Сергеев А.П. Офисные локальные сети. Самоучитель
Подождите немного. Документ загружается.
• Модель безопасности.
Данная
модель определяет способ
осуществления
безо-
пасного и надежного доступа к информации. Протокол
LDAP
обеспечивает
поддержку подлинности с помощью протокола
Kerberos.
Реализуются несколь-
ко уровней проверки
подлинности,
а также безопасный уровень простой про-
верки подлинности
(SASL,
Secure Authentication Secure Level). Протокол
LDAP 3.0 обеспечивает поддержку протокола безопасных сокетов (SSL, Secure
Socket Level), стек протоколов TCP/IP, Web-броузер, входящий в состав ком-
плекта поставки Windows 2000, поддерживает протокол SSL.
• Функциональная модель. Эта модель определяет методы запросов и модифика-
ции
объектов каталогов. Рамки функциональной модели очерчивают операции
добавления элементов, редактирования и распространения полей атрибутов, а
также действия по удалению и запросу объектов каталога.
• Технологическая модель. Данная модель определяет методики интеграции и
взаимодействия службы каталогов с другими совместимыми службами. Спо-
собность образования гиперсвязей, присущая протоколу LDAP, проистекает
именно из этой модели.
Протокол LDAP поддерживается подавляющим большинством приложений и сер-
верных технологий, особенно Internet-приложениями.
Итак, служба каталогов Active Directory позаимствовала лучшие характеристики,
присущие
протоколу LDAP, а также определяемые спецификацией Х.500. Поэтому
служба каталогов Active Directory может выполнять обмен данными с любой другой
службой, поддерживающей протокол LDAP (таких служб очень много).
Служба
DNS
отвечает за обнаружение объектов. Именно она позволяет
"прозрачным образом" находить контроллеры доменов
путем^простого
подключения к
серверу DNS с последующим определением IP-адреса ближайшего контроллера домена.
Ниже приводятся некоторые основные признаки, характеризующие службу ката-
логов Active Directory.
• Служба каталогов Active Directory "вмонтирована" в операционную систему
Windows NT ("предок" Windows 2000, в результате чего обеспечивается обрат-
ная совместимость).
• Представляет собой подлинно распределенную архитектуру, благодаря чему
администратор может распространять изменения по всей сети независимо от
начальной точки.
• Обеспечивает высокую степень масштабирования и саморепликации. Изна-
чально реализованная на одном компьютере, затем может получить распро-
странение на всю локальную сеть (или объединение сетей). В ближайшее вре-
мя, вероятно, будет широко распространена благодаря простоте доступа к ре-
сурсам.
• Способность к расширению структурной модели службы каталогов Active Di-
rectory, что позволяет
развивать
ее схему без малейших ограничений. Для рас-
ширения схемы достаточно зарегистрировать идентификатор объекта (OID,
Object Identifier). Например в США подобного рода регистрация выполняется
Институтом ANSI.
Пространства имен и схемы именования
На основе службы каталогов Active Directory реализуется несколько схем именова-
ния, которые будут рассмотрены в следующих разделах.
Глава 10. Управление пользователями и группами 181
Имена LDAP и Х.500
•
Соглашения о наименовании, принятые в стандартах LDAP и Х.500, называются
схемой именования с атрибутами. В данном случае имя состоит из названия сервера,
на котором размещается каталог, имени пользователя, имени подразделения и т.д.
Например,
подобное
имя может иметь
следующий
формат:
LDAP://alphaserver.beta.com/cn=lbrother,
ou=papersales,
dc=smallbrath,
dc=com
Имена LDAP используются в случае выполнения запросов службы каталогов Active
Directory.
Имена RFC822
Документ RFC822 определяет наиболее распространенное соглашение о наимено-
вании, используемое при работе с электронной почтой или в World Wide Web. Для
этих имен
существует
также синонимичное толкование — имена участников пользо-
вателей
(UPN,
User Principal Name). Эти имена имеют формат
имя_пользователя@
название_домена.
