Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
разделения необходима иная политика паролей учетных записей, — например, бо- лее строгие требования к составу пароля, наличие блокировок и т. п. В Windows Server 2008/2016 свойства паролей стали полностью управляться групповой поли- тикой. Все другие настройки могут быть выполнены политиками подразделений. Подразделение Домены Windows (начиная с версии Windows 2000) могут содержать организацион- ные подразделения (Organization Unit, OU). Организационное подразделение — это своеобразный контейнер, в который можно помещать как компьютеры, так и поль- зователей (очевидно, что речь идет о соответствующих логических объектах). Основная причина создания OU для администраторов системы — это возможность применения к объектам OU групповых политик (подробнее о них см. главу 6 ). Повторимся: групповые политики — это основное средство управления компью- терной сетью. С их помощью можно автоматически устанавливать на заданные компьютеры программное обеспечение, выполнять настройку прикладных про- грамм, менять параметры безопасности сегмента сети, разрешать или запрещать запуск конкретных программ и т. п. Каждое OU может, в свою очередь, содержать внутри себя любое количество вло- женных OU, учетные записи компьютеров и пользователей, группы (пользовате- лей). Если попробовать изобразить графически такую структуру — домен с не- сколькими вложенными доменами со структурой OU, пользователями и компьюте- 152 Глава 4 рами, то такой рисунок будет напоминать дерево с вершиной, ветвями, листьями. Этот термин и сохранен для описания такой структуры. П РИМЕЧАНИЕ Обратите внимание, что при удалении OU будут удалены и содержащиеся в нем объ- екты (например, учетные записи компьютеров — тогда компьютеры уже не будут чле- нами домена). Лес На одном предприятии может существовать несколько доменов с различными про- странствами имен — например: example.com и example.ru . В этом случае представ- ленная структура будет напоминать лес . Лес — это коллекция (одного или более) доменов Windows 20 xх , объединенных общей схемой, конфигурацией и двусторон- ними транзитивными доверительными отношениями. Нужно понимать, что деревья в лесу не самостоятельны. Все эти деревья создаются внутри одного предприятия , а администраторы централизованно управляют ими. Если оперировать терминами логической организации сети, между любыми доме- нами внутри предприятия существуют доверительные двусторонние отношения . На практике это означает, что администратор предприятия является «начальником» администратора любого домена, а пользователь, прошедший аутентификацию в одном домене, уже «известен» в другом домене предприятия. При работе с сетями с централизованным управлением необходимо полностью до- верять администраторам, которым принадлежат корневые права, поскольку они имеют возможность получить доступ к любым объектам и назначать любые права. Сайты Active Directory объединяет логическую и физическую структуру сети. Логическая структура Active Directory состоит из организационного подразделения, домена, дерева доменов и леса доменов. А к физической структуре относятся такие элемен- ты, как подсеть и сайт. Сайты предназначены для описания территориальных делений . Считается, что внутри одного сайта присутствуют скоростные каналы связи (обычно компьютеры сайта находятся в одном сегменте локальной сети). А различные сайты связаны друг с другом относительно медленными каналами связи. Именно поэтому между сайтами создаются специальные механизмы репликации данных — можно задать график репликации, выбрать используемый протокол (по электронной почте или посредством протокола IP) и т. д. Соотношение территориальной и логической структуры выбирается исходя из кон- кретной конфигурации предприятия. Например, можно создать несколько сайтов в одном домене или сформировать в каждом сайте свой домен и т. п. Сайты обычно используются для настройки доступа к каталогу и репликации. Так- же создание дополнительных сайтов может быть способом балансировки нагрузки Информационные системы предприятия 153 между контроллерами домена, потому что алгоритм выбора контроллера домена рабочей станции использует структуру сайтов. DN и RDN Для успешной работы с каталогами необходимо ориентироваться в терминах DN (Distinguished Name, отличительное имя) и RDN (Relative Distinguished Name, отно- сительное отличительное имя). Объекты каталога хранятся в иерархической структуре. Условно можно сравнить такую структуру со структурой файловой системы. Есть корневой каталог, есть вложенные в него каталоги, в них, в свою очередь, могут храниться как сами фай- лы, так и другие каталоги. В этой аналогии термин DN подобен полному пути име- ни файла — в DN приводится полный путь к объекту, начиная с самой «верхней» точки иерархии каталога. RDN подобен относительному пути к файлу. Это может быть только само имя файла (обычный RDN) или относительный путь (многоатрибутный RDN). Напри- мер, на предприятии может быть заведен пользователь Иванов . Если на этом пред- приятии в разных отделах работают два Иванова, то только по фамилии невозмож- но определить конкретного работника. Но если использовать многоатрибутный RDN, состоящий, например, из фамилии и названия отдела, то работник будет обо- значен точно: cn = Петров + ou = IT Управление структурой домена предприятия Проектировщик логической структуры компьютерной сети предприятия должен учитывать различные факторы, например: бизнес-процессы, требования безопасно- сти, количество и расположение офисов и т. д. Создание разветвленной структуры сети имеет смысл только в крупной компании. В небольших компаниях в такой структуре нет смысла, поскольку внутри компании будет применяться всего несколько групповых политик. По мере увеличения коли- чества компьютеров в сети сеть начнет становиться все более сложной. Обычно логическая структура домена повторяет организационную структуру ком- пании. В небольших компаниях обычно не стоит вопрос организации и размещения контроллеров домена (в главе 5 мы рассмотрим ситуацию с удаленным офисом). В большинстве случаев производительности одного сервера хватит на обслужива- ние нескольких сотен рабочих станций. Однако рекомендуется иметь не менее двух контроллеров — на случай неисправности одного из них. Начиная с Windows 2000, Active Directory — сердце доменов на базе Microsoft Win- dows. Практически все задачи администрирования затрагивают технологию Active Directory, которая была создана, чтобы помочь вам определить четкую структуру сети вашего предприятия. |