Active Directory основные компоненты 1

Active Directory – служба каталогов. comp01 comp02 comp03 fileserv Linda TomJackGarrySusanne Rodriges 2

Active Directory – служба каталогов. comp01 comp02 comp03comp04comp05comp06 sqlserv01fileserv Linda TomJackGarrySusanneRodriges 3

Active Directory – служба каталогов. comp08comp01 comp02 comp03comp04comp05comp06 comp07 webserv01webserv02sqlserv01mailservfileservftpserv01 ftpserv02dnsserv John M. Linda TomJackGarrySusanneChackRodriges 4

Каталогом(directory) называется совокупность информации об объектах, которые тем или иным образом связаны друг с другом. comp08comp01 comp02 comp03comp04comp05comp06 comp07 webserv01webserv02sqlserv01mailservfileservftpserv01 ftpserv02dnsserv John M. Linda TomJackGarrySusanneChackRodriges ……………. John M. Linda Garry sqlserv01 mailserv comp03 comp08 comp01 Программа для обмена письмами Программа для создания и хранения БД ……………. Служба каталогов – ПО, которое позволяет создавать, поддерживать и администрировать такие каталоги. Active Directory – реализация службы каталогов компанией Microsoft. Объект – самостоятельная единица, которая представляет некий ресурс, существующий в сети (ПК, пользователи, ПО, …) со всеми его свойствами и характеристиками, в службе каталогов. 5

Простейший пример использования Active Directory comp01 comp04 comp05 Linda Tom Garry 6

Простейший пример использования Active Directory comp01 comp04 comp05 Linda Tom Garry 7

Простейший пример использования Active Directory comp01 comp04 comp05 Linda Tom Garry 8

Простейший пример использования Active Directory comp01 comp04 comp05 Linda Tom Garry 9

Простейший пример использования Active Directory comp01 comp04 comp05 Linda Tom Garry Jack Active Directory упрощает управление объектами в сети 10

Компоненты Active Directory ЛогическиеФизические - Домены - Подразделения - Деревья - Леса - Контроллеры домена - Сайты 11

Контроллер домена comp01 comp04 comp05 Linda Tom Garry контроллер домена рядовой сервер Контроллер домена – сервер, на котором установлено ПО Active Directory, а так же расположена база данных данной службы. 12

Домен DNSActive Directory com ru orgnetus stednet avia spb Домен RU Домен STEDNET.RU Домен STEDNET является поддоменом домена RU, и поэтому его полное имя = STEDNET.RU Домен – поддерево в пространстве доменных имен. Имя домена отражает положение и путь к сетевому устройству в системе DNS. Компьютер comp1.spb.stednet.ru входит в три домена DNS: 1 – Домен RU 2 – Домен STEDNET.RU 3 – Домен SPB.STEDNET.RU Попасть к данному компьютеру можно рассмотрев его полное имя - comp1.spb.stednet.ru. Это имя говорит, что от корня необходимо проследовать в домен RU, затем в домене RU найти домен STEDNET и проследовать туда, оказавшись в домене STEDNET идти в сторону домена SPB, оказавшись в домене SPB необходимо оглядеться – данный компьютер где-то здесь. Домен STEDNET.RU Домен - область, объединяющая группу компьютеров(и других объектов), которые при работе в сети, при поиске доступных ресурсов, ориентируется на единый справочник (Active Directory). Данный справочник (Active Directory) распространяет на эти компьютеры свои политики безопасности. Домен указывает область влияния какой-либо отдельной службы каталогов, определяет границы (периметр) действия политик безопасности этой службы каталогов. В данном периметре, располагаются некие ресурсы, получить доступ к которым могут только те, кто и сам находится в том же периметре. Чтобы некий объект или ресурс стал принадлежать данному периметру, необходимо его описать в базе данных Active Directory. Компьютер может входить только в один домен. Мы говорим что: компьютер принадлежит домену spb.stednet.ru и поэтому находиться там-то Мы говорим что: компьютер принадлежит домену spb.stednet.ru и поэтому имеет доступ туда-то Домен содержит минимум один контроллер домена. Впервые устанавливая службу каталогов AD там, где ее еще небыло, можно сказать, что мы устанавливаем домен Active Directory. 13

stednet.ru eu.stednet.ru na.stednet.ru canada.na.stednet.ru stednet.ru eu.stednet.ru na.stednet.ru canada.na.stednet.ru Дерево доменов Active Directory Несколько доменов, которые используют общее пространство имен Active Directory, создают дерево доменов Active Directory. Родительский домен Дочерние домены Дерево 14

stednet.ru eu.stednet.ru na.stednet.ru canada.na.stednet.ru Лес kraulf.au west.kraulf.aueast.kraulf.au stednet.ru eu.stednet.ru na.stednet.ru kraulf.au east.kraulf.auwest.kraulf.au canada.na.stednet.ru Лес Несколько деревьев доменов, которые принадлежат одному предприятию, создают лес. Дерево Лес указывает границы безопасности предприятия 15

Сайты Компания Stednet / /24 Сайт Сайт – область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этими подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory. Быстрый и надежный канал 16

Сайты Компания Stednet / /24 Сайт Сайт – область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этими подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory. Медленный и ненадежный канал 17

Домен Active Directory Сайт В одном домене Active Directory один сайт. В одном домене Active Directory несколько сайтов. В одном сайте несколько доменов Active Directory. 18

Подразделения (Organizational Unit - OU) Подразделения – своего рода контейнеры, используя которые можно значительно упростить управление объектами, находящимися в Active Directory. Благодаря подразделениям в базе данных Active Directory становится возможным выстроить объекты, которые находятся в Active Directory, в некую иерархию. Данная иерархия совсем не обязана отражать реальную иерархию (департаменты, отделы) предприятия, а должна выстраиваться в виде, при котором становится максимально удобно управлять теми объектами, которые находятся в Active Directory. Используя OU, можно осуществлять делегирование управления, т.е. можно предоставить какому либо пользователю (помощнику администратора) право управлять теми объектами, которые находятся в определенной OU. Объекты, которые может содержать в себе OU: - Компьютеры - Контакты - Группы - inetOrgPerson - Принтеры - Пользователи - Сетевые папки - Подразделения 19

stednet.ru Данная база находится на контроллере домена dcserv sqlserv mailserv dcserv comp01 comp02 comp03 comp04 stednet.ru Подразделения (Organizational Unit - OU) Users servers mailserv dcserv sqlserv computers comp03 comp02 comp04 20

stednet.ru Головной офис в Москве Офис компании stednet в Милане Офис компании stednet в Далласе Офис компании stednet в Торонто Пример использования OU контроллер домена stednet.ru Garry Susanne John M. Linda Tom stednet.ru toronto servers usersGarry computers 1 6 servers11 dallas usersJohn M. Susanne computers ……………………. Часто OU позволяют отказаться от создания дополнительного домена(ов), что облегчает администрирование. Можно предоставить помощнику администратора сбрасывать пароли на учетные записи, которые находятся в данной OU. 21

Установка первого контроллера домена компании Stednet 22

Структура торгово-производственной компании Stednet Медведков Сергей Павлович Путинов Михаил Петрович Иванова Мария Сергеевна Попова Светлана Николаевна Кузнецова Ирина Сергеевна Захарова Татьяна Федоровна Чернова Галина Алексеевна Новиков Николай Анатольевич Титов Сергей Петрович Сорокина Лариса Ивановна Белова Мария Сергеевна Петров Иван Николаевич Ларионов Александр Алексеевич Волков Тарас Петрович Морозов Николай Иванович Ткаченко Федор Владимирович Смирнова Ирина Игоревна Департамент информационных технологий Иванов Андрей Семенович Мезенцев Артем Федорович Каменев Иван Николаевич 23

Головной офис в Москве Дополнительный офис в Новосибирске Сеть /24 Сеть / dc01.stednet.ru red.stednet.ru green.stednet.ru black.stednet.ru Сотрудники: Генеральный директор Секретарь Зам. ген. директора Бухгалтерия Отдел продаж Отдел системного администрирования Отдел поддержки пользователей Сотрудники: Производство 24

IT Стандарты компании Stednet Генеральный директор - President Медведков Сергей Павлович – Medvedkov Sergey Pavlovich тел:1111 Отдел поддержки пользователей - HelpDesk Каменев Иван Николаевич – Kamenev Ivan Nikolaevich тел:2222 Секретарь - Secretary Смирнова Ирина Игоревна – Smirnova Irina Igorevna тел:1113 Заместитель генерального директора – Vice-president Путинов Михаил Петрович – Putinov Mikhail Petrovich тел:1112 Бухгалтерия - Accounting Иванова Мария Сергеевна – Ivanova Mariya Sergeevna тел:1253 Попова Светлана Николаевна – Popova Svetlana Nikolaevna тел:1256 Кузнецова Ирина Сергеевна – Kuznetsova Irina Sergeevna тел: 1268 Захарова Татьяна Федоровна – Zakharova Tatyana Fedorovna тел:1263 Чернова Галина Алексеевна – Chernova Galina Alekseevna тел: 1274 Отдел продаж - Sale Новиков Николай Анатольевич – Novikov Nikolay Anatolievich тел:1281 Титов Сергей Петрович – Titov Sergey Petrovich тел:1279 Сорокина Лариса Ивановна – Sorokina Larisa Ivanovna тел:1645 Белова Мария Сергеевна – Belova Mariya Sergeevna тел:1532 Производство - Production Петров Иван Николаевич – Petrov Ivan Nikolaevich тел:1233 Ларионов Александр Алексеевич – Larionov Aleksandr Alekseevich тел:1265 Волков Тарас Петрович – Volkov Taras Petrovich тел:1481 Морозов Николай Иванович – Morozov Nikolay Ivanovich 1044 Ткаченко Федор Владимирович – Tkachenko Fedor Vladimirovich тел: 1648 Иванов Андрей Семенович – Ivanov Andrey Semenovich тел: 1155 Отдел системного администрирования – System administration division Мезенцев Артем Федорович – Mezentsev Artem Fedorovich тел: 2221 ! Рекомендуется использовать стандарты в транслитерации: Alexandr Aleksandr Локальный администратор и его пароль на всех клиентских компьютерах:username: locadmin pass:Qwert111 Локальный администратор и его пароль на всех серверах: username: administrator pass:Asdfg111 Администратор домена: username: superadmin pass: Zxcv555 Имена пользователей в AD именуются исходя из принципа: фамилия +знак подчерк+первая буква имени Т.е. : Белова Мария Сергеевна = belova_m 25 Стандартный пароль при заведении нового пользователя: Qwerty555

ФУНКЦИОНАЛЬНЫЕ УРОВНИ Функциональные уровни домена: Windows 2000 mixed (смешанный) Функциональный уровень уровень по умолчанию Поддерживаемые контроллеры домена Windows NT 4.0 Windows 2000 Windows Server 2003 Windows 2000 основной (native) Windows 2000 Windows Server 2003 Windows Server 2003 переходный (interim) Windows NT 4.0 Windows Server 2003 Функциональные уровни леса: Функциональный уровеньПоддерживаемые контроллеры домена Данный параметр изменяется: Active Directory Users and Computers > Правая клавиша мыши на изображении домена > Raise Domain Functional Level Windows 2000 уровень по умолчанию Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2003 переходный (interim)Windows NT 4.0 Windows Server 2003 Данный параметр изменяется: Active Directory Domains and Trusts > Правая клавиша мыши на изображении леса > Raise Forest Functional Level Изменять данный параметр могут: члены группы Enterprise Administrators (Администраторы предприятия) члены группы Domain Admins (Администраторы домена) Изменять данный параметр могут: члены группы Enterprise Administrators (Администраторы предприятия) члены группы Domain Admins (Администраторы домена) в корневом домене данного леса 26

Лес предприятия Домен nvs.stednet.ru Домен stednet.ru Данному домену можно назначить функциональный уровень домена – Windows Server 2003 т.к. все контроллеры домена в этом домене работают под одной операционной системой – Win2003Server. В данном домене можно пользоваться всеми возможностями, которые предлагает Active Directory Windows 2003 Server. Данному домену необходимо назначить функциональный уровень домена – Windows 2000 native, т.к. контроллеры домена, поддерживающие этот домен, работают под различными ОС – Win2000 и Win2003. В данном домене возможно пользоваться только теми возможностями AD, которые поддерживает контроллер домена с Win2000. Новые возможности, появившиеся в AD Win2003 которые не поддерживаются контроллером домена с Win2000 – недоступны. Функциональный уровень данного леса – Windows

Создание учетной записи компьютера и подключение компьютера к домену AD В домене AD Windows Server 2003 могут быть созданы учетные записи для компьютеров с операционными системами: Windows Server 2003 Windows 2000 Windows XP Professional Windows NT Способы создания учетной записи компьютера: 1)При помощи скриптов. 2)Автоматически. Если подключить компьютер к домену, предварительно не создав в базе Active Directory для него учетную запись, то она (учетная запись компьютера) создастся автоматически в контейнере computers. Право на создание учетной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена (Domain Admins) или Операторы учета(Account Operators)+ каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно, создать 10 учетных записей компьютеров. *Пользователь должен обладать правами локального Администратора на подключаемом компьютере. 3)Вручную, используя оснастку Active Directory - Пользователи и Компьютеры (Active Directory – Users and Computers) Используя этот способ, мы можем предоставить любому пользователю право на подключение компьютера к домену. 28