Пространство имен RFCS22 предоставляется всем пользователям
службой каталогов Active Directory. Пользователи Windows могут зарегистрироваться в
сети, просто указав свое пользовательское имя и
пароль:
User:
Ivan.Orlov@mycity.org
Password:
**********
Планирование логической структуры
домена
При использовании службы каталогов Active Directory применяется корневая иерар-
хическая структура. При этом допускается
существование
единственного родитель-
ского
(корневого)
домена. С этим доменом связаны
дочерние
домены.
Например,
у во-
ображаемой компании СВМ может быть корневой домен
cbm.com.
Поддомен
(или
дочерний домен), выделенный для бухгалтерии, может называться
accounting.
cbm.com. Здесь важно обратить внимание на то обстоятельство, что в качестве имени
корневого домена организации не может указываться
-com,
поскольку это имя заре-
гистрировано InterNIC с целью выдачи ведущим коммерческим организациям. По-
скольку в данном случае
осуществляется
работа с Active Directory, все компоненты,
образующие домен, являются объектами. А точнее, объектами-контейнерами, атрибу-
ты имен которых легко управляемы. Однозначная идентификация в службе каталогов
Active Directory производится с помощью так называемых глобально уникальных
идентификаторов
(GUID).
Поэтому корневой домен является корневым объектом-
контейнером, который, в свою очередь, может содержать другие
объекты.
Пример
логической структуры домена приводится на рис. 10.2.
Подразделения
Классы объектов содержатся в одном из основных объектов-контейнеров, назы-
ваемом подразделением (организационной единицей, Organization Unit). Подразделе-
ния могут включать такие объекты, как учетные записи
пользователей,
принтеры,
компьютеры, общие
ресурсы,
а также другие подразделения.
182
Часть
III. Создание иерархической сети
Windows
2000
MANAGER.
V
СВМ.СОМУ
Рис. 10.2. Логическая структура домена для
воображаемой организации
СВМ
Деревья
Рассмотренная в
предыдущих
разделах доменная структура представляется в виде
так называемых деревьев доменов. Все объекты, которые расположены от объекта до
корневого
домена,
образуют часть дерева домена. Дерево является уникальным в
службе каталогов Active Directory, поскольку существование нескольких одинаковых
родительских доменов просто невозможно.
Вообще говоря, дерево домена — это некий систематический набор объектов до-
мена в структуре службы каталогов Active Directory, который относится к одному не-
прерывному пространству имен. Следует иметь в виду, что корневой домен может
расширяться или разделяться на несколько
поддоменов.
Имена
поддоменов
уникаль-
ны, поскольку все они совместно используют стандартную схему
катшюгов,
которая
включает формальное определение для всех объектов в дереве домена.
В службе каталогов Active Directory применяются соглашения о назначении имен
DNS в случае присвоения имен иерархической структуре доменов и
соответствующим
устройствам. Поэтому домены и устройства Active
Directory
следует уникальным обра-
зом
идентифицировать
в Active Directory и системе имен DNS.
.
Леса доменов
Можно создать еще один родительский домен в Active Directory, затем создавать в
нем объекты, которые полностью идентичны объектам из соседних доменов. В этом
случае создаются наборы деревьев домена, которые именуются лесом. В службе ката-
логов Active Directory одно дерево домена рассматривается как лес, который состоит
всего лишь из одного дерева. Между деревьями могут устанавливаться доверительные
отношения, которые обеспечивают пользователям одного дерева леса получение дос-
тупа к ресурсам другого дерева.
Доверительные отношения
Взаимодействие между доменами Windows 2000 организуется путем установления
между ними доверительных отношений. На рис. 10.3 показана схема установления до-
верительных отношений между тремя доменами (живая иллюстрация закона
транзи-
Глава
10. Управление
пользователями
и группами
183
тивности). Благодаря заранее установленным доверительным отношениям исключает-
ся необходимость повторных проверок
взаимодействующих
доменов при
установле-
нии каждого сеанса связи (дополнительные сведения по этой теме можно найти в
главе 16).
Домен А
доверяет
домену Б,
но не доверяет домену В
Домен Б
дозеряет
доменам А и В
Домен
Вдоверяет
домену Б,
но не доверяет домену А
Рис. 10.3. Доверительные отноше-
ния между тремя доменами
Транзитивность становится возможной благодаря использованию протокола
Кег-
beros. В результате обеспечивается естественное построение распределенной сети.
Установка службы каталогов Active Directory
Если служба каталогов Active Directory не была установлена во время
инсталляции
Windows 2000 Server, ее можно установить и позже. Для этого перейдите в панель
управления (команда
Пуск^Настройка^Панель
управления) и выберите аплет
Настройка сервера. После этого на экране отобразится диалоговое окно Настройка
сервера Windows 2000 (рис.
10.4).
Помните о том, что служба каталогов Active Direc-
tory может устанавливаться только в томе NTFS, поэтому в вашей локальной системе
должен присутствовать хотя бы один том, на котором установлена эта файловая сис-
тема.
После завершения необходимых подготовительных действий выберите вкладку
Active Directory и шелкните на ссылке Запустить мастер
установки
Active Directory.
На экране появляется окно мастера установки службы каталогов Active Directory
(рис. 10.5).
В окне мастера
щелкните
на кнопке Далее. Отобразится диалоговое окно Тип
контроллера
домена (рис.
10.6),
в котором следует выбрать роль, исполняемую дан-
ным сервером (контроллером домена в новом домене или добавочным контроллером
домена в
существующем
домене). Обратите внимание на то, что в процессе установки
контроллера домена будут утеряны все локальные учетные записи, хранящиеся на
184
Часть
III.
Создание иерархической сети Windows 2000
данном компьютере. Помимо этого будут утеряны все закодированные данные (если
применяется файловая система EFS) и все ключи
криптографии.
Во избежание воз-
можных потерь следует предварительно экспортировать все криптографические клю-
чи, а также декодировать все ранее закодированные файлы. После завершения этих
действий
щелкните
на кнопке Далее.
В
следующем
диалоговом окне требуется указать на создание нового доменного
дерева или создание нового дочернего домена в существующем доменном дереве
(рис. 10.7). Щелкните на кнопке Далее.
ndOWS2C03
Настройка сервера
Active
Directory
Файловый сервер
•j
Веб и
мультимедиа
*•
еЛ
Сетевые
службы
•»
•"•Ч
Сервер
приложений
»
Дополнительно
»
о;
жо.еы
выбдапи
компоненты,
которые
требугет,.
дополнительной
установки И
настройки,
прежде
чем
они
станут
полностью
раБотоспосойными!
Чтобы
ознакомиться
со
списком
зги»
компонентов,
щежните
по
располсжаняой
ниж^исылйе!
Г,
Рис. 10.4. В этом
диалоговом
окне можно выполнить настройки параметров,
связанных с функционированием сервера Windows 2000 Server
Мастер установки Active Directory
Этот мастер
пемогает
установить
службы
каталогов
Active
Dnectofji
на этом сервере,
делая
его
контроллером
домена.
Оля
продолжения
нажмите
кнопки
Далее
Рис.
10.5.
Этот мастер позволит установить службу каталогов
Active Directory на вашем
компьютере
Глава 10. Управление пользователями и группами
185
(Мастер
установки
Active
Director)'
Тип
контроллера
домена
Ука»о*ге
роль,
«а
которую
предназначается
этот
сервер.
- Все
криптографические
ключи
буауг
уоллвны,
ниеямщвт
Перел
продолжением.
•
Все
зашифрованные
данные,
тдкиа,
пак
EfS
-шифров
ait
ма
файлы
и
точтсвыв
соойявмия
слвщвт
рвоиедмевгь
перед
ирвоопхвчлм.
иначе
они
бупр
пясрйны.
Рис.
10.6.
В этом окне выбирается тип контроллера домена
|Настер
установки
Adive
Direct
nt
ч
Создание
дереве
«ли дочернего домена
Можно
создать
новое
доменное
аерево
или
новый
дочерний
иомен
Требуется
сома»ви
нового
йомвнного
дерева
иян
дочернего
домема
в
дереве?
этот
пвравятр,
есги
но»мй
аомвн
мв
допжеи
&ль
дочерчнм
АЛЯ
Приэтом
o^i^
свэдэна
новое
лоиенио*
дерево.
Новое
доменное
дерево
мэжно
Сдает
пи^еегигь
либо
в
fled -.'"'.:
"
i
пвраметр,
ест
поведи
ломвн
должен
быте
дочерним
для
ro
домена.
Нвгрммер,
мвжио
совдлтв
домв«
С
»*внем
ЬеадаимГвгьеиаггШт^амс'гсогпклкдоч^жй
домен
по
отношению».
доменц
enample.rnicrajolt.com.
Рис.
10.7.
Выберите создание
нового
доменного дерева или
дочернего домена в уже
существующем
доменном дереве
Теперь следует выбрать создание нового леса доменов или присоединение к уже
существующему
ранее лесу (рис. 10.8). Установите соответствующий переключатель и
щелкните на кнопке Далее.
В следующем диалоговом окне нужно указать
DNS-имя
домена (рис. 10.9). При
этом руководствуйтесь правилами создания иерархических доменных имен (например,
имя.
com). Щелкните на кнопке Далее.
В
следующем
диалоговом окне (рис. 10.10) пользователю предлагается указать
NetBIOS-имя домена, распознаваемое внутри локальной сети. После ввода соответст-
вующего имени щелкните на кнопке Далее.
186
Часть III. Создание иерархической сети Windows 2000
Сознание
леса
млн
присоединение
к
несу
Укажите
расположение
нмого
делена.
Созвать новый
лес
или
присоединиться
к
ciuiecTBijcaeMj
лес^Т
«емвисммое
отсишвстваошего
леса,.
'
это
новое
доменное
дерево
C
-наоборот.
к
peigpee-i
в-смщвствиоших
йерммй.
;
Цаэаа
|
Дгшае)
]
Отмегм
|
Рис.
10.8. Выберите
создание
нового доменного леса или
присоединение к существующему ранее лесу
Рис. 10.9. Укажите
DNS-имя
домена,
придерживаясь
правил
именования
В следующем диалоговом окне (рис.
10.11)
укажите расположение базы данных и
журнала службы каталогов Active Directory. Для повышения быстродействия системы
в
целом
эти компоненты следует размешать на различных дисках. Затем щелкните на
кнопке Далее.
В следующем диалоговом окне (рис. 10.12) укажите местоположение папки Sysvol,
которая содержит серверную копию
общих
файлов домена. Содержимое этой папки
реплицируется на все контроллеры домена. После того, как вы уже выбрали местопо-
ложение для
папки,
щелкните на кнопке Далее.
Глава 10. Управление пользователями и группами
187
I
М<1
с
тер
установки
Active
Directory
NetBIOS-имя
домене
Укажите
NetBIOS
имя
для
нового
домена
ЩНННННМНИвШШ.
:''"•"-
'.
^'/щшалмалши/иш/ияш
''.
Это
ийябадег
ислольэевоться
пользователями
греоыаьышх
версий
Windows':
эикацин
нового
Йемена
Дли
принятия
преаложвнчсго
имени
.
.-
спич
"Далее"
или
введите
новое
имя.
Рис. 10.10. Укажите подходящее NetBIOS-имя домена
Мастер
упаковки
Active
Directory
Местоположение
базы
данных
н
мямала
Укажите
местополохение
вазыданньк
и
жданаяа
службы
каталогов
Active
Dhectay.
Для
достижения
трений
производительности
и
возможности
восстановления
размещайте
йаз^
данным
и
ждоиа
л на
рланьн
дисках.
Укалвяе.гввганю
размешаться
Йвваааниых
AclJwe
Йес!ау.
Место
расгкиюжетяЕД:
;|G\NTDS
У«ажите.
гее
будет
раамвщаться
*адапал
Active
Drsclo^.
Рис.
10.11.
Укажите местоположение базы данных и журнала
службы каталогов Active Directory
188
Часть III. Создание иерархической сети Windows 2000
(Мастер
установки
Active
Directory
06ЩНЙ
ДОСТУП К
Системному
TDM1)
Укажите
папку,
к которой
устанавливается
общий
доступ
лак
к
системному
тони
ё~т;гг-,"~~;Т.к:-;-":,~
:
''.
-'-"
--.-«,----:—
---
-..'
Рата''3$|р^'««ержотсервврну«м<»ю6бщтаФвй!Х»до^
Пата
"Sy*vof'
должна
нажжигься
«stone
NTFS
51
Введитеразмещение
гиг)ки
"SysvoT,
:
- " у:
Размещение
Папки.,
:.'.;
:
....;.;
•
.•:'.•
',.,
.
Рис. 10.12. Укажите местоположение папки, содержащей об-
щие
файлы
домена
В
следующем
диалоговом окне (рис.
10.13)
выбираются разрешения, заданные по
умолчанию, для объектов, которые являются пользователями или группами. Здесь
можно выбрать разрешения, совместимые с серверами, предшествующими Windows
2000. Эта
опция
полезна в том случае, если имеются серверные программы, которые
выполняются на серверах, предшествующих Windows 2000. Если же такие программы
отсутствуют, лучше выбрать опцию установки разрешений, совместимых исключи-
тельно с серверами Windows 2000 — в этом случае значительно повышается уровень
безопасности локальной сети в
целом.
Затем щелкните на кнопке Далее.
В очередном диалоговом окне (рис. 10.14) указывается пароль администратора
данного сервера, который будет использоваться при запуске компьютера в режиме
восстановления службы каталогов Active Directory. Обратите внимание на тот факт,
что этот пароль не совпадает с паролем учетной записи администратора. Щелкните на
кнопке Далее.
Мастер
установки
Active
Шсестогу
Разрешения
Выберите
разрешения по
умолчанию
для
оЛектов,
являющихся
™
или
группами.
,1^>1гё^
ешаниа
солмасп»*»
с
е
Ёыберитеэтог
вврнант.
ест и
выпопнлотся
ма
свдаа^к
гр*<
ЯЕЛЯЮШЧЙСЯ
чпвнами
дэменое
двернь»
л
или
нэ
сервера*
Wtidows
2000.
.
совместимые
тоюло
eeeMepaMnVi'ihdo«*20QQ
-
•
Выверитеэтот
вариант,
ес/и
серверные
(^ярвьелы
рабог«сггтоя*о
на
серверах
Window*
200Q.
являвшийся
членами
доменов
Windows
2000.
Только
прошеошла
фове»у
прль9ОЕатвли
могут
считывать
информацию
В
эшмдомепе.
Рис. 10.13. Укажите режим совместимости для разрешений
Глава 10. Управление пользователями и группами
189
(Мастер
итановки
Artivp
Diiet
lory
Пароль
администратора
дп
я
режима
восстановления
Укахенге
пароле
администратора
для
аапаска
«лмпьютера
в
режиме
восстановления
службы
каталогов.
»и
гюйтеврйиге
пароль
ммимкярвторав
того
юрееца.
который
ояьзевагься
гсызапда*»
импыотерзе
режиме
вге^акоаявнмя
служи
iranoroa.
. .
Рис. 10.14. Укажите
пароль
администратора, используемым в
режиме восстановления службы каталогов Active Directory
В этом диалоговом окне отображается сводка (рис.
10.15)
по указанным ранее све-
дениям. Если что-то вам не нравится, можете вернуться обратно и изменить те или
иные параметры. Если все в порядке, щелкните на кнопке Далее.
Md«
тер
уг
tiHtoBK^
A
tHtre
Dfrrctory
Просмотр и
подтверклейке
выбранным
параметров.
ым
квитршиюамаомвм
в
новом
лесч
до
'
" - '.
^.
Это
1мя
является
также
1в«
нового
леса
атогооичвиа
Размещение
базыпвннык
SANTDS.
Разметете
Файла
*арнала:ВЛНТ05
'
Служба
DfJS
Byner
цствювшлч
Для
измви*ння
игранных
гьчммфров
нажмите
кног»ч)
"Назад".
Для
продопжемия
нажмите
кнопку
"Далей".
Рис. 10.15. Сводка, отображающая указанные в процессе
ус-
тановки сведения
После этого запускается процесс установки службы каталогов Active Directory. Ес-
ли в процессе установки не произойдут какие-либо сбои, вы сможете воспользоваться
всеми преимуществами новой службы каталогов после перезагрузки компьютера. Об-
ратите внимание на то, что корректная установка Active Directory возможна только в
том случае, если предварительно был установлен и правильно настроен DNS-сервер.
190
Часть III. Создание иерархической сети Windows 2000