

Наследование прав Результирующие права Права доступа


Слайд 15

Учётные записи


Слайд 16

Учётные записи


Слайд 17

Обращение к хосту Обращение к файлу NetBIOS – имя PC1 DNS – имя pc1.grsu.by IP-адрес 10.31.17.203 UNC \\Server\disk_d\folder\file.txt \\PC1\disk_d\folder\file.txt \\pc1.grsu.by\disk_d\folder\file.txt \\10.31.17.203\disk_d\folder\file.txt URI smb://10.31.17.203/disk_d/folder/file.txt ftp://10.31.17.203/disk_d/folder/file.txt http://10.31.17.203/disk_d/folder/file.txt UNCW \\serverNW\disk_d:folder\file.txt Адресация ресурсов


Слайд 18

УПРАВЛЕНИЕ РЕСУРСАМИ СЕТИ Управление ресурсами сети


Слайд 19

Большая компьютерная сеть нуждается в централизованном хранении как можно более полной справочной (технической) информации: о пользователях сети (именах для входа в систему, паролях, правах доступа к ресурсам и т.д.); о компонентах сети (серверах, клиентских компьютерах, маршрутизаторах, шлюзах и т.д.); о ресурсах сети (томах файловых систем, принтерах и др.) Управление ресурсами сети


Слайд 20

PC1 PC2 PC3 PC4 SAM PC1: USER_1 USER_2 … USER_N SAM PC2: USER_1 USER_2 … USER_N SAM PC3: USER_1 USER_2 … USER_N SAM PC4: USER_1 USER_2 … USER_N Локальные учетные записи ACL PC1: D:\ USER_1 R C:\ USER_2 RW ACL PC2: D:\ USER_1 R C:\ USER_2 RW ACL PC3: D:\ USER_1 R C:\ USER_2 RW ACL PC4: D:\ USER_1 R C:\ USER_2 RW Списки прав доступа Одноранговая сеть


Слайд 21

Server PC1 PC2 PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Сеть с сервером учётных записей


Слайд 22

В сетевых операционных системах для хранения упорядоченной справочной информации используется централизованная база справочной информации – служба каталогов (Directory Services). Стандарты служб каталогов: OSI X.500, DAP (Directory Access Protocol), LDAP Служба каталогов обычно строится на основе модели клиент-сервер: серверы хранят базу справочной информации. клиенты используют эту информацию. Служба каталогов


Слайд 23

Наибольшее распространение получили каталоги: служба Active Directory для Windows; служба NDS компании Novell. Служба каталогов


Слайд 24

Домен Windows - группа компьютеров, пользователей и ресурсов, образующих общую область администрирования и управляемых, как одно целое Домен Windows


Слайд 25

Домен Windows


Слайд 26

Active Directory (AD) Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003, Windows Server 2008. AD - база данных LDAP Служба каталогов Active Directory


Слайд 27

Служба каталогов Active Directory


Слайд 28

Служба каталогов Active Directory


Слайд 29


Слайд 30

Доменный компонент (DC - Domain Component). Используется для определения компонента DNS-имени объекта Active Directory. Организационная единица (OU). Организационная единица. Общее имя (CN - Common Name). Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи. Служба каталогов Active Directory


Слайд 31

Имена объектов каталогов: DN (Distinguished Name, уникальное имя): = DC (компонент домена) + OU (организационный модуль) + CN (общее имя) Примеры: DC=grsu OU=main CN=users CN=Sidorov LDAP://cn=Sidorov, cn=users, ou=main, dc=grsu Служба каталогов Active Directory


Слайд 32

База данных Active Directory содержит следующие структурные объекты: Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена . ad.grsu.by AD-GRSU Деревья доменов. ad.grsu.by mf.ad.grsu.by ftf.ad.grsu.by Леса. Лес определяет границу безопасности для предприятия. ad.grsu.by grsu.com Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Служба каталогов Active Directory


Слайд 33

функции контроллеров доменов AD: Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену. Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. *** Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. *** Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Служба каталогов Active Directory


Слайд 34

Рисунок 1. Типичная структура домена AD. Рисунок 2. Дерево доменов AD. Рисунок 3. Лес доменов AD. Active Directory Служба каталогов Active Directory


Слайд 35

Служба каталогов Active Directory


Слайд 36

Протоколы аутентификации в AD NT LAN Manager (NTLM) Kerberos v.5 LDAP Служба каталогов Active Directory


Слайд 37

%systemroot%\NTDS\NTDS.DIT Служба каталогов Active Directory


Слайд 38

Локальные политики (secpol.msc) Групповые политики (gpedit.msc) Политики Active Directory


Слайд 39

Управление на основе групповых политик (GPO) Политики Active Directory


Слайд 40

Политики Active Directory


Слайд 41

Enabled (Включен), Disabled (Отключен) и Not Configured (He определено) Политики Active Directory


Слайд 42

gpedit.msc Политики Active Directory


Слайд 43

Default Domain Policy (Заданная по умолчанию политика домена) Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена) Виды групповых политик и порядок их применения 1. Local group policy (Локальная групповая политика). 2. Site-level group policies (Групповые политики уровня сайта). Групповые политики, связанные с объектом сайта в Active Directory. 3. Domain-level group policies (Групповые политики уровня домена). Групповые политики, связанные с объектом домена в Active Directory. 4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня. GPResult.msc Политики Active Directory


Слайд 44

GPEdit.msc GPUpdate.msc GPResult.msc Инструменты управления групповой политикой Политики Active Directory


Слайд 45

User Data Management (управление данными пользователя). Обеспечивает пользователям доступ к рабочим файлам с любого компьютера сети, или даже после отключения от нее, с помощью Windows Synchronization Manager, который позволяет дублировать каталоги на локальном диске. Software Installation and Maintenance (установка и поддержка программного обеспечения). Устанавливает приложения и программы на любую рабочую станцию, на которых имеется соответствующая потребность. User Settings Management (управление пользовательскими установками). Предоставляет пользователям их собственные настройки конфигурации рабочего стола, прикладных программ и другие персональные предпочтения при работе с любого компьютера сети. IntelliMirror Сетевое управление программным обеспечением рабочих станций Active Directory


Слайд 46

Сетевое управление программным обеспечением рабочих станций Групповые политики Microsoft Systems Management Server (SMS) Software Update Service (SUS) LANDesk Intel и др. wake-on-LAN Active Directory


Слайд 47

Программирование Active Ditectory VB/VBScript, JScript, C/C++ интерфейсы службы Active Directory (ADSI); интерфейсы MAPI; интерфейс программирования LDAP API. класс DirectoryEntry Active Directory


Слайд 48

Adsiedit.msc Ldp.exe Domain.msc Dsa.msc Active Directory Web Services (ADWS) Инструменты управления каталогом Active Directory


Слайд 49

Инструменты управления каталогом (командная строка) Active Directory


Слайд 50

Восстановление контроллера домена: Репликация с действующим контроллером; Использование резервной копии сервера; Использование резервной копии базы данных домена. Automated System Recovery - ASR Backup Ntdsutil.exe Active Directory


Слайд 51

Server PC1 PC2 PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Active Directory


Слайд 52

Active Directory


Слайд 53

Active Directory


Слайд 54

Active Directory


Слайд 55


Слайд 56

Цифровой сертификат


Слайд 57


×

HTML:





Ссылка: