Логическая структура ActiveDirectory
Лабораторная работа №3.
КонфигурированиеActiveDirectoryDomainServices. Настройка групповых политик.
Роли в Windows Server 2008
Серверные роли в Windows Server 2008 используются для организации функциональности операционной системы. Роль обозначает основную функцию сервера, хотя любой сервер может содержать несколько ролей.
В составе Windows Server 2008 имеются следующие роли.
• Служба сертификации (Certificate Services) Active Directory
• Служба доменов (Domain Services) Active Directory
• Служба федерации (Federation Services) Active Directory
• Облегченная служба каталогов (Lightweight Directory Services) Active Directory
• Служба управления правами (Rights Management Services) Active Directory
• Сервер приложений (Application Server)
• Сервер DHCP
• Сервер DNS
• Сервер факсов
• Файловая служба (File Services)
• Hyper-V
• Служба сетевых политики доступа (Network Policy and Access Services)
• Служба печати документов (Print and Document Services)
• Служба удаленного рабочего стола (Remote Desktop Services)
• Веб-сервер (IIS)
• Служба развертывания Windows (Windows Deployment Services)
• Служба обновления серверов Windows (Windows Server Update Services)
В каждой роли имеется ряд служб, которые и составляют роль. Службы роли позволяют загружать только те службы, которые нужны для данного конкретного сервера. В некоторых случаях, наподобие ролей сервера DHCP или DNS, роль и служба роли совпадают. В других случаях роль содержит несколько доступных для выбора служб.
При добавлении роли или службы роли выполняется установка двоичных (т.е. кодовых) файлов, которые обеспечивают функционирование службы. После установки роли обычно требуется выполнить дополнительные установки и настройки.
Загрузка только тех ролей, которые нужны на каждом сервере, снижает сложность, площадь атаки и площадь применения исправлений. В результате получается более безопасный, менее сложный и более эффективный сервер.
Консоль Server Manager(Пуск → Администрирование → Диспетчер сервера)
Server Manager (Диспетчер сервера) - средство, вобравшее в себе управление всеми ролями и компонентами, имеющимися в Windows Server 2008. Эта консоль предоставляет удобный доступ к полному операционному статусу, средствам мониторинга и средствам настройки для всего сервера.
Server Manager позволяет выполнять следующие действия:
• добавлять на сервер роли и компоненты и удалять их;
• наблюдать за работой и управлять сервером;
• выполнять администрирование ролей и компонентов на сервере.
По сути, Server Manager представляет собой универсальный центр для выполнения всех действий по управлению и мониторингу. Доступ к средствам Server Manager осуществляется через консоль Server Manager.
Страница Roles консоли Server Manager
Консоль Server Manager содержит дерево папок для отображения ролей, выполняющихся на сервере. При выборе в дереве консоли папки Roles (Роли) выводится сводка информации о ролях, установленных на сервере, а также страницы сводки для каждой из ролей. Такие страницы сводки отображают состояние роли, например, состояние системных служб и событий для роли.
Но выбор папки конкретной роли выводит страницу, характерную именно для этой роли Server Manager. Такие страницы зависят от конкретной роли и содержат операционную информацию об этой роли.
Разделы, входящие в страницы конкретных ролей:
Раздел Advanced Tools
Для некоторых ролей имеется раздел Advanced Tools (Дополнительные средства) со списком средств для поддержки роли. Сюда относятся и утилиты командной строки, и консоли ММС с кратким описанием их функций.
Например, для роли службы доменов ActiveDirectory (у которой наиболее развитый набор средств по сравнению с другими ролями) в этом разделе приведено 21 средство.
Любое из таких средств можно запустить, щелкнув на активной ссылке. В случае консольного средства запускается эта консоль. В случае утилиты командной строки она запускается с параметром вывода подсказки, т.е. списка опций утилиты.
Например, после установки на сервере роли службы доменов ActiveDirectoryиз раздела Advanced Tools, можно запустить средство DCPROMO и завершить конфигурирование службы доменов.
Папки средств
В каждой из папок ролей в дереве папок Server Manager имеются подпапки для оснасток ММС этой роли. Эта возможность предоставляет удобный доступ к средствам из Server Manager без необходимости разыскивать эти средства в папке Administrative Tools (Администрирование).
Например, у роли Active Directory Domain Services (Служба доменов Active Directory) имеются две папки средств. Это оснастки Active Directory Users and Computers и Active Directory Sites and Services.
Это те же полноценные оснастки, которые можно запустить и из папки Administrative Tools.
Для других ролей на сервере (роли DHCP Server и DNS Server) можно просмотреть другие средства.
Active Directory (AD)
Служба каталогов (directoryservice)- сетевая служба, которая идентифицирует все ресурсы сети и делает их доступными пользователям. Служба каталогов централизованно хранит всю информацию, требуемую для использования и управления объектами, упрощая процесс поиска и управления данными ресурсами. Также она управляет идентификацией и отношениями между распределенными ресурсами и позволяет им работать вместе.
ActiveDirectory (AD) - это служба каталогов на базе ОС Windows.ActiveDirectory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации.
Технологии ActiveDirectory прошли длинный путь с того момента, когда впервые появились в версии Windows 2000 Server. Из одного продукта, называвшегося просто ActiveDirectory (AD), в WindowsServer 2008 они превратились в пять отдельных технологий:
• традиционная служба Active Directory, которая теперь носит название Active Directory Domain Services — AD DS (Доменные службы Active Directory)
• Active Directory Lightweight Directory Services — AD LDS (Службы Active Directory облегченного доступа к каталогам),
• Active Directory Federation Services — AD FS (Службы федерации Active Directory),
• Active Directory Certificate Services — AD CS (Службысертификатов Active Directory)
• Active Directory Rights Management Services — AD RMS (Службыуправленияправами Active Directory).
Все они похожи между собой тем, что призваны предоставлять службы каталогов и служить в роли платформы для интеграции будущих технологий Microsoft.
В данной лабораторной работе рассматривается ActiveDirectoryDomainServices — ADDS (Доменные службы ActiveDirectory).
Обеспечение безопасности ADDS
В системе безопасности ActiveDirectory главным моментом всегда была защита ценных сетевых активов. Кроме того, на систему безопасности самой WindowsServer 2008 немало повлияла предпринятая Microsoft инициатива по обеспечению безопасности компьютерных технологий (TrustworthyComputing), сделавшая центральным аспектом при разработке продуктов Microsoft продумывание их защиты.
Механизм аутентификации Kerberos
Механизм Kerberos был разработан в Массачусетском Технологическом институте как безопасный метод для аутентификации пользователей без пересылки их пароля по сети как в зашифрованном, так и незашифрованном виде. Возможность передачи пароля подобным способом значительно уменьшает опасность хищения пароля, поскольку лишает злоумышленников возможности заполучить копию пароля во время его передачи по сети и расшифровать его с применением приемов "грубой силы".
Сама схема функционирования Kerberos выглядит довольно сложно, но, в сущности, сводится к следующему: компьютер отправляет клиенту, которому требуется пройти аутентификацию, пакет с информацией. В этом пакете содержится "загадка", правильный ответ на которую может быть получен только за счет применения подлинных учетных данных пользователя. Далее пользователь прилагает к этой загадке "ответ" и отсылает ее обратно серверу. В случае если ответ был сформулирован с помощью правильного пароля, пользователь проходит аутентификацию. Хотя подобная форма аутентификации и применяется в WindowsServer 2008, собственной разработкой Microsoft она не является и в действительности является Интернет-стандартом.
Принятие дополнительных мер по обеспечению безопасности
Реализации ADDS, по сути, являются настолько же безопасными, насколько безопасна среда, в которой они работают. Безопасность структуры ADDS может быть повышена путем принятия дополнительных мер предосторожности, вроде настройки безопасного обмена данными между серверами с помощью протокола IPSec, использования смарт-карт или применения других технологий шифрования. Кроме того, безопасность пользовательской среды может также усиливаться за счет установки групповых политик, влияющих на ограничения паролей пользователей, безопасность доменов и полномочия доступа при входной регистрации.
Роль DNS в AD DS
При разработке AD DS, главным приоритетом было обеспечение ее полной совместимости с системой доменных имен (Domain Name System — DNS). В результате AD DS была создана не только полностью совместимой с DNS, но и настолько интегрированной с ней, что просто не может без нее существовать.
Полностью соответствуя стандартам, принятым для DNS, служба AD DS расширяет стандартный набор средств DNS и предлагает новые возможности, вроде DNS, интегрированной в AD (AD-integrated), что существенно упрощает требуемые для сред DNS операции по администрированию.
Логическая структура ActiveDirectory
Логическая структура ActiveDirectory представляет собой контейнеры, которые используются для хранения объектов службы каталога.
База данных ActiveDirectory содержит следующие структурные объекты:
· Объекты
· Контейнеры
· Домены
Домен — это единая область, в пределах которой обеспечивается безопасность данных в компьютерной сети под управлением ОС Windows.
Информация обо всех пользователях и компьютерах, хранится и обрабатывается внутри домена.
· Деревья: несколько доменов объединяются в иерархическую структуру.
Все входящие в состав дерева домены используют общее пространство имен.
· Леса: группа из нескольких деревьев домена.
Лес — это группа из одного или более деревьев доменов, которые не образуют непрерывного пространства имен, но могут совместно использовать общую схему и глобальный каталог. Неявные отношения доверия объединяют корни всех деревьев в один общий лес.
В сети всегда есть минимум один лес, и он создается, когда в сети устанавливается первый компьютер с поддержкой Active Directory (контроллер домена).
· сайты;
Сайт WindowsServer — это группа контроллеров доменов, которые находятся в единой или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями
· организационные единицы (подразделения).
Организационной единицей (OrganizationalUnit — OU, подразделение) называется контейнер административного уровня, который используется для логической организации объектов в ADDS.
OU являются контейнерами объектов, содержащими несколько типов объектов службы каталога:
· компьютеры;
· контакты;
· группы;
· inetOrgPerson;
· принтеры;
· пользователи;
· общедоступные папки;
· организационные единицы.